Datenschutz-Kodex der Geodatendienste und die „rote Linie“: Gesetzesentwurf zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht

Aus allen Richtungen werden die Stimmen lauter, die das Horten von Daten durch die großen Internetkonzerne wie Google oder Facebook – dem Grunde nach zu Recht – an den Pranger stellen und die Massen für das Geschäft mit ihren persönlichen Daten sensibilisieren wollen. Nicht ohne Grund drängen Dienste wie das Social Network Diaspora aus der Datenschutz-Nerd-Ecke heraus. Diaspora verspricht, gerade auf private Daten nicht zuzugreifen, bzw. dem Anwender sogar zu ermöglichen, die Anwendung auf eigenen Servern laufen zu lassen, um ganz sicher die absolute Kontrolle über die eigenen Daten zu haben. (Allerdings: Angeblich hat Marc Zuckerberg das Projekt mit den Worten „Ich finde, das ist eine gute Idee“ gefördert….)

Auch das Bundesministerium des (BMI) Inneren hat die Problematik erkannt. Dabei haben wir meines Erachtens das Glück derzeit einen Minister im BMI sitzen zu haben, der das Thema Internet mit Ruhe und bedacht angeht und im Gegensatz zu manchem seiner Kollegen ohne marktschreierische Attitüden (á la „Ich habe mich bei Facebook abgemeldet“) auskommt. Sich der Problematik des Schutzes der Persönlichkeitsrechte annehmend hatte De Maizère zum einen im September die Deutsche Informations- und Telekommunikationsbranche gebeten, einen Datenschutz-Kodex in Bezug auf Geo-Datendienste zu entwickeln. Unter der Leitung des Verbands BITKOM ist in Zusammenarbeit mit etwa Google, Microsoft und der Deutschen Telekom AG sowie kleineren Anbieter wie Sidewalk und Panolife ein Datenschutz-Kodex für Geodatendienste entstanden und nun am 01. Dezember dem BMI vorgestellt worden. Bei diesem Kodex handelt es sich um eine Selbstverpflichtung der Dienste-Anbieter. Schwerpunkt dieser ist eine zentrale Widerspruchs- und Informationsstelle, bei der der Einzelne sich über die Funktionen der jeweiligen Dienste informieren und eben zentral Widerspruchs einlegen kann. Wen hier Einzelheiten interessieren, der kann den Datenschutz-Kodex für Geodatendienste oder die Presseerklärung der BITKOM dazu lesen.

Beachtenswert finde ich, dass hier auf pragmatische Weise unter Einbeziehung der Wirtschaft eine Lösung für diejenigen gesucht wurde, die ihr Haus oder Ihr Firma nicht im Internet für alle sichtbar gemacht haben wollen. Zeitgleich aber seitens der Politik einmal nicht die große „Diese Firmen sind alle böse“-Keule geschwungen wird, sondern auf diesem Wege auch einmal darauf aufmerksam gemacht wird, dass Geodaten-Dienste auch Chancen und nicht ausschließlich Risiken bedeuten. (Nicht zuletzt hatte De Maizère ein Einzelfallgesetz zu Google Streetview et al. abgelehnt, um Innovationen nicht im Keim zu ersticken). Ebenso macht dieser Kodex in Bezug auf Geodatendienste deutlich, dass es mehr als Google Streetview gibt. Kritiker werden nun sagen: „Selbstverpflichtung. Kodex. Hat noch nie funktioniert. Die machen was sie wollen.“. Doch hier geht es um etwas anderes. Es liegt schließlich auch im Interesse der Firmen, Transparenz zu schaffen und auch unbegründete Ängste zu nehmen. Nicht zuletzt soll über diese Selbstverpflichtung das Recht auf informationelle Selbstbestimmung gestärkt und vielleicht auch eine „informationelle Selbstverantwortung“ vermehrt gefordert werden.

Aber hier sind wir auch schon (nach einer dreiviertel DIN A4 Seite…) bei dem eigentlichen Thema des Blog-Beitrags angekommen: Das Recht auf informationelle Selbstbestimmung bzw. die Plicht zur „informationellen Selbstverantwortung“.

Das BMI hat schließlich zum anderen am 01. Dezember 2010 einen Gesetzesentwurf zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht vorgestellt, wonach ein weiterer Paragraph in das Datenschutzgesetz eingefügt werden soll, der das Recht auf informationelle Selbstbestimmung stärken soll. Meines Erachtens ein Schritt in die richtige Richtung. Auch wenn es sich bislang um einen ersten noch nicht durch die Gremien gegangen Entwurf und damit noch lange nicht um geltendes Recht handelt. Doch wie soll das Persönlichkeitsrecht gestärkt werden? Grundrechtlich ist der Schutz des Persönlichkeitsrechts ausreichend gesichert. Insbesondere kann bei schweren Verletzungen des Persönlichkeitsrechts Schadensersatz gefordert werden. Jedoch ist die Durchsetzung gerade gegenüber großen (internationalen) Konzernen bislang äußerst schwierig. Nicht nur, dass oftmals dem Einzelnen gar nicht klar ist, welche Daten von welchen Unternehmen unter welchen Umständen wie erhoben und vor allem an Dritte weitergegeben werden – nicht zuletzt weil die Unternehmen (insbesondere Facebook) undurchsichtige und komplexe „AGB“ vorhalten, die schon dem Juristen nur schwer eingängig sind. Sondern auch weil die Unternehmen ein ureigenes Interesse daran haben, (personenbezogenen) Daten zu erheben und zu verwerten. Dies wäre insoweit nicht zu bestanden, als es dem Nutzer von Telemediendiensten einfach möglich wäre, über die Verwendung seiner Daten die Hoheit zu behalten und auch eine Zustimmung zur Verwendung von Daten zu widerrufen. Dies ist derzeit theoretisch notwendig, praktisch aber nicht der Fall. Über die Nutzungsbedingungen und datenschutzrechtliche Problematiken von Facebook bspw. habe ich hier und hier schon umfangfangreich Stellung genommen. Auch ist die Durchsetzung von Schadensersatzansprüchen äußerst schwierig, weil es bislang keine gesetzliche Regelung zu einem solchen Anspruch in Bezug auf die Verletzung von Persönlichkeitsrechten bspw. durch die Erhebung von Bewegungsprofilen gibt. Ansprüche müssten aus den Grundrechten und im Rahmen richterlicher Rechtsfortbildung bspw. über die Kasuistik zum Presserecht geschaffen werden – und das gegenüber Konzernen, die oftmals nicht in Deutschland ihren Sitz haben.

Nach dem Entwurf des BMI soll es deswegen im Bundesdatenschutzgesetz eine klare Regelung zur „unzulässigen Veröffentlichung in Telemedien“ geben, die aussehen könnte wie folgt :

§ 38b Unzulässige Veröffentlichungen in Telemedien

Die Veröffentlichung von personenbezogenen Daten in Telemedien durch Stellen im Sinne des § 1 Absatz 2, wodurch ein besonders schwerer Eingriff in das Persönlichkeitsrecht des Betroffenen herbeigeführt wird, ist unzulässig, soweit nicht eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene ausdrücklich und gesondert eingewilligt hat oder ein überwiegendes schutzwürdiges Interesse an der Veröffentlichung besteht. Ein besonders schwerer Eingriff in das Persönlichkeitsrecht des Betroffenen liegt insbesondere vor, wenn in Telemedien personenbezogene Daten veröffentlicht werden,

1. die geschäftsmäßig gezielt zusammengetragen, gespeichert und gegebenenfall unter Hinzuspeicherung weiterer Daten ausgewertet wurden und die dadurch ein umfangreiches Persönlichkeits- oder Bewegungsprofil des Betroffenen ergeben können oder

2. die den Betroffenen in ehrverletzender Weise beschreiben oder abbilden.

Darüber hinaus soll der Entwurf  Regelungen zu Internetdiensten halten, die per se hochgradig persönlichkeitsrelevant sind. Hierzu gehören Gesichtserkennungsdienste, Dienste zur Profilbildung anhand von Suchmaschinenanfragen sowie die Erhebung von Standortdaten (Facebook Places/Foursquare).

An der oben zitierten Vorschrift ist bedeutsam, dass sie die ausdrückliche und gesonderte Einwilligung fordert. Das heißt, dass mit in Kraft treten einer solchen Regelung eindeutig ist, dass eine allgemeine Einwilligung zur Verwendung von personenbezogenen Daten, wie sie derzeit bei Facebook schon bei der Anmeldung zu dem Dienst über die Zustimmung zu den Nutzungsbedingungen erfolgt, nicht ausreichend ist. Auch darf ein Dienst wie Facebook ohne explizite Einwilligung über die User keine personenbezogene Bewegungsprofile mehr anlegen und anderen zum Beispiel zu Werbezwecken zur Verfügung stellen. (Wobei das im Einzelnen eine schwierige nachgelagerte Frage ist. Denn: Macht bspw. Facebook Bewegungsprofile „öffentlich“ im Sinne der Vorschrift, wenn FB die Bewegungsprofile nicht zur Verfügung stellt, sondern nur Werbeplätze an ein Drittunternehmen verkauft, wobei diese Werbeplätze allerdings anhand von erstellten Persönlichkeit-/Bewegungsprofilen kategorisiert worden sind? Und wenn ja: Wie erfährt der User davon?)

Weiter mag eingewendet werden, dass eine solche Regelung die internationalen Konzerne nicht weiter beeindrucken wird. Schließlich handelt es sich um nationales Datenschutzrecht und trotz aller Einhelligkeit, dass die AGB von Facebook den deutschen gesetzlichen Anforderungen nicht genügen, ist bisher nichts passiert.

Um jedoch genau solch einen zahnlosen Tiger zu vermeiden, soll in dem Gesetzesentwurf weiter explizit ein immaterieller Schadensersatzanspruch („Schmerzensgeld“) gegenüber privaten Konzernen verankert werden (das gab es im BDSG bisher nur gegenüber Behörden). Dabei soll in der Regelung der Sanktionscharakter für rechtswidrig handelnde Unternehmen durch die Höhe der Geldentschädigung deutlich werden. D.h. diese Entschädigung soll so bemessen sein, dass sie für die Konzerne eine Hemmschwelle in Bezug auf rechtswidriges Handeln darstellt; folglich soll sich die Höhe des Schadensersatzes am zu erwartenden Gewinn der Unternehmen orientierten. Plakativ ausgedrückt: Wenn sich ein Google oder Facebook extrem hohen Schadensersatzforderungen von zahlreichen Usern ausgesetzt sieht, werden diese Unternehmen sich die rechtwidrige Erhebung bzw. Verwendung von Daten gut überlegen. Die Durchsetzung (die Vollstreckung) der Ansprüche wäre nach wie vor nicht das einfachste. Aber der Weg zum vollstreckbaren Titel doch leichter und damit die Abschreckung für die Konzerne vielleicht höher. Insbesondere deswegen, weil dieser Anspruch auf Schmerzensgeld jedem Verbraucher zu stünde. Bislang können zumeist nur Datenschutzbeauftragte oder Wettbewerber Maßnahmen (Bußgeldbescheid oder Abmahnung) ergreifen.

Zu dem trägt ein solcher Gesetzesentwurf die Hoffnung in sich, dass die betroffenen Unternehmen die Verwaltung der personenbezogenen Daten erleichtern, bzw. eine ordentliche Verwaltung (Einstellung von Privatsphären) vom User erzwingen (müssen). So wird der Einzelne nicht nur gezwungen, sein Recht auf informationelle Selbstbestimmung zu wahren, sondern auch die Pflicht zu einer persönlichen informationellen Selbstverantwortung (Was darf wann und wer über mich erfahren) ernst zu nehmen.

Wie eingangs gesagt, meines Erachtens ein guter Ansatz, den Wildwuchs in Bezug auf persönliche Daten im Internet in geradere Bahnen zu lenken. Aber es bleibt mit Spannung abzuwarten, was aus diesem Entwurf wird. Die „Lex Facebook“, bzw. der Entwurf zum Gesetz zum Beschäftigendatenschutz geht – nach dem das Gesetzgebungsverfahren fast durchlaufen ist – doch ein wenig an der Realität vorbei…

In diesem Sinne. Einen schönen Donnerstag.