Informationelle Selbstbestimmung in Netzwerken: Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook [1 ed.] 9783428545049, 9783428145041

Citation preview

Internetrecht und Digitale Gesellschaft Band 3

Informationelle Selbstbestimmung in Netzwerken Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook

Von Michael Marc Maisch

Duncker & Humblot · Berlin

MICHAEL MARC MAISCH

Informationelle Selbstbestimmung in Netzwerken

Internetrecht und Digitale Gesellschaft Herausgegeben von

Dirk Heckmann

Band 3

Informationelle Selbstbestimmung in Netzwerken Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook

Von Michael Marc Maisch

Duncker & Humblot · Berlin

Die Juristische Fakultät der Universität Passau hat diese Arbeit im Jahr 2014 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2015 Duncker & Humblot GmbH, Berlin

Fremddatenübernahme: TextFormA(r)t, Daniela Weiland, Göttingen Druck: Buch Bücher de GmbH, Birkach Printed in Germany ISSN 2363-5479 ISBN 978-3-428-14504-1 (Print) ISBN 978-3-428-54504-9 (E-Book) ISBN 978-3-428-84504-0 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de

Meiner Familie

Vorwort „The age of privacy is over.“ Dieser Satz wird dem Facebook-Gründer Mark­ Zuckerberg zugeschrieben. Ob das Zeitalter der informationellen Selbstbestimmung tatsächlich zu Ende ist, wird in dieser Arbeit am Beispiel von Cloud Computing und Sozialen Netzwerken untersucht. Es werden die Herausforderungen analysiert, vor denen der Schutz der informationellen Selbstbestimmung der Nutzer in diesen Netzwerken steht. Zu den Zielen dieser Arbeit gehört es auch, rechtliche und technische Lösungswege für eine datenschutzkonforme Nutzung von Cloud Computing und Sozialen Netzwerken aufzuzeigen. Die Juristische Fakultät der Universität Passau hat die vorliegende Arbeit im Jahr 2014 als rechtswissenschaftliche Dissertation ange­nommen. Mein Dank gilt meinem Doktorvater, Herrn Prof. Dr. Dirk Heckmann, der mich als Doktorand und wissenschaftlicher Mitarbeiter an seinem Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht an der Universität Passau aufgenommen hat. Die Zeit an seinem Lehrstuhl wird mir immer in bester Erinnerung bleiben. Ich danke ihm als meinem langjährigen akademischen Lehrer sehr für die Einbindung in den Forschungsbetrieb, die Betreuung dieser Arbeit, die schnelle Erstellung des Erstgutachtens und die Aufnahme dieser Dissertation in seine Schriftenreihe „Internetrecht und Digitale Gesellschaft“ bei dem Verlag Duncker & Humblot GmbH. Auch Herrn Prof. Dr. Gerrit Hornung möchte ich besonders danken. Nicht einmal ein Rennradunfall, bei dem er sich den rechten Arm gebrochen hatte, hielt ihn von der raschen und sehr sorgfältigen Erstellung des Zweitgutachtens ab. Für seine wertvollen Anregungen und seine konstruktive Kritik bin ich ihm sehr dankbar. Ohne Frau Katharina Kuhls wäre es mir nicht gelungen, das Manuskript einzureichen. Für ihre sehr sorgfältige und hervorragende redaktionelle Durchsicht bin ich ihr zu großem Dank verpflichtet. Danken will ich auch meinen wissenschaftlichen Wegbegleitern, die mich mit Anregungen, Gesprächen und gemeinsamen Veröffentlichungen inspiriert und motiviert haben. Auch stellvertretend für viele weitere seien hier Herr Prof.  Dr. Jan Dirk Roggenkamp, Herr Alexander Seidl, Herr Florian Albrecht, Herr Dr. Bastian Braun, Frau Dr. Beatrice Lederer und Herr Thorsten Hennrich genannt.

8

Vorwort

Zuletzt und gleichzeitig allen voran danke ich ganz besonders meinen Eltern, meinem Bruder und meiner Freundin, für das stete Vertrauen, die fortwährende Unterstützung und die andauernde Ermutigung, die sie mir bei diesem Vorhaben entgegen gebracht haben. In diesem Rahmen kann ich ihnen kaum ausreichend danken. Ihnen ist diese Arbeit gewidmet. München, im Januar 2015

Michael Marc Maisch

Inhaltsübersicht A. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 I. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 II. Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 B. Rechtsrahmen des Datenschutzrechts de lege lata . . . . . . . . . . . . . . . . . . . . . . . . . 34 I. Internationaler Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 II. Nationaler Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 C. Gefährdungslagen der informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . 95 I. Untersuchungsschwerpunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 II. Weltweite Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 III. Sozialvernetzte Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 D. Schutz der informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 I. Empfehlungen zur Rechtsgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 II. Empfehlungen zum Datenschutz durch Technikgestaltung . . . . . . . . . . . . . . . . . . 314 E. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 I. Untersuchungsergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 II. Schlussbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

Inhaltsverzeichnis A. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 I. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 II. Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 B. Rechtsrahmen des Datenschutzrechts de lege lata . . . . . . . . . . . . . . . . . . . . . . . . . 34 I. Internationaler Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 1. Europäischer Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 a) Vertrag über die Arbeitsweise der Europäischen Union . . . . . . . . . . . . . . . 34 b) Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 aa) EU-Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 (1) Ziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 (2) Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 (3) Zulässigkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . 38 (4) Information und Auskunft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 (5) Vertraulichkeit und Sicherheit der Verarbeitung . . . . . . . . . . . . . . 42 (6) Datenübermittlung ins Ausland . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 (7) Safe Harbor: Datenübermittlung in die USA . . . . . . . . . . . . . . . . . 44 (8) Umsetzung der Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . 47 bb) Richtlinie zum Schutz der Privatsphäre in der elektronischen Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 (1) Ziel der Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 (2) Anwendungsbereich und Begriffsbestimmungen . . . . . . . . . . . . . . 48 (3) Cookie-Problematik der Änderungsrichtlinie 2009/136/EG . . . . . 49 2. Exkurs: US-amerikanisches Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 a) Begriff der „Privacy“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 b) Gesetzesentwurf zum Webtracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 c) Cloud Computing Act of 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 3. Befund zum internationalen Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 II. Nationaler Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 1. Informationelles Selbstbestimmungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 a) Dogmatik des Persönlichkeitsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 b) Genese der informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . 59

12

Inhaltsverzeichnis c) Schutzbereich und Dimensionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 d) Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 e) Schranken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 f) Schranken-Schranken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 2. IT-Grundrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 3. Telekommunikationsgeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 4. Materiell-rechtlicher Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 a) Bundesdatenschutzgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 aa) Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 bb) Systematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 (1) Personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 (a) Einzelangaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 (b) Bestimmtheit und Bestimmbarkeit . . . . . . . . . . . . . . . . . . . . . 71 (c) Exkurs: Aufwand der Beschaffung von Zusatzwissen aus Sozialen Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 (2) Anonymität und Pseudonymität . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 (3) Besondere Schutzwürdigkeit von Daten . . . . . . . . . . . . . . . . . . . . 79 (4) Zulässigkeit der Datenverarbeitung, § 4 BDSG . . . . . . . . . . . . . . . 80 cc) Grundsätze der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 (1) Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 (2) Zweckbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 (3) Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 (4) Kontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 (5) Betroffenenrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 dd) Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 ee) Datenschutzbeauftragter und externe Aufsicht . . . . . . . . . . . . . . . . . . 87 b) Telemediengesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 aa) Geltungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 bb) Systematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 cc) Pflichten des Diensteanbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 dd) Bestandsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 ee) Nutzungsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 5. Befund zum nationalen Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

C. Gefährdungslagen der informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . 95 I. Untersuchungsschwerpunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 II. Weltweite Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Inhaltsverzeichnis

13

1. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 2. Definition des Cloud Computings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 3. Evolution des Cloud Computings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 4. Technische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 a) Basistechnologie Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 b) Service Modelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 c) Bereitstellungsmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 5. Risiken der technischen Vernetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 a) Organisatorische Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 aa) Datenabhängigkeit (Vendor-Lock-in) . . . . . . . . . . . . . . . . . . . . . . . . . . 107 bb) Verlust der Steuerungsgewalt (Governance) . . . . . . . . . . . . . . . . . . . . . 108 cc) Leistungsstörungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 dd) Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 b) Technische Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 aa) Erschöpfung der IT-Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 bb) Verwundbarkeit der Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 (1) Angriffe auf virtuelle Maschinen . . . . . . . . . . . . . . . . . . . . . . . . . . 112 (2) Angriffe auf den Hypervisor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 cc) Sonstige Risiken der technischen Vernetzung . . . . . . . . . . . . . . . . . . . . 116 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 6. Datenschutzrechtliche Fragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 a) Vorfragen einer Migration in die Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 aa) Anwendbarkeit des deutschen Rechts . . . . . . . . . . . . . . . . . . . . . . . . . . 119 bb) Rechtsgrundlagen und Risiken: Cloud Computing als Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 (1) Konzept der Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . 121 (2) Abgrenzung von der Funktionsübertragung . . . . . . . . . . . . . . . . . 122 (3) Einordnung des Cloud Computings . . . . . . . . . . . . . . . . . . . . . . . . 123 (4) Auftragsdatenverarbeitung in Drittstaaten . . . . . . . . . . . . . . . . . . . 124 (5) Cloud-Service-Provider in sonstigen Drittstaaten . . . . . . . . . . . . . 125 (6) Die Cloud als „Black Box“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 b) Migration in die Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 aa) Sorgfältige Auswahl des Cloud-Service-Providers . . . . . . . . . . . . . . . . 127 (1) Grundzüge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 (2) Sorgfältige Auswahl bzgl. USA PATRIOT Act . . . . . . . . . . . . . . . 129 bb) Mindestanforderungen an die Auftragsdatenverarbeitung . . . . . . . . . . 130

14

Inhaltsverzeichnis (1) Schriftlicher Auftrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 (2) Gegenstand und Dauer des Auftrags . . . . . . . . . . . . . . . . . . . . . . . 131 (3) Umfang, Art und Zweck des Auftrags . . . . . . . . . . . . . . . . . . . . . . 131 (4) Berichtigung, Löschung und Sperrung . . . . . . . . . . . . . . . . . . . . . . 132 (5) Regelung von Unterauftragsverhältnissen . . . . . . . . . . . . . . . . . . . 132 (6) Kontrolle und Mitteilung von Verstößen . . . . . . . . . . . . . . . . . . . . 133 (7) Sonstige Regelungsanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . 133 cc) Datensicherheit durch technische und organisatorische Maßnahmen . 133 (1) Erfordernis der Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 (2) Datensicherheitsmaßnahmen im Kontext von Cloud Computing . 134 (3) Weitergehende Datensicherheitsmaßnahmen in der Cloud . . . . . . 138 (4) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 dd) Datenzugriff durch US-amerikanische Behörden . . . . . . . . . . . . . . . . 141 (1) Geheimdienstliche Datenerhebung . . . . . . . . . . . . . . . . . . . . . . . . . 141 (2) USA PATRIOT Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 (3) Foreign Intelligence Surveillance Act (FISA) . . . . . . . . . . . . . . . . 144 (4) National Security Letters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 (5) Reichweite von US-amerikanischen Anordnungen . . . . . . . . . . . . 146 (a) Auslegung des USA PATRIOT Acts . . . . . . . . . . . . . . . . . . . . 146 (b) Datenzugriff über Konzernverbindungen . . . . . . . . . . . . . . . . 146 (c) „Bank of Nova Scotia“-Anordnungen . . . . . . . . . . . . . . . . . . . 147 (6) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 c) Kontrolle in der Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 aa) Kontrollen in der Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 bb) Weisungen in der Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 cc) Datenlöschung und Rückgabe von Datenträgern . . . . . . . . . . . . . . . . . 150 dd) Exit-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 7. Befund zur weltweiten Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 III. Sozialvernetzte Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 1. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 2. Evolution der sozialen Vernetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 3. Begriffe und technische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 a) Begriffe und Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 aa) Social Media und Social Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 bb) Soziale Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 b) Technische Grundlagen und Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . 162 aa) Systeminfrastruktur von Facebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

Inhaltsverzeichnis

15

bb) Profil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 cc) Soziale Beziehungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 dd) Information, Kommunikation und Interaktion . . . . . . . . . . . . . . . . . . . 165 c) Erlösmodelle von Sozialen Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 4. Risiken der sozialen Vernetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 a) Ansatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 b) Organisatorische Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 aa) Anreize zum sorglosen Umgang mit Daten (Plug-and-Play-Falle) . . . 167 (1) Preisgabe von personenbezogenen Daten . . . . . . . . . . . . . . . . . . . 168 (2) Rechtswidrige Äußerungen, „Shitstorms“ und Rechtsverletzungen 170 (3) Haftung für „Facebook Partys“ . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 (4) Fremde als Freunde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 (5) Apps und Spiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 bb) Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 cc) Datenabhängigkeit (Vendor-Lock-in) . . . . . . . . . . . . . . . . . . . . . . . . . . 174 c) Technische Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 aa) „Datendiebstahl“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 bb) Verwundbarkeiten von Sozialen Netzwerken . . . . . . . . . . . . . . . . . . . . 176 (1) Angriffe auf Authentifikationsverfahren am Beispiel von OpenID 176 (2) Angriffe durch Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 5. Datenschutzrechtliche Fragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 a) Vorfragen zu Sozialen Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 aa) Anwendbarkeit des deutschen Rechts . . . . . . . . . . . . . . . . . . . . . . . . . 179 (1) Dogmatik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 (2) Anwendbares Recht bei Facebook . . . . . . . . . . . . . . . . . . . . . . . . . 181 (3) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 bb) Rechtsgrundlagen und Risiken der Datenverarbeitung in Sozialen Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 (1) Datenschutzrelevante Handlungen . . . . . . . . . . . . . . . . . . . . . . . . . 184 (2) Datenkategorien und Erlaubnistatbestände . . . . . . . . . . . . . . . . . . 185 (a) Registrierungsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 (b) Kommunikationsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 (c) Profil- und Interaktionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . 186 cc) Anonymität und Pseudonymität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 (1) Auslegung des § 13 Abs. 6 TMG . . . . . . . . . . . . . . . . . . . . . . . . . . 188 (2) Anonyme Nutzungsverträge und Nutzungsmöglichkeit . . . . . . . . 190 (3) Pseudonyme Nutzungsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 (4) Pseudonyme Nutzungsmöglichkeit . . . . . . . . . . . . . . . . . . . . . . . . 192

16

Inhaltsverzeichnis dd) Minderjährige als Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 ee) Rechtmäßiger Datenzugriff durch US-amerikanische Behörden . . . . . 196 b) Zulässigkeit der Datenverarbeitung in Sozialen Netzwerken . . . . . . . . . . . 197 aa) Selbstdarstellung und soziale Interaktion . . . . . . . . . . . . . . . . . . . . . . 197 (1) Begrenzte Selbstbestimmung bei Profilen . . . . . . . . . . . . . . . . . . . 197 (2) Nutzer als Betroffene oder verantwortliche Stellen . . . . . . . . . . . . 201 (a) Nutzungshandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 (b) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 (3) Freundefinder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 bb) Allgegenwärtige Datenverarbeitung in Sozialen Netzwerken . . . . . . . 208 (1) Like-Button . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 (a) Technische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 (b) Datenschutzrechtliche Einordnung . . . . . . . . . . . . . . . . . . . . . 211 (c) Verantwortliche Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 (d) Zulässigkeit der Einbindung des Social Plugins . . . . . . . . . . . 216 (e) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 (2) Intransparente Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . 219 (a) Ubiquitäre Erhebung und Verarbeitung . . . . . . . . . . . . . . . . . 219 (b) Gesichtserkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 (c) Apps von Dritten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 (aa) Datenschutzrechtliche Einordnung von Apps . . . . . . . . 226 (bb) Zulässigkeit der Datenweitergabe an App-Diensteanbieter 229 (cc) Weitergabe von Daten der Freunde des Nutzers . . . . . . 234 (dd) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . 236 (d) Auskunft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 c) Rechtsfragen der sozialen Entnetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 aa) Löschung von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 bb) Nutzerkonto im Gedenkzustand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 6. Befund zur sozialvernetzten Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . 242

D. Schutz der informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 I. Empfehlungen zur Rechtsgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 1. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 a) Datenschutz durch Recht und Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 b) DS-GVO-E als Prüfungsgegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 c) Fortschritt des Gesetzgebungsverfahrens . . . . . . . . . . . . . . . . . . . . . . . . . . 249 2. Weltweite Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 a) Regelung der Datenportabilität zum Schutz vor Vendor-Lock-in-Effekten

250

Inhaltsverzeichnis

17

aa) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 bb) Zivilrechtliche Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 cc) Lösungsansatz des DS-GVO-E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 dd) Hinweis zum LIBE-Entwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 ee) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 b) Vorfragen des Cloud Computings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 aa) Anwendbarkeit des Rechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 (2) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 bb) Begrenzung des Personenbezugs von Daten . . . . . . . . . . . . . . . . . . . . . 258 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 (2) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 (3) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 cc) Modernisierung der Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . 263 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 (2) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 (3) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 (a) Systematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 (b) Pflichten des Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . 264 (c) Prüfungs- und Kontrollpflichten des Verantwortlichen . . . . . . 264 (d) Datenschutz durch Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 (e) Gemeinsame Verantwortung . . . . . . . . . . . . . . . . . . . . . . . . . . 266 (f) Auftragsdatenverarbeitung in dem DS-GVO-E . . . . . . . . . . . . 266 (g) Dokumentationspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 (h) Technische und organisatorische Maßnahmen . . . . . . . . . . . . 267 (i) Data Breach Notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 (j) Datenschutz-Folgenabschätzung . . . . . . . . . . . . . . . . . . . . . . . 269 (k) Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 (l) Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 (4) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 dd) Internationale Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . 272 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 (2) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 ee) Zugriffsbefugnisse ausländischer Behörden auf die Cloud . . . . . . . . . 274 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 (2) Lösungsansatz des Entwurfs der DS-GVO(2011) . . . . . . . . . . . . . 275 (3) Zivilrechtliche Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 (4) Hinweis zum LIBE-Entwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

18

Inhaltsverzeichnis c) Migration in die Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 aa) Novellierung der „sorgfältigen Auswahl“ . . . . . . . . . . . . . . . . . . . . . . . 276 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 (2) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 (3) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 (4) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 bb) Mindestanforderungen des Outsourcings in die Cloud . . . . . . . . . . . . . 278 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 (2) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 (3) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 (4) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 cc) Kontrollen durch vertrauenswürdige Stellen . . . . . . . . . . . . . . . . . . . . 281 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 (2) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 (3) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 (4) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 d) Migration aus der Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 aa) Exit-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 bb) Löschung von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 (2) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 (3) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 3. Sozialvernetzte Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 a) Schutz vor organisatorischen und technischen Risiken (Plug-and-Play-Falle) 286 aa) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 bb) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 cc) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 dd) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 b) Vorfragen der datenschutzrechtlichen Risiken . . . . . . . . . . . . . . . . . . . . . . 293 aa) Anwendbarkeit des deutschen Rechts . . . . . . . . . . . . . . . . . . . . . . . . . . 293 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 (2) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 bb) Rechtsunsicherheit bei der Abgrenzung von Inhaltsdaten . . . . . . . . . . 293 cc) Klarstellung des § 13 Abs.  6 TMG zur anonymen oder pseudonymen Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 dd) Schutz von minderjährigen Nutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 (2) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

Inhaltsverzeichnis

19

(3) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 c) Zulässigkeit der Datenverarbeitung in Sozialen Netzwerken . . . . . . . . . . . 298 aa) Konzept der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 (2) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 (3) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 bb) Der Nutzer als verantwortliche Stelle . . . . . . . . . . . . . . . . . . . . . . . . . . 300 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 (2) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 (3) Lösung de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 d) Entnetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 aa) Daten- und Profilportabilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 (2) Lösung des DS-GVO-E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 (3) Hinweis zum LIBE-Entschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 bb) Recht auf Vergessenwerden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 (1) Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 (2) Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 (3) Lösungsansatz der DS-GVO-E . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 (4) Hinweis zum LIBE-Entwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 4. Befund zur Rechtsgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 II. Empfehlungen zum Datenschutz durch Technikgestaltung . . . . . . . . . . . . . . . . . . 314 1. Weltweite Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 a) Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 b) Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 c) Datenschutz durch Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 aa) Sicherheitsarchitektur der Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 bb) Anonymität durch Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 (1) Verschlüsselungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 (2) Anonymisierung durch homomorphe Verschlüsselung . . . . . . . . . 324 (3) Einsatzszenarien von homomorpher Verschlüsselung im Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 (4) Eigene Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 2. Sozialvernetzte Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 a) Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 b) Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 c) Datenschutz durch Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

20

Inhaltsverzeichnis aa) Sichere Authentifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 bb) Schutz vor rechtswidriger Vervielfältigung von Bildern . . . . . . . . . . . . 332 cc) Schutz vor Identitätsdiebstahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 (1) Session-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 (2) Sicherheitsfragen und Benachrichtigungen . . . . . . . . . . . . . . . . . . 334 (3) Notfallmanagement und Data Breach Notification . . . . . . . . . . . . 334 dd) Daten-Lifecycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 3. Befund zur Technikgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

E. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 I. Untersuchungsergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 1. Kapitel „B. Rechtsrahmen des Datenschutzrechts de lege lata“ . . . . . . . . . . . . 339 2. Kapitel „C. Gefährdungslagen der informationellen Selbstbestimmung“ . . . . 339 3. Kapitel „D. Schutz der informationellen Selbstbestimmung“ . . . . . . . . . . . . . 342 II. Schlussbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

Abkürzungsverzeichnis ./. gegen a. auch a. A. andere Ansicht Abb. Abbildung Abs. Absatz Association for Computing Machinery ACM Advanced Encryption Standard AES AEUV Vertrag über die Arbeitsweise der europäischen Union AG Amtsgericht AGB Allgemeine Geschäftsbedingungen AK Arbeitskreis AktG Aktiengesetz Alt. Alternative ÄndG Änderungsgesetz Anm. Anmerkung AnwBl. Anwaltsblatt API Application Programming Interface Applikation (Anwendungssoftware) App Art. Artikel ASP Application as a Service a. u. abrufbar unter Aufl. Auflage AVD Auftragsdatenverarbeitung Az. Aktenzeichen B2B Business to Business B2C Business to Consumer BayDSG Bayerisches Datenschutzgesetz BayKG Bayerisches Kostengesetz Der Bayerische Landesbeauftragte für den Datenschutz BayLBfdD BayPAG Bayerisches Polizeiaufgabengesetz BB Betriebs-Berater British Broadcasting Corporation BBC BCR Binding Corporate Rules Bd. Band BDSG Bundesdatenschutzgesetz BDSG-E Entwurf des Bundesdatenschutzgesetzes BeckEuRS Beck’sche Sammlung für europäische Rechtsprechung BeckOK Beck’scher Online-Kommentar Begr. Begründer Beschl. Beschluss BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

22

Abkürzungsverzeichnis

Bürgerliches Gesetzbuch BGB BGH Bundesgerichtshof BGHZ Entscheidungen des Bundesgerichtshofs in Zivilsachen BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. BKAG Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten Bundesrechtsanwaltskammer Mitteilungen BRAK-Mitt. BRAO Bundesrechtsanwaltsordnung BR-Drs. Bundesrat-Drucksache Bundesamt für Sicherheit in der Informationstechnik BSI bspw. beispielsweise BT-Drs. Bundestag-Drucksache BverfG Bundesverfassungsgericht BverfGE Bundesverfassungsgerichtsentscheidung Bundesverwaltungsgericht (Schweiz) BVGer bzgl. bezüglich bzw. beziehungsweise ca. circa Chaos Computer Club e. V. CCC Corporate Compliance Zeitschrift CCZ Compact Disc CD CDN Content Delivery Network Chief Information Officer CIO Cir. Circuit Corp. Corporation Central processing unit CPU CR Computer und Recht CSRF/XSRF Cross-Site-Request-Forgery-Angriff c’t Magazin für Computertechnik Zeitschrift Datenschutz Nachrichten DANA Ddos Distributed-denial-of-service-Angriff De-Mail-G De-Mail-Gesetz Data Encryption Standard DES DEST International Conference on Digital Ecosystems and Technologies das heißt d. h. DIVSI Deutsches Institut für Vertrauen und Sicherheit im Internet DÖV Die Öffentliche Verwaltung Entwurf des Datenschutz-Audit-Gesetzes DS-AuditG-E DSB Datenschutz-Berater DS-GVO-E Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) DSRL Datenschutzrichtlinie DuD Zeitschrift Datenschutz und Datensicherheit EASA The European Advertising Standards Alliance Amazon Elastic Compute Cloud EC2

Abkürzungsverzeichnis

23

Edition (dt.: Auflage) Ed. Europäischer Datenschutzbeauftragter EDPS EDV Elektronische Datenverarbeitung EFF Electronic Frontier Foundation EG Europäische Gemeinschaft EGBGB Einführungsgesetz zum Bürgerlichen Gesetzbuche Vertrag zur Gründung der Europäischen Gemeinschaft EGV Einl. Einleitung EL Ergänzungslieferung engl. Englisch European Union Agency for Network and Information Security ENISA EnWG Energiewirtschaftsgesetz Et alii/aliae/alia et al. et cetera etc. Europäische Union EU EuGH Europäischer Gerichtshof EURASIP The European Association for Signal Processing EUV Vertrag über die Europäische Union EuVV Europäischer Verfassungsvertrag Europäische Zeitschrift für Wirtschaftsrecht EuZW eingetragener Verein e. V. EVÜ Übereinkommen von Rom über das auf vertragliche Schuldverhältnisse anzuwendende Recht vom 19. Juni 1980 (Europäisches Schuldvertragsübereinkommen) Europäischer Wirtschaftsraum EWR f. folgende Frequently Asked Questions FAQ FBI Federal Bureau of Investigation ff. fortfolgend FISA Foreign Intelligence Surveillance Act Freedom of Information Act FOIA fortgef. fortgeführt FS Festschrift Federal Trade Commission FTC GCHQ Government Communications Headquarters Gesellschaft für Datenschutz und Datensicherheit e. V. GDD gem. gemäß GG Grundgesetz ggf. gegebenenfalls Graphics Interchange Format GIF GmbH Gesellschaft mit beschränkter Haftung GmbHG GmbH-Gesetz GPS Global Positioning System GRUR-Prax Gewerblicher Rechtsschutz und Urheberrecht, Praxis im Immaterialgüter- und Wettbewerbsrecht Gesetzes- und Verordnungsblatt GVBl. Gesellschafts- und Wirtschaftsrecht GWR HGB Handelsgesetzbuch

24

Abkürzungsverzeichnis

Security and Privacy in Cloud Computing, System Sciences herrschende Lehre Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit United States House of Representatives (Abkürzung für einen Gesetzesentwurf, der vom Repräsentantenhaus der Vereinigten Staaten eingebracht wurde) Hrsg. Herausgeber Hs. Halbsatz HStR Handbuch des Staatsrechts HTML Hypertext Markup Language Hypertext Transfer Protocol http (HTTP) HyperText Transfer Protocol Secure https Infrastructure as a Service IaaS The International Business Machines Corporation IBM ID Identifikationsbezeichnung Institute of Electrical and Electronics Engineers IEEE i. e. S. im engeren Sinne Inc. Incorporated IP Internet Protocol Internet Protocol Security Ipsec im Sinne des/der i. S. d. i. S. e. im Sinne eines ISO International Organization for Standardization ISPRAT Interdisziplinäre Studien zu Politik, Recht, Administration und Technologie e. V. IstR Internationales Steuerrecht im Sinne von i. S. v. IT Informationstechnologie ITRB IT-Rechtsberater IuKDG Information-und Kommunikationsdienstegesetz in Verbindung mit i. V. m. im Wesentlichen i. W. JA Juristische Ausbildung Jugend, Information, (Multi-)Media Basisstudie JIM-Studie jurisAnwZert ITR juris AnwaltZertifikatOnline IT-Recht juris Praxiskommentar jurisPK jurisPR-ITR juris Praxisreport IT-Recht JurPC Internet-Zeitschrift für Rechtsinformatik JuS Juristische Zeitschrift JZ JuristenZeitung K&R Kommunikation und Recht Kap. Kapitel KG Kammergericht KOM Kommission KUG Kunsturhebergesetz LAMP Linux-Apache-MySQL-PHP-Kombination Lfg. Lieferung LG Landgericht HICSS h. L. HmbBfD H. R.

Abkürzungsverzeichnis

25

Entwurf der Datenschutz-Grundverordnung des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres im Europäischen Parlament (Commission des libertés civiles, de la justice et des affaires intérieures; LIBE) lit. Litera Ltd. Limited Company Legal Tribune Online LTO MAC-Adresse Media-Access-Control-Adresse MarkenG Markengesetz m. a. W. mit anderen Worten Megabyte pro Sekunde MB/s MDStV Mediendienstestaatsvertrag m. E. meines Erachtens Mio. Million MultiMedia und Recht MMR MP3 Verfahren zur Kompression von Audiodaten Datenbankmanagementsystem auf der Basis der Structured Query MySQL Language (SQL) NAACP National Association for the Advancement of Colored People NISP Operating Manual NISPOM National Institute of Standards and Technology NIST NJOZ Neue Juristische Online Zeitschrift NJW Neue Juristische Wochenschrift Neue Juristische Wochenzeitschrift Rechtsprechungsreport NJW-RR No. Numero Nr. Nummer NRW Nordrhein-Westfalen NS nationalsozialistisch National Security Agency NSA NSDI National Spatial Data Infrastructure National Security Letter NSL NStZ Neue Zeitschrift für Strafrecht NVwZ Neue Zeitschrift für Verwaltungsrecht Neue Zeitschrift für Arbeitsrecht NZA o. g. oben genannt OK Online-Kommentar OLG Oberlandesgericht OVG Oberverwaltungsgericht Peer to Peer P2P PaaD Platform as a Service PC Personal Computer PDF Portable Document Format PGP Pretty Good Privacy Hypertext Preprocessor (Skriptsprache für Websites) PHP Persönliche Identifikationsnummer PIN Polizei- und Ordnungsbehördengesetz Rheinland-Pfalz POG Rhpf. Public Relations PR RDV Recht der Datenverarbeitung LIBE-Entwurf

26

Abkürzungsverzeichnis

RFID Radio-Frequency-Identification-Chip Rn. Randnummer RSA Rivest, Shamir und Adleman (Verschlüsselungsverfahren) Rspr. Rechtsprechung RStV Rundfunkstaatsvertrag s. siehe – Seite S. – Satz s. a. siehe auch SaaS Software as a Service Schweizerisches Bundesgericht Schweiz. BGer SD Solid State Sec. Section Sozialgesetzbuch Erstes Buch SGB I SiG Signaturgesetz SLA Service-Level-Agreement Slg. Sammlung sog. sogenannt SPD Sozialdemokratische Partei Deutschlands Structured Query Language SQL Secure Sockets Layer (Netzwerkprotokoll) SSL StGB Strafgesetzbuch StPO Strafprozessordnung St. Rspr. Ständige Rechtsprechung StudiVZ Studiverzeichnis Society for Worldwide Interbank Financial Telecommunication SWIFT Süddeutsche Zeitung SZ TDDSG Teledienstedatenschutzgesetz TDG Teledienstegesetz TK Telekommunikation TK-DSRL Telekommunikationsdatenschutzrichtlinie TKG Telekommunikationsgesetz TKÜ Telekommunikationsüberwachung Transport Layer Security TLS TMG Telemediengesetz unter anderem u. a. UDID Unique Device Identifier Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ULD UN United Nations URL Uniform Resource Locator Urt. Urteil US United States USA United States of America USAM United States Attorneys Manual USC United States Code (Kodifikation des Bundesrechts der Vereinigten Staaten) und so weiter usw. UWG Gesetz gegen den unlauteren Wettbewerb

Abkürzungsverzeichnis v. von v. a. vor allem VBl.BW Verwaltungsblätter Baden-Württemberg VersR Versicherungsrecht VG Verwaltungsgericht vgl. vergleiche Virtual Local Area Network VLAN virtuelle Maschine VM VMM Virtual Maschine Monitor VO Verordnung Volume (dt. Band) Vol. VPN Virtual Private Network VwGO Verwaltungsgerichtsordnung Verbraucherzentrale Bundesverband e. V. VZBV Wireless LAN, WLAN Wireless Local Area Network Working Paper WP WWW World Wide Web zum Beispiel z. B. ZD Zeitschrift für Datenschutz ZDNet ZiffNet ZIP ZIP-Dateiformat ZR Zivilrecht ZRP Zeitschrift für Rechtspolitik z. T. zum Teil Zeitschrift für Urheber- und Medienrecht ZUM

27

A. Gang der Untersuchung I. Einleitung Es gibt nur wenige Schauplätze, die für einen internationalen Spionage-Thriller besser geeignet wären als die Straßen von Kowloon, nördlich des Hongkong­ Victoria Harbour. Guy Hamilton, der Regisseur des Kinofilms „Der Mann mit dem goldenen Colt“, setzte hier in den dunklen Gassen der Halbinsel bereits 1973 Roger Moore als James Bond in Szene.1 Vierzig Jahre später, am 9.  Juni 2013, diente das Zimmer 492 des Hotels „The Mira“ eben dort als Kulisse für die größte Enthüllung über US-Geheimdienste in der Geschichte der USA. „Ich will nicht in einer Welt leben, in der alles, was ich sage, alles, was ich mache, der Name jedes Gesprächspartners, jeder Ausdruck von Kreativität, Liebe oder Freundschaft aufgezeichnet wird. Ich bin mit dem Gedanken aufgewachsen, dass jeder das Recht hat, nicht aufgrund seiner Spuren im Netz beurteilt oder analysiert zu werden. Solche Bedingungen bin ich weder bereit zu unterstützen, noch will ich unter solchen leben.“2 Mit diesen Sätzen wurde Edward Joseph Snowden, ein ehemaliger Systemadministrator der Firma „Booz Allen Hamilton“, über Nacht weltberühmt. In einem Videointerview, das in seinem Hotelzimmer in Hongkong aufgezeichnet wurde, gab er weitreichende Einblicke in die strategische Fernmeldeaufklärung der National Security Agency (NSA), die er bei seiner beruflichen Tätigkeit gewonnen hatte. Er erläuterte wie und in welchem Ausmaß US-amerikanische Nachrichtendienste weltweit die Telekommunikation und das Internet überwachen.3 Auf diese Weise wurde u. a. bekannt, dass US-Geheimdienste mit den Überwachungsprogrammen „PRISM“ und „Boundless Informant“ in der Lage sind, auf gespeicherte Daten bei Microsoft, Google, Yahoo!, Facebook, PalTalk, YouTube, Skype, AOL und Apple in Echtzeit zuzugreifen und die gesammelten Datenmengen, „Big Data“, zielgerichtet zu filtern.4 Daneben gibt es Erkenntnisse zu „Botnetzen“ und 1 Philips, The Telegraph, Beitrag v. 10.06.2013, http://www.telegraph.co.uk/news/worldnews/asia/hongkong/10110927/Edward-Snowden-Hong-Kong-hotel-hideaway-of-the-NSAwhistleblower.html. 2 Zeit.de, Beitrag v. 08.07.2013, http://www.zeit.de/politik/ausland/2013–07/snowden-motivation-interview-guardian. 3 Poitras, YouTube, Beitrag v. 09.06.2013, http://www.youtube.com/watch?v=5yB3n9fu-rM. 4 „Any analyst at any time can target anyone, any selector, anywhere. Where those communications will be picked up depends on the range of the sensor networks and the authorities that analyst is empowered with. Not all analysts have the ability to target everything. But I sitting at my desk certainly had the authorities to wiretap anyone from you or your account­

30

A. Gang der Untersuchung

„Clouds“, bspw. „XKeyScore“, die von den Sicherheitsbehörden betrieben und zur „Live-Überwachung“ des Internets genutzt werden sollen.5 Jenseits der NSA-Spionage im Internet sorgten v. a. die Enthüllungen zur Überwachung deutscher Regierungsmitglieder, wie der Abhörskandal um das Mobiltelefon der Bundeskanzlerin Dr. Angela Merkel, für Schlagzeilen, diplomatische Verwerfungen und Vertrauensverluste.6 Die Enthüllungen von Edward Snowden sind nicht nur für den politischen und gesellschaftlichen Diskurs über staatliche Überwachung und ihre Grenzen ein Glücksfall.7 Die Erkenntnisse zu PRISM, mit dem US-Behörden jährlich tausende Anfragen an US-Provider wie bspw. Microsoft und Facebook richten8, belegen den unermesslichen Wert von personenbezogenen Daten aus vernetzten Systemen. „Daten im einundzwanzigsten Jahrhundert sind Erzählungen über unsere Zukunft, die wir nicht kennen. Nicht die Daten in unserem Pass sind, wie sich mittlerweile herumgesprochen haben dürfte, die Hintertreppe in unsere Seele, sondern deren Kombination zu neuen Lebensnarrativen über unseren digitalen Doppelgänger.“9 Daten aus Netzwerken bilden nicht nur einen Erkenntnispool für strategische Aufklärungen und Ermittlungen. Auch der Wirtschaft dienen diese Informationen dazu, Risiken, Interessenlagen und Trends frühzeitig zu erkennen, um Produkte so einzelfallbezogen und individuell zu bewerben, wie möglich. Der Schutz der informationellen Selbstbestimmung bewegt sich im 21. Jahrhundert in einem Dilemma. Einerseits gilt es, dem Verlangen der datenverarbeitenden Stellen nach immer detaillierteren personenbezogenen Daten Grenzen zu setzen. Dem steht eine Trendkultur der digitalen Persönlichkeitsentfaltung gegenüber, in der die Nutzer ihre Daten weitgehend bedenkenlos in weltweit vernetzten Systemen speichern und unter intransparenten Bedingungen verarbeiten lassen. Internetnutzer im 21.  Jahrhundert sind nicht mehr bloß Konsumenten von Informationen, sondern tragen selbst dazu bei, dass Daten über die eigene Person oder über andere entstehen und in vernetzten Systemen weiterverarbeitet werden.

ant to a Federal judge to even the President if I had a personal e-mail.“ Edward Snowden, in: Poitras, YouTube, Beitrag v. 09.06.2013, http://www.youtube.com/watch?v=5yB3n9fu-rM. 5 Lischka/Stöcker, Spiegel Online, Beitrag v. 31.07.2013, http://www.spiegel.de/netzwelt/ netzpolitik/xkeyscore-wie-die-nsa-ueberwachung-funktioniert-a-914187.html. 6 Bundesregierung, Pressemitteilung Nr. 348/2013 v. 23.10.2013, http://www.bundeskanz lerin.de/Content/DE/Pressemitteilungen/BPA/2013/10/2013-10-23-merkel-handyueberwachung. html. 7 Hipp, Spiegel Online, Beitrag v. 12.07.2013, http://www.spiegel.de/netzwelt/netzpolitik/ fachmann-fuer-internetrecht-schlaegt-klagen-gegen-prism-vor-a-910619.html. 8 Demnach seien bspw. bei Facebook im zweiten Halbjahr 2012 9.000 bis 10.000 Anfragen der US-Behörden eingegangen, Spiegel Online, Beitrag v. 15.06.2013, http://www.spiegel.de/ netzwelt/netzpolitik/prism-facebook-und-microsoft-nennen-umfang-der-datenuebermittlunga-905877.html. 9 Schirrmacher, FAZ, Beitrag v. 17.06.2013, http://www.faz.net/aktuell/feuilleton/nsaskandal-der-verwettete-mensch-12223220.html.

I. Einleitung

31

Diese Arbeit geht den Fragen nach, wie der Schutz der informationellen Selbstbestimmung de lege lata ausgestaltet ist, vor welchen Herausforderungen der moderne, effektive Datenschutz in Netzwerken gestellt wird und wie sich ein angemessenes Datenschutzniveau durch legislative Vorstöße und technische Schutzmaßnahmen verbessern lässt. Netzwerke werden einmal aus technischer Sicht am Beispiel von Cloud Compu­ ting und aus funktionaler bzw. durch natürliche Personen und daher „sozialvernetzter“ Sicht am Beispiel von Sozialen Netzwerken betrachtet. Das als Cloud Computing bezeichnete Geschäftsmodell, bei dem Daten nicht mehr (nur) lokal in einem Rechnergehäuse, sondern in weltweit verteilten Rechnernetzwerken verarbeitet werden, zählt zu den tragenden Säulen der vom modernen Menschen erstrebten, ubiquitären Datenverarbeitung. Cloud Computing ist der Schlüssel, der die schnelle Verarbeitung großer Datenmengen, z. B. für Datensynchronisation, Navigationsdienste, Sprach- und Musikerkennung, Bildbearbeitung, z. T. auch Computerspiele oder andere Anwendungen ermöglicht. Viele Formen der funktionalen Vernetzung in Sozialen Netzwerken wären daher ohne die technische Vernetzung i. S. v. Cloud Computing nicht oder zumindest nicht ohne PerformanceEinbußen denkbar. Soll ein Programm, eine sog. App, z. B. dabei helfen, den Musiktitel zu einer Melodie zu finden, Sprachbefehle auszuführen oder bei der Datenbrille Google Glass das Gesichtsportrait des Gegenübers einem bestimmten Profil in einem Sozialen Netzwerk zuzuordnen, dann fallen gewaltige Datenmengen und Prozesse an, die nicht (mehr) auf dem Endgerät, sondern in Serveranlagen des jeweiligen Diensteanbieters verarbeitet werden können. Dazu werden die personenbezogenen und sachbezogenen Daten online an die verantwortliche Stelle übermittelt, ver­arbeitet und das Ergebnis an den Nutzer ausgegeben. Bei der Verarbeitung personenbezogener Daten in der Cloud bleibt dem Nutzer als Betroffenen ein Blick hinter die Kulissen verwehrt. Wer verarbeitet welche Daten an welchem Standort? Welche Daten werden an Unterauftragnehmer weitergegeben? Können ausländische Sicherheitsbehörden Zugriff nehmen? Welchen Risiken sind personenbezogene Daten in der Cloud ausgesetzt? Welche technischen und organisatorischen Schutzmaßnahmen werden ergriffen? Wie werden Datenspuren beseitigt? Wer ist verantwortlich? Diese Fragen stellen sich auch bei Sozialen Netzwerken. Es handelt sich dabei um Webanwendungen, die registrierten Nutzern eine virtuelle Bühne zur Selbstdarstellung (bzw. -inszenierung) und zur Aufnahme und Pflege von digitalen sozialen Kontakten zur Verfügung stellen. Anhand von Sozialen Netzwerken werden die funktionalen Effekte der Vernetzung, bspw. die Verknüpfung von Nutzerprofilen, die Preisgabe von personenbezogenen Daten und die Verantwortlichkeit der Stelle und der Nutzer, untersucht. Auch hier wird der Frage nachgegangen, ob der Schutz der informationellen Selbstbestimmung in Sozialen Netzwerken in hinreichender Weise gewährleistet ist.

32

A. Gang der Untersuchung

II. Untersuchung Diese Arbeit untersucht die informationstechnisch geprägten Herausforderungen für die Gewährleistung der informationellen Selbstbestimmung des Einzelnen in vernetzten Systemen. Dem Kapitel „B.  Rechtsrahmen des Datenschutzrechts de lege lata“ liegt die Frage zugrunde, wie der Einzelne nach geltendem Recht in der Ausübung seiner informationellen Selbstbestimmung geschützt ist. Dazu werden die europäischen und deutschen Rechtsgrundlagen des Datenschutzrechts beleuchtet. In einem kurzen Exkurs wird auf die US-amerikanische Rechtslage eingegangen. In dem Kapitel „C. Gefährdungslagen der informationellen Selbstbestimmung“ werden die wechselbezüglichen Wirkungen der Netzwerke auf die informationelle Selbstbestimmung betrachtet. Zunächst werden mit „Cloud Computing“ und „Sozialen Netzwerken“ zwei Untersuchungsgegenstände aus dem Themenfeld der vernetzten Datenverarbeitung eingegrenzt. Am Beispiel von Cloud Computing werden Netzwerke mit dem Fokus auf technische und infrastrukturelle Zusammenhänge (hier: „Weltweite Datenverarbeitung“) dargestellt. Soziale Netzwerke bilden dagegen ein Beispiel für anwendungsbezogene Netzwerke (hier: „Sozialvernetzte Datenverarbeitung“). Nach jeweils technologischen, ökonomischen und terminologischen Grundlagen werden bei beiden Untersuchungsgegenständen Gefährdungslagen für die informationelle Selbstbestimmung herausgearbeitet. Zunächst werden dazu die aus der Informatik bekannten technischen und organisatorischen Gefahren aufgezeigt, die die Datensicherheit und damit den Datenschutz beeinträchtigen. Der Schwerpunkt der Darstellung gilt der rechtlichen Zulässigkeit ausgewählter Dienste und datenschutzrechtlich relevanter Handlungen innerhalb oder im Kontext der Untersuchungsgegenstände. Dabei wird von der These ausgegangen, dass das geltende Recht keinen hinreichenden Schutz der informationellen Selbstbestimmung bietet, ohne dass der Betroffene gezwungen ist, im Einzelfall auf die Nutzbarkeit bestimmter Dienste zu verzichten. Die Befunde des Kapitels C. zu den Gefährdungslagen de lege lata werden im Kapitel „D.  Schutz der informationellen Selbstbestimmung“ Empfehlungen zur Steigerung des Datenschutzniveaus durch Gesetzgebung und durch Technikgestaltung zugeführt. Die rechtlichen Empfehlungen konzentrieren sich auf legislative Verbesserungsvorschläge. Der sich gegenwärtig im Reformprozess und in der rechtswissenschaftlichen Diskussion befindliche Vorschlag zur EU-DatenschutzGrundverordnung (DS-GVO-E) findet dabei maßgebliche Berücksichtigung.10 Dem Kapitel D. liegt die These zugrunde, dass ein effektiver Datenschutz, der die Nutzung neuer Technologien unter einem angemessenen Schutz der informationel 10 Zur Berücksichtigung der verschiedenen Entwurfsfassungen zur EU-Datenschutz-Grundverordnung s. unten, S. 248.

II. Untersuchung

33

len Selbstbestimmung bietet, nicht ohne die Anpassung und die Modernisierung der Gesetze möglich ist. Ein effektiver Datenschutz kann nur mit, nicht gegen Technologien verwirklicht werden. Dazu werden im zweiten Teil des Kapitels D. technische Schutzmaßnahmen am Beispiel der Untersuchungsgegenstände dargestellt, die präventiven Rechtsschutz nach dem Prinzip „Datenschutz durch Technik“ ermöglichen. Am Ende des Kapitels werden die Gesamtergebnisse dieser Arbeit zusammengefasst.

B. Rechtsrahmen des Datenschutzrechts de lege lata Technologien, die die menschlichen Sinne erweitern, das Gedächtnis stärken, von Arbeit und alltäglichen Aufgaben befreien, die körperliche Integrität schützen und die Sicherheit erhöhen – nichts Geringeres als die Erfüllung dieser Menschheitsträume verspricht die allgegenwärtige Datenverarbeitung.1 Bevor die Gefährdungslagen der Vernetzung analysiert werden, ist es erforderlich, die internationalen und nationalen Rechtsgrundlagen zum Schutz des Individuums zu skizzieren. Dabei wird insbesondere auf die Grundprinzipien des Datenschutzrechts eingegangen, die für internetbasierte Technologien und Anwendungen eine besondere Rolle spielen.

I. Internationaler Rechtsrahmen 1. Europäischer Rechtsrahmen a) Vertrag über die Arbeitsweise der Europäischen Union Der EG-Vertrag bildete bis zum 30.11.2009 die bedeutsamste Rechtsquelle des europäischen Gemeinschaftsrechts.2 Der Vertrag zählte neben dem Vertrag zur Europäischen Union (EU-Vertrag) zu den Gründungsverträgen. Nach dem Scheitern des Europäischen Verfassungsvertrags (EuVV), in dem beide Verträge aufgehen sollten, wurde der EG-Vertrag mit der Ratifikation und dem Inkrafttreten des Vertrags von Lissabon am 01.12.2009 in den Vertrag über die Arbeitsweise der Europäischen Union (AEUV oder AEU-Vertrag) umbenannt.3 Der europäische Datenschutz ist in Art. 16 AEUV (ehemals Art. 286 EGV) verankert. Jede Person hat gem. Art. 16 Abs. 1 AEUV das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Im zweiten Absatz verpflichtet sich die Europäische Gemeinschaft, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ihre Organe, Einrichtungen und sonstigen Stellen sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr zu erlassen. Die Einhaltung dieser Verpflichtung wird gem.

1

Roßnagel, in: Roßnagel/Sommerlatte/Winand, Digitale Visionen, S. 123. Oberrath, Öffentliches Recht, S. 103. 3 Vgl. v. Danwitz, in: Dauses, EU-Wirtschaftsrecht, B. II., Rn. 16. 2

I. Internationaler Rechtsrahmen

35

Art. 16 Abs. 2 S. 2 AEUV von unabhängigen Behörden bzw. vom Europäischen Datenschutzbeauftragten gem. EG-Verordnung 45/2001 überwacht. Die Grundrechtecharta trägt dem Umstand Rechnung, dass der Schutz personenbezogener Daten als Teilbereich des Schutzes des Privatlebens in der Informationsgesellschaft an Bedeutung gewonnen hat.4 Mit Art. 8 GRC wurde ein eigenes Grundrecht geschaffen, das im ersten Absatz jeder Person das Recht auf Schutz der sie betreffenden Daten einräumt.5 Diese Daten dürfen gem. Art.  8 Abs. 2 GRC nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten, legitimierten Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Der dritte Absatz des Grundrechts legt fest, dass die Einhaltung dieser Vorschriften von einer unabhängigen Stelle überwacht wird. Mit dem Vertrag von Lissabon wurde der ursprünglich bloß politischen Erklärung6 der Charta der Grundrechte nunmehr Rechtsverbindlichkeit zuerkannt.7 b) Richtlinien Richtlinien zählen gem. Art. 288 Abs. 3 AEUV zu den Rechtsakten der Europäischen Union. Richtlinien sind an die Mitgliedstaaten gerichtet und verpflichten diese, ein darin festgelegtes Ziel im nationalen Recht umzusetzen. Bei der Umsetzung einer Richtlinie bleibt dem Gesetzgeber eines Mitgliedstaats die Wahl der Form und der Mittel überlassen.8 Ausnahmsweise kann einer Richtlinie auch unmittelbare Wirkung zukommen.9 Der EuGH hat eine Direktwirkung angenommen, wenn eine Richtlinie unzureichend oder verspätet umgesetzt wird, die Richtlinie inhaltlich unbedingt ist und die Richtlinie inhaltlich hinreichend bestimmt ist.10 Die Richtlinie ist unbedingt, wenn sie eine Verpflichtung festlegt, die unmittelbar umsetzbar ist.11 Soweit eine Verpflichtung durch die Richtlinie eindeutig festgelegt wird, ist sie hinreichend bestimmt.12

4

Jarass, Charta EU-Grundrechte, Art. 8, Rn. 2. Jarass, Charta EU-Grundrechte, Art. 8, Rn. 2. 6 Bei der Proklamation wurde der rechtliche Status der Grundrechtecharta bewusst offen gelassen, ausführlich vgl. Schwarze, EuZW 2001, 517 (517). Dennoch hat die Grundrechte­ charta vereinzelt, etwa in Schlussanträgen von Generalanwälten am EuGH, Erwähnung gefunden, bspw. in den Schlussanträgen des Generalanwalts Léger, 10.07.2001, C-C035/99, BeckEuRS 2001, 353913. 7 Ausführlich dazu Simitis, in: Simitis, BDSG, Einl., Rn. 247 ff. 8 v. Danwitz, in: Dauses, EU-Wirtschaftsrecht, B. II., Rn. 37–43. 9 v. Danwitz, in: Dauses, EU-Wirtschaftsrecht, B. II., Rn. 45. 10 EuGH, Slg. 1982, 53. 11 EuGH, Slg. 1982, 53. 12 EuGH, Slg. 1982, 53. 5

36

B. Rechtsrahmen des Datenschutzrechts de lege lata

aa) EU-Datenschutzrichtlinie (1) Ziele Die EU-Datenschutzrichtlinie (DSRL) wurde im Jahr 1995 zum Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten erlassen.13 Der Richtliniengeber bezweckte damit die (Voll-)Harmo­ nisierung14 des europäischen Datenschutzrechts zum Schutz des Einzelnen und zur Stärkung des Binnenmarktes bei grenzüberschreitendem Datenverkehr.15 Ob die Vorgaben der DSRL als eine sog. Mindest- oder Höchstharmonisierung zu bewerten sind, wird unterschiedlich beurteilt. Es geht um die Frage, ob ein nationaler Gesetzgeber ein höheres Schutzniveau anstreben kann und die DSRL lediglich einen Mindeststandard gewährleisten soll oder ob die Richtlinie die datenschutzrechtliche Höchstgrenze definiert.16 Nach dem Willen des Richtliniengebers haben die Mitgliedstaaten ihre Rechtsvorschriften an das Schutzniveau der Richtlinie anzugleichen und eine Verbesserung des gegenwärtig durch ihre Vorschriften erzielten Schutzes anzustreben.17 Auf diesem Wege soll in der Gemeinschaft ein hohes Schutzniveau sichergestellt werden.18 (2) Anwendungsbereich Der Anwendungsbereich ist gem. Art. 3 Abs. 1 DSRL nur eröffnet, soweit personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden.19 Gem. Art. 3 Abs. 2 erster Spiegelstrich DSRL ist die Datenverarbeitung außerhalb des Anwendungsbereichs des Gemeinschaftsrechts, soweit die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates20 und die Tätigkeiten des Staates im strafrechtlichen Bereich betroffen sind, ausdrücklich ausgeschlossen.21 Ausgenommen ist ferner die Datenverarbeitung zu privaten Zwecken. Gem. Art. 3 Abs. 2 zweiter Spiegelstrich DSRL muss es sich um eine Datenverarbeitung 13 EU-Datenschutzrichtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSRL), ABl. L 281/31, S. 31–50. 14 Nach der Rechtsprechung des EuGH hat die DSRL die Vollharmonisierung zum Ziel, EuGH, Urt. v. 06.11.2003 – C-101/01; EuGH, Urt. v. 24.11.2011 – C-468/10. 15 Unterschiedliche Schutzniveaus innerhalb der EU können ein Hemmnis für die öffentliche und nicht öffentliche Datenübermittlung bilden, vgl. Erwägungsgrund Nr. 3, 7, 8 DSRL. 16 Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 58; vertiefend Ehmann/Helfrich, EG-Datenschutzrichtlinie, Einl., Rn. 12. 17 DSRL, Erwägungsgrund Nr. 9, 10. 18 DSRL, Erwägungsgrund Nr. 10. 19 Nicht automatisiert verarbeitete personenbezogene Daten sind nur insoweit erfasst, als sie in einer Datei gespeichert sind oder gespeichert werden sollen. 20 Dazu zählt auch das wirtschaftliche Wohl des Staates, wenn die Verarbeitung die Sicherheit des Staates berührt. 21 Kritisch dazu Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 59.

I. Internationaler Rechtsrahmen

37

handeln, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird. Dieser Ausnahme kommt richtungsweisende Bedeutung bei der funktionalen Vernetzung zu. In Fällen, in denen ein Nutzer nicht nur eigene, sondern auch fremde personenbezogene Daten verarbeitet, stellt sich die Frage nach den Grenzen dieser Ausnahme. Dies gilt insbesondere dann, wenn personenbezogene Daten Dritter weitergegeben oder (im Internet) zum Abruf bereitgehalten werden. Der Ausnahmetatbestand geht auf die Bestrebungen des Richtliniengebers zurück, den Einzelnen bei Datenverarbeitungsvorgängen zu ausschließlich privaten Zwecken vom Pflichtenkreis des Datenschutzrechts auszunehmen. Es wurde angenommen, dass die private Datenverarbeitung, z. B. die Führung von Adressbüchern, keine Risiken für die Privatsphäre der betroffenen Personen zur Folge hat.22 Für die elektronische Datenverarbeitung, insbesondere unter Berücksichtigung des Leistungsumfangs moderner IT-Systeme, gilt diese Risikobewertung nur bedingt. Mancher Verarbeitungsvorgang, der die Privatsphäre Dritter beeinträchtigen könnte, ist auf diese Weise dem Anwendungsbereich der Richtlinie entzogen.23 Der Ausnahmetatbestand wird daher restriktiv ausgelegt.24 Persönliche und familiäre Tätigkeiten finden in einem Aktionsradius statt, in dem sich Personen befinden, die an der persönlichen Lebensführung des Handelnden teilnehmen.25 Dieser Freiraum wird verlassen, wenn personenbezogene Daten allgemein zugänglich im Internet zum Abruf bereitgehalten werden. Dazu nahm der EuGH anlässlich eines Vorabentscheidungsverfahrens eines schwedischen Berufungsgerichts Stellung. In erster Instanz wurde eine schwedische Angeklagte wegen Verstoßes gegen das schwedische Datenschutzgesetz zur Zahlung eines Bußgelds verurteilt. Das Berufungsgericht Göta hovrätt bezweifelte, ob die DSRL in diesem Fall zur Anwendung kommt und legte dem EuGH Fragen u. a. zur Auslegung des Art. 3 DSRL vor. Im Kern ging es um die Frage, ob die Veröffentlichung von personenbezogenen Daten Dritter auf einer Website26 durch eine ehrenamtlich für eine kirchliche Gemeinde tätige Person dem Ausnahmetatbestand unterfällt. Auf der Website wurden die Tätigkeiten, Freizeitbeschäftigungen, Familienverhältnisse, Adressdaten und Informationen über den Gesundheitszustand anderer Gemeindemitglieder ohne deren Einwilligung allgemein zugänglich preisgegeben.27 Der EuGH stellte zunächst fest, dass die DSRL aufgrund der ganz oder teilweise automatisierten Verarbeitung von personenbezogenen Daten im Rahmen der Web 22

Brühann, in: Grabitz/Hilf, Das Recht der Europäischen Union, Art. 3, Rn. 13. Vgl. Gola/Schomerus, BDSG, § 27, Rn. 11. 24 Dammann, in: Simitis, BDSG, § 1, Rn. 148. 25 Vgl. Dammann, in: Simitis, BDSG, § 1, Rn. 149. 26 Der Begriff „Website“ steht hier für ein Internetportal in seiner Gesamtheit, das aus einzelnen Internetseiten („Webseiten“) besteht. 27 EuGH, Urt. v. 06.11.2003 – C-101/01, Roßnagel, MMR 2004, 95 (95). 23

38

B. Rechtsrahmen des Datenschutzrechts de lege lata

site zur Anwendung kommt. Vor dem Hintergrund von Erwägungsgrund 12 der DSRL legte der EuGH die in Art. 3 Abs. 2 zweiter Spiegelstrich DSRL enthaltene Ausnahme zu privaten Tätigkeiten so aus, dass mit ihr nur solche Tätigkeiten gemeint sind, die zum Privat- oder Familienleben von Einzelpersonen gehören. Bei der Veröffentlichung solcher Daten im Internet werden diese einer unbegrenzten Anzahl von Personen zugänglich gemacht. Der EuGH hat erkannt, dass die unberechtigte öffentliche Preisgabe personenbezogener Daten Dritter eine Gefährdung für die Privatsphäre der betroffenen Personen darstellt. Diese Datenverarbeitung geht über den von Art. 3 Abs. 2 zweiter Spiegelstrich DSRL eingeräumten Freiraum hinaus. Wer im Internet personenbezogene Daten Dritter zum Abruf bereitstellt, kann sich nicht auf die Ausnahmebestimmung des Art. 3 Abs. 2 zweiter Spiegelstrich DSRL berufen.28 Es kommt nicht allein darauf an, wer über welche Personen zu welchen Zwecken personenbezogene Daten veröffentlicht, sondern es ist auch von Bedeutung welches Mittel dazu mit welchen Auswirkungen für die Privatsphäre Dritter genutzt wird. Die Preisgabe von personenbezogenen Daten Dritter im Internet bedarf daher auch dann einer gesetzlichen Legitimationsgrundlage oder einer Einwilligung des Betroffenen, wenn diese zu privaten Zwecken erfolgt.29 Der Aktionskreis, in dem der Handelnde personenbezogene Daten Dritter zu privaten Zwecken verarbeiten darf, ohne der DSRL zu unterliegen, ist eingeschränkt, sobald Daten allgemein zugänglich in vernetzten Systemen gespeichert werden. Abgrenzungsfragen stellen sich insbesondere in Sozialen Netzwerken. (3) Zulässigkeit der Datenverarbeitung Art. 2 DSRL enthält die zentralen Begriffsbestimmungen der Richtlinie. Ausführlich werden „personenbezogene Daten“ als alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“) definiert. Nach der Richtlinie wird eine Person als bestimmbar definiert, wenn es gelingt, sie direkt oder indirekt zu identifizieren. Anhand von Beispielen wie die Zuordnung von „Kennnummern“ oder Merkmalen, die „Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ sind, wird diese Abgrenzung veranschaulicht. Die Richtlinie legt die Voraussetzungen der rechtmäßigen Datenverarbeitung fest.30 Eine zentrale Vorschrift ist Art. 6 Abs. 1 lit. b DSRL, die nicht nur Qua-

28

Roßnagel, MMR 2004, 95 (99). Albrecht/Maisch, LTO, Beitrag v. 05.07.2011, a. u. http://www.lto.de/recht/hintergruende/ h/datenschutz-in-sozialen-netzwerken-wenn-das-leben-der-anderen-tabu-ist/. 30 Die konkrete Ausgestaltung ist zwar nach Maßgabe des Art.  5 DSRL dem nationalen Gesetzgeber überlassen, wobei jedoch nur ein geringer Umsetzungsspielraum verbleibt, Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6, Rn. 6. 29

I. Internationaler Rechtsrahmen

39

litätsgrundsätze der Datenverarbeitung bestimmt, sondern auch den Verantwortlichen zu deren Einhaltung verpflichtet. Die Richtlinie sieht in der Vorschrift u. a. eine strenge Zweckbindung für die Erhebung und Verarbeitung von Daten vor.31 Personenbezogene Daten dürfen daher nur für eindeutig festgelegte und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Festlegung der Zwecke ist die Grundvoraussetzung, um personenbezogene Daten zu erheben.32 Der Bestimmtheitsgrundsatz verlangt dabei, dass dem Betroffenen die Verarbeitungszwecke klar zu erkennen gegeben werden.33 Eine spätere Änderung der Zweckbestimmung wird von der Richtlinie nicht ausgeschlossen und ist zulässig, sofern sie mit der ursprünglichen Zweckbestimmung vereinbar ist.34 Mit dem Grundsatz der Erheblichkeit der Datenverarbeitung für die festgelegten Zwecke und des Verbots des Erhebungsexzesses soll gem. Art. 6 Abs. 1 lit. c DSRL die Datenverarbeitung begrenzt werden. Datenerfassung und -verarbeitung auf Vorrat35 im Hinblick darauf, dass die Daten möglicherweise für den verfolgten Zweck erheblich werden könnten, sind unzulässig.36 Eine Vorratsbeschaffung ist hingegen zulässig, wenn diese bei der Zweckbestimmung für den Betroffenen klar festgelegt wurde.37 Ferner beschränkt die Richtlinie die Speicherdauer von personenbezogenen Daten. Gem. Art.  6 Abs.  1 lit.  d DSRL müssen personenbezogene Daten sachlich richtig sein und, wenn nötig, auf den neuesten Stand gebracht werden. Dabei sind alle angemessenen Maßnahmen zu treffen und nicht zutreffende oder unvollständige Daten zu löschen oder zu berichtigen. Ob die verantwortliche Stelle auf eigene Veranlassung Maßnahmen zur Aktualisierung der Daten ergreifen soll, bspw. eine Nacherhebung, die eine Verifikation der Daten beim Betroffenen zur Folge hätte, lässt die Richtlinie offen.38 Der Personenbezug von Daten darf gem. Art. 6 Abs. 1 lit. e DSRL nicht länger aufrechtgehalten werden, als dies für die Verwirklichung der Zwecke erforderlich ist. 31

Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6, Rn. 6. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6, Rn. 7. 33 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6, Rn. 8. 34 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6, Rn. 10. 35 Das datenschutzrechtliche Verbot der Datenspeicherung auf Vorrat ist nicht mit der Vorratsdatenspeicherung i. S. d. Vorratsdatenspeicherungsrichtlinie 2006/24/EG zu verwechseln. Diese Richtlinie verpflichtet die Mitgliedstaaten zur Schaffung von Vorschriften zur einheitlichen und verdachtsunabhängigen Speicherung von Kommunikationsdaten auf Vorrat. Auf diese Daten soll im Einzelfall zum Zweck der Ermittlung, Feststellung und Verfolgung schwerer Straftaten zugegriffen werden können. Die dazu umgesetzten Vorschriften der §§ 113a und 113b TKG hat das BVerfG für verfassungswidrig beurteilt und als nichtig verworfen (BVerfG, NJW 2010, 833). Derzeit fehlt es an einer entsprechenden Umsetzungsregelung der Vorrats­ datenspeicherungsrichtlinie. 36 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6, Rn. 20. 37 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6, Rn. 20. 38 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6, Rn. 27. 32

40

B. Rechtsrahmen des Datenschutzrechts de lege lata

In Art. 7 DSRL sind die Erlaubnistatbestände für die rechtmäßige Verarbeitung personenbezogener Daten festgelegt. Diese Tatbestände sind abschließend geregelt. Nationalen Gesetzgebern verbleibt nur gem. Art. 5 DSRL ein Umsetzungsspielraum bei Maßnahmen, die diese Grundsätze näher bestimmen, nicht jedoch deren Tragweite verändern.39 Die nationale Regelung zusätzlicher Voraussetzungen, die zu einer Einschränkung des Art. 7 DSRL führt, ist gemeinschaftsrechtlich unzulässig.40 Die Legitimation durch die Einwilligung des Betroffenen bildet den ersten Erlaubnistatbestand. Der Richtliniengeber hat die Anforderungen, die an eine wirksame Einwilligung zu stellen sind, nur rudimentär bestimmt. Es kommt darauf an, dass der Betroffene „ohne jeden Zweifel“ seine Einwilligung abzugeben hat. Aus dieser Formulierung wird geschlossen, dass die Einwilligung in Schriftform zu erklären ist, um jeden Zweifel auszuräumen.41 Eine abweichende Form ist nur zugelassen, soweit diese aufgrund besonderer Umstände angemessen ist. Für den Richtliniengeber ist jedoch nicht die Einhaltung einer Form entscheidend, sondern, dass die Einwilligung vom Betroffenen zweifelsfrei abgegeben wurde.42 Nach der Richtlinie wäre daher auch eine elektronische Einwilligung ohne Einhaltung einer Form, bspw. der elektronischen Form i. S. v. § 126a BGB, zulässig. Im Wege eines Dialogsystems43 könnte der Nutzer über den Umfang und die Zwecke der Datenverarbeitung anhand von Beispielen oder konkreten Angaben, aufgeklärt werden. Eine zweifelsfreie Einwilligung erfordert dabei nicht nur die zweifelsfreie Identifizierung des Betroffenen sondern auch die Wahlfreiheit zwischen verschiedenen Datenverarbeitungsoptionen. Eine konkludente Einwilligung ist, obwohl vom Richtliniengeber nicht explizit ausgeschlossen44, nicht ausreichend.45 Besondere Zulässigkeitsvoraussetzungen bestimmt Art. 8 DSRL für besonders schutzwürdige personenbezogene Daten.46 Eine Verarbeitung ist bspw. dann zulässig, wenn der Betroffene ausdrücklich darin eingewilligt hat, es sei denn, das 39

EuGH, Urt. v. 24.11.2011- verb. C-468/10 und C-469/10, ZD 2012, 33 (34), Rn. 35. Vgl. EuGH, Urt. v. 24.11.2011- verb. C-468/10 und C-469/10, ZD 2012, 33 (34), Rn. 36. 41 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 7, Rn. 8. 42 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 7, Rn. 8. 43 Vgl. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 7, Rn. 9. 44 Nach Helfrich müsse in Anbetracht der Entstehungsgeschichte der Richtlinie der konkludenten Einwilligung eine klare Absage erteilt werden, in: Hoeren/Sieber, Multimedia-Recht, Teil 16.1, Rn. 60 ff. 45 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art.  7, Rn.  14; s.  a. Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, BDSG, § 4a, Rn. 11. 46 Darin wird die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben grundsätzlich untersagt. 40

I. Internationaler Rechtsrahmen

41

grundsätzliche Verarbeitungsverbot nach Art. 8 Abs. 1 DSRL kann durch die Einwilligung des Betroffenen nicht aufgehoben werden. (4) Information und Auskunft Informationspflichten der verantwortlichen Stelle sind in Art.  10, 11, 12 und 14 DSRL geregelt. Die Richtlinie unterscheidet bei der Unterrichtung des Betroffenen seitens des Verantwortlichen zwei Fallgruppen. Die Unterrichtungspflicht gem. Art. 10 DSRL erfasst den Fall, in dem personenbezogene Daten direkt beim Betroffenen erhoben werden, während Art. 11 DSRL auf Fälle gerichtet ist, in denen die Daten nicht beim Betroffenen selbst erhoben werden. Die DSRL, die im Rahmen von Art.  10 DSRL keinen Umsetzungsspielraum lässt, ist dazu konzipiert, Voraussetzungen für einen effektiven Rechtsschutz zu schaffen.47 Art. 11 DSRL schützt den Betroffenen vor einem Informationsdefizit, das durch eine Erhebung von Daten zu seiner Person ohne sein Wissen entstehen kann. Der Verantwortliche ist verpflichtet, den Betroffenen in gleichem Umfang wie von Art. 10 DSRL vorgesehen zu unterrichten. Im Unterschied zu Art. 10 DSRL enthält Art. 11 Abs. 1 S. 1 DSRL eine Pflicht des Verantwortlichen zur Unterrichtung bei Beginn der Speicherung der Daten. Gleiches gilt, wenn eine Weitergabe der Daten an Dritte beabsichtigt ist oder spätestens dann, wenn die erste Übermittlung vorgenommen wird. Das Auskunftsrecht des Betroffenen ist in Art. 12 DSRL geregelt. Dem Betroffenen wird die freie Ausübung des Auskunftsrechts in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten eingeräumt. Der Betroffene erhält eine Bestätigung über die Vornahme von Datenverarbeitungen und der Zwecke, Kategorien, Gegenstände und Empfänger. Die Mitteilung der Auskunft muss in „verständlicher Form“ erfolgen und zudem Auskunft über den logischen Aufbau der automatisierten Verarbeitung enthalten. Auf diese Weise macht die Auskunft die Datenverarbeitung der Stelle transparent. Weitere Betroffenenrechte räumen dem Einzelnen die Möglichkeit ein, selbst auf die Datenverarbeitung einzuwirken.48

47

Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 10, Rn. 5. Dazu kann der Betroffene das Recht auf Berichtigung, Löschung oder Sperrung von Daten und das Recht auf eine Bestätigung der durchzuführenden Maßnahmen gem. Art. 12 lit. b DSRL geltend machen. Grenzen des Auskunftsrechts, z. B. zur Wahrung von Berufsgeheimnissen, sind in Art. 13 DSRL vorgesehen. Der Widerspruch gegen die Datenverarbeitung ist in Art. 14 DSRL verankert. 48

42

B. Rechtsrahmen des Datenschutzrechts de lege lata

(5) Vertraulichkeit und Sicherheit der Verarbeitung Der Richtliniengeber hat erkannt, dass die Effektivität des Datenschutzes nicht nur durch die Einhaltung rechtlicher Vorschriften erzielt werden kann, sondern von der Erfüllung technischer Anforderungen an die Datensicherheit abhängig ist. Daher wurden Grundsätze zur Vertraulichkeit und Sicherheit der Datenverarbeitung in Art. 16 und 17 DSRL verankert. Art.  16 DSRL statuiert zunächst das Weisungsrecht der verantwortlichen Stelle, welches die Beschäftigten der Stelle oder des Auftragsverarbeiters49 umfasst, die mit personenbezogenen Daten arbeiten oder dazu Zugang haben. Mit dieser Vorschrift normiert die Richtlinie nicht eine Verpflichtung zur Wahrung des Daten­geheimnisses, sondern eine allgemeine Gehorsamspflicht gegenüber der verantwortlichen Stelle. Diese Pflicht beinhaltet die Einhaltung des Daten­ geheimnisses.50 Art. 17 DSRL regelt die Anforderungen an die technische und organisatorische Datensicherheit und die Grundzüge der Auftragsdatenverarbeitung. Der nationale Gesetzgeber hat vorzusehen, dass der Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen treffen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. Der Schutz gegen den unberechtigten Zugang sei insbesondere dann zu gewährleisten, wenn Daten in einem Netz übertragen werden, wie die Richtlinie in Art. 17 Abs. 1 S. 1 DSRL beispielhaft erklärt.51 Dass nicht nur die elektronische Datenverarbeitung per se, sondern insbesondere die Vernetzung eine Gefährdung für den Schutz der Persönlichkeitsentfaltung bedeuten kann, hat der Richtliniengeber bereits zu einer Zeit erkannt, in der sich der kommerzielle Erfolg noch nicht abgezeichnet hat. Die einmalige Festlegung von technischen Schutzmaßnahmen hat der Richtliniengeber nicht für ausreichend gehalten. Vielmehr müssen Maßnahmen stets gem. Art. 17 Abs. 1 S. 2 DSRL dem Stand der Technik entsprechen. Zudem müssen die Maßnahmen darauf abzielen, ein Schutzniveau zu gewährleisten, das im Hinblick auf die Kosten der Absicherung, die von der Verarbeitung ausgehenden Risiken und die Art der zu schützenden Daten angemessen ist. Bei der Abwägung kommt es daher nicht nur auf die Art der zu schützenden Daten, sondern auch auf

49 Nach den Begriffsbestimmungen der DSRL und dem Vorschlag zur Datenschutz-Grundverordnung (DS-GVO-E) wird eine Stelle, die für eine andere Stelle Daten im Auftrag verarbeitet als „Auftragsverarbeiter“ bezeichnet. Der „Auftragsverarbeiter“ wird im BDSG als „Auftragsdatenverarbeiter“ bezeichnet. 50 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 16, Rn. 3. 51 Vgl. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 17, Rn. 4.

I. Internationaler Rechtsrahmen

43

das Risikopotenzial der Datenverarbeitung für den Betroffenen an.52 In der DSRL wird auf eine Anlage bzw. einen Katalog von präzisen Maßnahmen und Kontrollen verzichtet.53 Ob die Kosten bei der Prüfung der Angemessenheit von Schutzmaßnahmen zu berücksichtigen sind, war zeitweise umstritten.54 Der ursprüngliche EU-Kommissionsvorschlag hatte die Kosten der Schutzmaßnahmen als Prüfungskriterium einbezogen. Diesem Vorschlag wurde entgegengehalten, dass der Einsatz von technischen Schutzmaßnahmen im Verhältnis zu den potenziellen Risiken nicht (allein) unter finanziellen Gesichtspunkten beurteilt werden dürfe.55 Dieser Kritik wurde mit einem geänderten EU-Kommissionsvorschlag Rechnung getragen. Bei der Angemessenheitsprüfung von Art. 17 DSRL sind die Art der zu schützenden Daten, die von der Verarbeitung ausgehenden Risiken und die dabei entstehenden Kosten zu beachten.56 Zwar verankert Art.  17 DSRL wegweisend die Datensicherheit als Verarbeitungsvoraussetzung in der DSRL. Dem Datenschutz durch Technik wird damit eine normative Grundlage gelegt. Der von der Richtlinie eingeräumte Gestaltungsspielraum des Verantwortlichen und des gleichsam zur Einhaltung der Datensicherheit verpflichteten Auftragsverarbeiters ist dabei kaum eingeschränkt.57 Dieser weite Spielraum kann sich zulasten des Privatsphäreschutzes des Betroffenen auswirken. (6) Datenübermittlung ins Ausland Die Übermittlung personenbezogener Daten in ein Drittland ist nach Art. 25 DSRL lediglich dann zulässig, wenn in dem Drittland ein angemessenes Schutz­ niveau gewährleistet ist. Die Vorschrift schützt das europäische Datenschutz­ niveau vor einer Absenkung durch niedrige, gesetzliche Qualitätsstandards bei der Datenverarbeitung in Drittländern. Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung relevant sind. Nach der Richtlinie werden insbesondere die Art der Daten, die Zweckbestimmung der Verarbeitung und das Gefährdungspotenzial für die Daten berücksichtigt. Prüfungskriterien sind z. B. die Dauer der Datenverarbeitung, das Herkunfts- und das Bestimmungsland sowie das dort jeweils geltende Recht. Darüber hinaus ist entscheidend, dass die Grundzüge der DSRL umgesetzt sind bzw.

52

Schneider, ZD 2011, 6 (10). Vgl. Schneider, ZD 2011, 6 (10). 54 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 17, Rn. 6. 55 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 17, Rn. 6. 56 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 17, Rn. 6. 57 Vgl. Schneider, in: Wolff/Brink, BeckOK Datenschutzrecht, DSRL, Rn. 102. 53

44

B. Rechtsrahmen des Datenschutzrechts de lege lata

dass ein „Kernbestand der Privatsphäre“ geschützt ist.58 Welche Mittel und Lösungen dabei zum Einsatz kommen, ist nicht von Bedeutung.59 Ob ein Drittland ein angemessenes Schutzniveau bietet, richtet sich nach der verbindlichen Feststellung der EU-Kommission gem. Art. 25 Abs. 4 DSRL. Bei der Bewertung des Schutzniveaus folgt die EU-Kommission nach bisheriger Praxis den Empfehlungen der Art.-29-Datenschutzgruppe gem. Art. 30 Abs. 1 lit. b DSRL. Dieses Gremium prüft, ob in Drittländern ein angemessenes Schutzniveau besteht und veröffentlicht seine Einschätzungen.60 Maßgeblich ist, welchen Inhalt und welche Garantien die im Drittland geltenden Bestimmungen aufweisen und welche Mittel zur Sicherung ihrer wirksamen Anwendung vorhanden sind.61 Die EU-Kommission hat bisher ein angemessenes Datenschutzniveau für weitere Staaten, bspw. Argentinien, Guernsey, Isle of Man, Kanada und die Schweiz angenommen. Mit Australien besteht ferner ein Abkommen zur Verarbeitung und Übermittlung von Fluggastdaten.62 Die Art.-29-Datenschutzgruppe hat im April 2011 Neuseeland als Drittstaat mit angemessenem Schutzniveau bewertet.63 (7) Safe Harbor: Datenübermittlung in die USA Einen Sonderfall bildet die Datenübermittlung in die USA. Da es dort kein nach europäischen Maßstäben ausreichend kodifiziertes Datenschutzrecht gibt, wird angenommen, dass in den USA kein angemessenes Schutzniveau besteht. Für die vernetzte Datenverarbeitung haben die USA nicht nur entstehungsgeschichtlich eine große Bedeutung. Bis heute sind die USA das Sitzland der einflussreichsten Hardware-, Software- und Internetdienstleister, die das kommerziell relevante Internet maßgeblich prägen. Sowohl Cloud Computing Services als auch Soziale Netzwerke werden überwiegend von US-amerikanischen Diensteanbietern entwickelt und betrieben. Sofern nicht ausnahmsweise auf nur europäische Diensteanbieter zurückgegriffen wird, sind Datenübermittlungen in die USA praktisch unverzichtbar.64 Dies hat auch die EU-Kommission erkannt und mit dem US-Handelsministerium (United States Department of Commerce) eine Vereinbarung zur Zulässigkeit von grenzüberschreitenden Datenübermittlungen getroffen, sog. Safe Harbor. Eine in den USA ansässige Stelle, die Daten aus der EU empfängt, kann

58

Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 10, Rn. 5. Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, BDSG, § 4b, Rn. 9. 60 Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, BDSG, § 4b, Rn. 9. 61 Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, BDSG, § 4b, Rn. 9; zu den Ansätzen für eine Bewertung der Angemessenheit, Art.-29-Datenschutzgruppe, Arbeitspapier v. 26.06.1997, WP 4. 62 ABl. L 213/47; zur Vorratsdatenspeicherung von Fluggastdaten, s. Knierim, ZD 2011, 17 (17). 63 Art.-29-Datenschutzgruppe, Stellungnahme 11/2011, WP 182. 64 Vgl. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 606. 59

I. Internationaler Rechtsrahmen

45

sich zur Einhaltung der Safe-Harbor-Prinzipien65 gegenüber der zuständigen USBehörde verpflichten.66 Mit der Verpflichtungserklärung wird der Datenempfänger als „sicherer Hafen“ für Daten von EU-Bürgern anerkannt, sodass von der Angemessenheit des Datenschutzniveaus in diesen Fällen ausgegangen wird.67 An dieser Bewertung hat bisher auch das Bekanntwerden der weitreichenden Datenzugriffe durch die US-amerikanische National Security Agency (NSA) nichts geändert. Sofern es für die nationale Sicherheit oder aufgrund entsprechender Gesetze erforderlich ist, gelten die Safe-Harbor-Prinzipien nur eingeschränkt.68 Das US-Handelsministerium führt ein Verzeichnis von US-amerikanischen Unternehmen, die sich diesen Grundsätzen unterworfen haben. Während die EUKommission an der Safe-Harbor-Vereinbarung festhält, ist in der Literatur umstritten, ob damit ein angemessenes Schutzniveau im Einzelfall gewährleistet werden kann.69 Ein Teil  der Literatur zweifelt daran, ob der „sichere Hafen“ tatsächlich den Anforderungen des europäischen Datenschutzniveaus entspricht.70 Die Zertifizierungsvoraussetzungen und die allgemeinen Grundprinzipien werden als zu leicht erfüllbar und die Durchsetzung als defizitär bewertet.71 Denn bereits mit dem Beitritt zu einem selbstregulierenden Datenschutzprogramm72 auf Basis der SafeHarbor-Prinzipien oder einer selbstbindenden Datenschutzerklärung kann sich eine Stelle selbst zertifizieren.73 Die in Datenschutzerklärungen enthaltene Bezugnahme auf die Safe-Harbor-Prinzipien sei häufig sehr pauschal.74 Teilweise fehle es an einer Unterrichtung des Betroffenen, wie bei Rückfragen oder Beschwerden die Kontaktaufnahme zur Stelle abgewickelt werden könne.75 Kritikwürdig sei ferner der Verzicht auf hinreichende Kontrollen und Überwachung.76 Eine SafeHarbor-Zertifizierung werde daher den Anforderungen der DSRL nicht gerecht.77 Verträge, die z. B. im Rahmen von Cloud Computing abgeschlossen werden und

65 Zu den sieben Prinzipien: U. S.-EU Safe Harbor Overview, a.  u. http://export.gov/safe harbor/ (Stand: 14.01.2012); Erd, K&R 2010, 624 (625); Marnau/Schlehahn, DuD 2011, 311 (312). 66 Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, BDSG, § 4b, Rn. 12. 67 Schaffland/Wiltfang, BDSG, § 4b, Rn. 4a. 68 Dazu Maisch, jurisAnwZert ITR 18/2013, Anm. 2. 69 Safe-Harbor-Zertifizierungen seien nicht geeignet, die strengeren Datenschutzvorschriften in Europa zu kompensieren, vgl. Weichert, DuD 2010, 679 (686); Hennrich/Maisch,­ jurisAnwZert ITR 15/2011, Anm. 2. 70 Vgl. Erd, K&R 2010, 624 (624). 71 Marnau/Schlehahn, DuD 2011, 311 (313). 72 Bspw. TRUSTe.com, a. u. http://www.truste.com. 73 Marnau/Schlehahn, DuD 2011, 311 (313). 74 s. Erd, K&R 2010, 624 (626 f.). 75 Vgl. Entscheidung der EU-Kommission vom 26.07.2000, 2000/520/EG, L 215/11. 76 Marnau/Schlehahn, DuD 2011, 311 (313). 77 Marnau/Schlehahn, DuD 2011, 311 (311 f.); Weichert, DuD 2010, 679 (686); Simitis, in: Simitis, BDSG, § 4b, Rn. 78; Erd, K&R 2010, 624 (626).

46

B. Rechtsrahmen des Datenschutzrechts de lege lata

an die Maßstäbe der Safe-Harbor-Vereinbarung angelehnt sind, seien daher unzureichend, da Safe Harbor nicht dazu dienen könne, das strengere, europäische Datenschutzregime zu umgehen.78 Die Kritik an der Selbstzertifizierung wird auch von anderen Teilen der Literatur anerkannt.79 Die Schwächen von Safe Harbor seien auf das Zustandekommen der Vereinbarung im Wege eines politischen Kompromisses zurückzuführen.80 Abweichungen zu einzelnen europäischen Datenschutzvorschriften seien im Zuge der langjährigen Verhandlungen entstanden.81 Nach einem Beschluss der EU-Kommission gem. Art. 25 Abs. 6 DSRL ist das Schutzniveau eines Unternehmens ausreichend, wenn sich die Stelle den Prinzipien der Safe-Harbor-Verein­ barung unterworfen hat.82 Nach der Auffassung deutscher Aufsichtsbehörden für den nicht öffentlichen Bereich ist eine entsprechende Selbstzertifizierung ausreichend, sofern bestimmte weitere Maßnahmen ergriffen werden.83 Daten exportierende Unternehmen dürften sich nicht allein auf die Behauptung der Existenz einer Safe-Harbor-Zertifizierung des Datenimporteurs verlassen. Vielmehr müsse sich das Daten exportierende Unternehmen nachweisen lassen, dass die Safe-Harbor-Zertifizierung vorliegt und deren Grundsätze eingehalten werden. Dabei müsse zumindest geklärt werden, ob die Unterwerfung noch Gültigkeit hat und wie das importierende Unternehmen seinen Informationspflichten nach Safe Harbor gegenüber den von der Datenverarbeitung Betroffenen nachkomme.84 Die Aufsichtsbehörden empfehlen, die Mindestprüfung zu dokumentieren und diese Unterlagen auf Nachfrage der Aufsichtsbehörde vorzulegen. Im Zweifelsfall wird die Verwendung von Standard-Vertragsklauseln85 oder bindenden Unternehmensrichtlinien86 zur Gewährleistung eines angemessenen 78

Weichert, DuD 2010, 679 (686). Hennrich/Maisch, jurisAnwZert ITR 15/2011, Anm. 2. 80 Simitis, in: Simitis, BDSG, § 4b, Rn.  70; Kühling/Seidel/Sivridis, Datenschutzrecht, S. 31. 81 Vgl. Simitis, in: Simitis, BDSG, § 4b, Rn. 73. 82 s. a. Hennrich/Maisch, jurisAnwZert ITR 15/2011, Anm. 2. 83 Düsseldorfer Kreis, Beschl. v. 28./29.04.2010, S. 1. 84 Düsseldorfer Kreis, Beschl. v. 28./29.04.2010, S. 1. 85 Die EU-Kommission hat die Standardvertragsklauseln gem. Art. 26 Abs. 4 DSRL verabschiedet. Bei Verwendung der Klauseln ist eine Überprüfung des angemessenen Schutzniveaus durch die Aufsichtsbehörden nicht mehr erforderlich. Es kann aber die Vorlage des Vertragswerks verlangt werden, um die tatsächliche Verwendung der Klauseln zu überprüfen, Lensdorf, CR 2010, 735 ff.; Moos, CR 2010, 281 ff. 86 Binding corporate rules sind freiwillige Selbstverpflichtungen, die dazu dienen, in inter­national agierenden Unternehmen ein einheitliches, angemessenes Datenschutzniveau sicher­zustellen. Als Alternative zu Vereinbarungen unter Verwendung der EU-Standardvertragsklauseln oder der Safe-Harbor-Unterwerfung ermöglichen sie grenzüberschreitende Datentransfers innerhalb der verbundenen Unternehmen, vertiefend Grapentin, CR 2011, 102 (103). 79

I. Internationaler Rechtsrahmen

47

Schutzniveaus beim Datenimporteur geraten. Diese Forderungen des Düsseldorfer Kreises nach weiteren Prüfungsschritten werden in der Literatur auch als „Abkehr vom Postulat des sicheren Hafens“ gewertet.87 Nach geltendem Recht ist eine Safe-Harbor-Zertifizierung zur Herstellung eines angemessenen Schutzniveaus beim Empfänger ausreichend, um Datenübermittlungen an bestimmte Stellen in den USA zu legitimieren. (8) Umsetzung der Datenschutzrichtlinie Die Richtlinie wäre fristgerecht innerhalb von drei Jahren bis zum 24.10.1998 umzusetzen gewesen.88 Der deutsche Gesetzgeber hatte dies versäumt und die Richtlinie erst nach der Einleitung eines Vertragsverletzungsverfahrens der EUKommission umgesetzt.89 Die daraus resultierende Novelle des BDSG trat am 22.05.2001 in Kraft.90 bb) Richtlinie zum Schutz der Privatsphäre in der elektronischen Kommunikation (1) Ziel der Richtlinie Mit der Richtlinie zum Schutz der Privatsphäre in der elektronischen Kommunikation, sog. E-Privacy-Richtlinie 2002/58/EG91, wurde die Telekommunikations­ datenschutzrichtlinie (TK-DSRL) 97/66/EG92 aufgehoben und durch diese ersetzt. Im Unterschied zur TK-DSRL sollte sichergestellt werden, dass den Nutzern öffentlich zugänglicher elektronischer Kommunikationsdienste technologieunabhängig das gleiche Schutzniveau für personenbezogene Daten und für die Privatsphäre garantiert wird.93 Der Richtliniengeber hatte erkannt, dass das Internet die herkömmlichen Marktstrukturen durch weltweite Infrastruktur für die Bereitstellung von elektronischen Kommunikationsdiensten revolutioniert hat. Elektronische Kommu 87

Marnau/Schlehan, DuD 2011, 311 (315). Gola/Schomerus, BDSG, Einl., Rn. 11. 89 Gola/Schomerus, BDSG, Einl., Rn. 11. 90 Gola/Schomerus, BDSG, Einl., Rn. 11. 91 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. 201/37. 92 Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15.12.1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, ABl. 201/37. 93 Richtlinie 2002/58/EG, Erwägungsgrund 4. 88

48

B. Rechtsrahmen des Datenschutzrechts de lege lata

nikationsdienste eröffnen nicht nur neue Nutzungsmöglichkeiten, sondern bergen auch Risiken für die informationelle Selbstbestimmung.94 Ferner erkannte der Richtliniengeber das Risikopotenzial digitaler Mobilfunknetze, die aufgrund erschwinglicher Nutzungsentgelte allgemein zugänglich geworden sind. Der Erfolg der Fortentwicklung dieser elektronischen Kommunikationsdienste hängt davon ab, inwieweit das Vertrauen der Nutzer auf Schutz der Privatsphäre gewährleistet ist.95 (2) Anwendungsbereich und Begriffsbestimmungen Gemäß Art. 3 Abs. 1 E-Privacy-Richtlinie 2002/58/EG findet diese Anwendung auf die Verarbeitung personenbezogener Daten i. V. m. der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemeinschaft. Bei Kommunikationsdiensten handelt es sich gem. Art. 2 lit. c Rahmenrichtlinie 2002/21/EG um Dienste, die ganz oder überwiegend in der Übertragung von Signalen in elektronischen Kommunikationsnetzen bestehen, einschließlich von Telekommunikations- und Übertragungsdiensten in Rundfunknetzen. Ausgenommen sind solche Dienste, die Inhalte über elektronische Kommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben. Der Richtliniengeber differenziert folglich zwischen der Regulierung von Inhalten und deren Übertragung. Die Abgrenzung hat der deutsche Gesetzgeber übernommen.96 Im Kern enthält die E-Privacy-Richtlinie 2002/58/EG bedeutsame Begriffsdefinitionen für den Telekommunikationsdatenschutz. So werden in Art.  2 E-Privacy-Richtlinie 2002/58/EG bspw. die Begriffe Nutzer, Verkehrsdaten und Standortdaten bestimmt.97 Vorgaben zur Gewährleistung eines Sicherheitsniveaus im Rahmen von öffentlich zugänglichen Kommunikationsdiensten und zu Unterrichtungspflichten trifft Art. 4 E-Privacy-Richtlinie 2002/58/EG. Die Vertraulichkeit der Kommunikation, insbesondere der Schutz vor Mithören, Abhören und Speichern sowie vor anderen Arten des Abfangens oder Überwachens von Nachrichten oder Verkehrsdaten werden in Art. 5 E-Privacy-Richtlinie 2002/58/EG normiert. Art. 6 und Art. 9 E-Privacy-Richtlinie 2002/58/EG enthalten Verarbeitungsregeln. Im Rahmen des TKG wurde die E-Privacy-Richtlinie 2002/58/EG fristgemäß von der Bundesrepublik Deutschland umgesetzt.

94

Richtlinie 2002/58/EG, Erwägungsgrund 6. Richtlinie 2002/58/EG, Erwägungsgrund 5. 96 Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 66. 97 Ausführlich zum TK-Datenschutz, Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 115. 95

I. Internationaler Rechtsrahmen

49

(3) Cookie-Problematik der Änderungsrichtlinie 2009/136/EG Die E-Privacy-Richtlinie 2002/58/EG wurde durch Art. 2 Richtlinie 2009/136/ EG98 geändert.99 Beide Richtlinien werden in der Literatur als E-Privacy-Richtlinien bezeichnet. Im Bereich der Datenverarbeitung von Social-Media-Diensten hat Art. 5 Abs. 3 der E-Privacy-Richtlinie 2009/136/EG einen besonderen Stellenwert. Die Speicherung und Nutzung von Cookies wird darin von der informierten Einwilligung des Nutzers abhängig gemacht. Der früher übliche Hinweis im Impressum, dass Cookies zur Analyse des Nutzerverhaltens eingesetzt werden, ist nicht mehr ausreichend.100 Cookies sind die Informationsträger des Internets. Da das HTTP-Protokoll des sog. World Wide Webs101 (WWW) zustandslos ist, muss jede Anfrage als ein eigenständiges Ereignis behandelt werden. Auch bei wiederholtem Seitenzugriff kann der Server einen Nutzer nicht seinen Handlungen zuordnen. Alle Zwischenschritte, die z. B. für die Vornahme einer Authentifikation oder einer Speicherung von Daten in einem virtuellen Warenkorb nötig sind, müssen zwischengespeichert werden.102 Bei Cookies handelt es sich um einfache Textdateien, die dazu auf dem Client des Nutzers abgelegt werden, um die Speicherung der Zwischenschritte anhand von Informationen über das Nutzerverhalten möglich zu machen.103 Cookies werden vom Host Server des Telemedienanbieters erzeugt, dem Nutzer übermittelt und auf dessen Client in einem Verzeichnis gespeichert. Bei einem wiederholten Seitenzugriff können Cookies vom Diensteanbieter einer Website ausgelesen werden, bspw. um gespeicherte Passwörter104 aufzurufen, individualisierte Warenkörbe zu aktualisieren oder Kundenansprachen oder Produktempfehlungen zu formulieren.105 Indem Cookies Informationen speichern, wird eine zustandsbehaftete HTTP-Sitzung emuliert.106 Diese Sitzung bildet die Voraussetzung für die Aus 98 Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates v. 25.11.2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und die Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz, ABl. L 337/11. 99 Seidl/Fuchs, jurisAnwZert ITR 01/2010, Anm. 2. 100 So auch Geuer, jurisAnwZert ITR 15/2012, Anm. 3. 101 Das World Wide Web bezeichnet den für die Mehrheit der Nutzer als Informations- und Kommunikationsmedium verwendeten Teilbereich des Internets. Mithilfe von Browsern oder Smartphone-Apps können weltweit gespeicherte Einzeldokumente, die in der Auszeichnungssprache Hypertext Markup Language (HTML) verfasst sind, abgerufen werden. Der Abruf erfolgt nach den Vorgaben des Hypertext Transfer Protocol (HTTP). Ausführlich dazu, Sieber, in: Hoeren/Sieber, Multimedia-Recht, Teil 1, Rn. 80–111. 102 Ausführlich zur Funktionsweise, s. Brosch, jurisAnwZert ITR 16/2011, Anm. 2. 103 Vgl. Lienemann, K&R 2011, 609 (609). 104 Eckert, IT-Sicherheit, S. 510. 105 Maisch, ITRB 2011, 13 (16). 106 Eckert, IT-Sicherheit, S. 141.

50

B. Rechtsrahmen des Datenschutzrechts de lege lata

wertung des Nutzungsverhaltens (sog. Nutzertracking) bis hin zur Identifikation von Nutzern im Bereich von Social Media und E-Commerce, bspw. Webshops. Die E-Privacy-Richtlinie 2002/58/EG normiert in Art.  5 den Schutz der vertraulichen Kommunikation im Internet. Die Richtlinie ist dabei nicht auf ­Cookies beschränkt, sondern berücksichtigt auch jedes „ähnliche Instrument“.107 Den Nutzern solle die Möglichkeit eingeräumt werden, die Speicherung von ­Cookies oder das Webtracking durch ähnliche Instrumente in ihrem Endgerät abzulehnen. Das gilt insbesondere dann, wenn das Endgerät auch anderen Nutzern zur Verfügung steht und diese somit Einblicke in die Privatsphäre des Betroffenen erlangen können.108 Nicht jede Art von Cookies oder einem ähnlichen Instrument ist erfasst. In Fällen, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen, sollen Ausnahmen von der Informationspflicht und der Einräumung eines Rechts auf Ablehnung der Datenverarbeitung vorgesehen werden.109 Unverzichtbare Cookies sind bspw. Log-in- oder bestimmte Session-Cookies.110 Nach Erwägungsgrund 25 der E-Privacy-Richtlinie 2002/58/EG sollen die Auskunft und das Ablehnungsrecht einmalig im Endgerät für die Nutzung verschiedener Anwendungen vorgenommen werden können.111 Die E-Privacy-Richtlinie 2002/58/EG räumt den nationalen Gesetzgebern einen Umsetzungsspielraum bei der Frage ein, ob die Zulässigkeit der Datenverarbeitung mit Cookies oder ähnlichen Instrumenten von einer Einwilligung abhängig gemacht werden soll.112 Mit der Änderungsrichtlinie wird der Umsetzungsspielraum gestrichen. Die Zulässigkeit der Erhebung und Verarbeitung von Cookies ist fortan von der Einwilligung des betroffenen Nutzers abhängig: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Datenschutzerklärung u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“113 Der Richtliniengeber hat der bisherigen Opt-out-Lösung eine Absage erteilt und nun eine Opt-in-Lösung eingeführt.

107

E-Privacy-Richtlinie 2002/58/EG, Erwägungsgrund 25, ABl. 201/37 (40). E-Privacy-Richtlinie 2002/58/EG, Erwägungsgrund 25, ABl. 201/37 (40). 109 E-Privacy-Richtlinie 2009/136/EG, Erwägungsgrund 66, ABl. 337/11 (20). 110 Geuer, LTO, Beitrag v. 11.06.2012, a. u. http://www.lto.de/recht/hintergruende/h/umsetzung -der-cookie-richtlinie-mehr-datenschutz-beim-surfen/; vertiefend zur Umsetzung der E-Privacy-Richtlinie 2009/136/EG im Vereinten Königreich und zur Kategorisierung von Cookies, Geuer, jurisAnwZert ITR 15/2012, Anm. 3. 111 E-Privacy-Richtlinie 2002/58/EG, Erwägungsgrund 25, ABl. 201/37 (40). 112 E-Privacy-Richtlinie 2002/58/EG, Erwägungsgrund 25, ABl. 201/37 (40). 113 Richtlinie 2009/136/EG, Art. 2 Nr. 5, ABl. 337/11 (30). 108

I. Internationaler Rechtsrahmen

51

Die Umsetzungsfrist der E-Privacy-Richtlinie 2009/136/EG ist am 25.05.2011 verstrichen.114 Zwar hatte der Bundesrat in seinem Gesetzesentwurf zur Änderung des Telemediengesetzes115 eine Regelung zur Nutzung von Cookies in beinahe unveränderter Übernahme des Richtlinientextes formuliert.116 Dieser Entwurf ist jedoch von der Bundesregierung abgelehnt worden.117 Ein weiterer Gesetzesentwurf118 zur Änderung des Telemediengesetzes119 (TMG) vom 24.01.2012 auf Initiative der SPD-Fraktion ist am 18.10.2012 auf Empfehlung des Ausschusses für Wirtschaft und Technologie abgelehnt worden.120 Ob überhaupt ein Gesetzgebungsbedarf besteht, ist im Übrigen umstritten.121 Zur praktischen Umsetzung hat die Art.-29-Datenschutzgruppe im Oktober 2013 ein entsprechendes Arbeitspapier veröffentlicht.122 2. Exkurs: US-amerikanisches Recht a) Begriff der „Privacy“ Nicht nur in Europa, sondern auch in den USA ist die Bedeutung des allgemeinen Persönlichkeitsrechts als Ursprung des Datenschutzrechts anerkannt.123 Im Unterschied zur europäischen Rechtstradition ist das amerikanische Datenschutzrecht unter dem Begriff „privacy“124 terminologisch und inhaltlich an das Persönlichkeitsrecht in seiner Ausprägung als Privatheit angelehnt.125 Das Konzept der privacy ist weder in der Bill of Rights126 noch in der US-Constitution genannt. Lediglich der vierte Verfassungszusatz enthält dogmatische Ansatzpunkte für den Schutz der Privatheit.127 114

Brosch, jurisAnwZert ITR 16/2011, Anm. 2. BR-Drs. 156/2011. 116 Vgl. Brosch, jurisAnwZert ITR 16/2011, Anm. 2. 117 Berichtend Lienemann, K&R 2011, 609 (613). 118 BT-Drs. 17/8454. 119 Dazu Heckmann, in: Heckmann, jurisPK-Internetrecht, Online-Fassung, Kap. 9, Rn. 209.1. 120 Deutscher Bundestag, 198. Sitzung v. 18.10.2012, Plenarprotokoll 17/198. 121 Gola/Klug, NJW 2011, 2484 (2487); einer Ansicht nach sei die Einwilligungslösung bereits im Rahmen der allgemeinen Grundsätze der § 12 Abs. 1, Abs. 2 TMG niedergelegt. Nach Auffassung des Düsseldorfer Kreises ist hingegen eine Anpassung des TMG erforderlich, Beschl. v. 24./25.11.2010. 122 Art.-29-Datenschutzgruppe, Stellungnahme 02/2013, WP 208, S. 1 ff. 123 Genz, Datenschutz in Europa und den USA, S. 39. 124 Zur terminologischen Unterscheidung von „privacy“ und Datenschutz, S.  Spies/Stutz, DuD 2006, 170 (171). 125 Genz, Datenschutz in Europa und den USA, S. 39; zur Übersetzung des Begriffs privacy als Privatheit vgl. auch Schwartz, RDV 1992, 8 (8). 126 Als Grundrechtskatalog besteht die Bill of Rights aus den ersten zehn Verfassungszusätzen (Amendments), die 1791 in Erweiterung des Verfassungstextes von 1787 in Kraft getreten sind. 127 Der Verfassungszusatz fordert, dass das Recht der Menschen auf „Sicherheit ihrer­ Person, Häuser, Unterlagen und ihres Eigentums gegen unbegründete Durchsuchungen und 115

52

B. Rechtsrahmen des Datenschutzrechts de lege lata

Die grundlegenden Definitionsansätze aus der Lehre gehen auf die Rechtsanwälte Warren und Brandeis zurück. Die Rechtsanwälte bestimmten das Recht auf privacy als das Recht, „allein gelassen zu werden“ und erklärten, dass das Recht auf Privatheit als die wertvollste Freiheit unter allen Freiheiten in einer Demokratie anzusehen sei.128 Nach diesem Verständnis wird der Schutz der Privatheit vorrangig durch den Selbstschutz des Rechtsträgers und den Verzicht des Staates auf normative Rechtssetzung herbeigeführt.129 Modernen Ansätzen zufolge ist ein Eingriff in das Recht auf Privatheit gegeben, wenn die Einsamkeit durch Erreichbarkeit verletzt wird bzw. „wenn eine Information über ein Individuum bekannt wird“.130 Teilweise wird das Recht auf Privatheit auch in die drei Elemente der informationellen Privatheit, die Privatheit der Kommunikation und der körperlichen Privatheit gegliedert.131 Hinter dem Begriff privacy verbirgt sich nach US-amerikanischem Rechts­ verständnis der vergleichsweise unscharfe Anspruch des Betroffenen auf Schutz der personenbezogenen Daten und der sich weiterentwickelnden Rechte und Werte.132 Nach der Rechtsprechung des US-amerikanischen Bundesgerichtshofs (Supreme Court) aus dem Jahr 1928 kann die informationelle Privatsphäre, als privacy im engeren Sinne oder „information privacy“, aus dem vierten Verfassungszusatz hergeleitet werden.133 Die Rechtsprechungslinie, nach der das „Recht auf Privatheit und Freiheit staatlichen Eindringens immer dort [besteht], wo eine Person eine begründete Erwartung auf Privatheit besitzt“, wurde letztlich zu einem obiter dictum fortentwickelt.134 Mit dem Einzug elektronischer Datenverarbeitungsanlagen zur Mitte des 20. Jahrhunderts wurde auch ein Recht auf Anonymität als Ausfluss der Privatheit in der verfassungsrechtlichen Rechtsprechung anerkannt.135 Im Rahmen der Entscheidung Whalen v. Roe wurde der Definitionsansatz des Rechts auf Privatheit von Warren und Brandeis erstmals ausdrücklich erwähnt. Anhand des Interesses, die Offenlegung persönlicher Angelegenheiten zu verhindern, skizziert der Bundesgerichtshof ein Recht des Einzelnen auf Schutz seiner persönlichen Daten. Aus dieser Entscheidung wird abgeleitet, dass Beschlagnahmen“ nicht verletzt werden darf, vertiefend Genz, Datenschutz in Europa und den USA, S. 45 ff. 128 Warren/Brandeis, Harvard Law Review 1890, 193 (195). 129 Vgl. Genz, Datenschutz in Europa und den USA, S. 40. 130 Wacks, Personal Information, Privacy and the Law, S. 19. 131 Ausführlich Genz, Datenschutz in Europa und den USA, S. 41. 132 Vgl. Genz, Datenschutz in Europa und den USA, S. 41. 133 Olmstead v. US, 227 US 438 (1928); der Olmstead-Fall hatte die Rechtmäßigkeit einer staatlichen Abhörmaßnahme von privaten Fernsprechern zum Gegenstand. Streitgegenständlich war, ob die Preisgabe von persönlichen Angelegenheiten zulässig ist und ob die unab­ hängige Selbstbestimmung des Betroffenen in privaten Angelegenheiten vom Staat geachtet werden muss. Im Ergebnis leitete das Gericht aus dem vierten Verfassungszusatz eine begrenzte Sphäre her, die dem Recht auf Privatheit konstitutionellen Schutz verleiht, vgl. Genz, Datenschutz in Europa und den USA, S. 45. 134 Genz, Datenschutz in Europa und den USA, S. 46. 135 Mit Hinweis auf die Entscheidung NAACP v. Alabama, 357 US 449 (1958), s. Genz, Datenschutz in Europa und den USA, S. 46.

I. Internationaler Rechtsrahmen

53

der Schutz der Vertraulichkeit personenbezogener Daten verfassungsrechtlich gewährleistet wird.136 Ein generelles Recht auf information privacy ist in dieser Entscheidung jedoch nicht begründet.137 Das US-amerikanische Verfassungsrecht schützt daher die Privatheit nicht universell, sondern bereichsspezifisch vor hoheitlichen Eingriffen. Ein informationelles Selbstbestimmungsrecht als dogmatische Ableitung aus allgemeinen Verfassungsprinzipien und der verfassungsrechtlichen Rechtsprechung geht im US-amerikanischen Recht nicht über Einzelfallentscheidungen hinaus. Das USamerikanische Verfassungsrecht enthält daher keinen Rahmen, der ein Recht zur Datenkontrolle bzw. zur informationellen Selbstbestimmung umfasst.138 Der einfachgesetzliche Schutz der Privatsphäre beschränkt sich auf bereichsspezifische Gesetze139, wie bspw. den Privacy Act von 1974. Als Reaktion auf die „Watergate Affaire“140 hat der Privacy Act die Begrenzung bundesstaatlicher Datensammlung und -vernetzung über Betroffene zum Gegenstand. Im Jahr 2000 ist der Children’s Online Privacy Protection Act (COPPA) in Kraft getreten. Dieses Gesetz enthält Regelungen zur Erhebung, Verarbeitung und Nutzung von per­ sonenbezogenen Daten von Kindern im Alter bis 13 Jahren über das Internet. Ein allgemeines Datenschutzgesetz gibt es in den USA nicht. Dafür wird in den USA Selbstregulierung als die wirksamste Möglichkeit an­ gesehen, eine praxisgerechte Regulierung zu ermöglichen und staatliches Tätigwerden zu vermeiden. Die Selbstregulierung führt zu wettbewerbs- und verbraucherorientierten, flexiblen und einzelfallabhängigen Regelungen. Facebook bedient sich bspw. der Selbstregulierung in Form eines sog. „privacy seal program“, also des privaten Zertifizierungsunternehmens TRUSTe. Auch die SafeHarbor-Grundsätze werden in den USA der Selbstregulierung zugeordnet.141 b) Gesetzesentwurf zum Webtracking Im US-amerikanischen Senat wurde am 09.05.2011 ein Gesetzesentwurf zum Schutz des Nutzers vor Webanalysediensten eingebracht.142 Mit dem Gesetzes­ entwurf wurde der Forderung nach der Einführung entsprechender Regelungen aus dem Jahr 2010 von der US-amerikanischen Bundeskartellbehörde (Federal 136

Vgl. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 9. Genz, Datenschutz in Europa und den USA, S. 47. 138 Genz, Datenschutz in Europa und den USA, S.  48; Buchner, Informationelle Selbst­ bestimmung im Privatrecht, S. 14. 139 Genz, Datenschutz in Europa und den USA, S. 52 ff. 140 Gola/Schomerus, BDSG, Einl., Rn. 1. 141 Ausführlich zur Rechtslage in den USA und rechtsvergleichend, Kranig/Peintinger, ZD 2014, 3 (3 ff.). 142 Do-Not-Track Online Act of 2011, BAG11354, a. u. http://commerce.senate.gov/public/? a=Files.Serve&File_id=85b45cce-63b3–4241–99f1–0bc57c5c1cff. 137

54

B. Rechtsrahmen des Datenschutzrechts de lege lata

Trade Commission, FTC143) Rechnung getragen.144 Der sog. „Do-Not-Track O ­ nline Act of 2011“ soll die Bundesbehörde zum Erlass zweier Regelungen ermächtigen, die die informationelle Selbstbestimmung der Nutzer im Internet und bei Mobil­ telefonanwendungen schützen sollen. Telemediendiensteanbieter nutzen in Websites implementierte Anwendungen, sog. Webanalysedienste wie bspw. Google Analytics145, um Informationen über die geografische Herkunft, die Interessen und das Nutzerverhalten auszuwerten. Anhand dieser Daten können Inhalte, Dienstleistungsangebote und Werbemaßnahmen zielgruppenspezifisch zugeschnitten werden.146 Im Rahmen des „Do-Not-Track Online Act of 2011“ wird die Regelung von Standards zur Schaffung eines Mechanismus vorgeschlagen, der dem Betroffenen ermöglichen soll, auf einfache Weise zu bestimmen, ob seine personenbezogenen Daten von Webseitenbetreibern erhoben werden dürfen.147 Auch auf mobile Datendienste, insbesondere auf die dort betriebenen Programme (sog. Apps), soll dieser Mechanismus Anwendung finden.148 Die technische Ausgestaltung des Mechanismus, bspw. in Form einer das Webtracking unterbindenden Browserkonfiguration des Firefox-Browsers149, wird in dem Entwurf bewusst nicht näher ausgeführt. Die Einzelheiten sollen im Rahmen von Standards der Bundeskartellbehörde formuliert werden. Die rechtswidrige Erhebung und Verarbeitung personenbezogener Daten gegen den ausdrücklich geäußerten Willen des Betroffenen soll sanktioniert werden, es sei denn, die Datenverarbeitung ist ausnahmsweise gesetzlich erlaubt.150 Das ist z. B. dann der Fall, wenn die Datenverarbeitung für die Erbringung einer konkreten Dienstleistung erforderlich ist.151 Gleiches gilt, wenn der Betroffene klar, deutlich und in zutreffender Weise über die Erhebung und Verarbeitung seiner personenbezogenen Daten unterrichtet wird und in diese Datenverarbeitung eingewilligt hat. Im dritten Abschnitt (Sec. 3) des Gesetzesentwurfs wird die Durchsetzung der „Do-not-track“-Mechanismen normiert. Sowohl die Bundeskartellbehörde als auch die Staatsanwaltschaft können die Regelungen des „Do-Not-Track Online 143

Verbraucherschutz und Fusionskontrolle gehören zu den Aufgaben der Federal Trade Commission, die nach außen, so Spies, gern als Datenschutzbehörde auftritt. In Ermangelung der aus EU-datenschutzrechtlicher Sicht erforderlichen Unabhängigkeit und Spezialisierung handelt es sich nicht um eine Datenschutzaufsichtsbehörde, dazu Spies, ZD 2011, 12 (13). 144 Taraschewski, MMR-Aktuell 2011, 318499. 145 Grundlegend Schröder, Datenschutzrecht, Kap. 4, 2 c; vertiefend zur datenschutzrechtlichen Problemstellung, Huth, jurisAnwZert ITR 12/2011, Anm. 2; Knopp, DuD 2010, 783 ff. 146 Zu den Hintergründen des Webtrackings, Maisch, Nutzertracking im Internet, ITRB 2011, 13–17. 147 Do-Not-Track Online Act of 2011, Sec. 2 (a) (1). 148 Do-Not-Track Online Act of 2011, Sec. 2 (a) (1). 149 Taraschewski, MMR-Aktuell 2011, 318499. 150 Do-Not-Track Online Act of 2011, Sec. 2 (a) (2). 151 Do-Not-Track Online Act of 2011, Sec. 2 (b) (1).

I. Internationaler Rechtsrahmen

55

Act of 2011“ durchsetzen. Zur Sanktion von Rechtsverletzungen werden die Behörden zudem zum Erlass von Bußgeldbescheiden ermächtigt.152 Bis zum gegenwärtigen Zeitpunkt ist über den Gesetzesentwurf nicht entschieden worden.153 c) Cloud Computing Act of 2012 Im Jahr 2012 wurde ein Gesetzesentwurf, der sog. Cloud Computing Act of 2012, vorgeschlagen, mit dem Ziel, den Vollzug von Straf- und Zivilrecht im Cloud Computing in den USA zu verbessern. Der Gesetzesentwurf, der schließlich nicht weiter verfolgt wurde, sollte eine Legaldefinition von Cloud Comput­ ing enthalten. Unberechtigte Zugriffe auf Computer, die mit der Cloud verbunden sind, sollten mit Geldstrafe und Freiheitsstrafe bis zu fünf Jahren bestraft werden können. Strafbar sollte auch die unberechtigte Übermittlung eines Programms oder Daten sein, die in einem gesicherten System einen Schaden verursachen. Der Cloud Computing Act sollte jedoch nur anwendbar sein, wenn ein Schaden von mehr als 5.000 USD entstanden ist.154 3. Befund zum internationalen Rechtsrahmen Die DSRL regelt das Datenschutzrecht systematisch und technikorientiert. Mit der Umsetzung durch nationale Gesetzgeber wurde das europäische Datenschutzrecht umfassend harmonisiert und somit ein hohes Schutzniveau etabliert. Der modernen vernetzten Datenverarbeitung über das Internet trägt die Richtlinie ausdrücklich nur vereinzelt Rechnung. Dies belegen u. a. die nur elementare Regelung der Auftragsdatenverarbeitung und der erhebliche Gestaltungsspielraum bei der Datensicherheit. Zum Schutz vor neuartigen Gefährdungslagen durch die Datenverarbeitung im Internet hat der Richtliniengeber mit den sog. Cookie-Richtlinien einen Sonderweg beschritten. Die Cookie-Richtlinien erweitern den effektiven Datenschutz zwar in einem wichtigen Teilbereich. Andere neue Gefährdungs­ lagen, wie der Schutz der informationellen Selbstbestimmung bei der Auslagerung von personenbezogenen Daten in die Cloud oder bei der Verarbeitung in Sozialen Netzwerken durch deren Diensteanbieter oder sonstige Dritte, sind in der DSRL bisher nicht berücksichtigt. Das US-amerikanische Recht kennt keinen normierten, allgemeinen Datenschutz. Das Recht auf privacy ist ein überwiegend persönlichkeitsrechtliches 152 Do-Not-Track Online Act of 2011, Sec. 3; U. S. Senate Committee on Commerce, Science, and Transportation, Do-Not-Track Online Act of 2011 Summary, Mai 2011, a. u. http:// shapiroberezins.com/wp-content/uploads/2011/05/Do-nor-track-bill-Section-By-Sectionsummary.pdf. 153 Stand: 01.02.2015. 154 Congress, https://www.congress.gov/bill/112th-congress/senate-bill/3569/text.

56

B. Rechtsrahmen des Datenschutzrechts de lege lata

Konzept. Den Kern bildet nicht die Sicherung der Entscheidungsfreiheit in informationstechnischen Kontexten, also der informationellen Selbstbestimmung, sondern das Recht, allein gelassen zu werden. Nach europäischem Verständnis ist das Recht auf privacy der Privatheit zuzuordnen. Aufgrund der nur fragmentarischen Regelungsdichte der privacy herrscht in den USA ein Datenschutzniveau vor, das europäischen Maßstäben an den Schutz der informationellen Selbstbestimmung nicht gerecht wird. Dies hat der Exkurs in Kapitel B. gezeigt. Eine Brücke zwischen den Datenschutzregimen schlägt die Safe-Harbor-Vereinbarung zwischen der EU-Kommission und dem US-amerikanischen Handelsministerium. Ob ein effektiver Datenschutz mithilfe der Selbstverpflichtung zu den Safe-HarborPrinzipien von datenverarbeitenden Stellen im Einzelfall gewährleistet wird, ist umstritten. Nach geltendem Recht und unter Berücksichtigung des Maßnahmenkatalogs deutscher Aufsichtsbehörden ist eine Safe-Harbor-Zertifizierung als datenschutzrechtlich ausreichend zu bewerten.

II. Nationaler Rechtsrahmen 1. Informationelles Selbstbestimmungsrecht a) Dogmatik des Persönlichkeitsrechts Die zentrale Norm des Persönlichkeitsschutzes ist Art. 2 Abs. 1 GG. Das Grundrecht garantiert jedermann die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. Art. 2 Abs. 1 GG ist die erste allgemeine Freiheitsgewährleistung des Grundgesetzes.155 Das Grundrecht konkretisiert die Menschenwürde und legt die öffentliche Gewalt und die Rechtsordnung auf eine prinzipielle Freiheitsvermutung fest.156 Ferner ist es umfassender Ausdruck der persönlichen Freiheitssphäre und Ausgangspunkt aller subjektiven Abwehrrechte gegen den Staat.157 Nach den Lesarten des Bundesverfassungsgerichts (BVerfG) enthält Art.  2 Abs. 1 GG mit der allgemeinen Handlungsfreiheit und dem allgemeinen Persönlichkeitsrecht zwei Grundrechtsgarantien.158 Der Schutzbereich, die Wirkungsrichtung und die Einschränkungsmöglichkeiten sind sehr heterogen ausgeprägt.159 155

Di Fabio, in: Maunz/Dürig, Grundgesetz, Art. 2, Rn. 1. Di Fabio, in: Maunz/Dürig, Grundgesetz, Art.  2, Rn.  2; in der Literatur wird Art.  2 Abs.  1 GG auch als Hauptfreiheitsrecht, als Muttergrundrecht (Scholz, in: Maunz/Dürig, Grundgesetz, Art. 12, Rn. 122) oder als Auffanggrundrecht mit Anwendungssubsidiarität bezeichnet (Di Fabio, in: Maunz/Dürig, Grundgesetz, Art. 2, Rn. 21). 157 BVerfGE 49, 15 (23). 158 Vgl. Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 23; die Entfaltungsfreiheit gem. Art. 2 Abs. 1 GG sei aufgrund ihrer zwei Lesearten auch als verfassungsrechtliche Festschreibung der äußeren und inneren Dimension der vorrechtlichen Autonomiekonzeption zu verstehen, vertiefend Britz, Freie Entfaltung durch Selbstdarstellung, S. 6. 159 Vgl. Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 23. 156

II. Nationaler Rechtsrahmen

57

Mit der allgemeinen Handlungsfreiheit schützt Art.  2 Abs.  1 GG nicht einen bestimmten, begrenzten Lebensbereich, sondern die freie Entscheidung über­ eigenes Tun oder Unterlassen und damit über jegliches menschliche Verhalten.160 Dieser weite Schutzbereich hat zur Folge, dass Art.  2 Abs.  1 GG insoweit verdrängt wird, als der Grundrechtsschutz durch speziellere Grundrechte gewährleistet wird. Das allgemeine Persönlichkeitsrecht dient in eher defensiver Weise der Respektierung eines besonderen Freiraums, der sog. Privatsphäre. Es schützt vor dem unbefugten Eindringen in einen Eigenbereich161 und vor Beeinträchtigungen der Selbstbestimmung und Selbstdarstellung.162 Das BVerfG leitet das allgemeine Persönlichkeitsrecht, das im Wege richterlicher Rechtsfortbildung163 entwickelt worden ist, nicht allein aus Art. 2 Abs. 1 GG her, sondern zieht dazu die Menschenwürde gem. Art. 1 Abs. 1 GG verstärkend und wegweisend heran. Das allgemeine Persönlichkeitsrecht ergänzt die speziellen Freiheitsrechte.164 Schutzgut ist der Geltungsanspruch des Menschen in der sozialen Welt.165 Dieser Geltungsanspruch erfasst sowohl die Sicherung der personalen als auch der sozialen Identität. Die beiden Fallgruppen unterscheiden sich nicht durch den Schutzgegenstand der Identität166, sondern durch die Abwehrrichtung.167 Die personale Identität meint die Einzigartigkeit des Individuums und resultiert aus der Summe der organischen Einmaligkeit und der einzigartigen Kombination biografischer Informationen.168 Dem Einzelnen wird daher in der verfassungsgericht-

160

Vgl. BVerfGE 29, 402 (402); BVerfGE 108, 29 (29). Dieser Eigenbereich wird in der Literatur auch als Zustand oder als bereits materia­ lisierter oder gefestigter Status bezeichnet, vgl. Starck, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Bd. 1, Art. 2 Abs. 1, Rn. 14, vgl. Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 23. 162 Vgl. Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 23. 163 Der Privatsphärenschutz wurde zunächst in der Zivilrechtsprechung als Ergänzung der Persönlichkeitsrechte insbesondere §§ 12 BGB, 17 ff. HGB, 22 KUG, nutzbar gemacht. Den dogmatischen Grundstein hat Hubmann mit seinen Lehren zu Wesen und Wert der Persönlichkeit gelegt (Hubmann, Das Persönlichkeitsrecht, S. 12 ff.). Auch vor dem Hintergrund der Erfahrungen mit dem totalitären NS-Staat und mit Blick auf die modernen technischen Entwicklungen hat der Bundesgerichtshof (BGH) in der Grundsatzentscheidung BGHZ 13, 334 (337 f.) die Rechtsfigur des allgemeinen Persönlichkeitsrechts als „sonstiges Recht“ i. S. v. § 823 Abs. 1 BGB anerkannt und weiterentwickelt (BGHZ 13, 334 ff.; BGHZ 24, 72 ff.; BGHZ 26, 349 ff.; BGHZ 27, 284 ff.; BGHZ 30, 7 (10); BGHZ 35, 363 ff.; BGHZ 39, 124 ff.; BGH, Urt. v. 08.12.1964, NJW 1965, 685 f.). Das BVerfG hat diese Rechtsfigur in der Soraya- und in der Lebach-Entscheidung erörtert, vgl. BVerfGE 34, 296 bzw. BVerfGE 35, 202; vertiefend Schmitt Glaeser, Handbuch des Staatsrechts, VI, § 129, S. 45, Rn. 7 f. 164 Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 24. 165 Di Fabio, in: Maunz/Dürig, Grundgesetz, Art. 2, Rn. 127. 166 Zu den sozialwissenschaftlichen Grundlagen, vgl. De Levita, Der Begriff der Identität, S. 198 ff. 167 Schmitt Glaeser, Handbuch des Staatsrechts, VI, § 129, S. 59, Rn. 30 f. 168 Schmitt Glaeser, Handbuch des Staatsrechts, VI, § 129, S. 59, Rn. 31 f. 161

58

B. Rechtsrahmen des Datenschutzrechts de lege lata

lichen Rechtsprechung ein autonomer Bereich privater Lebensgestaltung eingeräumt, in dem er seine Individualität allein oder mit Personen seines Vertrauens unbeobachtet entwickeln und ausleben kann.169 Die soziale Identität bezieht sich auf das Bild, das sich andere von einer Person machen. Umfasst sind die (Verhaltens-)Erwartungen, welche die Gesellschaft dem Individuum entgegenbringt. Diese Identitätserwartungen und -bilder anderer können die eigenen Entfaltungsspielräume des Individuums einschränken. Denn je genauer und je verbreiteter die Vorstellung ist, die sich andere von einem Individuum machen, desto schwieriger ist es, dieser dauerhaft ein abweichendes, eigenes Selbstbild entgegenzusetzen.170 Die Sicherung der sozialen Identität bildet die Befugnis des Einzelnen, selbst darüber zu befinden, wie er sich gegenüber Dritten oder der Öffentlichkeit darstellen will.171 Die Dichotomie des allgemeinen Persönlichkeitsrechts und der allgemeinen Handlungsfreiheit kann im Hinblick auf die Erhebung und Verwendung von Informationen über ein Individuum wie folgt zusammengefasst werden: Die allgemeine Handlungsfreiheit schützt die Produktion von Lebensdaten. Zugriffsschutz auf Lebensdaten gewährleistet das allgemeine Persönlichkeitsrecht in bereichsspezifischen Ausprägungen.172 In dieser Arbeit wird untersucht, in welchem Umfang diese spezifischen Ausprägungen den Einzelnen vor neuartigen Gefährdungs­lagen durch die vernetzte Datenverarbeitung absichern. Das allgemeine Persönlichkeitsrecht gewährt ein ungeschriebenes JedermannGrundrecht, das allen lebenden natürlichen Personen zusteht.173 Der personelle Schutzbereich von Art. 2 Abs. 1 GG erfasst auch juristische Personen.174 In sachlicher Hinsicht ist das allgemeine Persönlichkeitsrecht auf Entwicklungsoffenheit ausgerichtet.175 Das BVerfG hat eine abschließende Umschreibung des Schutzbereichs stets vermieden.176 Im Einzelfall bestehende Lücken im Grundrechtsschutz

169

Schmitt Glaeser, Handbuch des Staatsrechts, VI, § 129, S. 59, Rn. 31. Vgl. Britz, Freie Entfaltung durch Selbstdarstellung, S. 13. 171 Zolotas, Privatleben und Öffentlichkeit, S. 8; zum sozialen Geltungsanspruch, BVerfGE 35, 202 (220); BVerfGE 54, 148 (155 f.); BVerfGE 63, 131 (142); im Unterschied zum Begriff privacy im anglo-amerikanischen Verfassungsrecht beschränkt sich das allgemeine Persönlichkeitsrecht nicht auf das „Recht, in Ruhe gelassen zu werden“. Vielmehr ist die Möglichkeit der freien Selbstdarstellung des individuellen Persönlichkeitsbildes in der Öffentlichkeit erfasst, vgl. Trute, JZ 1992, 1043 (1044). 172 Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 24. 173 Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 81; Jarass, NJW 1989, 857 (859); Kunig, Jura 1993, 595 (598 f.). 174 Die zivilgerichtliche Rechtsprechung erstreckt das allgemeine Persönlichkeitsrecht auch auf juristische Personen. Das BVerfG hat diese Frage offen gelassen, BVerfG, NJW 1994, 1784; bekräftigt in BVerfGE 95, 220 (242); ausführlich Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 82. 175 Zum Begriff, Zolotas, Privatleben und Öffentlichkeit, S. 8. 176 Di Fabio, in: Maunz/Dürig, Grundgesetz, Art. 2, Rn. 147. 170

II. Nationaler Rechtsrahmen

59

können so flexibel geschlossen werden.177 Die Rechtsprechung hat hier bereichsspezifische Ausprägungen178 herausgearbeitet.179 Das Recht auf informationelle Selbstbestimmung bildet das verfassungsrechtliche Fundament des Datenschutzes, der vom sog. IT-Grundrecht erweitert wird. b) Genese der informationellen Selbstbestimmung Die stetige Weiterentwicklung der Technologie hat es bereits in der Vergangenheit erforderlich gemacht, den Schutz der Persönlichkeit daran anzupassen. So kam in den 1960er Jahren, als Reaktion auf die Verbreitung der Großrechneranlagen, die Vorstellung auf, dass das Recht keinen ausreichenden Schutz vor den Risiken der neuen Technologien gewährleistet.180 Es wurde „eine Revolution des staatlichen und unternehmerischen Handelns“ durch die elektronische Datenverarbeitung befürchtet.181 Eine Schlüsselrolle in der ersten aufkommenden Datenschutzdiskussion spielte Steinmüller mit der Erstellung eines Gutachtens für das Bundesministerium des Inneren. In diesem Gutachten formulierte er die Forderung nach konsequenter Einschränkung der staatlichen Datenverarbeitung, der Begrenzung der privaten Datensammlung und -verwendung sowie der strengen Kontrolle der Informationstechnologie.182 Er forderte ferner eine Verrechtlichung des Informa­ tionswesens.183 Im Zuge dieses Gutachtens prägte er auch den Begriff der informa-

177 Vgl. Di Fabio, in: Maunz/Dürig, Grundgesetz, Art. 2, Rn. 147; vgl. Martini, JA 2009, 839 (840). 178 Di Fabio differenziert in enger Anlehnung an BVerfGE 54, 148 (154) zwischen dem „Schutz der engeren persönlichen Lebenssphäre als Privat- und Intimsphäre“, dem „Schutz der Selbstdarstellung in der Öffentlichkeit unter Einschluss des Schutzes der persönlichen Ehre“, dem „sonstigen Autonomieschutz“ und schließlich dem „Schutz der Grundbedingungen der Persönlichkeitsentfaltung und -entwicklung“, Di Fabio, in: Maunz/Dürig, Grundgesetz, Art.  2, Rn.  148; so auch Horn, in: Stern/Becker, Grundrechte-Kommentar, Art.  2, Rn. 38; Antoni, in: Hömig, Grundgesetz, Art. 1, Rn. 11. Nach Britz sind insbesondere der „Öffentliche Ehrenschutz“, „Diskriminierungsverbote“, der „Schutz gegen falsche Darstellung in der Öffentlichkeit“, das „Recht auf eigene Bestimmung des äußeren Erscheinungsbildes“ und das „Recht auf informationelle Selbstbestimmung“ Ausprägungen, die ihren systematischen Ursprung im „Recht auf Selbstdarstellung“ haben, Britz, Freie Entfaltung durch Selbstdarstellung, S. 66. Entgegen der herrschenden Rechtsprechung und Lehre ordnet Britz ferner den „informatorischen Schutz der Privatsphäre“, das „Recht am eigenen Wort“ und das „Recht am eigenen Bild“ dem „Recht auf informationelle Selbstbestimmung“ zu. 179 Vgl. BVerfGE 54, 148 (154). 180 Bull, Informationelle Selbstbestimmung, S. 23. 181 Steinmüller/Lutterbeck, Grundfragen des Datenschutzes, Anlage 1 zu BT-Drs. 6/3826 v. 07.09.1972, S. 38. 182 Steinmüller/Lutterbeck, Grundfragen des Datenschutzes, Anlage 1 zu BT-Drs. 6/3826 v. 07.09.1972; dem folgend Bull, Informationelle Selbstbestimmung, S. 23. 183 Steinmüller/Lutterbeck, Grundfragen des Datenschutzes, Anlage 1 zu BT-Drs. 6/3826 v. 07.09.1972; dem folgend Bull, Informationelle Selbstbestimmung; Simitis, in: Simitis, BDSG, § 1, Rn. 28; Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 41.

60

B. Rechtsrahmen des Datenschutzrechts de lege lata

tionellen Selbstbestimmung184, den das BVerfG in der Volkszählungsentscheidung heranzog, um seine neu geschöpfte Grundrechtsausprägung zu betiteln.185 Die Einführung der Großrechnertechnologien gab auch den Anstoß zur Verabschiedung der ersten Landesdatenschutzgesetze, in Hessen im Jahr 1970 und in Rheinland-Pfalz im Jahr 1974.186 Das erste Bundesdatenschutzgesetz (BDSG) wurde erst im Jahr 1977 verabschiedet. c) Schutzbereich und Dimensionen Ausgehend von der Mikrozensus-Entscheidung187, in der festgestellt wurde, dass eine zwangsweise Registrierung und Katalogisierung der gesamten Persönlichkeit nicht mit der Verfassung vereinbar ist, hat sich das BVerfG im Volks­ zählungsurteil den Auswirkungen der Informations- und Kommunikationstechnik auf den Persönlichkeitsschutz gewidmet. Das Urteil geht damit über die Prüfung der Verfassungsmäßigkeit des Volkszählungsgesetzes von 1983 hinaus.188 Im Volkszählungsurteil wird das Recht auf informationelle Selbstbestimmung schrittweise hergeleitet.189 Das BVerfG stellt fest, dass das allgemeine Persönlichkeitsrecht auch die „Befugnis des Einzelnen [enthält], grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“.190 An dieser Stelle spricht das Gericht noch nicht von der Selbstbestimmung über personenbezogene Daten, sondern nur über die Offenbarung von persönlichen Lebenssachverhalten.191 Erst in einem weiteren Schritt wird eine erhöhte Schutzbedürftigkeit des Einzelnen durch die informationstechnische Erfassung und Verarbeitung der Persönlichkeitsmerkmale und der Verhältnisse des Einzelnen festgestellt.192 Am Beispiel der automatisierten Datenverarbeitung, die die unbegrenzte Speicherung und den jederzeitigen Abruf von personenbezogenen Daten ermöglicht, führt das BVerfG den Schutzbedarf der Entscheidungsfreiheit aus. Es verweist auf die Gefahr der Bildung von vollständigen Persönlichkeitsprofilen.193 Die elektro 184

Steinmüller, RDV 2007, 158 (159). Bull, Informationelle Selbstbestimmung, S. 25. 186 Gola/Schomerus, BDSG, Einl., Rn. 1. 187 BVerfGE 27, 1 (1). 188 Simitis, in: Simitis, BDSG, Einl., Rn. 29. 189 Nach anderer Ansicht leidet das Volkszählungsurteil gerade unter dem Mangel, dass der Schutzgehalt des Rechts auf informationelle Selbstbestimmung nicht mit eindeutig aufeinanderfolgenden Begründungsschritten entwickelt wurde, Albers, Informationelle Selbstbestimmung, S. 236. 190 BVerfGE 65, 1 (42). 191 Bull, Informationelle Selbstbestimmung, S. 32. 192 Bull, Informationelle Selbstbestimmung, S. 32. 193 BVerfGE 65, 1 (42). 185

II. Nationaler Rechtsrahmen

61

nische Datenverarbeitung erlaubt neue Möglichkeiten, Informationen über eine Person zu erhalten und auf diese Einfluss zu nehmen. Der Umstand, dass der Einzelne zum Objekt staatlicher Überwachungsmaßnahmen werden könnte, kann den Betroffenen in Form von psychischem Druck beeinträchtigen.194 Die der individuellen Selbstbestimmung zugrunde liegende Entscheidungsfreiheit des Betroffenen setzt Transparenz der Informationsinhalte und der Informationsbeziehungen voraus.195 Dies gilt gerade dann, wenn elektronische Datenverarbeitungsanlagen verwendet werden.196 Denn die individuelle Selbstbestimmung wird durch Unsicherheiten bzw. Einschüchterungseffekte bedroht, die daraus resultieren, dass der Grundrechtsträger nicht beurteilen kann, wer welche Erkenntnisse über ihn erlangt hat.197 Informationsdefizite durch Intransparenz sind zwar in gewissem Umfang hinzunehmen, allein schon deshalb, weil das Wissen und die Kenntnisse Dritter nicht abschließend eingeschätzt werden können.198 Diese Verunsicherung soll allerdings nicht so weit gehen, dass selbstverantwortliche und autonome Entscheidungen nicht mehr getroffen werden können. Der Einzelne soll nicht befürchten müssen, dass Informationen über seine Person unkontrollierbar erhoben, weitergeleitet und verarbeitet werden.199 Das BVerfG stellt dazu fest: Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner über seine Person nicht einigermaßen abschätzen kann, der kann in seiner Freiheit aus eigener Selbst­ bestimmung zu planen oder zu entscheiden, wesentlich gehemmt werden.200 Eine Gesellschafts- und Rechtsordnung, in der der Einzelne im Unklaren über die Verbreitung und Nutzung seiner personenbezogenen Daten bleibt, sind nach Auffassung des BVerfG nicht mit dem Recht auf informationelle Selbstbestimmung vereinbar. Das Gericht knüpft das Recht auf informationelle Selbstbestimmung an das allgemeine Persönlichkeitsrecht und folgert:201 „Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“ Ob diese Schlussfolgerung zwingend ist, wird in der Literatur bezweifelt.202

194

BVerfGE 65, 1 (42). Vgl. Bull, Informationelle Selbstbestimmung, S. 30. 196 BVerfGE 65, 1 (42). 197 Vgl. BVerfGE 115, 166 (188). 198 Albers, Informationelle Selbstbestimmung, S. 155. 199 Albers, Informationelle Selbstbestimmung, S. 155. 200 BVerfGE 65, 1 (43). 201 BVerfGE 65, 1 (43). 202 Es mache für die freie Entfaltung der Persönlichkeit keinen Unterschied, ob die Interessen des Grundrechtsträgers auf moderne Weise oder mit konventioneller Technik gefährdet werden. Denn letztlich bliebe es bei den gleichen Gefährdungslagen, nämlich bei Eingriffen in die Privatsphäre, Ausforschung und Diskriminierung. 195

62

B. Rechtsrahmen des Datenschutzrechts de lege lata

Das BVerfG führt abschließend aus, dass das „Grundrecht […] insoweit die Befugnis des Einzelnen [gewährleistet], grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Im Vergleich zu der zu Beginn abstrakt beschriebenen Selbstbestimmungsbefugnis über die Offenbarung persönlicher Informationen hat das BVerfG den Schutzinhalt des informatio­nellen Selbstbestimmungsrechts datenorientiert definiert.203 Das Volkszählungsurteil markiert somit die verfassungsrechtliche Anerkennung des Datenschutzes.204 Der Schutz des Rechts auf informationelle Selbstbestimmung richtet sich in erster Linie nicht gegen die Entstellung des Persönlichkeitsbildes, sondern bereits präventiv gegen die Erfassung und Verarbeitung von Informationen zu dessen Herstellung.205 Das ausschlaggebende Kriterium bilden personenbezogene Daten i. S. v. Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.206 Ob personenbezogene Daten eine aussagekräftige Information enthalten, hat keine Relevanz für die Eröffnung des Schutzbereichs.207 Eingriffe werden ferner nicht nach ihrer Persönlichkeitsrelevanz bewertet. Für die Eröffnung des Schutzbereichs kommt es nicht darauf an, ob die Intim-, Privat- oder Sozialsphäre beeinträchtigt wird208, da sich die sensible Natur eines Datums nicht danach beurteilen lässt, welcher Persönlichkeitssphäre die Information zuzuordnen ist.209 Sphären können nur eine grobe Richtschnur für die Schutzintensität vorgeben.210 Ob das Volkszählungsurteil darüber hinaus eine Abkehr von der Sphärentheorie markiert, wird in der Lehre überwiegend verneint.211 Eine Bedrohung ist ferner nicht darin zu sehen, dass Informationen über den Einzelnen vorhanden sind, sondern dass dieser die Kontrolle darüber verliert, an wen und zu welchen Verwendungszwecken Informationen über ihn im Umlauf sind. Wie das BVerfG vorausschauend erkannt hat, können auch für sich „belanglose“212 Daten in Verknüpfung mit anderen Daten Rückschlüsse über die Per-

Dass der Einzelne selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen darf, sei letztlich nur eine Behauptung des BVerfG, Bull, Informationelle Selbst­ bestimmung, S. 33. 203 Albers, Informationelle Selbstbestimmung, S. 156. 204 Benda, DuD 1984, 86 (89); Hornung, MMR 2004, 3 (3). 205 Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 78. 206 BVerfGE 65, 1 (42). 207 Benda, DuD 1984, 86 (88); Luch, Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“, S. 123. 208 Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 80, Fn. 315; BVerfGE 96, 171 (181). 209 Benda, DuD 1984, 86 (88). 210 Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 88; vgl. Degenhart, JuS 1992, 361 (364). 211 Zum Streitstand Luch, Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“, S. 124; Benda, DuD 1984, 86 (88); Scholz/Pitschas, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, S. 36. 212 BVerfGE 65, 1 (45).

II. Nationaler Rechtsrahmen

63

sönlichkeit des Betroffenen oder seine Lebensgewohnheiten ermöglichen.213 In Abhängigkeit vom Zweck einer Erhebung und den Verarbeitungs- und Verknüpfungsmöglichkeiten können so auch unbedeutende Informationen zu einem aussagekräftigen Gesamtprofil zusammengesetzt werden.214 d) Eingriff Im Volkszählungsurteil wird die Beeinträchtigung des Rechts auf informationelle Selbstbestimmung nicht ausdrücklich problematisiert, sondern von dem Gericht vorausgesetzt.215 Albers kritisiert, dass jede Minderung der Rechtsposition auszureichen scheine, ohne dass das staatliche Vorgehen noch zusätzliche Merkmale aufweisen müsse.216 Der Schutzbereich ist derart weit, dass es beinahe keine „digitalen Ereignisse“ mehr gebe, die diesen nicht tangieren würden.217 Dabei dürfe allerdings nicht vergessen werden, dass die Volkszählungsentscheidung eine Datenerhebung im Wege einer sanktionierten Auskunftspflicht zum Gegenstand hatte. Eingriffsbegründend sei dabei nicht die Verpflichtung zur Mitteilung von personenbezogenen Daten, sondern die Pflicht zur Mitteilung von Angaben, die der Staat weiterverwertet.218 Die informationelle Selbstbestimmung beziehe sich daher typischerweise nicht auf das Mitteilungsverhalten des Einzelnen, sondern auf die sich verselbstständigenden staatlichen Informations- und Datenverarbeitungsvorgänge.219 Auch über die Kriterien der Unmittelbarkeit und Finalität des klassischen Grundrechtseingriffs hinaus wird der Einzelne (präventiv) vor jeder Form der Erhebung, Kenntnisnahme, Speicherung, Verwendung, Weitergabe oder Veröffentlichung von personenbezogenen Daten geschützt.220 Das Volkszählungsurteil enthält ferner keine Ausführungen zur Eingrenzung eines Informationseingriffs.221

213

BVerfGE 65, 1 (44). Vgl. BVerfGE 65, 1 (45). 215 Albers, Informationelle Selbstbestimmung, S. 163. 216 Albers, Informationelle Selbstbestimmung, S. 163. 217 Brunst, Anonymität im Internet, S. 226. 218 Albers, Informationelle Selbstbestimmung, S. 164. 219 Albers, Informationelle Selbstbestimmung, S. 164. 220 Di Fabio, in: Maunz/Dürig, Grundgesetz, Art. 2, Rn. 176; Dreier, in: Dreier, Grundgesetz, Art. 2, Rn. 78. Für eine deutliche Trennung der Eingriffsarten der Erhebung und Weitergabe unter Berücksichtigung des Sphärenmodells spricht sich Luch aus; Luch, Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“, S. 125. 221 Albers, Informationelle Selbstbestimmung, S. 164. 214

64

B. Rechtsrahmen des Datenschutzrechts de lege lata

e) Schranken Das Recht auf informationelle Selbstbestimmung ist nicht schrankenlos gewährleistet. Ob und inwieweit der Einzelne Auskünfte erteilen muss, steht nicht allein in seinem Belieben.222 Das Recht auf informationelle Selbstbestimmung unterliegt einem doppelten Vorbehalt223 aus den Einschränkungen im überwiegenden Allgemeininteresse und durch gesetzliche Regelungen.224 Im Volkszählungsurteil hat das BVerfG klargestellt, dass dem Einzelnen keine absolute Herrschaft bzw. Verfügungsbefugnis über seine Daten zusteht.225 Per­ sonenbezogene Daten sind auch ein Abbild sozialer Realität und Produkt von zwischenmenschlicher Kommunikation. Wer in einer sozialen Gemeinschaft lebt, kann sich gänzlich ausgliedern und, ohne Informationen über sich selbst preiszugeben, lediglich einen Nutzen daraus ziehen.226 Das Spannungsfeld zwischen dem Individuum und der Gemeinschaft war bereits in vorangegangenen Entscheidungen zugunsten der Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit des Individuums entschieden worden.227 Dementsprechend habe der Einzelne grundsätzlich Einschränkungen seines informationellen Selbstbestimmungsrechts im überwiegenden Allgemeininteresse zu dulden.228 f) Schranken-Schranken Eingriffe in den Garantiebereich des Rechts auf informationelle Selbstbestimmung bedürfen einer verfassungsgemäßen, gesetzlichen Grundlage, die dem Gebot der Normenklarheit entsprechen muss. Die Berufung auf die Normenklarheit bedeutet allerdings nicht, dass eine Regelung an einem konkreten Verarbeitungsvorgang orientiert werden muss und gesetzgeberische Informationserwartungen präzisiert werden müssen.229 Beim Erlass der Regelungen hat der Gesetzgeber den 222

Benda, DuD 1984, 86 (89). Albers, Informationelle Selbstbestimmung, S. 182. 224 BVerfGE 61, 1 (1). 225 BVerfGE 65, 1 (43 f.). 226 Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 77; Benda, DuD 1984, 86 (89). 227 BVerfGE 65, 1 (44); das BVerfG verweist auf frühere Entscheidungen: BVerfGE 4, 7 (15); BVerfGE 8, 274 (329); BVerfGE 27, 1 (7); BVerfGE 27, 344 (351 f.); BVerfGE 33, 303 (334); BVerfGE 50, 290 (353); BVerfGE 56, 37 (49). 228 Albers, Informationelle Selbstbestimmung, S. 165; der dogmatische Ursprung dieser relativierenden Einschränkung ist umstritten. Der Lehre nach werden hierbei nicht immanente Grundrechtsschranken begründet, es handelt sich vielmehr um eine Ausprägung des Vorbehalts der verfassungsmäßigen Ordnung des Art. 2 Abs. 1 GG und der Bindungswirkung des Sozialstaatsprinzips, dazu Scholz/Pitschas, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, S. 27. 229 Scholz/Pitschas, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, S. 31. 223

II. Nationaler Rechtsrahmen

65

Grundsatz der Verhältnismäßigkeit zu berücksichtigen. Zudem sind organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, die der Gefahr einer Verletzung des Rechts auf informationelle Selbstbestimmung entgegenwirken.230 Maßnahmen zur Sicherstellung der Datensicherheit können unter solche Vorkehrungen gerechnet werden. Der Gesetzgeber hat ferner die Wesentlichkeitstheorie zu beachten. Nach dieser Theorie wird eine Regelung durch ein vom Parlament beschlossenes Gesetz als unentbehrlich für alle wesentlichen Fragen angesehen, die die Allgemeinheit betreffen.231 Es ist umstritten, inwieweit Generalklauseln als gesetzliche Eingriffsgrundlagen dienen können. Nach der Wesentlichkeitstheorie gilt, dass je schwerwiegender in Grundrechte eingegriffen wird, desto konkreter und restriktiver muss eine gesetzliche Regelung ausgestaltet werden.232 Befugnisnormen müssen, je nach Eingriffsintensität, erhöhten Anforderungen an die Bestimmtheit des Datenverarbeitungszwecks, die Verknüpfungs- und Verwendungsmöglichkeiten, den Kreis der berechtigten Stellen233 und die Datensicherheit gerecht werden. Auf Generalklauseln oder auf die Regelung abstrakter Verarbeitungsvorgänge muss jedoch nicht verzichtet werden.234 Bei der Datenerhebung für statistische Zwecke hat das BVerfG eine andere Wertung im Hinblick auf Einschränkungen vorgenommen. Eine enge und konkrete Zweckbindung der Daten wird nicht verlangt.235 Es liegt in der Natur der Sache, dass statistische Erhebungen auf Vorrat erfolgen, um in der Zukunft für planerische Zwecke genutzt werden zu können.236 Es ist jedoch sicherzustellen, dass der Einzelne nicht zum bloßen „Informationsobjekt“ wird und die Datenverarbeitung kein Selbstzweck ist, sondern der Erfüllung öffentlicher Aufgaben dient.237 2. IT-Grundrecht Im Jahr 2008 hat das BVerfG mit dem sog. IT-Grundrecht eine weitere Ausprägung des allgemeinen Persönlichkeitsrechts präzisiert. Im Kern geht es um den Schutz des Einzelnen vor der Manipulation seiner vernetzten Informations- und Kommunikationsgeräte. 230

BVerfGE 65, 1, (44). Ständige Rechtsprechung des BVerfGE 49, 89 (126 f.); BVerfGE 77, 170 (231); BVerfGE 61, 260 (275). 232 Maurer, Allgemeines Verwaltungsrecht, § 6, Rn. 11. 233 BVerfGE 65, 1 (45); vgl. Polenz, in: Kilian/Heussen, Computerrecht, Teil 13, II, Rn. 11. 234 Scholz/Pitschas, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, S. 31. 235 BVerfGE 65, 1 (1). 236 Benda, DuD 1984, 86 (89). 237 BVerfGE 65, 1 (46, 60); Scholz/Pitschas, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, S. 43 f.; Di Fabio, in: Maunz/Dürig, Grundgesetz, Art. 2, Rn. 185. 231

66

B. Rechtsrahmen des Datenschutzrechts de lege lata

Der Schutzbereich des IT-Grundrechts umfasst die subjektive Erwartungshaltung238 an die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme bzw. die mit einem solchen System erzeugten, verarbeiteten und gespeicherten Daten.239 Die Begriffe der Vertraulichkeit und Integrität sind im Recht der IT-Sicherheit definiert. Vertraulichkeit bedeutet, dass bestimmte Informationen nur Berechtigten zugänglich sind, während Unbefugten der Zugriff verwehrt wird.240 Die Integrität beinhaltet das Interesse des Nutzers, dass die Daten während der Verarbeitung oder Übertragung mittels des Systems nicht beeinträchtigt werden können.241 Das Integritätsinteresse umfasst nicht den Umgang mit personenbezogenen Daten, da dieser dem Schutz des informationellen Selbstbestimmungsrechts unterliegt.242 Der Schutzbereich des IT-Grundrechts ist dann eröffnet, wenn ein komplexes informationstechnisches System, das personenbezogene Daten enthält, die der Nutzer darin mit einer berechtigten Integritäts- und Vertraulichkeitserwartung gespeichert hat, beeinträchtigt wird.243 Ein Eingriff in dieses Grundrecht ist dann anzunehmen, wenn die Integrität des geschützten informationstechnischen Systems angetastet wird, indem auf das System zugegriffen wird. Das ist dann der Fall, wenn dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können. Die Infiltration eines Systems bildet die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems.244 Vertrauliche Daten werden durch den Zugriff unmittelbar gefährdet.245 Vergleichbar mit dem Recht auf informationelle Selbstbestimmung hat der Schutzbereich des IT-Grundrechts eine präventive Ausrichtung. Die Persönlichkeitsgefährdung wird bereits vor einem konkreten Eingriff vom Schutzbereich umfasst, um einen effektiven Grundrechtsschutz zu gewährleisten.246 Nimmt der Staat im Internet öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein247, es sei denn, Informationen werden gezielt zusammengetragen.248 Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist nicht schrankenlos gewährleistet. Eingriffe können sowohl zur Gefahrenabwehr als auch zur Strafverfolgung gerechtfertigt sein.249 238

Luch, MMR 2011, 75 (75). BVerfGE 120, 274 (314). 240 Holznagel/Schumacher, MMR 2009, 3 (3). 241 Holznagel/Schumacher, MMR 2009, 3 (3). 242 Schmale/Tinnefeld, DuD 2012, 401 (402). 243 Ausführlich dazu Luch, MMR 2011, 75 (76). 244 BVerfGE 120, 274 (314). 245 Vgl. Luch, MMR 2011, 75 (75). 246 Im Fall der informationellen Selbstbestimmung wird der Schutz vor Bildung von Persönlichkeitsprofilen miteinbezogen, Luch, MMR 2011, 75 (75). 247 BVerfGE 120, 274 (274). 248 BVerfGE 120, 274 (345). 249 BVerfGE 120, 274 (315). 239

II. Nationaler Rechtsrahmen

67

Der Einzelne muss nur solche Beschränkungen seines Rechts hinnehmen, die auf einer verfassungsmäßigen gesetzlichen Grundlage beruhen.250 Die Anforderungen an die Ermächtigungsgrundlage richten sich dabei nach der Art und Intensität des Grundrechtseingriffs und beinhalten die Normenbestimmtheit, die Normen­ klarheit und den Grundsatz der Verhältnismäßigkeit.251 Ein Grundrechtseingriff in Form eines heimlichen Zugriffs auf ein informationstechnisches System ist nur dann mit dem Gebot der Verhältnismäßigkeit i. e. S. vereinbar, wenn bestimmte Tatsachen die Annahme rechtfertigen, dass eine im Einzelfall drohende Gefahr für ein überragend wichtiges Rechtsgut vorliegt. Überragend wichtige Rechtsgüter sind bspw. Leib und Leben von Personen und existenziell bedeutsame Güter der Allgemeinheit.252 Die gesetzliche Ermächtigungsgrundlage muss ferner Vorkehrungen enthalten, die den Kernbereich privater Lebensgestaltung schützen und die heimliche Infiltration eines informationstechnischen Systems grundsätzlich unter eine richterliche Anordnung stellen.253 Festzuhalten bleibt, dass das IT-Grundrecht keine Erweiterung oder Erneuerung des informationellen Selbstbestimmungsrechts ist. Es handelt sich primär um ein Abwehrrecht gegen staatliche Ausforschung durch heimliche Zugriffe auf eigene Geräte des Berechtigten in seiner Gesamtheit, nicht (nur) um die Erhebung und Verwendung einzelner personenbezogener Daten. 3. Telekommunikationsgeheimnis Das Fernmeldegeheimnis gem. Art. 10 GG gewährleistet dem Einzelnen, Nachrichten und Informationen unbeobachtet von Dritten austauschen zu können. Das Fernmeldegeheimnis umfasst sowohl den Inhalt als auch die näheren Umstände eines Kommunikationsvorgangs. Verschafft sich eine staatliche Stelle Kenntnis von Kommunikationsinhalten auf dem dafür technisch vorgesehenen Weg, ist ein Eingriff in das Fernmeldegeheimnis gem. Art. 10 GG nur in den Fällen gegeben, in denen dies ohne Einwilligung des Kommunikationsteilnehmers geschieht.254 Gleiches gilt für die Überwachung zugangssicherer Kommunikationsinhalte, indem ein Zugangsschlüssel ohne oder gegen den Willen der Beteiligten genutzt wird (sog. Quellen-Telekommunikationsüberwachung).255 Bei dem Fernmelde­ 250

BVerfGE 120, 274 (315). BVerfGE 120, 378 (407). 252 Dazu Hofmann, in: Schmidt-Bleibtreu/Hofmann/Hopfauf, Grundgesetz, Art. 2, Rn. 30d; BVerfGE 120, 274 (274). 253 Roggan, NJW 2009, 257 (261) kritisiert u. a., dass das zweistufige, vom BVerfG vorgegebene Konzept zum Schutz des Kernbereichs privater Lebensgestaltung in § 20k Abs. 7 S. 1 BKAG mangelhaft umgesetzt worden ist. 254 BVerfGE 120, 274 (341). 255 Vertiefend auch zur technischen Umsetzbarkeit, Stadler, MMR 2012, 18 (18 ff.); Braun/ Roggenkamp, K&R 2011, 681 (681 ff.); Popp, ZD 2012, 51 (51 ff.); zur Frage der Zulässigkeit von Screenshots im Rahmen einer Quellen-TKÜ, LG Landshut, Beschl. v. 20.01.2011 – 4 Qs 346/10. 251

68

B. Rechtsrahmen des Datenschutzrechts de lege lata

geheimnis handelt es sich um ein ausdrücklich verfassungsrechtlich verankertes Kommunikationsgrundrecht. 4. Materiell-rechtlicher Datenschutz a) Bundesdatenschutzgesetz aa) Anwendungsbereich Der Zweck des Bundesdatenschutzgesetzes (BDSG) besteht gem. § 1 Abs.  1 BDSG darin, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.256 Das BDSG bildet die normative Basis des materiellen Datenschutzrechts, auf das spezialgesetzliche Datenschutzvorschriften Bezug nehmen.257 Der Datenschutz in öffentlichen Stellen der Länder richtet sich nach Landesdatenschutz­ gesetzen, wenn nicht einer der in § 1 Abs. 2 Nr. 2 BDSG geregelten Tatbestände einschlägig ist. Juristische oder natürliche Personen, die Daten verarbeiten, haben als sog. nicht öffentliche Stellen das BDSG zu beachten, soweit Daten unter Einsatz von Datenverarbeitungsanlagen (sog. automatisierte Verarbeitung258) oder aus nicht-automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden. Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten, die ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt, ist vom Anwendungsbereich gem. § 1 Abs. 2 Nr. 3 BDSG ausdrücklich ausgenommen.259 In § 1 Abs. 3 BDSG ist das Subsidiaritätsprinzip des BDSG verankert. Bereichsspezifische Vorschriften haben Vorrang gegenüber dem BDSG, soweit diese Spezialgesetze einen mit den bundesdatenschutzgesetzlichen Regelungen deckungsgleichen Regelungsgegenstand betreffen bzw. in Tatbestandskonkurrenz260 stehen.261 Dies ist bspw. bei der Verarbeitung von Nutzungsdaten durch Telemediendiensteanbieter gem. § 15 TMG der Fall. Eine ergänzende Anwendung des BDSG kommt lediglich dann in Betracht, wenn speziellere Gesetze nur teilweise den Regelungsgegenstand 256 Zum datenschutzrechtlichen Schutzkonzept, Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 41. 257 Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 32; vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, S. 71. 258 Entgegen des Wortlauts erfasst der Begriff der automatisierten Verarbeitung neben dem Verarbeiten, § 3 Abs. 4 BDSG, auch das automatisierte Erheben und Nutzen, vgl. § 3 Abs. 2 BDSG, dazu Schild, in: Roßnagel, Handbuch Datenschutzrecht, S. 509. 259 Diese Ausnahme wurde aus Art.  2 Abs.  2 zweiter Spiegelstrich DSRL übernommen, Dammann, in: Simitis, BDSG, § 1, Rn. 147; s. oben, S. 36. 260 Gola/Schomerus, BDSG, § 1, Rn. 24. 261 Schmidt, in: Taeger/Gabel, BDSG, § 1, Rn.  33; Gola/Schomerus, BDSG, § 1, Rn.  24; Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 36.

II. Nationaler Rechtsrahmen

69

des BDSG erfassen.262 Vorrangig sind ferner Verbotsnormen zur Datenverarbeitung, wie bspw. Geheimhaltungspflichten oder Berufs-263 und Amtsgeheimnisse.264 bb) Systematik (1) Personenbezogene Daten (a) Einzelangaben Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Das BDSG hat keine postmortale Wirkung, sodass nur lebende Personen geschützt sind.265 Die Begriffsbestimmung entspricht i. W. Art. 2 lit. a DSRL. Auf die Repräsentation von Daten (bspw. durch Sprache, einen maschinenlesbaren Code oder Zeichensprache) und die Art ihrer Darstellung (analog, digital, numerisch oder alphanumerisch) kommt es nicht an. Auch bei Bild- und Tonaufnahmen einer Person handelt es sich um Angaben.266 Personenbezogene Daten setzen daher keine sprachlich-symbolische Vermittlungsfähigkeit267 voraus.268 Eine „Angabe“ weist grundsätzlich eine „geistige Natur“ auf und ist von ihrem physischen Gegenstand und den Vorgängen der realen Welt (sog. „Raumzeittatsachen“269) zu differenzieren.270 262

Schmidt, in: Taeger/Gabel, BDSG, § 1, Rn. 33; Gola/Schomerus, BDSG, § 1, Rn. 24. Zum Verhältnis des Bundesdatenschutzgesetzes zur anwaltlichen Schweigepflicht gem. § 48a Abs. 2 BRAO, § 203 StGB, differenzierend Redeker, NJW 2009, 554 (555 ff.); Weichert, NJW 2009, 550 (551 ff.); vertiefend zur anwaltlichen Schweigepflicht, Miedbrodt, in: Roßnagel, Handbuch Datenschutzrecht, S. 718 ff.; strikt gegen die Anwendung des BDSG auf das Anwaltsgeheimnis spricht sich Rüpke, NJW 2002, 2835 (2836 ff.) aus. 264 Gola/Schomerus, BDSG, § 4, Rn. 11. 265 Informationen über verstorbene Personen haben nur insoweit datenschutzrechtliche Relevanz, wenn mit diesen Daten ein Bezug zu lebenden Personen hergestellt werden kann. Im Übrigen sind Daten über Verstorbene zur Bewahrung des Lebens- und Charakterbildes über den Tod des Rechtsträgers hinaus vom Rechtsgut des postmortalen Persönlichkeitsrechts geschützt, Nink, in: Spindler/Schuster, Recht der elektronischen Medien, BGB, § 823, Rn.  8; Tinne­feld, in: Roßnagel, Handbuch Datenschutzrecht, S. 491. 266 Eine Bildaufnahme enthält Informationen, wie eine Person zu einem Zeitpunkt ausge­ sehen hat, VG Hamburg, Urt. v. 07.03.1980 – VII VG 1282/79. 267 Anders wird dies bspw. bei Namen gem. § 12 BGB beurteilt. Zu den Voraussetzungen des Namensschutzes zählen die Unterscheidungs- und Kennzeichnungskraft von Namen. Kennzeichnungskraft ist die Eignung einer Buchstabenfolge, die Identität einer Person oder Sache zu bezeichnen. Vermittlungsfähigkeit in Form von Kennzeichnungskraft ist daher im Namensrecht tatbestandlich erforderlich. 268 Dammann, in: Simitis, BDSG, § 3, Rn. 4. 269 Weber/Sommerhalder, Das Recht der personenbezogenen Information, S. 172; dem folgend Dammann, in: Simitis, BDSG, § 3, Rn. 5. 270 Weber/Sommerhalder, Das Recht der personenbezogenen Information, S. 172; dem folgend Dammann, in: Simitis, BDSG, § 3, Rn. 5. 263

70

B. Rechtsrahmen des Datenschutzrechts de lege lata

Angaben setzen einen finalen, auf Vermittlung oder Aufbewahrung einer Information gerichteten Willen voraus und sind von flüchtigen Spuren (bspw. Bremsspuren, Blutspuren oder Körpermaterial) zu unterscheiden. Spuren bilden bestenfalls einen Ausgangspunkt für die Analyse und Herstellung von Einzelangaben.271 Einzelangaben sind somit Informationen, die sich auf eine bestimmte einzelne Person beziehen oder ermöglichen, dass ein Bezug zu ihr hergestellt wird. Sie sind nicht gegeben, wenn sich die Angaben zwar auf eine einzelne Person beziehen, diese jedoch nicht identifizierbar ist.272 Das Gleiche gilt für aggregierte273 oder anonymisierte Daten und Sammelangaben über Personengruppen.274 Einzelangaben müssen persönliche oder sachliche Verhältnisse einer Person betreffen. Die präzise Unterscheidung von persönlichen und sachlichen Verhältnissen bereitet jedoch Abgrenzungsschwierigkeiten und wird nicht angewendet.275 Hinter der Formulierung verbirgt sich lediglich die Intention des Gesetzgebers, dass alle Informationen über die eigenen Verhältnisse des Betroffenen erfasst sein sollen, unabhängig davon, welcher Persönlichkeitssphäre sie entstammen.276 Auf Informationsinhalte kommt es nicht an, sodass auch triviale bzw. belanglose Daten vom Schutzbereich erfasst sind. Das BVerfG erteilt der isolierten Betrachtung von Datenverarbeitungsvorgängen eine Absage. Gerade erst die Verknüpfung von Daten und deren Anreicherung um Zusatzwissen macht die Risikolage aus, vor der das BDSG den Betroffenen schützen soll. Ein „Verhältnis“ beschreibt eine bestimmte Beziehung zwischen dem Betroffenen und dem Datum.277 Es handelt sich bspw. um Angaben zu Namen, zur Anschrift, zum Geburtsdatum und Beruf, zur Gesundheit, zu Überzeugungen, Eigentumsverhältnissen, vertraglichen Beziehungen oder zu Informationen zum Kommunikations- und Nutzungsverhalten.278 Auch Angaben, die als Namensersatz fungieren, wie bspw. Personenkennnummern, Konto- und Kreditkartennummern, E-Mail-Adressen und Benutzernamen, zählen dazu.279 Gleiches gilt für Gebäude- und Kfz-Kennzeichenabbildungen, die bei Straßenpanoramadiensten wie Google Street View280 verarbeitet werden. Diese Informationen sind Angaben über 271

Vgl. Dammann, in: Simitis, BDSG, § 3, Rn. 5. Gola/Schomerus, BDSG, § 3, Rn. 3. 273 Die Zusammenfassung von Angaben („Aggregation“) lässt den Personenbezug er­ löschen. Eine Zusammenfassung ist gegeben, wenn über die Verhältnisse der einzelnen Person keine Aussage mehr getroffen werden kann. Es muss sich um Angaben von mindestens drei Personen handeln, vertiefend Dammann, in: Simitis, BDSG, § 3, Rn. 14. 274 Gola/Schomerus, BDSG, § 3, Rn. 3; dazu auch Stiemerling/Hartung, CR 2012, 60 (62). 275 Dammann, in: Simitis, BDSG, § 3, Rn. 7; Schaffland/Wiltfang, BDSG, § 3, Rn. 11; Gola/ Schomerus, BDSG, § 3, Rn. 3; Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht, S. 490. 276 Dammann, in: Simitis, BDSG § 3, Rn. 7. 277 Schaffland/Wiltfang, BDSG, § 3, Rn. 11. 278 Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht, S. 490. 279 Dammann, in: Simitis, BDSG, § 3, Rn. 10. 280 Zu den technischen Grundlagen und der datenschutzrechtlichen Bewertung von Personenabbildungen bei Google Street View, Maisch/Albrecht, jurisAnwZert ITR 2/2010, Anm. 2; 272

II. Nationaler Rechtsrahmen

71

sachliche Verhältnisse.281 Ob zu diesen Angaben auch ein auf eine Person beziehbarer Sachverhalt existiert, ist eine Frage des Personenbezugs von Daten.282 (b) Bestimmtheit und Bestimmbarkeit Die Tatbestandsmerkmale „bestimmt oder bestimmbar“ gem. § 3 Abs. 1 BDSG sind ausschlaggebend für die Anwendbarkeit des BDSG. Daten, die nicht einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, unterliegen nicht seinem Schutz. Daten, die keine Informationen über Einzelpersonen enthalten, stehen jedermann zur freien Verfügung, ohne dass der Schutz­ bereich der informationellen Selbstbestimmung berührt wird. Unter der Bestimmtheit bzw. Bestimmbarkeit versteht der Gesetzgeber die Relation zwischen den Daten und der Person.283 Eine Person ist bestimmt, wenn ein unmittelbarer Rückschluss auf die Identität der betroffenen Person möglich ist. Daten müssen ohne zusätzliche komplexe Rechen- oder Recherchevorgänge einer Person zugeordnet werden können.284 Eine Identitätsverwechslung muss ausgeschlossen sein.285 Unerheblich ist, auf welche Weise die Identifikation des Betroffenen erfolgt.286 Durch eine optische Abbildung, bspw. eine Fotografie, ist eine Person bestimmt, wenn ein Betrachter die Person identifizieren kann.287 Eine Person ist bestimmbar, wenn sie aus dem Kontext der Angaben oder mithilfe des bei der speichernden Stelle vorhandenen Zusatzwissens identifiziert werden kann. Dabei wird vorausgesetzt, dass eine hinreichende Anzahl an Identifikationsmerkmalen gegeben ist. Für die Bestimmbarkeit von Personen ist entscheidend, ob, in welchem Umfang und aus welchen Quellen Zusatzwissen eingeholt wird. Bei der Auslegung der Bestimmbarkeit teilt sich die Lehre in zwei Lager.288 Nach der Theorie vom sog. objektiven Begriff der Bestimmbarkeit soll es ausreichend sein, wenn die Bestimmung einer betroffenen Person „theoretisch möglich“ ist289, selbst wenn dadazu auch Schweiz. BVGer, Urt. v. 30.03.2011 – A-7040/2009; der Beschwerde von Google Inc. teilweise stattgebend, Schweiz. BGer, Urt. v. 31.05.2012 – 1  C-230/2011, ZD-Aktuell 2012, 02985. 281 Jahn/Striezel, K&R 2009, 753 (753). 282 Jahn/Striezel, K&R 2009, 753 (754 ff.). 283 Dammann, in: Simitis, BDSG, § 3, Rn. 20. 284 Vgl. Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht, S. 491. 285 Dammann, in: Simitis, BDSG, § 3, Rn. 20. 286 Schaffland/Wiltfang, BDSG, § 3, Rn. 17. 287 Dammann, in: Simitis, BDSG, § 3, Rn. 22. 288 Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 463. 289 Vgl. Taeger, CR 1991, 681 (684); Baum, CR 1993, 162 (169); AG Berlin v. 27.03.2007 – 5 C 314/06, ZUM 2008, 83 (83); Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 3, Rn. 13.

72

B. Rechtsrahmen des Datenschutzrechts de lege lata

bei illegales Handeln in Kauf zu nehmen ist.290 Der Personenbezug müsse nach Pahlen-Brandt ohne Rücksicht auf die Eigenschaften (Kenntnisse, Mittel, Möglichkeiten) der datenverarbeitenden Stelle bestimmt werden, wobei die objektive Eignung der Daten zur Herstellung des Personenbezugs über die Anwendung des Datenschutzrechts entscheiden müsse. Die Theorie des objektiven Personen­bezugs schütze die informationelle Selbstbestimmung damit auch vor Verstößen gegen gesetzliche Datenschutzbestimmungen.291 Nach anderer (wohl herrschender) Auffassung ist die Bestimmbarkeit des Betroffenen keine konstante Eigenschaft der Daten, sondern hängt vom gegebenen Kontext ab. Es kommt allein auf die Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle an. Die Stelle muss den Personenbezug mit den ihr normalerweise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßigen Aufwand durchführen können. Der Personenbezug ist daher relativ (sog. Relativität des Personenbezugs), da er für eine Stelle Bestand haben kann, während eine andere Stelle ggf. davon ausgeht, dass die Herstellung des Personenbezugs nicht möglich ist.292 Die Anwendung der relativen Theorie bewahrt das Datenschutzrecht vor der Ausuferung. Illegales Handeln kann nicht berücksichtigt werden, da das Gesetz grundsätzlich von einer rechtmäßig handelnden Stelle ausgeht. Die Regelung von Bußgeld- und Strafvorschriften für Verstöße ändert daran nichts, da Fehlverhalten zur Aufrechterhaltung eines effektiven Rechtsschutzes der Sanktionsandrohung bedürfen. Aus der Missachtung einer Norm in Einzelfällen kann zudem nicht geschlossen werden, dass sie nicht hinreichenden Schutz bietet. Die Berücksichtigung des Zusatzwissens von beliebigen, ggf. weltweit verstreut lebenden Dritten, bei denen nicht ausgeschlossen werden kann, dass eine Identifizierung möglich ist, geht über den von der DSRL angelegten Maßstab der Verhältnis­ mäßigkeit hinaus. Nach der DSRL wird sowohl bereits vorhandenes als auch mit nicht unverhältnismäßigem Aufwand293 beschaffbares Zusatzwissen zu den verfügbaren Mitteln

290

So Pahlen-Brandt, K&R 2008, 288 (289). Pahlen-Brandt, K&R 2008, 288 (289); a. A. Dammann, in: Simitis, BDSG, § 3, Rn. 26. 292 Vgl. Gola/Schomerus, BDSG, § 3, Rn. 10; Hornung, DuD 2004, 429 (430); Tinnefeld, in: Roßnagel, Handbuch des Datenschutzrechts, S. 492. Schaffland/Wiltfang, BDSG, § 3, Rn. 17; Arning/Forgó/Krügel, DuD 2006, 704 (704); Eckert, K&R 2007, 602 (602); Meyerdierks, MMR 2009, 8 (8); Caspar, DÖV 2009, 965 (966); LG Frankenthal, MMR 2008, 687 (687); Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 463. 293 Der Aufwand bemisst sich gem. § 3 Abs. 6 BDSG nach der Zeit, den Kosten und der Arbeitskraft. Unverhältnismäßiger Aufwand ist gegeben, wenn der Aufwand den Informationswert, der durch die Bestimmung des Einzelnen erlangt wird, so wesentlich übertrifft, dass vernünftigerweise davon ausgegangen werden kann, dass niemand den Versuch unternimmt, die Identifizierung einer Person mithilfe der betreffenden Daten vorzunehmen; ausführlich Dammann, in: Simitis, BDSG, § 3, Rn. 25. 291

II. Nationaler Rechtsrahmen

73

gezählt.294 Ein nicht unverhältnismäßiger Aufwand bei der Beschaffung des Zusatzwissens ist gegeben, wenn das Wissen sehr leicht, bspw. in öffentlichen Verzeichnissen oder Publikationen, zugänglich ist. Das Zusatzwissen ist dann ein verfügbares Mittel, wenn es „vernünftigerweise“ in Betracht kommt.295 Das ist bei dem Zusatzwissen nicht der Fall, das rechtswidrig oder vertragswidrig beschafft werden müsste.296 Die Art der Quelle des Zusatzwissens hat keine Relevanz, sodass auch Informationen, die der Betroffene selbst in Umlauf gebracht hat, erreichbares Zusatzwissen sein können.297 Im Internet kann dieses Zusatzwissen aus Suchmaschinen und von Websites, Blogs, Foren, User-Generated-Content-Plattformen (bspw. Youtube.com) oder Sozialen Netzwerken stammen. In Sozialen Netzwerken kann die Verhältnismäßigkeit des Aufwands, um Zusatzwissen zu erlangen, je nach Zugangssicherung der Profildaten unterschiedlich zu bewerten sein. Letztlich dürfte auch ein zu ausuferndes weites Verständnis der Bestimmbarkeit mit dem Bestimmtheitsgebot unvereinbar sein.298 Die Annahme des Personenbezugs erfordert neben dieser Relation zwischen den Daten und der Person noch die Betroffenheit einer Person. Mit diesem Merkmal soll der Schutzanspruch des Einzelnen eingegrenzt werden, da andernfalls faktisch alle Erscheinungen und Prozesse des Lebens mit einer Person verknüpfbar wären.299 Die Betroffenheit ergibt sich aus einem thematischen Bezug der Daten zu der Person.300 Personenbezogene Daten seien daher so auszulegen, dass grundsätzlich nur ein Betroffener in Bezug auf eine konkrete Information­ existiert.301 (c) Exkurs: Aufwand der Beschaffung von Zusatzwissen aus Sozialen Netzwerken Kein gegenwärtig bekanntes Telemedium im Internet enthält umfangreichere und authentischere Informationen über Personen als Soziale Netzwerke, allen voran das Netzwerk Facebook. Bei der Frage, mit welchem Aufwand Zusatzwissen aus Sozialen Netzwerken beschafft werden kann, um Personen zu bestimmen oder bestimmbar zu machen, kann nach einem Schichtenmodell abgegrenzt werden. Das Schichtenmodell orientiert sich an dem Umfang der vom Betreiber oder individuell definierten Zugriffsrechte.

294

Dammann, in: Simitis, BDSG, § 3, Rn. 26. DSRL, ABl. L 281/31. 296 Vgl. Dammann, in: Simitis, BDSG, § 3, Rn. 26; a. A. Pahlen-Brandt, K&R 2008, 288 (289). 297 Dammann, in: Simitis, BDSG, § 3, Rn. 30. 298 Meyerdierks, MMR 2009, 8 (13). 299 Dammann, in: Simitis, BDSG, § 3, Rn. 20. 300 Vgl. Dammann, in: Simitis, BDSG, § 3, Rn. 20. 301 Vgl. Dammann, in: Simitis, BDSG, § 3, Rn. 20. 295

74

B. Rechtsrahmen des Datenschutzrechts de lege lata

Die erste, äußerste Schicht kennzeichnen sehr leicht zugängliche Informationen, wie der Abruf von Profildaten, die auch ohne Log-in im Sozialen Netzwerk, z. B. über eine Suchmaschine, zugänglich sind.302 In welchem Umfang eine Profilvorschau weitere Informationen über eine Person enthält, ist von den vorgenommenen Datenschutzeinstellungen des Profilinhabers und der Gestaltung des Sozialen Netzwerks abhängig. Bei Facebook können im Regelfall der Nutzername, das Chronik- und Profilbild, Informationen zum Netzwerk und die Nutzerkennnummer abgerufen werden.303 Ob ein Profil über Suchmaschinen aufgefunden werden kann, ist der Datenschutzkonfiguration des Betroffenen überlassen. „Öffentlich“ sichtbar können auch Pinnwand-Einträge eines Nutzers bei der Facebook-Seite eines Unternehmens oder Inhalte sein, die der Nutzer selbst als „öffentlich“ sichtbar definiert hat. Alle „öffentlichen“ Informationen sind solchen allgemein zugänglichen Daten gleichzusetzen, die im freien Internet mit nur geringem Aufwand abrufbar sind.304 Die zweite Schicht bilden Informationen in einem Sozialen Netzwerk, auf die nur registrierte und eingeloggte Mitglieder zugreifen können. Der Aufwand zur Erstellung eines Mitgliedskontos ist als gering einzustufen, wenn es sich, wie bei Facebook, um einen unentgeltlichen Dienst handelt und wenn die Registrierung grundsätzlich jedermann offensteht. Die Registrierung unter Verwendung einer vorhandenen E-Mail-Adresse kann nach wenigen Eingabeschritten vollendet werden. Die Registrierung wird nur in seltenen Fällen von weiteren Voraussetzungen, bspw. der Überprüfung der Identität über ein Postident- oder Kreditkartenverfahren, die Bestätigung der Identität oder dem Erhalt einer Einladung durch bereits registrierte Nutzer, abhängig gemacht. Für den Kreis der Mitglieder eines Sozialen Netzwerks können Profile vollständig, teilweise oder nur als Profilvorschau preisgegeben werden. Eine Registrierung bei Facebook erfordert lediglich die Verifikation mittels einer E-Mail-Adresse. Der Aufwand, Zugang zum Netzwerk über ein Mitgliedskonto zu erhalten, ist damit nur unwesentlich höher als beim Zugriff auf „öffentliche“ Daten. Innerhalb von Facebook richtet sich der Umfang von Zugriffsrechten nach der Beziehung eines Mitglieds zu einem anderen. Sofern keine Beziehung besteht, ist im Regelfall nur möglich, „öffentliche“ Informationen einzusehen. Im Unterschied zur ersten Schicht des Modells können hier weiter­ gehendere Informationen über Personen über deren Interaktion mit Fanseiten oder mit anderen Mitgliedern abgerufen werden. Je nach der Konfiguration der Daten-

302

Vgl. Seidl/Beyvers, jurisAnwZert ITR 15/2011, Anm. 3. Facebook Ireland Ltd., Datenverwendungsrichtlinien v. 23.09.2011, a.  u. http://www. facebook.com/about/privacy/your-info#everyoneinfo. 304 Für polizeiliche Ermittlungen bedeutet dies, dass die Informationen erhoben, verarbei­ tet und genutzt werden können, ohne dass ein Eingriff in die informationelle Selbstbestimmung vorliegt. Für (repressiv) polizeiliche Ermittlungen ist auf dieser Stufe die Aufgabeneröffnungsnorm nach § 163 Abs. 1 S. 1 StPO einschlägig. Präventiv wäre z. B. Art. 2 Abs. 1 BayPAG ausreichend, vgl. Bär, MMR 1998, 463 (464); ausführlich dazu Seidl/Beyvers, jurisAnwZert ITR 15/2011, Anm. 3. 303

II. Nationaler Rechtsrahmen

75

schutzeinstellungen ist der Zugriff auf Informationen möglich, die der Profilinhaber mit dem Personenkreis „Freunde-von-Freunden“ teilt. Die dritte, innerste Schicht beinhaltet Daten, die nur für Freunde verfügbar sind. Sofern keine Freundschaftsbeziehung besteht, sind nicht offengelegte Informationen nicht zugänglich.305 Es handelt sich um weitere Profildaten, Informationen zu Freundesbeziehungen, Medieninhalte und Informationen zum Nutzerverhalten des Profilinhabers und ggf. (befreundeter) Dritter. Insgesamt sind Daten umfasst, die der Betroffene seiner Privatheit zuordnet und die Abrufbarkeit deshalb entsprechend beschränkt. Die Vereinbarung einer Freundschaft erfolgt durch Angebot einer Freundschaftsbeziehung, die mit einem einfachen Mausklick auf die Schaltfläche „Als Freund hinzufügen“ ausgeführt wird, und entsprechender Annahme durch das andere Facebook-Mitglied. Der Aufwand, der zur Herbeiführung einer Freundschaft zu einem anderen Mitglied nötig ist, lässt sich nicht ohne Weiteres bestimmen. Ein erheblicher Aufwand ist jedenfalls dann nötig, wenn die Herstellung einer Freundschaft zu einer Person erfolgen soll, die dem Antragenden persönlich unbekannt ist. In diesem Fall kann die Errichtung einer vertrauenswürdigen Nutzeridentität, ggf. unter Verwendung erfundener306 oder falscher Namen, und der Aufbau einer vorhergehenden Kommunikationsbeziehung zur Zielperson erforderlich sein. Je nach den Umständen des Einzelfalls, insbesondere nach dem Zweck der Identifizierung und dem damit erzielten Informationswert, kann die Herbeiführung einer Freundschaftsbeziehung zu einem fremden Mitglied einen erheblichen Aufwand verursachen. Der Aufwand, Zusatzwissen über eine Person aus einem Sozialen Netzwerk zu beschaffen, um den Personenbezug von Daten herstellen zu können, bestimmt sich nach den Umständen des Einzelfalls. Zu den entscheidenden Kriterien zählt folglich, welches Soziale Netzwerk zur Erhebung von Daten ausgewählt wird und wie die Zugriffsschichten aufgebaut und im Hinblick auf die Abrufbarkeit von Daten (mit oder ohne Zugriffsberechtigung) konfiguriert sind. Ob der Aufwand verhältnismäßig ist, bestimmt sich in Abwägung mit dem Ziel der Identifizierung.

305 Außerhalb von sozialen Netzwerken gilt dies nach Dammann auch für Informationen, die zweckgemäß nur erstellt wurden, um einem Kreis von befugten Personen oder Stellen eine Identifizierung zu gestatten. Es kann sich zum Beispiel um PINs, Transaktionsdaten, Kennwörter oder Antworten auf Kontrollfragen handeln, vgl. Dammann, in: Simitis, BDSG, § 3, Rn. 30. 306 Vgl. KG Berlin, Beschl. v. 22.07.2009 – (4) 1 Ss 181/09; m. Anm. Seidl/Maisch, jurisPRITR 22/2009, Anm. 3.

76

B. Rechtsrahmen des Datenschutzrechts de lege lata

(2) Anonymität und Pseudonymität Der Personenbezug von Daten ist nicht gegeben, wenn Daten anonymisiert sind. Auf anonymisierte Daten findet das BDSG keine Anwendung.307 Anonymisieren ist gem. § 3 Abs. 6 BDSG „das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“. Aufgrund ihrer hohen Praxisrelevanz ist die Verwendung von anonymisierten Daten in den Bereichen der Markt- und Meinungsforschung sowie in der wissenschaftlichen Forschung in den §§ 30, 30a BDSG bzw. § 40 BDSG speziell geregelt. Zur Anonymisierung werden unterschiedliche Methoden angewendet. Unerlässlich ist die Löschung der direkten Identifikationsmerkmale.308 Zu diesen zählen zunächst die Namen i. S. v. § 12 BGB. Vor- und Zunamen sind in der Regel unveränderliche, personenbezogene Daten, die nur in den gesetzlich geregelten Fällen geändert werden können (z. B. gem. den §§ 1617c, 1355 BGB), und erlauben nicht nur eine Identifikation des Betroffenen, sondern liefern auch Informationen zu Familienmitgliedschaften, zur Abstammung oder zur Herkunft einer Person.309 Die Adresse einer Person ist ein bedeutender Identifikator, der eine Kontaktaufnahme oder Lokalisation des Betroffenen ermöglicht. Wenn mehrere Personen dasselbe Haus bewohnen, ist eine Identifizierung einer Person anhand der Adresse allerdings nur eingeschränkt machbar.310 Zeichen- oder Buchstabenfolgen und Pseudonyme311 bilden Identifikatoren, die insbesondere in der Datenverarbeitung zur Bestimmung von Personen herangezogen werden. Zu ihnen zählen bspw. die Seriennummer des Personalausweises, Kontonummern oder der genetische Fingerabdruck.312 Im Bereich des Internets kann auch die IP-Adresse einen entscheidenden Identifikator ausmachen, soweit sie eindeutig vergeben wird.313 Nach Brunst können auch Verhaltensmuster als Identifikatoren nicht von der Hand ge-

307

Schaffland/Wiltfang, BDSG, § 3, Rn. 15. Dammann, in: Simitis, BDSG, § 3, Rn. 206. 309 Vgl. Brunst, Anonymität im Internet, S. 18. 310 Vgl. Brunst, Anonymität im Internet, S. 19. 311 Dazu Brunst, Anonymität im Internet, S. 20. 312 Ausführlich Brunst, Anonymität im Internet, S. 20. 313 Nach dem Standard IPv4 ist der Vergaberaum von IP-Adressen begrenzt. Manche IPAdressen werden daher nicht dauerhaft („statisch“) an einen Client vergeben, sondern nur für den Zeitraum, in dem eine Verbindung zum Internet besteht. Diese IP-Adressen werden „dynamisch“ vergeben. Mit der Einführung des IPv6-Standards sollen alle IP-Adressen statisch vergeben werden können, sodass die Identifikation jedes vernetzten Geräts, bspw. eines Kommunikations- oder Haushaltsgeräts, möglich ist. Die permanente Identifizierbarkeit von IT-Systemen hat zur Folge, dass der Personenbezug von Daten unter erleichterten Bedingungen hergestellt werden kann. Dies wirft datenschutzrechtliche Fragen auf. Vertiefend dazu, Brosch/Hennrich, jurisAnwZert ITR 21/2011, Anm. 2; Nietsch, CR 2011, 763–768. 308

II. Nationaler Rechtsrahmen

77

wiesen werden. Am Beispiel von Routinen erläutert er, dass die fehlende Benennbarkeit nicht mit der Unbekanntheit einer Person gleichzusetzen sei, da Pendler im morgendlichen Nahverkehr im Regelfall nicht wissen, wie die anderen Menschen heißen, diese aber als die Mitfahrer zuordnen können, die jeden Morgen mit ihnen im gleichen Zeitfenster einen bestimmten Weg zurücklegen. Anhand von typischen Verhaltensweisen, bspw. einer Handschrift, des Schreibduktus oder eines Trittschallmusters314 oder Kommunikationsweisen können Personen identifiziert werden.315 Verhaltens- und Nutzerprofile316 im Internet oder die Browserkonfiguration (sog. Browser Fingerprint317) können Identifikationsmerkmale sein. Die Zugehörigkeit zu einer sozialen Gruppe (z. B. Geschlecht, Alter, Ausbildung, Sexualität oder Beruf) bildet einen Identifikator von untergeordneter Bedeutung.318 Zertifikate, die Identitäten beweiskräftig, bspw. in Form elektronischer Signaturen oder körperlicher Gegenstände (Ausweisdokumente etc.), verbriefen, stellen das verlässlichste Kriterium zur Identifikation von Personen dar.319 Zu den Methoden der Anonymisierung zählt auch die Merkmalsaggregation. Ausgeprägte Merkmale einer Person, bspw. das Alter 20, werden durch Ersatzangaben, bspw. „Alter über 18 Jahre“, ausgedrückt.320 Durch die Verallgemeinerung von Angaben und den Einsatz von Variablen können Kombinationsmöglichkeiten ausgeschlossen werden.321 Möglich ist, die Bestimmbarkeit von Personen mit einer Methode zu beseitigen, bei der in kontrollierter Weise Zufallsfehler in einen Datenbestand eingebracht werden.322 Praktikabel ist auch die partielle Löschung von Informationen. Im Internet wird dies durch die Kürzung von IP-Adressen vollzogen, sodass Nutzer anhand der gekürzten Adresse nicht mehr bestimmbar sind. Dieses Verfahren wird bspw. von Googles Webanalysedienst „Analytics“ verwendet, um die Personenbeziehbarkeit des Nutzungsverhaltens auszuschließen.323 Mit zunehmender sog. Kontamination der Daten durch Zufallsfehler steigt zwar die Schutzwirkung, gleichzeitig besteht jedoch die Gefahr des Informationsverlusts, sodass eine genaue Auswertung der Daten fehlschlagen kann.324 Die Anonymisierung wurde vom Gesetzgeber als Mittel der Datenvermeidung ausdrücklich in § 3a BDSG aufgenommen, wonach Datenverarbeitungsanlagen 314

Zur Kategorisierung von körperlichen Identifikationsmerkmalen, Dammann, in: Simitis, BDSG, § 3, Rn. 10. 315 Brunst, Anonymität im Internet, S. 21. 316 Vgl. Maisch, ITRB 2011, 13–17. 317 Maisch, jurisAnwZert ITR 05/2010, Anm. 3. 318 Brunst, Anonymität im Internet, S. 21. 319 Brunst, Anonymität im Internet, S. 22. 320 Dammann, in: Simitis, BDSG, § 3, Rn. 207. 321 Dammann, in: Simitis, BDSG, § 3, Rn. 208. 322 Dammann, in: Simitis, BDSG, § 3, Rn. 209. 323 Düsseldorfer Kreis, Beschl. v. 26./27.11.2009, S. 2; Maisch, LTO, Beitrag v. 11.02.2011, a. u. http://www.lto.de/recht/hintergruende/h/datenschutz-bei-google-analytics-kritik-an-digi talen-faehrtenlesern/. 324 Dammann, in: Simitis, BDSG, § 3, Rn. 209.

78

B. Rechtsrahmen des Datenschutzrechts de lege lata

so aufzubauen sind, dass so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt werden.325 Nicht als unverbindlicher Programmsatz326, sondern als Pflicht327 zum Angebot der anonymen oder pseudonymen Nutzung und Bezahlung von Telemedien hat der Gesetzgeber § 13 Abs. 6 TMG ausgestaltet.328 Ist die Reidentifizierung des Betroffenen ohne unverhältnismäßig großen Aufwand möglich, ist keine Anonymisierung gegeben. Die getrennte Speicherung von Identifikatoren und sonstigen Merkmalen zur erneuten Zusammenführung der Daten ist selbst dann nicht ausreichend, wenn die Zuordnungsliste oder die Rohdaten unter Verschluss gehalten werden.329 Gelingt es also einem Datenbankverwalter, Systemverwalter oder Datenschutzbeauftragten, den Betroffenen wieder bestimmt oder bestimmbar zu machen, ist keine wirksame Anonymisierung ­gegeben. Im Hinblick auf den in § 3a BDSG statuierten Grundsatz der Datenvermeidung und Datensparsamkeit ist neben der Anonymisierung auch eine Pseudonymisierung vorgesehen. Nach der Begriffsbestimmung gem. § 3 Abs.  6a BDSG bedeutet Pseudonymisieren „das Ersetzen des Namens und anderer Identifika­ tionsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren“. Diese Definition wurde im Zuge der Novellierung des BDSG neu aufgenommen und hat keine Entsprechung in der DSRL.330 Ziel der Pseudonymisierung als „Identitätsverschleierung“331 ist, die Kenntnis von der vollständigen Identität des Betroffenen bei solchen Verarbeitungs- und Nutzungsvorgängen auszuschließen, bei denen ein Personenbezug nicht notwendig ist.332 Im Unterschied zur Anonymisierung von Daten verfügt die verantwortliche Stelle oder eine andere Stelle hier über eine Referenzdatei, mit deren Hilfe das Pseudonym und die Identität des Betroffenen wieder zusammengeführt werden können.333 Im Übrigen erlauben Pseudonyme, dass alle Handlungen, die unter dieser alternativen Identität vorgenommen werden, entsprechend zugeordnet werden können. Dieser Vorgang der Zusammenführung wird „Verkettung“ von perso-

325

Dammann, in: Simitis, BDSG, § 3, Rn. 196. Schaffland/Wiltfang, BDSG, § 3a, Rn. 2. 327 Ob § 13 Abs.  6 S.  1 TMG eine entsprechende Pflicht für Diensteanbieter statuiert, ist umstritten. Einer Ansicht nach zielt § 13 Abs.  6 S.  1 TMG darauf ab, die Ansammlung von personenbezogenen Nutzungs- und Abrechnungsdaten zu vermeiden. Dies gelte aber nicht für Bestandsdaten (Moos, in: Taeger/Gabel, BDSG, TMG, § 13, Rn.  41). Dieser Ansicht wird entgegengehalten, dass die Vorschrift ihre Wirkung einbüße, wenn Diensteanbieter über die Bestandsdaten jedem Nutzer das Nutzungsverhalten zuordnen können, vgl. Albrecht,­ jurisAnwZert ITR 01/2011, Anm. 2. 328 s. Albrecht, jurisAnwZert ITR 01/2011, Anm. 2. 329 Dammann, in: Simitis, BDSG, § 3, Rn. 200. 330 Scholz, in: Simitis, BDSG, § 3, Rn. 212. 331 s. Art.-29-Datenschutzgruppe, Stellungnahme 04/2007, WP 136, S. 21. 332 Gola/Schomerus, BDSG, § 3, Rn. 46. 333 Gola/Schomerus, BDSG, § 3, Rn. 46; Scholz, in: Simitis, BDSG, § 3, Rn. 215. 326

II. Nationaler Rechtsrahmen

79

nenbezogenen Daten genannt.334 Die Verkettbarkeit von Daten kann dazu genutzt werden, umfassende Profile unter einem Pseudonym zu erstellen. Ohne die Aufdeckung der Identität können auch Rechte und Befugnisse, bspw. Vollmachten, die Geschäftsfähigkeit und sonstige Berechtigungen, geltend gemacht werden.335 Gleichzeitig ermöglicht die Zuordnungsfunktion des Pseudonyms seine gezielte Aufdeckung. Die Anonymitätsstärke, bzw. die Aufdeckungswahrscheinlichkeit eines Pseudonyms, bemisst sich nach verschiedenen Faktoren, bspw. nach dem Zeitpunkt der Pseudonymisierung, der Gültigkeitsdauer, der Rücknahmefestigkeit des Zuordnungsverfahrens, der Granularität der Pseudonymisierung und der Anzahl der pseudonymisierten Identifikationsmerkmale.336 Ob pseudonyme Daten personenbeziehbar sind oder nicht, hängt von der Möglichkeit der Reidentifizierung in einer konkreten Verarbeitungssituation ab. Die Reidentifizierbarkeit richtet sich danach, ob der Personenbezug von Daten mit rechtmäßig erlangbarem Zusatzwissen wiederhergestellt werden kann und die Reidentifizierung mit noch verhältnismäßigem Aufwand unter Verwendung der zur Verfügung stehenden Mittel und Möglichkeiten erfolgen kann.337 Auch hier wirkt sich die Relativität des Personenbezugs aus. Für eine verantwortliche Stelle, die keine Kenntnis von der Zuordnungsfunktion und keine Möglichkeit zur Kenntnisnahme hat, sind diese pseudonymen Daten faktisch anonym.338 Selbst wenn die Möglichkeit der Zuordnung nicht vollständig ausgeschlossen werden kann, hat die Pseudonymisierung eine datenschutzfreundliche Wirkung, da sie das Risiko des Verlusts der informationellen Selbstbestimmung mindert.339 (3) Besondere Schutzwürdigkeit von Daten Im BDSG sind Sonderregelungen340 für „besondere Arten personenbezogener Daten“ enthalten. In Umsetzung341 der Vorgaben von Art. 8 DSRL werden in § 3 Abs. 9 BDSG Datenkategorien definiert, die als besonders schutzbedürftig eingestuft werden.342 Es wird kritisiert, dass die Regelung im Widerspruch zum verfas 334

Scholz, in: Simitis, BDSG, § 3, Rn. 216; Brunst, Anonymität im Internet, S. 27. Scholz, in: Simitis, BDSG, § 3, Rn. 216. 336 Vgl. Scholz, in: Simitis, BDSG, § 3, Rn. 217. 337 Scholz, in: Simitis, BDSG, § 3, Rn.  217a; Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht, S. 493. 338 Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht, S. 493. 339 Vgl. Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht, S. 495. 340 Vertiefend dazu Simitis, in: Simitis, BDSG, § 3, Rn. 255 ff. 341 In Art. 8 Abs. 1 DSRL wurde das Verbot mit Erlaubnisvorbehalt strenger als im BDSG umgesetzt: „Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.“ Die Vorschrift regelt in Abs. 2 Ausnahmen vom Verwendungsverbot in Abs. 1; vgl. Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht, S. 497 f. 342 Simitis, in: Simitis, BDSG, § 3, Rn. 250. 335

80

B. Rechtsrahmen des Datenschutzrechts de lege lata

sungsrechtlichen Verständnis steht, wonach es kein belangloses Datum gibt bzw. alle Daten gleich schutzwürdig sind.343 Besondere Arten personenbezogener Daten sind demnach „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philo­ sophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“. Die besondere Schutzwürdigkeit bemisst sich nicht nach den Angaben an sich, sondern nach dem Verwendungszusammenhang.344 Die Schutzwürdigkeit entfällt, soweit es sich um offenkundige Daten handelt. Offenkundige Daten gem. Art. 8 Abs. 2 lit. e Alt. 1 DSRL sind solche Daten, die der Betroffene freiwillig öffentlich gemacht hat.345 Gerade in Sozialen Netzwerken werden besondere Arten von personenbezogenen Daten durch die Betroffenen selbst veröffentlicht. Die freiwillige Preisgabe dieser Daten, bspw. Angaben über die Religionszugehörigkeit einer Person, steht im Zusammenhang mit der Gestaltung der Eingabefelder, die die Nutzer dazu veranlassen soll, möglichst viele private Informationen zu speichern. (4) Zulässigkeit der Datenverarbeitung, § 4 BDSG Die Vorschrift des § 4 Abs. 1 BDSG enthält die das Datenschutzrecht prägende Weichenstellung: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist ausschließlich dann zulässig, soweit ein gesetzlicher Tatbestand des BDSG oder einer anderen Rechtsvorschrift dies erlaubt oder anordnet. Der Umgang mit personenbezogenen Daten ist an den Grundsatz des „Verbots mit Erlaubnisvorbehalt“ gekoppelt.346 Für jede Phase der Datenverarbeitung ist dabei das Vorliegen des erforderlichen Erlaubnistatbestands zu prüfen.347 Neben einem gesetzlichen Erlaubnistatbestand oder einer Zugriffsnorm kann die Datenverarbeitung auch mit einer Einwilligung des Betroffenen legitimiert werden. Fehlt es an einer wirksamen Einwilligung, entfällt die Rechtfertigung der Datenverarbeitung mit der Folge, dass diese rechtswidrig wird. Bei der Einwilligung handelt es sich um eine rechtsgeschäftliche Willenserklärung, mit der der Betroffene seine informationelle Selbstbestimmung zum Ausdruck bringt. Auf die Einwilligung finden die zivilrechtlichen Vorschriften über die Geschäftsfähigkeit (§§ 104 ff. BGB), die Anfechtbarkeit (§§ 119, 123 BGB) und die Nichtigkeit wegen Gesetzesverstoßes (§ 134 BGB) Anwendung.348 § 4a BDSG knüpft die Wirksamkeit der Einwilligung an bestimmte Voraussetzungen. Die Einwilligung ist nur wirksam, wenn sie aufgrund einer freien Entscheidung des Betroffenen getroffen wird. Eine freie 343

Gola/Schomerus, BDSG, § 3, Rn. 56; Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 101. 344 BVerfGE 65, 1 (45); Simitis, in: Simitis, BDSG, § 3, Rn. 251. 345 Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht, S. 498. 346 Gola/Schomerus, BDSG, § 4, Rn. 3. 347 Gola/Schomerus, BDSG, § 4, Rn. 5. 348 Polenz, in: Kilian/Heussen, Computerrecht, Teil 13, IV, Rn. 52.

II. Nationaler Rechtsrahmen

81

Entscheidung setzt voraus, dass die Entscheidungssituation erkannt wird und eine positive Willensbetätigung erfolgt. Ob eine Erklärung aktiv angekreuzt (Opt-in) oder ausgekreuzt (Opt-out) werden muss, ist ohne Belang.349 Der Betroffene ist gem. § 4a Abs. 1 S. 2 BDSG auf den vorgesehenen Zweck der Verarbeitung und, soweit nach den Umständen des Einzelfalls erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Vorschrift macht deutlich, dass der Betroffene hinreichend darüber informiert sein muss, wer welche Daten wozu verarbeitet. Entscheidend ist, dass der Verwendungsvorgang konkret umschrieben ist.350 Der Grad der Bestimmtheit der Erklärung richtet sich nach der Komplexität des Verfahrens.351 Sind davon auch besondere Arten personenbezogener Daten erfasst, muss dies gem. § 4a Abs. 3 BDSG hervorgehoben werden. Unbestimmte Unterrichtungen oder Generalermächtigungen haben die Unwirksamkeit der Einwilligung zur Folge.352 cc) Grundsätze der Datenverarbeitung (1) Transparenz Die informationelle Selbstbestimmung setzt Transparenz voraus. Damit der Betroffene wissen kann, wer was über ihn weiß, muss er in der Lage sein, die Bedingungen der Datenverarbeitung zu verstehen.353 Sind personenbezogene Daten erhoben, verarbeitet oder genutzt worden, muss der Betroffene die Möglichkeit haben, sich über die Datenverarbeitung informieren zu können. Dazu steht ihm ein Recht auf Auskunft zu.354 Sofern die Selbstbestimmung auch die Selbstdarstellung in der Öffentlichkeit355 und die Kontrolle der Fremdzuschreibungen er 349 Ob es an der Freiwilligkeit fehlt, wenn eine Erklärung ausgekreuzt werden muss, sog. Opt-out-Lösung, war früher umstritten. Die Unzulässigkeit der Opt-out-Lösung hat das LG München I angenommen, Urt. v. 09.03.2006 – 12 O 12679/05, RDV 2006, 169 (169); a. A. OLG München, Urt. v. 28.09.2006 – 29 U 2769/06, MMR 2007, 47 (49). Opt-out-Lösungen bei Kundenbindungssystemen ließen Transparenzdefizite im Vergleich mit Opt-in-Lösungen erkennen (ULD, Kundenbindungssysteme und Datenschutz, Gutachten, S. 80). In seiner Payback-Entscheidung hat der BGH die beanstandete Opt-out-Lösung gem. § 307 Abs. 2 Nr. 1 i. V. m. Abs. 3 S. 1 BGB i. V. m. §§ 4 Abs. 1, 4a Abs. 1 BDSG für wirksam beurteilt, da mit der Gestaltung keine erhebliche Hemmschwelle für Verbraucher besteht, von seiner Entscheidung über die Datenverarbeitung Gebrauch zu machen, BGH, Urt. v. 16.07.2008 – VIII ZR 348/06, MMR 2008, 731 (733). 350 Simitis, in: Simitis, BDSG, § 4a, Rn. 77. 351 Gola/Schomerus, BDSG, § 4a, Rn. 26. 352 Polenz, in: Kilian/Heussen, Computerrecht, Teil 13, IV, Rn. 55. 353 Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 342. 354 BVerfGE 65, 1 (46). 355 Die Selbstdarstellung in der Öffentlichkeit und das informationelle Selbstbestimmungsrecht weisen Schnittmengen auf. Die Selbstdarstellung geht dabei nicht so weit, dass der Einzelne ein Recht darauf hat, in der Öffentlichkeit so dargestellt zu werden, wie er sich sieht (Selbstbild)  oder gesehen werden möchte. Auch in der Spickmich.de-Entscheidung hat der

82

B. Rechtsrahmen des Datenschutzrechts de lege lata

möglichen soll, muss der Betroffene über einen hinreichenden Bestand an Informationen über die Umstände und Verfahren der Datenverarbeitung und -nutzung verfügen.356 Nur wenn der Betroffene ausreichend über die Datenverwendung informiert ist, kann er deren Rechtmäßigkeit überprüfen und seine Rechte geltend machen. Ohne Transparenz fehlt dem Betroffenen die Informationsbasis, um überhaupt tätig zu werden. Der Grundsatz der Transparenz ist in der DSRL und im Verfassungsrecht verankert. Gem. Art. 10 und 11 DSRL unterliegt die verantwortliche Stelle bei der Erhebung personenbezogener Daten bestimmten Informationspflichten, wie bspw. der Angabe der Identität des Verantwortlichen und der Zweckbestimmung der Ver­arbeitung. Art. 11 DSRL regelt die Erhebung von Daten für den Fall, dass die Daten nicht beim Betroffenen erhoben wurden. Zur verfassungsrechtlichen Sicherstellung der Transparenz hat das BVerfG die Aufklärungs- und Auskunftspflichten der verantwortlichen Stelle als Schutzvorkehrung der informationellen Selbstbestimmung gefordert.357 Nach Roßnagel könne vom Betroffenen nicht erwartet werden, dass dieser umfangreiche, seitenlange Informationen zur Datenverarbeitung Kenntnis nimmt.358 Ferner muss die Unterrichtung nicht derart gestaltet sein, dass sie das Dienstleistungsangebot der verantwortlichen Stelle unattraktiv macht.359 Es muss nur die Möglichkeit der Kenntnisnahme von Informationen geschaffen werden. Die Informationen zur Datenverarbeitung dürfen sich dabei nach Heckmann nicht hinter juristischen Formulierungsfeinheiten verstecken. Vielmehr muss der Betroffene so informiert werden, dass er „aus eigener Einsicht, selbstbewusst und Alternativen verwerfend“ eine Entscheidung treffen kann.360 Transparenz bedeutet dabei auch Verständlichkeit der Informationen. Dies gilt gem. § 4a BDSG zwingend dann, wenn die Entscheidung über die Abgabe einer Einwilligung bevorsteht.

BGH im Rahmen der schutzwürdigen Interessen gem. § 29 Abs.  1 S.  1 Nr.  1, Nr.  2 BDSG erst zwischen dem Recht auf informationelle Selbstbestimmung und dem Recht auf Kommunikationsfreiheit nach Art.  5 Abs.  1 GG abgewogen und letzterem das größere Gewicht zugemessen. Die Erhebung, Speicherung und Übermittlung der personenbezogenen Bewertungen einer Lehrerin auf dem konkreten Portal Spickmich.de hat der BGH trotz der fehlenden Einwilligung für zulässig bewertet, vgl. BGH, Urt. v. 23.06.2009 – VI ZR 196/08; dazu Roggenkamp, K&R 2009, 571 (571 f.). Für eine Selbstdarstellung, bei der die informationelle Selbstbestimmung lediglich ein Mittel zum Zweck darstellt, argumentiert Britz, Freie Entfaltung durch Selbstdarstellung, S. 4; zum Streitstand übersichtlich Bull, Informationelle Selbst­ bestimmung, S. 50 ff. 356 Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 342. 357 BVerfGE 65, 1 (46). 358 Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 343; so auch Heckmann, K&R 2010, 770 (772). 359 Vgl. Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 343. 360 Heckmann, K&R 2011, 1 (4).

II. Nationaler Rechtsrahmen

83

(2) Zweckbindung Die Verwendung von personenbezogenen Daten richtet sich nach dem gesetzlich bestimmten oder im Rahmen der Einwilligung genehmigten Zweck. Die Datenverarbeitung muss nur in dem Ausmaß geduldet werden, in dem die Datenerhebung zur Erreichung eines erlaubten Zwecks erforderlich ist.361 Die Definition des Verwendungszwecks soll dem Betroffenen ermöglichen, seine (informationelle) Selbstbestimmung ausüben zu können und gleichzeitig ein Leben ohne Angst vor einer staatlich veranlassten Registrierung (und Beobachtung) seiner Person führen zu können.362 Die Zweckbindung und die Zweckbegrenzung können nicht allein normativ sichergestellt werden. Dies ist vielmehr Aufgabe der Systemgestaltung und der Konzepte von Datenschutz durch Technik (= Systemdatenschutz).363 (3) Erforderlichkeit Die Erforderlichkeit der Datenverarbeitung ist eng mit der Zweckbindung verknüpft. Grundsätzlich sind die Erhebung, Verarbeitung und Nutzung personenbezo­ gener Daten ein Eingriff in das Recht auf informationelle Selbstbestimmung und darf daher nur erfolgen, soweit die Verarbeitungsphasen erforderlich sind.364 Die Erforderlichkeit einer Datenverarbeitung ist gegeben, wenn auf sie zur Erreichung des zulässigen Zwecks nicht verzichtet werden kann. Ein grundsätzliches Interesse an Daten und das Motiv der Ansammlung von Daten auf Vorrat für künftige Zwecke oder zur Erleichterung von Vorgängen reichen nicht aus.365 (4) Kontrolle Datenverarbeitungsvorgänge und -systeme sind im Regelfall für Betroffene intransparent. Beeinträchtigungen der informationellen Selbstbestimmung sind nicht unmittelbar erkennbar oder wahrnehmbar.366 Die Distanz zu Datenverarbeitungsvorgängen und Defizite bei der Wahrnehmung von Rechten machen eine rechtliche Kompensation durch die Einrichtung unabhängiger Kontrollstellen367 erforderlich.368 Diese Stellen müssen wirksame Kontrollmöglichkeiten verfügen. 361

BVerfGE 65, 1 (46 ff.). Mit Verweis auf BVerfGE 65, 1 (43), vgl. Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 351. 363 So auch Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 351. 364 BVerfGE 61, 1 (43, 46). 365 Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 350. 366 Daher hat der Gesetzgeber auch § 42a BDSG geschaffen, um datenverarbeitende Stellen zur Mitteilung von Datenschutzverletzungen in bestimmten Fällen zu verpflichten. 367 Zu diesen zählt auch die Beteiligung von unabhängigen Datenschutzbeauftragten, vgl. BVerfGE 56, 1 (46). 368 Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 175; BVerfGE 100, 313 (361 f.). 362

84

B. Rechtsrahmen des Datenschutzrechts de lege lata

(5) Betroffenenrechte Informationelle Selbstbestimmung bedeutet auch die Wahrnehmung von Mitwirkungsmöglichkeiten und dementsprechend die Ausübung von Kontrolle. Dazu sehen das BDSG und Spezialgesetze Betroffenenrechte vor. Ein effektiver Datenschutz setzt dabei voraus, dass der Betroffene seine Rechte auf Auskunft und Kontrolle, bspw. in Form der Löschung oder Sperrung von personenbezogenen Daten oder dem Widerruf seiner Einwilligung, tatsächlich in Anspruch nehmen kann.369 dd) Datensicherung § 9 BDSG enthält die Pflicht370 für Personen und Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, die nach dem BDSG erforderlichen technischen und organisatorischen Maßnahmen zu treffen.371 Diese Aufforderung zur Einhaltung der technisch-organisatorischen Datensicherheit372 erklärt sich damit, dass die Vorschrift vom Datenschutzkonzept der siebziger Jahre, also dem Schutz der Daten im ursprünglichen Sinne und nicht vom Schutz der dahinterstehenden Entscheidungsfreiheit des Betroffenen geprägt ist.373 Besondere Sicherungsmaßnahmen bei automatisierter374 Datenverarbeitung sind in den Regelbeispielen der Anlage zu § 9 S. 1 BDSG genannt.

369

Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 352. Die Verpflichtung zur Gewährleistung der Datensicherheit gilt unabhängig davon, ob die Datenverarbeitung für eigene oder fremde Zwecke geschieht und ob personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden, Schultze-Melling, in: Taeger/Gabel, BDSG, § 9, Rn. 14. 371 Die Gewährleistung des adäquaten Schutzniveaus gem. § 9 BDSG sichert nicht nur die Selbstbestimmung des Betroffenen, sondern dient auch zur Vermeidung aufsichtsbehördlicher Anordnungen und Zwangsgelder gem. § 38 Abs. 5 BDSG. Bei schwerwiegenden Mängeln, die eine besondere Gefährdung des Persönlichkeitsrechts des Betroffenen herbeiführen können, kann die zuständige Aufsichtsbehörde den Einsatz einzelner Verfahren der Datenverarbeitung gem. § 38 Abs. 5 S. 2 BDSG untersagen. Unmittelbare Rechtsfolgen im Rahmen von Bußgeldoder Straftatbeständen werden bei einem Verstoß gegen die Datensicherungspflichten aus § 9 BDSG nicht ausgelöst, vgl. Schultze-Melling, in: Taeger/Gabel, BDSG, § 9, Rn. 32. 372 Die Pflicht zur Datensicherheit steht im Zusammenhang mit dem Interesse der datenverarbeitenden Stelle an sicheren Datenverarbeitungsanlagen zur Einhaltung der IT-Compliance (zum Begriff IT-Compliance, vgl. Lensdorf, CR 2007, 413 ff.; umfassend zu den Rechtsgrundlagen der IT-Sicherheit, Schmidl, in: Hauschka, Corporate Compliance, § 29, Rn. 37 ff.). Die Pflicht zur Datensicherheit gem. § 9 BDSG stellt die Bedeutung der Datensicherheit zur Gewährleistung des vom Gesetzgeber angestrebten Datenschutzes klar. Der Begriff der Daten­ sicherheit unterscheidet sich daher vom Begriff des Datenschutzes, vgl. Stechow, Datenschutz durch Technik, S. 75. 373 Stechow, Datenschutz durch Technik, S. 75; Ernestus, in: Simitis, BDSG, § 9, Rn. 2; Kramer/Meints, in: Hoeren/Sieber, Multimedia-Recht, Teil 16.5, Rn. 3. 374 Schaffland/Wiltfang, BDSG, § 9, Rn. 8. 370

II. Nationaler Rechtsrahmen

85

Erforderlich sind Maßnahmen gem. § 9 S. 2 BDSG nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.375 Der Begriff der technischen und organisatorischen Maßnahmen steht für alle Maßnahmen, die geeignet sind, eine fortlaufende Sicherung der Daten und der zu ihrer Verarbeitung eingesetzten Prozesse zu unterstützen.376 Ob getroffene Maßnahmen tatsächlich Datensicherheit schaffen, bleibt jedoch offen, da § 9 S. 1 BDSG und seine Anlage keine „Qualitätskontrolle“ einfordern. Anders als Art. 17 Abs. 2 DSRL bzw. § 11 Abs. 2 S. 1 BDSG, wonach der Auftragsdatenverarbeiter danach auszuwählen ist, dass er eine „ausreichende Gewähr“ bei den zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen bietet, und sich der Verantwortliche „von der Einhaltung dieser Maßnahmen“ zu überzeugen hat, enthält § 9 BDSG keine vergleichbaren Sorgfaltspflichten zur Vornahme von Audits oder zur Abgabe von Prüfungsberichten an den betrieblichen Datenschutzbeauftragten.377 § 9 BDSG fordert nicht die Erreichung eines bestimmten Niveaus an (Kommunikations-)Sicherheit ein, z. B. die Erreichung absoluter Sicherheit.378 Es sind vielmehr Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit zu treffen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (§ 9 S. 2 BDSG). Entscheidend kommt es auf die Art der zu schützenden Daten an und welchen Gefährdungslagen die Daten unter Berücksichtigung aller Umstände des Einzelfalls ausgesetzt sind. Dies ergibt sich nicht aus dem Wortlaut von § 9 BDSG, sondern aus Art.  17 Abs.  1 S.  2 DSRL, der bei der Bemessung des Schutzniveaus auch auf die „von der Verarbeitung ausgehenden Risiken“ Bezug nimmt.379 Hilfestellung kann hier eine Klassifizierung von Daten bzw. Daten­ verarbeitungsvorgängen geben, bei denen ein hohes bzw. geringes Schutzbedürfnis besteht.380 Ein hohes Schutzbedürfnis liegt vor z. B. bei Daten, die bereits vom Gesetz­geber gem. § 3 Abs. 9 BDSG als besonders schutzwürdig anerkannt worden sind oder die geeignet sind, anonymisierte Daten reidentifizierbar zu machen.381 Die Schutzbedürftigkeit des Betroffenen erhöht sich zudem, wenn eine fehlerhafte Verarbeitung

375

Bei der Abwägung gem. § 9 S. 2 BDSG handelt es sich um die Kodifikation des verfas­ sungsrechtlich etablierten Verhältnismäßigkeitsgrundsatzes, vgl. Ernestus, in: Simitis, BDSG, § 9, Rn. 23. 376 Schultze-Melling, in: Taeger/Gabel, BDSG, § 9, Rn. 16–17. 377 Schneider, ZD 2011, 6 (8). 378 Heckmann/Seidl/Maisch, Adäquates Sicherheitsniveau bei der elektronischen Kommunikation, S. 71 f.; s. a. Schneider, ZD 2011, 6 (8). 379 Schneider, ZD 2011, 6 (10). 380 Maisch, jurisAnwZert ITR 20/2011, Anm. 2. 381 Schultze-Melling, in: Taeger/Gabel, BDSG, § 9, Rn. 21; Maisch, jurisAnwZert ITR 20/ 2011, Anm. 2; zu Daten, die als Grundlage von (behördlichen) Entscheidungen herangezogen werden, Ernestus, in: Simitis, BDSG, § 9, Rn. 41; zur Schutzbedürftigkeit von Sozialdaten, vgl. OVG Hamburg, Urt. v. 07.07.2005 – 1 Bf 172/03, NJW 2006, 310 (310).

86

B. Rechtsrahmen des Datenschutzrechts de lege lata

für den Betroffenen nicht (sofort) erkennbar ist und Entscheidungsprozesse nicht überprüfbar oder revidierbar sind.382 Ein lediglich geringes Schutzbedürfnis ist bei Daten gegeben, die aus allgemein zugänglichen Quellen (bspw. Telefonbücher, öffentliche Register oder Verzeichnisse)  entnommen werden können.383 Gleiches gilt bei allgemein zugänglichen Internetseiten, den Ergebnissen einer Suchmaschine oder für allgemein zugängliche Daten in Sozialen Netzwerken. Zur Klassifizierung der Schutzbedürftigkeit von Datenverarbeitungsvorgängen kann z. B. im Bereich des Cloud Computings auf den Leitfaden des BITKOM384, den ENISA Report385 und den Leitfaden386 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie bei allgemeinen Fragen auf die IT-GrundschutzKataloge und die Zertifizierungsanforderungen von ISO 27001 zurückgegriffen werden. Ein weiterer Abwägungsfaktor auf der Seite der Schutzbedürftigkeit ist das „Schadenspotenzial“, das konkreten Datensätzen innewohnt. Es ist dabei eine Hypo­these aufzustellen, welche Folgen der Verlust oder die unkontrollierte Preisgabe bestimmter personenbezogener Daten haben könnte.387 Die Schutzbedürftigkeit ist zusammen mit dem Schadenspotenzial von Daten gegen den Aufwand der technischen und organisatorischen Maßnahmen abzuwägen. Die technische Komplexität der Schutzmaßnahme, das Erfordernis weiterer Schutzmaßnahmen und Infrastrukturen sowie der Bedarf an personeller Unterstützung sind finanziell bezifferbare Kriterien zur Bestimmung des Aufwands.388 Die Abwägung zwischen Schutzzweck und Aufwand ist im Einzelfall für eingrenzbare Verarbeitungsvorgänge und Datenbestände vorzunehmen. Es kommt auf die Summe aller getroffenen Maßnahmen im Verhältnis zum dadurch erreichten Schutzniveau an.389 Maßstab für die Abwägung sind die sensitivsten zu verarbeitenden Daten und die möglicherweise am meisten risikobehaftete Verarbeitung.390 Je größer der Schutzbedarf ist, desto höher ist der Aufwand für Schutzmaßnahmen,

382

Ernestus, in: Simitis, BDSG, § 9, Rn. 23. Vgl. Ernestus, in: Simitis, BDSG, § 9, Rn. 39. 384 BITKOM, a. u. http://www.bitkom.org/files/documents/BITKOM-Leitfaden-CloudCom puting_Web.pdf. 385 Europäischen Agentur für Netz- und Informationssicherheit (ENISA), Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerg ing-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds. 386 BSI, Cloud Computing Sicherheitsempfehlungen für Cloud Computing Anbieter, a. u. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunkte papier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile. 387 Schultze-Melling, in: Taeger/Gabel, BDSG, § 9, Rn. 23. 388 Dazu vertiefend, Ernestus, in: Simitis, BDSG, § 9, Rn. 34. 389 Schaffland/Wiltfang, BDSG, Anlage zu § 9, Ziffer 2. 390 Ernestus, in: Simitis, BDSG, § 9, Rn. 39. 383

II. Nationaler Rechtsrahmen

87

den das Gesetz von der verantwortlichen Stelle abverlangt.391 Anzustreben ist dabei die Schaffung eines angemessenen Sicherheitsniveaus.392 Sofern keine ausreichende Sicherung erzielt werden kann, muss die Datenverarbeitung unterbleiben oder im Hinblick auf die getroffene Abwägung verändert werden.393 § 9 BDSG kommt die Aufgabe zu, Datensicherheit durch technische und organisatorische – nicht durch rechtliche – Maßnahmen durchzusetzen.394 Die Gestaltungs- und Verfahrensregelungen sind auf eine Umsetzung durch Technik angewiesen.395 Zur Gewährleistung der Entwicklungsoffenheit des Datenschutzrechts ist das Gesetz nicht auf bestimmte Technikstände oder Produkte festgelegt. Im Rahmen der Anlage zu § 9 BDSG wird gerade diese unbestimmte Formulierung von Anforderungen kritisiert. Die Anforderungen seien zu allgemein und ohne Rücksicht auf die Herausforderungen des modernen Datenschutzes gefasst. Außerdem wäre auf die ausdrückliche Einbindung der Grundsätze des Systemdatenschutzes bzw. von Privacy by Design396 verzichtet worden.397 In der Literatur wird daher bereits seit dem Jahr 2001 eine Modernisierung des § 9 BDSG gefordert.398 ee) Datenschutzbeauftragter und externe Aufsicht Die Verantwortung für die Einhaltung des BDSG obliegt der datenverarbeitenden Stelle. Gem. § 4f BDSG sind öffentliche und nicht öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, zur Bestellung399 eines Beauftragten400 für den Datenschutz verpflichtet.401 Öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben unabhängig von der Anzahl 391

Ernestus, in: Simitis, BDSG, § 9, Rn. 38. Schultze-Melling, in: Taeger/Gabel, BDSG, § 9, Rn. 28. 393 Schultze-Melling, in: Taeger/Gabel, BDSG, § 9, Rn.  24. Diese Auffassung teilt auch Wedde, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 9, Rn. 26; so auch Heibey, in: Roß­nagel, Handbuch Datenschutzrecht, S. 577. 394 Stechow, Datenschutz durch Technik, S. 130. 395 Roßnagel, MMR 2005, 71 (74). 396 Heckmann, K&R 2011, 1 (5); für eine frühzeitige Implementierung des Datenschutzes in Dienste und Verfahren sprachen sich bereits im Jahr 2001 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, S. 17 aus. 397 Grundlegend Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, S. 17. 398 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, S. 17. 399 Für die Bestellung eines weiteren Datenschutzbeauftragten ist ausschließlich der Leiter der datenverarbeitenden Stelle und nicht der bereits bestellte Datenschutzbeauftragte zuständig, vgl. VG Düsseldorf, Beschl. v. 08.02.2012 – 26 L 36/12. 400 Zu den Anforderungen an die Sach- und Fachkunde des Datenschutzbeauftragten, Albrecht/Dienst, JurPC Web-Dok. 19/2011, Abs. 1 ff.; Wybitul, Handbuch Datenschutz im Unternehmen, S. 133 ff.; Düsseldorfer Kreis, Beschl. v. 24./25.11.2010. 401 Die DSRL hat die Einrichtung eines internen Datenschutzbeauftragten nicht ausdrücklich vorgesehen. In Art. 20 DSRL ist lediglich im Kontext der Vorabprüfung von besonders sensiblen Verarbeitungen eine Überwachung durch den betrieblichen Datenschutzbeauftragten erwähnt. 392

88

B. Rechtsrahmen des Datenschutzrechts de lege lata

der hiermit beschäftigten Personen stets einen Beauftragten für den Datenschutz zu bestellen. Bei nicht öffentlichen Stellen – auch wenn es sich dabei um Berufsgeheimnisträger gem. § 4f Abs. 2 S. 2 BDSG handelt – besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten erst dann, wenn mindestens 10 Personen mit der automatisierten Verarbeitung402 von personenbezogenen Daten ständig befasst sind.403 Mit diesem Eingriff in die Organisationsfreiheit der Behörden- und Unternehmensleitung folgt der Gesetzgeber dem verfassungsrechtlichen Gebot, den Schutz des Rechts auf informationelle Selbstbestimmung auch durch organisatorische und verfahrensrechtliche (Kontroll-)Vorkehrungen zu gewährleisten.404 Die Aufgabe des Datenschutzbeauftragten besteht darin, auf die Einhaltung des Datenschutzrechts hinzuwirken. Dabei hat er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, insbesondere bei automatisierter Verarbeitung, zu überwachen und Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, entsprechend zu unterrichten. Der Datenschutzbeauftragte ist bei der Ausübung seiner Tätigkeit weisungsfrei in den Grenzen von § 4f Abs. 3 S. 2 BDSG und unterliegt einem besonderen Kündigungsschutz gem. § 4f Abs. 3 S. 3 ff. BDSG.405 Der effektive Schutz der informationellen Selbstbestimmung wird flankierend durch externe Kontrolleinrichtungen auf Bundes- und Landesebene sichergestellt.406 Datenschutzkontrollstellen müssen gem. Art.  28 DSRL die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen. In Deutschland sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Landesdatenschutzbeauftragten nur gegenüber ihrem jeweiligen Parlament rechen­schaftspflichtig407 und unterliegen im Regelfall keinen Weisungen einer Aufsicht.408 Anders stellt sich die rechtliche Stellung der Kontrollstellen für die Daten­ verarbeitung im nicht öffentlichen Bereich dar, die gem. § 38 Abs.  6 BDSG von den Landesregierungen bestellt werden. Ursprünglich stellten die Landesge 402 Werden personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt, ist im Übrigen ein Datenschutzbeauftragter zu bestellen, wenn damit in der Regel mindestens 20 Personen beschäftigt sind. 403 Vgl. Albrecht/Dienst, JurPC Web-Dok. 19/2011, Abs. 2 ff. 404 BVerfGE 65, 1 (1); Gola/Schomerus, BDSG, § 4f, Rn. 1. 405 Der durch die BDSG-Novelle-II neugefasste, besondere Kündigungsschutz gilt nur für interne Datenschutzbeauftragte. Die Kündigung des Arbeitsverhältnisses von betrieblichen Datenschutzbeauftragten ist bis zum Ablauf von einem Jahr nach ihrer Abberufung nur aus wichtigem Grund zulässig. Dieser Kündigungsschutz gilt allerdings nur, wenn die Stelle gem. § 4f Abs.  1 BDSG zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. Die Kündigung bedarf zudem eines wichtigen Grundes i. S. v. § 626 BGB, auf den in § 4f Abs. 3 S. 4 BDSG verwiesen wird. 406 BVerfGE 65, 1 (1). 407 Dazu bspw. § 26 BDSG bzw. § 38 Abs. 1 BDSG. 408 Streinz, JuS 2010, 556 (556).

II. Nationaler Rechtsrahmen

89

setze die Kontrollstellen ausdrücklich unter eine staatliche Aufsicht409, worin die­ EU-Kommission einen Verstoß gegen die Unabhängigkeitsvorgabe von Art.  28 DSRL sah. So sah es auch der EuGH in einem Vertragsverletzungsverfahren.410 Der EuGH betont, dass Kontrollstellen bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch vorgehen müssen. Dazu ist erforderlich, die Stellen vor jeglicher Einflussnahme von außen, einschließlich der Einflussnahme des Bundes oder der Länder zu schützen.411 Infolgedessen mussten die Landesdatenschutz­ gesetze angepasst werden. b) Telemediengesetz aa) Geltungsbereich In den Vorschriften der §§ 11–15a TMG wurden Spezialvorschriften zum Schutz des Rechts auf informationelle Selbstbestimmung in Telemedien verankert. Die bis zur Verabschiedung des TMG im Multimediarecht typische Aufgliederung in das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG) und in den Mediendienstestaatsvertrag (MDStV) wurde aufgegeben und es wurden damit Abgrenzungsschwierigkeiten beseitigt.412 Ob diese Vereinheitlichung zu einer Verbesserung der Rechtssicherheit geführt hat, ist umstritten.413 § 1 TMG stellt klar, dass die Abgrenzung zum Rundfunk nach § 3 RStV, zu TK-Diensten nach § 3 Nr. 24 TKG und zu telekommunikationsgestützten Diensten nach § 3 Nr. 25 TKG unberührt bleibt.414 bb) Systematik Regelungssystematisch liegt dem Telemediendatenschutzrecht die aus dem TDDSG und MDStV tradierte Konzeption des Anbieter-Nutzer-Verhältnisses zugrunde. Das TMG enthält bereichsspezifische Datenschutzvorschriften. Diese sind gegenüber den Auffangtatbeständen des BDSG vorrangig, wenn die anzuwendende Vorschrift denselben Sachverhalt anspricht, auf den auch die Vorschrift aus dem BDSG abzielt. Tatbestandskongruenz führt zur Subsidiarität des 409

Streinz, JuS 2010, 556 (556). EuGH, Urt. v. 09.03.2010 – C-518/07, Kommission ./. Bundesrepublik Deutschland, NJW 2010, 1265 (1265). 411 EuGH, Urt. v. 09.03.2010 – C-518/07, Kommission ./. Bundesrepublik Deutschland, NJW 2010, 1265 (1265). 412 Müller-Broich, TMG, § 11, Rn. 1. 413 Dazu aus der ex-ante-Sicht, Jandt, MMR 2006, 652 (652); im Hinblick auf einen modernen Datenschutz, a. A. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 74. 414 Anschaulich zur Abgrenzung anhand eines Drei-Schichten-Modells, Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 39 f. 410

90

B. Rechtsrahmen des Datenschutzrechts de lege lata

BDSG.415 Ausdrücklich ausgenommen ist gem. § 11 Abs. 1 TMG die Anwendung der §§ 11 ff. TMG auf die Datenverarbeitung im Kontext von Dienst- und Arbeitsverhältnissen.416 Die Struktur der §§ 11 ff. TMG wird von dem in § 12 Abs. 1 TMG verankerten Verbot der Datenverarbeitung mit Erlaubnisvorbehalt und dem Zweckbindungsgrundsatz gem. § 12 Abs. 2 TMG geprägt.417 Die Vornahme einer Datenverarbeitung ohne gesetzliche oder gewillkürte Erlaubnis ist rechtswidrig und begründet eine Ordnungswidrigkeit gem. § 16 Abs. 2 Nr. 4 TMG. Anknüpfungspunkte an die Grundsätze der Datenvermeidung und Datensparsamkeit finden sich u. a. in den in § 13 Abs. 4 und Abs. 6 TMG normierten Pflichten des Diensteanbieters. Fragen werfen Mehrpersonenverhältnisse in Telemedien auf, in denen der Nutzer418 und der Betroffene einer Datenverarbeitung zwei verschiedene Personen sind. Zu denken ist an Telemediendienste, bei denen Nutzer personenbezogene Daten über Dritte generieren oder speichern. Diese Konstellationen wurden im Gesetzgebungsverfahren des TMG nicht berücksichtigt.419 Wie bereits im Jahr 2006 prognostiziert420, sind gerade solche Telemediendienste, bspw. Bewertungsportale421, Soziale Netzwerke oder Apps422, die z. B. Adressbucheinträge Dritter verarbeiten, im Jahr 2013 allgegenwärtig. Werden Daten Dritter in einem Anbieter-Nutzer-Verhältnis verarbeitet, findet auf diese das TMG keine Anwendung.423 Dritte sind in diesen Konstellationen nicht schutzlos ausgeliefert, da hier die Auffangtatbestände des BDSG greifen. Der Schutz der informationellen Selbstbestimmung des Dritten ist jedoch in entsprechenden Telemediendiensten nicht ausreichend gewährleistet.424 cc) Pflichten des Diensteanbieters § 13 TMG regelt die Pflichten des Diensteanbieters gegenüber dem Nutzer.425 In § 13 Abs. 1 und Abs. 2 TMG sind Modalitäten zur elektronischen Einwilligung des 415

Gola/Schomerus, BDSG, § 1, Rn. 24. Dazu Müller-Broich, TMG, § 11, Rn. 3. 417 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 161; Müller-Broich, TMG, § 12, Rn. 1. 418 Nutzer ist jede natürliche Person, die Telemedien nutzt, selbst wenn der Nutzungs­ vorgang unbewusst erfolgt, Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 106. 419 Jandt, MMR 2006, 652 (656). 420 Jandt, MMR 2006, 652 (657). 421 BGH, Urt. v. 23.06.2009 – VI ZR 196/08, MMR 2009, 608 (608). 422 Logemann, datenschutzbeauftragter.info, Beitrag v. 21.02.2012, a.  u. http://www.daten schutzbeauftragter-info.de/whatsapp-und-datenschutz-antworten-auf-die-wichtigsten-fragen/; zur Datenverarbeitung in Facebook-Apps s. unten, S. 219 ff. 423 Vgl. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 107. 424 Jandt, MMR 2006, 652 (657). 425 Zu diesen gehört der Zeitpunkt und Mindestinhalt der Datenschutzerklärung (§ 13 Abs. 1 TMG), die Form der elektronischen Einwilligung (§ 13 Abs. 2 TMG), die Informationspflicht zum Widerrufsrecht (§ 13 Abs. 3 TMG), die Pflicht zur Vornahme technischer und organi 416

II. Nationaler Rechtsrahmen

91

Nutzers enthalten, die über die Anforderungen in § 4a BDSG hinausgehen. Für den Schutz der informationellen Selbstbestimmung vor Gefahren der vernetzten Datenverarbeitung im Internet nimmt § 13 Abs. 4 TMG einen besonderen Stellenwert ein. Die Vorschrift sieht Pflichten zur Vornahme konkreter Schutzmaßnahmen vor, die ein Mindestmaß an Datenschutz durch Technik gewährleisten sollen.426 Mit der Erweiterung des § 13 TMG um einen achten Absatz427 wurde in den Jahren 2011 und 2012 mit zwei Gesetzesentwürfen der Versuch unternommen, das TMG an die Vorgaben der E-Privacy-Richtlinie und ihrer Änderungsrichtlinie anzupassen.428 Beide Entwürfe wurden abgelehnt.429 dd) Bestandsdaten Zu den zwei Erlaubnistatbeständen des TMG zählt die Datenverarbeitung von Bestandsdaten gem. § 14 Abs. 1 TMG. Der Diensteanbieter darf nach dieser Norm personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit diese Daten für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen ihm und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten). Die Erforderlichkeit bildet dabei das ausschlaggebende Tatbestandsmerkmal. In Anbetracht des konkret zu Grunde liegenden vertraglichen Nutzungsverhältnisses ist zu entscheiden, ob die Datenverarbeitung eines Bestandsdatums erforderlich ist.430 § 14 Abs.  2 TMG regelt Auskunftspflichten gegenüber Justiz- und Sicherheitsbehörden sowie zur immaterialgüterrechtlichen Rechtsdurchsetzung.

satorischer Schutzmaßnahmen (§ 13 Abs.  4 TMG), die Anzeigepflicht bei Weitervermittlung des Nutzers an einen anderen Diensteanbieter (§ 13 Abs. 5 TMG), die Pflicht zur anonymen oder pseudonymen Bereitstellung des Telemediendienstes und die Auskunftspflicht (§ 13 Abs. 6 TMG). 426 Ausführlich hierzu Müller-Broich, TMG, § 13, Rn. 6; Heckmann, in: Heckmann, ­juris PK-Internetrecht, Kap. 9, Rn. 233 ff. 427 § 13 Abs.  8 TMG sollte nach dem Vorstoß der SPD-Fraktion den folgenden Einwilligungsvorbehalt normieren: „Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend [§ 13 Abs.  1 TMG] unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.“ s. BT-Drs. 17/8454; dazu Heckmann, in: Heckmann, jurisPK-Internetrecht, Online-Ausgabe, Kap. 9, Rn. 209.1. 428 s. unten, S. 47. 429 Ausführlich dazu, s. oben, S. 49. 430 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 310.

92

B. Rechtsrahmen des Datenschutzrechts de lege lata

ee) Nutzungsdaten Während Bestandsdaten nur zur Eingehung eines Vertragsverhältnisses anfallen, besteht ein fortlaufender Bedarf an Nutzungsdaten solange wie ein Telemedium bereitgestellt werden soll. Entsprechend gestattet § 15 Abs. 1 S. 1 TMG dem Diensteanbieter die Erhebung und Verwendung von personenbezogenen Daten eines Nutzers, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). § 15 Abs. 1 S. 2 TMG bezeichnet beispielhaft Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien als Nutzungsdaten. Im Unterschied zu § 14 TMG setzt § 15 TMG kein Vertragsverhältnis voraus.431 Insbesondere bei § 15 TMG wird diskutiert, ob Inhaltsdaten ein Unterfall der Nutzungsdaten darstellen oder ob sich die Zulässigkeit ihrer Verarbeitung nach dem BDSG beurteilt. Gerade in Sozialen Netzwerken ist diese Abgrenzung von erheblicher Bedeutung, da dort viele Nutzungsdaten anfallen. Einer Ansicht nach zählen alle personenbezogenen Daten, die über Telemedien übertragen oder in solche eingegeben werden, zu den Nutzungsdaten gem. § 15 TMG.432 Als Nutzungsdaten seien insbesondere alle Profildaten anzusehen, die von Nutzern in Soziale Netzwerke in ihren individuell modifizierbaren Webseiten, sog. Profile, gespeichert und sichtbar gemacht werden.433 Profildaten wären bspw. im Profil gespeicherte Informationen über die Identität der Person oder Interessen.434 Diese Daten und ihre Verarbeitung stünden im unmittelbaren Zusammenhang mit der Erbringung eines Telemediendienstes und seien daher § 15 TMG zuzuordnen.435 Jede Datenverarbeitung, die sich online abspielt, unterläge damit dem Telemedienrecht. Die Gegenauffassung ordnet Daten, die nicht zur Inanspruchnahme eines Telemediums erforderlich sind, als Inhaltsdaten ein. Da Inhaltsdaten nicht explizit im TMG geregelt sind, findet hier daher der Rückgriff auf die §§ 28, 29 BDSG statt.436 Zu dieser Ansicht gibt es zwei Argumentationslinien. Die eine stellt auf den Wortlaut des § 15 Abs. 1 TMG ab, wonach Inhaltsdaten nicht unmittelbar zur Bereitstellung eines Dienstes erforderlich sind.437 Die andere gründet sich darauf, ob die Inhaltsdaten nur online übertragen, also über Telemedien vermittelt werden, oder ob auch die Erfüllung der Leistung online erfolgt.438 Als Beispiel wird die Übertragung von Daten über ein Online-Formular angeführt, wobei lediglich das Formular selbst ein Telemedium darstelle, dass die Daten transportiert. Die anhand 431

Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 338. Bauer, MMR 2008, 435 (436). 433 Zum Begriff der Profildaten, vgl. a. Heckmann, NJW 2012, 2631 (2633). 434 Bauer, MMR 2008, 435 (436). 435 Bauer, MMR 2008, 435 (436). 436 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 339. 437 Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, TMG, § 15, Rn. 3. 438 Ballhausen/Roggenkamp, K&R 2008, 403 (407). 432

II. Nationaler Rechtsrahmen

93

der Daten durchgeführte Dienstleistung, z. B. eine Rechtsberatung, werde allerdings offline vorgenommen. Derart transportierte Inhaltsdaten seien daher dem BDSG zuzurechnen.439 Eine jüngere Argumentationslinie beruft sich auf die Spickmich-Entscheidung des BGH.440 Die datenschutzrechtliche Zulässigkeit des Lehrerbewertungsportals hat der BGH an § 29 BDSG gemessen, ohne auf die Abgrenzung zu § 15 TMG einzugehen.441 Die Entscheidung legt jedoch die Vermutung nahe, dass das Gericht der von Ballhausen und Roggenkamp vertretenen Auffassung gefolgt ist. Personenbezogene Daten in Form von Lehrerbewertungen stellen die Leistung des Bewertungsportals dar, die online erbracht wird. Da aber im Unterschied zu OnlineDatenbanken oder anderen online erbrachten Dienstleistungen die Erfüllung der Leistung in der Übermittlung personenbezogener (nicht reiner Sach-)Daten besteht, bilden diese eine vierte „Leistungsebene“, die das Drei-Schichten-Modell zur Abgrenzung des TKG, TMG und BDSG um eine weitere Ebene ergänzt. Besteht die Erfüllung der Leistung in der Übermittlung von personenbezogenen Inhaltsdaten, seien diese nach dem BDSG zu bewerten.442 Demnach sind Inhaltsdaten, insbesondere personenbezogene Inhaltsdaten als Leistung, z. B. in Sozialen Netzwerken, nach allgemeinem Datenschutzrecht zu beurteilen. 5. Befund zum nationalen Rechtsrahmen Das verfassungsgerichtlich geschaffene Recht auf informationelle Selbstbestimmung bildet eine tragende Säule des Persönlichkeitsschutzes und einen Meilenstein des deutschen Datenschutzrechts. Die Feststellung des BVerfG, dass die Bedrohlichkeit, nicht zu wissen, was jemand über den Einzelnen weiß, die freie Entfaltung der Persönlichkeit beeinträchtigen oder unterbinden kann, hat bis heute nichts an Aktualität und Bedeutung eingebüßt. Das haben auch die NSA-Enthüllungen im Jahr 2013 gezeigt. Einen hinreichenden Rechtsschutz in der elektronischen Datenverarbeitung vermögen die tradierten Ausprägungen des Persönlichkeitsschutzes nicht oder nur punktuell zu gewährleisten. Das informationelle Selbstbestimmungsrecht definiert einen präventiven Rechtsschutz, der durch die Anforderungen der gesetzlichen Legitimation abgesichert ist. Über das Instrument der Einwilligung wird dem Betroffenen eine Kontroll- und Einflussmöglichkeit eingeräumt. Gleichzeitig verankert das Recht auf informationelle Selbstbestimmung den Grundsatz der Transparenz in der Datenverarbeitung. Gleiches gilt 439 Diese Abgrenzung könne dem Regierungsentwurf des IuKDG entnommen werden (BTDrs. 13/7385, S. 53), s. Schöttle, BRAK-Mitt. 2004, 253 (255). 440 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 339. 441 BGH, Urt. v. 23.06.2009 – VI ZR 196/08, NJW 2009, 2888 (2891). 442 Ballhausen/Roggenkamp, K&R 2008, 403 (407); vgl. Heckmann, in: Heckmann, ­juris PK-Internetrecht, Kap. 9, Rn. 339; dazu auch Schüßler, in: Taeger, Digitale Evolution, S. 242 f.

94

B. Rechtsrahmen des Datenschutzrechts de lege lata

für das Erfordernis des technischen Datenschutzes. Der adäquate Rechtsschutz kommt ohne die Berücksichtigung technischer Schutzvorkehrungen nicht aus. Datensicherheit hat damit ebenfalls verfassungsrechtliche Anerkennung erfahren. Mit dem IT-Grundrecht als Schutz der Integritäts- und Vertraulichkeitserwartungen im Bezug auf eigene informationstechnische Systeme trägt das BVerfG dem großen Stellenwert der Computer und Smartphones für die Lebensgestaltung des Einzelnen Rechnung. Die Geräte sind für die freie, vorbehaltlose Entfaltung der Persönlichkeit des Einzelnen unverzichtbar geworden.443 Das Verfassungsgericht hat erkannt, dass informationstechnische Systeme nicht nur zentrale Plattformen konvergierender Informations- und Kommunikationsmittel sind. Vielmehr wurde auch festgestellt, dass die technische Vernetzung unaufhaltsam voranschreitet und eine allgegenwärtige, grenzenlose und hochqualitative Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten möglich macht, die von dem Einzelnen nicht mehr ohne Weiteres kontrolliert oder intellektuell durchdrungen werden kann. Dies macht den Grundrechtsträger schutzbedürftig gegen staatliche Informationseingriffe auf seinem informationstechnischen Gerät. Dogmatisch bildet das IT-Grundrecht eine neue Ausprägung des allgemeinen Persönlichkeitsrechts, das sich als Abwehrrecht gegen den Staat neben dem Recht auf informationelle Selbstbestimmung einreiht.444 Das BDSG ist von Novellen im Nachgang des Volkszählungsurteils und der Umsetzung der DSRL geprägt. Dogmatisch wird durch das Verbot mit Erlaubnisvorbehalt ein hohes Schutzniveau erzielt. Mit den Regelungen zur Auftragsdatenverarbeitung, die der technischen Vernetzung einen Rechtsrahmen geben, hat der deutsche Gesetzgeber das Datenschutzrecht konkret ausgestaltet. Die Datenschutzvorschriften des TMG bilden bereichsspezifische Normen, die den speziellen Gefahren der online vernetzten Datenverarbeitung Rechnung tragen sollen. Rechtsunsicherheiten im Bereich von Mehrpersonenverhältnissen, die Zuordnung von Inhaltsdaten und die mangelnde Anpassung des TMG an die Vorgaben der E-Privacy-Richtlinie belegen den Modernisierungsbedarf des Gesetzes.

443 444

Luch, MMR 2011, 75 (77). BVerfGE 120, 274 (303).

C. Gefährdungslagen der informationellen Selbstbestimmung I. Untersuchungsschwerpunkte Die informationelle Selbstbestimmung ist als Ausprägung des allgemeinen Persönlichkeitsrechts verfassungsrechtlich verankert und einfachrechtlich in einer Vielzahl von speziellen Gesetzen, aber auch im BDSG konkretisiert. Im europäischen Rechtsraum hat zudem die DSRL ein angemessenes Datenschutzniveau herbeigeführt und innereuropäisch vereinheitlicht. Datenübermittlungen in Drittstaaten wurden zudem restriktiven Regelungen unterworfen. Grundsätzlich wird also die informationelle Selbstbestimmung des Grundrechtsträgers durch ein breites Spektrum an Schutzgesetzen abgesichert. In der sog. Online-Welt werden diese Schutzkonzepte von Informationstechnologien und Anwendungen herausgefordert, die sich in den vergangenen Jahren herausgebildet haben. Das Angebot von Informationstechnologie und Anwendungen ändert sich rasend schnell und verändert Tag für Tag das Informations- und Kommunikationsverhalten der Nutzer. Im Kapitel C. werden die Herausforderungen für einen effektiven Datenschutz untersucht, die aus der Nutzung von Informationstechnologien und darauf basierenden Anwendungen resultieren. Technische und organisatorisch-strategische Herausforderungen werden jeweils einer Überprüfung der datenschutzrechtlichen Rechtsfragen, der Zulässigkeit von Technologien und Anwendungen, der Schutzlücken und der Rechtsunsicherheiten vorangestellt. Informationstechnologien werden am Beispiel von Cloud Computing betrachtet. Bei dieser metaphorischen Begrifflichkeit handelt es sich um eine technologisch-ökonomische Weiterentwicklung des IT-Outsourcings, in dem Datenverarbeitungsprozesse aus einer Stelle räumlich ausgegliedert und von einem Diensteanbieter als Dienstleistung übernommen werden. Konkret ermöglicht Cloud Computing die Verschmelzung von Datenverarbeitungskapazitäten in Rechenzentren über weltweit verstreute Standorte hinweg. Auf diesem Wege können die gewaltigen Datenmengen, sog. Big Data, verarbeitet werden. In Sozialen Netzwerken, wie bspw. Facebook, interagieren Millionen von Nutzern weltweit, indem ununterbrochen gewaltige Datenmengen hoch- und heruntergeladen, bearbeitet, verlinkt oder weiterverbreitet werden.1 Nutzer erwarten eine schnelle Datenverar 1 Nutzer laden bis zu 300 Mio. Fotografien pro Tag bei Facebook hoch. Bei Datenmengen von ca. 7 Petabytes (=7.340.031,9 Gigabytes) an Fotografien pro Monat greift auch Facebook

96

C. Gefährdungslagen der informationellen Selbstbestimmung 

beitung. Serverausfälle und Verfügbarkeitsengpässe zerstören leicht das Vertrauen in die Zuverlässigkeit eines Dienstes. Als Beispiel für Anwendungen, die technisch auch auf Cloud Computing aufbauen und nicht minder viele Fragestellungen aufwerfen, werden in dieser Arbeit zudem Soziale Netzwerke untersucht. Um Datenschutzfragen anhand konkreter Anwendungsbeispiele untersuchen zu können, wird hier vor allem auf Facebook eingegangen. Während Informationstechnologien unter dem Aspekt der technischen Risikoerhöhung beleuchtet werden, stehen bei Sozialen Netzwerken funktionale, also anwendungs- und nutzerverhaltensbezogene Aspekte im Vordergrund.

II. Weltweite Datenverarbeitung 1. Einleitung Bei Cloud Computing geht es um Datenverarbeitungsleistungen aus der Steckdose. Plug and play bzw. plug and compute – sei es um Daten über Apples iCloud, Microsofts Office360 oder über die Dropbox auf allen mobilen und immobilen Geräten zu synchronisieren. Oder um auf Mobilgeräten aufwändige Operationen durchführen zu können. Cloud Computing wird das Potenzial zugeschrieben, die Formen und Arten der elektronischen Datenverarbeitung grundlegend zu verändern.2 Andere sehen im Cloud Computing die Evolution der Technologien, die den lang ersehnten Traum vom Utility Computing3 Wirklichkeit werden lässt. Dieser Begriff steht für die Bereitstellung von IT-Infrastrukturen als Dienstleistung, die von einem IT-Service-Provider angeboten und bedarfsorientiert abgerechnet wird.4 Teilweise wird der geschichtliche Verlauf der Industriellen Revolution als Erklärungsansatz herangezogen. Als Industrielle Revolution wird die grundlegende Umwälzung der wirtschaftlichen und sozialen Verhältnisse bezeichnet, die sich im 19. Jahrhundert in Westeuropa vollzogen hat. Die daraus resultierende, nachhaltige Beschleunigung der technischen, wirtschaftlichen und wissenschaftlichen Entwicklung wird vereinfacht darauf zurückgeführt, dass die Industrie auf extern produzierte Güter, insbesondere elektrische Energie und neue Transportwege, zurückgreifen konnte. Die Auslagerung von Produktions- und Logistikprozessen an auf die skalierbare Datenverarbeitung in der Cloud zurück, vertiefend Celestine, The Economic Times, Beitrag v. 27.05.2012, a. u. http://articles.economictimes.indiatimes.com/2012-0527/news/31860969_1_instagram-largest-online-retailer-users. 2 Heckmann, in: Hill/Schließky, Innovationen im und durch Recht, S. 97 (98); Art.-29-Datenschutzgruppe, Stellungnahme 05/2012, WP 196, S. 1. 3 Der Begriff beschreibt einen Wandel bei der Bereitstellung von IT-Infrastruktur. Diese wird von einem IT-Service-Provider angeboten und verbrauchsorientiert abgerechnet. Dazu Breiter, in: Kircher, IT, S. 78. 4 Art.-29-Datenschutzgruppe, Stellungnahme 05/2012, WP 196, S. 4.

II. Weltweite Datenverarbeitung

97

externe Anbieter sei der Schlüssel zu einer epochalen Fortentwicklung gewesen.5 Dieser Gedanke lässt sich auf die Informationstechnologie übertragen: Nicht die Auslagerung von Daten oder Diensten an Dritte macht das revolutionäre Element des Cloud Computings aus. Cloud Computing kennzeichnet vielmehr eine Verknüpfung technischer, organisatorischer und ökonomischer Faktoren – die Verbindung des bewährten IT-Outsourcings mit dem Internet-Service-Providing. IT-Ressourcen, wie z. B. die CPU-Rechenleistung, sollen so einfach handhabbar und beziehbar wie die elektrische Energie aus der Steckdose werden. Lang­ wierige Rechenoperationen, sollen durch Cloud-Dienste vereinfacht werden, indem diese Ressourcen bedarfsorientiert und flexibel in Anspruch genommen werden können. IT-Ressourcen werden von einem Produkt zu einer Dienstleistung transformiert.6 Rechenleistung, Festplattenspeicher, Entwicklungsumgebungen, Anwendungen und Informations- und Kommunikationsinfrastrukturen – alle IT-Ressourcen sollen als Dienstleistung („Everything as a Service“7) bereitgestellt und flexibel abgerechnet werden. Der wirtschaftliche Vorteil des Cloud Computings besteht in der bedarfsorientierten, flexiblen und Kosten einsparenden Nutzung von Informationstechnologie. Durch die Miete anstatt des käuflichen Erwerbs von Infrastrukturen ergeben sich Abschreibungsvorteile.8 Einsparungspotenzial bietet ferner die bedarfsorientierte Abrechnung von Dienstleistungen. Kosten für die Planung und Aus­stattung mit lokal betriebener Infrastruktur und deren Wartung können reduziert werden.9 Die „digitale Revolution“, die das Cloud Computing mit sich bringen soll, bleibt für den Schutz der informationellen Selbstbestimmung nicht folgenlos.10 Organisatorische und technische Risiken stellen die Datensicherheit auf die Probe. Hinzu tritt eine Reihe von Rechtsfragen zur Anwendbarkeit des deutschen Rechts in grenzüberschreitenden Kontexten, zu Zugriffen auf die Cloud in Drittstaaten und zur Zulässigkeit der Datenverarbeitung in der Cloud. 2. Definition des Cloud Computings Das englischsprachige Begriffspaar Cloud Computing bedeutet „Datenverarbeitung in der Wolke“.11 Diese Metapher steht für eine vereinfachte Betrachtung der komplex vernetzten und zusammenwirkenden Struktur von Technologien 5

Carr, The Big Switch, S. 89 ff. Vgl. Rutsky, Cloud Computing Journal, Beitrag v. 16.07.2011, a. u. http://cloudcomputing. sys-con.com/node/1909372. 7 Metzger/Reiz/Villar, Cloud Computing, S. 22. 8 Metzger/Reiz/Villar, Cloud Computing, S. 36. 9 Metzger/Reiz/Villar, Cloud Computing, S. 36. 10 Heckmann, in: Hill/Schließky, Innovationen im und durch Recht, S. 97. 11 Weichert, DuD 2010, 679 (679). 6

98

C. Gefährdungslagen der informationellen Selbstbestimmung 

(Computing) mit dem Internet. Es besteht Einigkeit darin, dass Cloud Computing keine neue Technologie, sondern lediglich eine neue Verknüpfung von vorhandenen Technologien auf der Basis von Virtualisierung, bewährten IT-OutsourcingVerfahren sowie Geschäfts- und Abrechnungsmodellen darstellt.12 Cloud Computing wird, nicht zuletzt aufgrund der Dynamik der Geschäftsmodelle und der Vielzahl an Diensteanbietern, unterschiedlich definiert. Einigkeit besteht nur darin, dass es sich dabei um einen Gattungsbegriff handelt, der mittlerweile werbewirksam von IT-Dienstleistern weltweit für unterschiedlichste Produkte in Anspruch genommen wird.13 Die von der US-amerikanischen Standardisierungsstelle, National Institute of Standards and Technology (NIST), und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verwendeten Definitionen des Cloud Computing nehmen dabei eine zentrale Stellung ein. Nach der Definition des NIST ist Cloud Computing „ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speicher­systeme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“14 Die Definition setzt sich i. W. aus fünf Elementen zusammen: (1) Charakteristisch für einen Cloud-Computing-Dienst ist die on-demand-Eigenschaft. Die Bereitstellung der IT-Ressourcen läuft dabei automa­tisiert ohne Interaktion des Cloud-Anbieters ab. (2) Bedeutsam ist ferner, dass die Dienste standardmäßig über das Internet nutzbar gemacht werden und nicht an einen bestimmten Client gebunden sind. (3) IT-Ressourcen werden in einem Leistungspool vorgehalten, aus dem sich viele Nutzer bedienen können. (4) Die Dienste können ferner schnell und elastisch, ggf. auch automatisch zur Verfügung stehen, sodass scheinbar unendliche IT-Ressourcen verwendet werden können. (5) Letztlich kann auch die Nutzung von IT-Ressourcen gemessen, überwacht und bedarfsgerecht angeboten werden.15

12

Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 584; Heckmann in: Hill/Schließky, Innovationen im und durch Recht, S. 97 ff.; Schulz, in: Taeger/Wiebe, Inside the Cloud, S. 403 (404). 13 Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing, S. 25. 14 NIST, The NIST Definition of Cloud Computing, S.  2; Niemann/Hennrich, CR 2010, 686 (686). 15 Zu den Charakteristika, BSI, Cloud Computing Sicherheitsempfehlungen für Cloud Computing Anbieter, a. u. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__ blob=publicationFile, S. 13 f.

II. Weltweite Datenverarbeitung

99

Nach der Auffassung des BSI geben diese Eigenschaften lediglich die Vision des Cloud Computings wieder, die bspw. mit dem Bereitstellungsmodell der Private Cloud nicht vereinbar sei.16 Cloud-Computing-Dienste zeichnen sich auch durch ein Pay-per-Use-Abrechnungsmodell aus.17 Das BSI definiert daher Cloud Computing als „das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“18 Diese Definition des Cloud Comput­ ings wird auch dieser Arbeit zugrunde gelegt. 3. Evolution des Cloud Computings Die technischen Wurzeln des Cloud Computings gehen auf die Großrechnertechnologien der 1960er Jahre, sog. Mainframes, zurück. Erst mit der Kommerzialisierung, Miniaturisierung und Verbreitung der Personal Computer (PC) als Stand-alone-Systeme ist die elektronische Datenverarbeitung in den Preiseinstiegsmarktsegmenten, insbesondere bei Verbrauchern und kleinen und mittelständischen Unternehmen, erschwinglich geworden.19 Stand-alone-Systeme sind vollständig ausgestattete Computer, die über einen physisch vorgehaltenen Bestand an Rechenleistung, Speichermedien und lokal installierten Betriebssystem verfügen. Die Abkehr von diesen dezentral strukturierten Systemen vollzog sich in der Wirtschaft. Luftverkehrsunternehmen gingen dazu über, Datenbankzugriffe zur Reservierung von Flugreisen nicht mehr lokal, sondern von einem zentralen

16 BSI, Cloud Computing Sicherheitsempfehlungen für Cloud Computing Anbieter, a. u. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunkte papier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile, S. 14. 17 BSI, Cloud Computing Sicherheitsempfehlungen für Cloud Computing Anbieter, a. u. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunkte papier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile, S. 14; dies entspricht auch der Entwurfsfassung für eine Definition der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/ deliverables/security-and-resilience-in-governmental-clouds, S. 14. 18 BSI, Cloud Computing Sicherheitsempfehlungen für Cloud Computing Anbieter, a. u. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunkte papier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile, S. 14. 19 Vgl. Beaumont, The Telegraph, Beitrag v. 27.06.2008, a. u. http://www.telegraph.co.uk/tech nology/3357701/Bill-Gatess-dream-A-computer-in-every-home.html; Mather/Kumaraswamy/ Latif, Cloud Security and Privacy, S. 3.

100

C. Gefährdungslagen der informationellen Selbstbestimmung 

Server durchführen zu lassen.20 Diese Vereinfachung gilt als die Geburtsstunde des Client-Server-Modells. Dieses Modell steht für eine zentralisierte Verarbeitungsstruktur, wobei ein leistungsstarker Computer (Server) Rechenvorgänge für Computer vornimmt, denen die Ergebnisse zur Anzeige oder lokalen Weiterverarbeitung übermittelt werden (Client).21 Auf der Basis des Client-Server-Modells begannen Unternehmen, Stand-alone-Systeme zugunsten von Rechenzentren abzuschaffen und nur geringfügige Datenverarbeitungsvorgänge auf lokalen Arbeitsplatzrechnern vornehmen zu lassen. Einen weiteren Meilenstein für das Cloud Computing bildete die Verbreitung und Kommerzialisierung des Internets. Die Vernetzung, die sich zunächst durch langsame Netzzugänge über Modems, später über breitbandige Internetverbindungen vollzog, löste mit der Einführung des WWW22 einen Nutzeransturm auf das Internet als Kommunikationsmedium aus.23 Mit dem kommerziellen Erfolg des Internets wuchs das Angebot an IT-Dienstleistungen, die über das Netz nutzbar sind. Anwendungen wurden dabei benutzerfreundlicher und vielseitiger. Die Reduktion der Komplexität der EDV und der kommerzielle Erfolg der vernetzten Datenverarbeitung haben auch eine Medaillenkehrseite im Hinblick auf die IT-Sicherheit. Sicherheitsarchitekturen waren zunehmend der „Erosion“ ausgesetzt.24 Die Implementierung sicherer Programmierschnittstellen (sog. Application Programming Interface, API) und eines auf IT-Sicherheit geprüften Programmcodes in Anwendungen hatte in dieser Goldgräberzeit keine Priorität.25 Die „Internetrevolution“ brachte vielmehr Telemedien hervor, die auf „Standardservern“ mit „Standardsoftware“ liefen. Einfache Server, einfache Webbrowser und ein einfaches Set an Internetadressen schienen der Schlüssel zum Erfolg zu sein. Standalone-Technologie wurde in Web-Technologie übertragen. Der Zugriff auf Systeme wurde dabei nicht nur der Zielgruppe erleichtert, sondern auch Angreifern.26 20

Winkler, Securing the Cloud, S. 11. Winkler, Securing the Cloud, S. 11; unter einem Server wird ein Computersystem verstanden, das einen Dienst oder Daten zur Verfügung stellt. In einem Rechnernetz können Computersysteme gleichzeitig Server und Client sein, wobei Clients, die auch Dienste, bspw. im Rahmen von P2P-Netzwerken bereitstellen, als Peers bezeichnet werden, s.  Sieber, in: Hoeren/Sieber, Multimedia-Recht, Teil 1, Rn. 20; vgl. a. Tappe, IStR 2011, 870 (871). 22 Das World Wide Web (WWW) ist durch die einheitliche Adressierung und Bedienung bestehender Internetdienste sowie durch die Nutzung eines einheitlichen Dokumentenformats gekennzeichnet. Es wird differenziert zwischen WWW-Objekten, die in der Hypertext Markup Language (HTML) programmiert sind und nach den Vorgaben des Hypertext Transport Protokolls (HTTP) übertragen werden. Webseiten sind Multimediadokumente, die Verweise auf andere WWW-Objekte und einen ausführbaren Code, bspw. Java-Applets, enthalten können. Vertiefend zu den technischen Grundlagen, vgl. Eckert, IT-Sicherheit, S. 137 ff.; zur Entwicklungsgeschichte des WWW, O’Regan, A Brief History of Computing, S. 106 ff. 23 Vertiefend zur Entstehungsgeschichte des Internets, O’Regan, A Brief History of Computing, S. 101 ff. 24 Winkler, Securing the Cloud, S. 11. 25 Winkler, Securing the Cloud, S. 10. 26 Winkler, Securing the Cloud, S. 11. 21

II. Weltweite Datenverarbeitung

101

Ein sehr großer Teil von Sicherheitsproblemen in Unternehmen beruht bis heute auf Schwachstellen in unsicheren Web-Anwendungen.27 Mit der Popularität des Internets erweiterten Internet-Service-Provider ihr Angebotsportfolio von der Zugangsvermittlung auf Webhosting und die Bereitstellung von Webmail-Diensten. Mit der steigenden Nachfrage nach IT-Outsourc­ ing-Lösungen gingen Internet-Service-Provider dazu über, IT-Ressourcen und Anwendungen als Service (ASP) von außen zugänglich zu machen. Diese Entwicklung hat ebenfalls Meilensteincharakter für das Cloud Computing, bei welchem die Technologien des IT-Outsourcings mit neuen Geschäfts- und Abrechnungsmodellen einen neuen Markt für Internetdienstleistungen schaffen. Cloud Computing wird daher als Motor einer Fortentwicklung gesehen, dem aus ökonomischer Perspektive eine bahnbrechende Bedeutung für die Zukunft der Informationstechnologiewirtschaft zugemessen wird.28 4. Technische Grundlagen a) Basistechnologie Virtualisierung Die Virtualisierung gehört zu den Kerntechnologien29 des Cloud Computings. Virtualisierung bedeutet, dass ein Computer nicht mehr an sein physisches Rechnergehäuse gebunden ist, wie das bei Stand-alone-Systemen der Fall ist, sondern in einer Art Simulation vervielfältigt oder zerteilt werden kann.30 Die virtuelle Kopie eines Computers wird als virtuelle Maschine (VM) bezeichnet, die als „Gast“ auf einem physisch existierenden Computer, sog. Wirt (engl. Host) betrieben wird. Konkret wird unter Virtualisierung die Nutzung von Anwendungen und Verfahren verstanden, die IT-Ressourcen wie bspw. die Leistung des Prozessors, des Arbeitsspeichers oder des Festplattenspeichers etc. von einzelnen Computern loslösen und für andere Anwendungen bereitstellen.31 Mit anderen Worten werden IT-Ressourcen von ihren physischen Komponenten abstrahiert.32 Die abstrahierten Ressour 27

Eckert, IT-Sicherheit, S. 137. Garnter Inc., Pressemitteilung v. 02.04.2012, a. u. http://www.gartner.com/newsroom/ id/1971515. 29 Vgl. Nägele/Jacobs, ZUM 2010, 281 (281). 30 Virtuelle Maschinen (VM) ermöglichen vielfältige Einsatzszenarien gerade auch für Verbraucher. So kann auf einer VM, die auf einem herkömmlichen Personal Computer als Programm installiert ist, ein alternatives Betriebssystem installiert werden. Dazu Göpel, Praxishandbuch VMware vSphere 4, S. 1. 31 Eine einheitliche Begriffsdefinition der Virtualisierung hat sich in der Informatik nicht durchgesetzt, Metzger/Reiz/Villar, Cloud Computing, S. 15; Göpel, Praxishandbuch VMware vSphere 4, S. 1. 32 Die Virtualisierung dient dazu, eine sog. Abstraktionsschicht zur Verfügung zu stellen, die eine isolierte Nutzung von IT-Ressourcen, bspw. von Rechenleistung, Speicherplatz, bestimmten Hardwarekomponenten, Betriebssystemen oder Softwareanwendungen, ermöglicht, Weichert, DuD 2010, 679 (679). 28

102

C. Gefährdungslagen der informationellen Selbstbestimmung 

cen werden über die physikalischen Grenzen hinaus in einem virtuellen „Leistungspool“ bereitgestellt, der über standardisierte Schnittstellen von einer Vielzahl an Nutzern verteilt in Anspruch genommen werden kann.33 Der Nutzer von virtueller Informationstechnologie hat keinen Einblick in die verborgenen Strukturen und Verarbeitungsformen. Dem Nutzer werden lediglich logische Schichten auf seinem Client angezeigt. Die Art und Weise der optischen Darstellung34 der logischen Schicht kann den Eindruck vermitteln, dass der Nutzer die einzige Person ist, die auf eine bestimmte IT-Ressource zugreift oder dass es sich dabei um eine homogene Struktur, bspw. eine bestimmte Festplatte in einem körperlich existierenden Server, anstelle von virtuell gebündelten Komponenten handelt. Je nach Ausgestaltung kann eine VM über eigens zugeteilte Hardwarekomponenten35, wie bspw. Prozessoren, Arbeitsspeicher oder Festplattenspeicher, verfügen.36 Für die im Gastbetriebssystem installierten Anwendungen ist nicht erkennbar, dass ihre Hardwarezugriffe nicht unmittelbar erfolgen, sondern durch eine Abstrak­ tionsschicht vermittelt werden (sog. Emulation37).38 Die logische Abstraktion leistet eine Virtualisierungssoftware, die als Virtual Maschine Monitor (VMM) oder als Hypervisor bezeichnet wird. Es werden Hypervisoren unterschieden, die direkt auf der Hardware Ebene ausgeführt werden, ohne dass ein Host-Betriebssystem installiert ist, sog. Nativer Hypervisor39 (oder Hypervisor Typ 140). Sofern ein Hypervisor ein vollständig installiertes Betriebssystem auf dem Host-System voraussetzt, wird er Hosted Hypervisor (oder Hypervisor Typ 241) genannt.42 Eine 33 Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 14; Heckmann, in: jurisPKInternetrecht, Kap. 9, Rn. 582. 34 Eine VM wird in einem Hypervisor gestartet. In einem Programmfenster, das vom Host gestartet wird, können die Oberflächen des Betriebssystems der VM angezeigt werden. Die VM kann über den Hypervisor mit Ein- und Ausgabegeräten des Host-PCs (Maus, Tastatur, Lautsprecher) angesteuert werden, Göpel, Praxishandbuch VMware vSphere 4, S. 1 ff. 35 Im Rahmen von Virtualisierung können nur Standardkomponenten, nicht Spezialhardware emuliert werden, Göpel, Praxishandbuch VMware vSphere 4, S. 3. 36 Zu den wichtigsten emulierten Komponenten, S.  Göpel, Praxishandbuch VMware vSphere 4, S. 3 f. 37 Emulation bedeutet die Simulation der gesamten Hardware eines Computers, um die Installation und die Ausführung von Betriebssystemen zu ermöglichen. Der virtuelle Hauptprozessor (CPU) wird dem Host-CPU nachgebildet. Entsprechende CPU-Befehle des Gast­ betriebssystems werden in CPU-Befehle des Host-Systems übersetzt. Dieser Vorgang kann die Laufzeit von Gast Systemen bremsen, Warnke/Ritzau, qemu-kvm & libvirt, S. 13. 38 Göpel, Praxishandbuch VMware vSphere 4, S. 2. 39 Zum Begriff Sitaram/Manjunath, Moving to the Cloud, S. 353. 40 Warnke/Ritzau, qemu-kvm & libvirt, S. 14; Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 46. 41 Warnke/Ritzau, qemu-kvm & libvirt, S. 14; Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 46. 42 Die Klassifikation und Terminologie der Typen von Hypervisoren variiert. Die Verwendung von Hosted Hypervisors wird auch als Paravirtualisierung bezeichnet, die z. B. bei „VMware Workstation“, „Virtualbox“ und „QEMU“ zum Einsatz kommt, Göpel, Praxishandbuch VMware vSphere 4, S. 8 ff.; Warnke/Ritzau, qemu-kvm & libvirt, S. 13.

II. Weltweite Datenverarbeitung

103

Mischform stellt der sog. Hybrid Hypervisor dar, der unmittelbar auf der Hardware ausgeführt wird, aber zugleich die Vorteile eines vorhandenen Betriebssystems nutzbar macht.43 Die Bereitstellung von IT-Ressourcen zur gemeinsamen Nutzung, sog. Mandantenfähigkeit (engl. Multitenancy), bildet die Grundlage für die Geschäftsmodelle, die Cloud Computing ausmachen. Hinzu tritt die Skalierbarkeit der Cloud. Skalierbarkeit bezeichnet die Fähigkeit, IT-Ressourcen dynamisch an den aktuellen Bedarf einer Operation oder eines Vorhabens anzupassen (auch sog. Elastizität44) und abzurechnen. IT-Ressourcen müssen darüber hinaus nicht langfristig reserviert und angepasst werden, sondern stehen unmittelbar bereit („on demand“).45 b) Service Modelle Es gibt nicht „das“ Cloud Computing.46 Dienstleistungen, die dem Cloud Computing zuzuordnen sind, werden vielmehr nach dem Schwerpunkt der vertraglich vereinbarten Leistungen differenziert. Zur Klassifizierung der Dienstleistungen in sog. Service Modellen47 wird ein dreigliedriges Ebenenmodell herangezogen.48 Auf der ersten Ebene der Service Modelle wird die Nutzung abstrahierter Infrastrukturen angeboten („Infrastructure as a Service“, (IaaS)). Die mittlere Stufe bildet das Angebot von Cloud-basierten Entwicklungsumgebungen („Platform as a Service“, (PaaS)).49 Der dritten Stufe wird die Bereitstellung von Software zur bedarfsgerechten Nutzung zugeordnet („Software as a Service“, (SaaS)). Über diese Stufen hinaus werden vereinzelt weitergehende Klassifikationen vertreten. Bei IaaS stellt der Cloud-Anbieter IT-Ressourcen, z. B. abstrahierte Rechenleistung und Speicherplatz, über standardisierte Netzwerkinfrastrukturen zur Verfügung.50 Damit unterscheidet sich IaaS grundsätzlich nicht von bisherigen 43

Vgl. Sitaram/Manjunath, Moving to the Cloud, S. 353. Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 8. 45 Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 8. 46 Vgl. Hennrich, CR 2011, 546 (546); umfassend dazu Schuster/Reichl, CR 2010, 38 (40 ff.). 47 Teilweise ist auch von Klassen die Rede, s. a. Deussen/Strick/Peters, Cloud Computing für die öffentliche Verwaltung, S. 17. 48 Vgl. Schuster/Reichl, CR 2010, 38 (38). 49 Söbbing, MMR 5/2008, S. XII ff.; Spies, MMR 5/2009, XI; NIST, The NIST Definition of Cloud Computing, S. 2; Maisch, jurisAnwZert ITR 15/2009, Anm. 4; Schuster/Reichl, CR 2010, 38 (38); Schulz, MMR 2010, 75 (75); BITKOM, Cloud Computing Leitfaden, S. 22; Nägele/Jacobs, ZUM 2010, 281 (282); Engels, K&R 2011, 548 (548); Hennrich, CR 2011, 546 (546); Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 587 ff. 50 Vgl. BITKOM, Cloud Computing Leitfaden, S.  22; Nägele/Jacobs, ZUM 2010, 281 (282). 44

104

C. Gefährdungslagen der informationellen Selbstbestimmung 

Geschäftsmodellen des Application Hostings, bei denen es üblich ist, dass der Hosting-Anbieter seinem Kunden die gesamte Infrastruktur bereitstellt, die zur Ausführung seiner Anwendungen erforderlich ist. Das Hosting oder Housing51 dedizierter Hardware oder Server kann davon umfasst sein.52 IaaS wird dem Cloud Computing zugerechnet, sofern ein bedarfsabhängiges Abrechnungsmodell („Pay-per-Use“-Modell53) angeboten wird und die Dienstleistung bedarfsgerecht und unmittelbar (on demand) skaliert werden kann.54 IaaS weist ein dem Utility Computing ähnliches Geschäftsmodell auf.55 Zu den bekannten Beispielen für IaaS zählt die „Elastic Compute Cloud (EC2)“ von Amazon Webservices.56 Auf der mittleren Ebene werden unter der Bezeichnung „Platform as a Service“ IT-Dienstleistungen für Entwicklerumgebungen angesiedelt, die dazu d­ ienen, Anwendungskomponenten zu entwickeln und zu integrieren. Der PaaS-Anbieter erstellt typischerweise Softwarewerkzeuge (sog. Toolkits) und richtet sich nach den Standards für Softwareentwicklung und nach den Modalitäten der Vertriebs­ kanäle.57 Der Nutzer entrichtet seine Gegenleistung für die Nutzung der Entwicklungsumgebung, auf die er über den Browser und ohne lokale Installation zugreifen kann. Zugriff auf die darunterliegenden Schichten, wie das Betriebssystem und die Hardware des PaaS-Dienstes, hat der Nutzer nicht.58 Für Softwareentwickler bietet PaaS kostengünstige und bedarfsgerecht abrechenbare Entwicklungs-

51 Housing bezeichnet eine Form der Bereitstellung, bei dem ein Computer des Kunden in einem Rechenzentrum betrieben wird. Der Kunde mietet einen Stellplatz (sog. Stack) und die technische Anbindung an das Stromnetz, das Internet und die Klimatisierung der Anlage. Unter Hosting wird v. a. die Bereitstellung von Speicherplatz auf einem fremden Computer verstanden, dazu Tappe, IStR 2011, 870 (871). 52 Im Unterschied zum klassischen Webhosting, bei dem auf einem physisch vorhandenen Server eine Vielzahl von Websites gespeichert ist, hat beim sog. dedizierten Hosting allein der Kunde bzw. eine berechtigte Nutzergruppe Zugriff auf einen bestimmten Server. Der gesamte Leistungsumfang dieses Servers kann in Anspruch genommen werden, ohne ihn mit Dritten zu teilen. Weiterführend dazu Bertermann, in: Heidrich/Forgó/Feldmann, Heise Online-Recht, A., Teil II, Rn. 97 ff. 53 Dazu Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 8. 54 Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 22. 55 Dem Utility Computing liegt die Idee zugrunde, IT-Ressourcen so unmittelbar beziehbar und abrechenbar wie elektrische Energie anzubieten, die über Elektrizitätsnetze empfangen wird. Beim Utility Computing skaliert der Nutzer die IT-Ressourcen des Anbieters und strebt nach der Kontrolle über den Ort und die Art und Weise der Datenverarbeitung. Dem­ gegenüber verbleibt beim IaaS die Kontrolle überwiegend beim Anbieter, vgl. Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 22. 56 Amazon EC2 bildet das Herzstück der Amazon Cloud und stellt eine Schnittstelle für die Anwendungsprogrammierung zur Verfügung, vertiefend S. Reese, Cloud Application Architectures, S. 20 ff. 57 Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 19. 58 BSI, Cloud Computing Sicherheitsempfehlungen für Cloud Computing Anbieter, a. u. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunkte papier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile, S. 16.

II. Weltweite Datenverarbeitung

105

plattformen an und ermöglicht ihnen eine schnelle Verbreitung von Software­ anwendungen.59 Die Google Apps Engine60 und Microsoft Windows Azure61 sind Beispiele für PaaS-Lösungen.62 Die oberste Ebene der Service Modelle im Cloud Computing bildet die Bereitstellung von Software in Form von Anwendungen oder Betriebssystemen über einen Browser, einen Thin-Client oder eine andere Plattform.63 Bei traditionellen Formen des Softwarevertriebs, bei denen der Nutzer eine Kopie der Anwendung auf einem Datenträger erwirbt oder herunterlädt und lokal installiert, müssen stets Kompatibilitätsprobleme, die fortlaufende Instandhaltung der Anwendung durch Patches und Upgrades sowie die Einhaltung der Lizenzbestimmungen beachtet werden.64 Im SaaS-Modell steht nicht der Erwerb, sondern die Miete von Software im Vordergrund. SaaS ermöglicht, das Hosting und das Management ganzer Anwendungen auszulagern. Kosten für ggf. ungenutzte Lizenzen, den Betrieb und die Wartung von Infrastruktur und Software können somit reduziert werden. Mit Ausnahme der spezifischen Konfiguration einer Firewall sind zwar clientseitig keine bestimmten Anpassungen der Hard- und Software erforderlich. Im Unterschied zu einer individuell zugeschnittenen Softwarelösung kann eine SaaS-Anwendung jedoch nur teilweise individuell angepasst oder konfiguriert werden.65 SaaS-Anwendungen sind faktisch ein voreingestelltes Softwarepaket. Für öffentliche Stellen als Cloud-Nutzer (sog. Public-Sektor-Nutzer) sind insbesondere solche Dienste geeignet, die kollaborative Organisationsformen („Collaboration as  a Service“) unterstützen. Darunter fällt der gemeinsame kommunale Zugriff auf Dokumente, Kalender, Adressverwaltung, Telefonie, Web- und Videokonferenzsysteme sowie Blogs/Wikis und Foren. Google Apps for Business, Microsoft Online Services, Salesforce.com sind bekannte Beispiele für SaaS.66

59

Ausführlich zum Funktionsumfang von PaaS, Mather/Kumaraswamy/Latif, Cloud­ Security and Privacy, S. 20 f. 60 Google Apps Engine, a. u. https://developers.google.com. 61 Microsoft Windows Azure, a. u. http://www.windowsazure.com. 62 Hennrich, CR 2011, 546 (547). 63 Hennrich, CR 2011, 546 (547). 64 Vgl. Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 18. 65 Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 18. 66 Ob herkömmliche Websites, z. B. Soziale Netzwerke, den SaaS zuzuordnen sind, wird unterschiedlich beurteilt (zustimmend, Winkler, Securing the Cloud, S. 143). Eine pauschale Einordnung ist nicht zielführend. Es kommt auf die im Einzelfall zum Einsatz kommende Technik an. Anwendungen bei Facebook werden z. B. im Wege von SaaS-Diensten bereitgestellt, S.  Burnham/Pütter, CIO.de, Beitrag v. 15.07.2011, a. u. http://www.cio.de/strategien/ 2277578/index3.html.

106

C. Gefährdungslagen der informationellen Selbstbestimmung 

c) Bereitstellungsmodelle Beim Cloud Computing werden interne (sog. Private Clouds) und externe (sog. Public Clouds) Bereitstellungsmodelle (engl. Cloud Deployment Models) und Mischformen davon (sog. Hybrid Clouds) unterschieden.67 Private Clouds sind in sich geschlossene, häufig auch unternehmens-, körperschafts- oder standortgebundene Cloud-Computing-Infrastrukturen, die nur einem begrenzten Kreis an berechtigten Nutzern zur Verfügung stehen.68 Dieses Bereitstellungsmodell weist kaum Unterschiede zu den bereits üblichen Dienstleistungen etablierter IT-Outsourcing-Anbieter auf. Im Unterschied zu Private Clouds sind Public Clouds Bereitstellungsmodelle, bei denen IT-Ressourcen simultan einer Vielzahl von Nutzern zur Verfügung stehen.69 Public Clouds werden nicht nutzerbezogen angepasst, sodass wenig bis kein Gestaltungsspielraum für Kontrollen, Weisungen und individuelle Vereinbarungen, sog. Service-Level-Agreements (SLA), verbleibt. Die gemeinsame Nutzung von ITRessourcen kann eine Gefährdungslage für die IT-Sicherheit, insbesondere für den Datenschutz und den Geheimnisschutz darstellen.70 Problematisch ist ferner die Intransparenz von Public Clouds. Informationen zu den Standorten der Rechenzentren und zu den verwendeten Technologien, zu den beteiligten Firmen und zu den getroffenen Schutzmaßnahmen bleiben dem Nutzer in der Regel mit dem Hinweis auf den Schutz von Betriebsgeheimnissen71 verwehrt.72 Public-Cloud-Computing stellt daher eine für Cloud-Service-Provider attraktive Lösung dar, überschüssige IT-Ressourcen von Rechenzentren gewinnbringend zu verwerten, ohne individuelle Spezifikationen der Nutzer berücksichtigen zu müssen. Aus Nutzersicht ist fraglich, ob die Datensicherheit in diesen Clouds hinreichend gewährleistet ist. Eine Mischform aus Private Clouds und Public Clouds stellen Hybrid Clouds dar.73 Es werden hierbei eigene und fremde IT-Ressourcen in Kombination genutzt. So ist es möglich bspw. unkritische Applikationen in einer allgemein zugänglichen Public Cloud zu betreiben. Personenbezogene Daten und vertrauliche Daten können hingegen in einer Private Cloud gespeichert werden.

67 Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 22; zu den Vorfragen, wie eine Klassifizierung vorzunehmen ist, vertiefend Deussen/Strick/Peters, Cloud Computing für die öffentliche Verwaltung, S. 17; zur weitergehenden Differenzierung der Private Cloud, Giebichenstein, BB 2011, 2218 (2218). 68 Niemann/Hennrich, CR 2010, 686 (687). 69 Niemann/Hennrich, CR 2010, 686 (687); Weichert, DuD 2010, 679 (680). 70 Marnau/Schirmer/Schlehan/Schunter, DuD 2011, 333 (334). 71 Niemann/Hennrich, CR 2010, 686 (690). 72 Vgl. Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 23. 73 Dazu vgl. Hennrich, CR 2011, 546 (547); Weichert, DuD 2010, 679 (680).

II. Weltweite Datenverarbeitung

107

5. Risiken der technischen Vernetzung Die Service Modelle im Bereich des Cloud Computings schaffen Rahmenbedingungen für vielfältige Einsatzszenarien. Die Vorteile des Geschäftsmodells gehen mit Risiken einher, die im Rahmen der Auftragsdatenverarbeitung oder Datenübermittlung von den Parteien vertraglich ausgeräumt werden müssen oder deren Eintrittswahrscheinlichkeit durch die Vereinbarung von Sicherheitsmaßnahmen verringert werden muss. Entlang des Lebenszykluses von Cloud-Computing-Services, d. h. von der Planungs-, Implementierungs- und Betriebs- bis hin zur Exitphase, kann eine Bandbreite von Risiken i. S. v. Verwundbarkeiten, Angriffen und Nachteilen identifiziert werden.74 Die Informationssicherheit bildet dabei einen zentralen Aspekt. Neben allgemeinen Risiken, die das IT-Outsourcing mit sich bringt, können organisatorische und technische Risiken Vermögensschäden und mittel- und langfristige Imageschäden zur Folge haben.75 a) Organisatorische Risiken aa) Datenabhängigkeit (Vendor-Lock-in) Unter Vendor-Lock-in wird die Abhängigkeit eines Cloud-Kunden von den Dienstleistungen des Cloud-Anbieters verstanden.76 Die Abhängigkeit von der Mitwirkung des Cloud-Anbieters bei der Beendigung eines Vertrags birgt ein technisches und rechtliches Konfliktpotenzial. Derzeit existieren nur wenige Werkzeuge, Verfahren oder Standards, die einen Transfer, sog. Migration, von Datenbeständen oder Diensten zwischen dem Cloud-Anbieter und dem Cloud-­ Kunden gewährleisten.77 Diese Problematik besteht auch bei der Migration von Daten oder Diensten im Rahmen eines Anbieterwechsels.78 Vendor-Lock-in-Effekte beschränken nicht nur die (informationelle)  Selbst­ bestimmung des Nutzers, da er daran gehindert wird, zu bestimmen, was mit seinen Daten passiert. Der Verlust der Datenherrschaft kann die Steuerungsfähigkeit eines Unternehmens erheblich beeinträchtigen.79 Die Migration kann eine kostenintensive Schaffung von Schnittstellen zum Export von Daten und Anwendungen erfordern. Im Falle einer Insolvenz des Cloud-Anbieters oder eines Unternehmensübergangs ist nicht ausgeschlossen, dass der Cloud-Kunde Engpässe bei 74

Vgl. Giebichenstein, BB 2011, 2218 (2219). Giebichenstein, BB 2011, 2218 (2222). 76 ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 26. 77 Vgl. Terplan/Voigt, Cloud Computing, S. 50. 78 Art.-29-Datenschutzgruppe, Stellungnahme 05/2012, WP 196, S. 5. 79 Mann, MMR 2012, 499 (502). 75

108

C. Gefährdungslagen der informationellen Selbstbestimmung 

der Verfügbarkeit der IT-Ressourcen erleidet.80 Vendor-Lock-in-Effekte werden nach SaaS-, PaaS- und IaaS-Service-Modellen differenziert. Im Rahmen von SaaS-Diensten werden die Datenbestände von Cloud-Kunden in Datenbanken gespeichert, die vom Anbieter entwickelt wurden. Bei einem Großteil der SaaS-Dienste werden Schnittstellen zur Anwendungsprogrammierung (API) angeboten, die Lese- und Export-Operationen erlauben. Stehen diese Routinen nicht (mehr) zur Verfügung und wurde eine Beendigungsunterstützung nicht detailliert vertraglich vereinbart81, obliegt es dem Cloud-Kunden, technische Lösungswege zu suchen. Bereits unterschiedliche Verarbeitungsstrukturen von Datenbanken oder zugrunde liegenden Dateiformaten können ein Hindernis für die Migration darstellen.82 Es ist denkbar, dass anbieterspezifische Programmierschnittstellen eine Mitwirkung des Cloud-Anbieters erforderlich machen. Vergleichbare Abhängigkeiten und Hindernisse ergeben sich auch bei PaaSDiensten. Hier kommt hinzu, dass Cloud-Kunden Entwicklungskomponenten des Cloud-Anbieters nutzen, die zumeist nicht portabel sind.83 Bei IaaS-Diensten kommt es darauf an, wie eine Dienstleistung im Einzelfall ausgestaltet ist. bb) Verlust der Steuerungsgewalt (Governance) IT-Outsourcing im Bereich des Cloud Computings reicht von der Auslagerung einzelner Anwendungen oder der Inanspruchnahme von IT-Ressourcen bis hin zur Verlagerung großer Teile der Inhouse-IT in die Betriebsumgebung des Anbieters. Risiken für die Datensicherheit sind denkbar, wenn die Steuerungsgewalt (sog. Governance) über die Cloud eingeschränkt ist oder bspw. durch IT-sicherheitsrelevante Angriffe84 verloren geht. Eine mehrdeutige Rechte- und Rollenverteilung oder Schwierigkeiten ihrer Durchsetzung, missverständliche ServiceLevel-Agreements, Unklarheiten bei den Eigentumsverhältnissen von Gegenstän 80 ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 26. 81 Hierzu Mann, MMR 2012, 499 (502). 82 ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 26. 83 ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 27. 84 Bei dem Storage-as-a-Service-Dienst „Dropbox“ konnten Angreifer einen Mitarbeiterzugang zum System ausnutzen, da dort dieselbe E-Mail-Adresse- und Passwort-Kombination gewählt worden war wie bei einem zuvor kompromittierten Webmaildienst. Über das Dropbox-Konto des Mitarbeiters konnte auf Kunden-E-Mail-Adressen Zugriff genommen und diese zum Versand von Phishing-E-Mails verwendet werden, um wiederum Konten Dritter zu übernehmen, dazu Lischka, Spiegel Online, Beitrag v. 01.08.2012, a. u. http://www.spiegel.de/ netzwelt/web/dropbox-neue-passwoerter-fuer-alle-nutzer-a-847576.html.

II. Weltweite Datenverarbeitung

109

den oder der Verzicht auf eine regelmäßige Überprüfung und Zertifizierung der IT sind Beispiele für Verwundbarkeiten, die einen Verlust der Steuerungsgewalt herbeiführen können.85 Problematisch sind auch Unterauftragsverhältnisse, die der Cloud-Anbieter zur Erfüllung bestimmter Leistungen eingeht, sofern die Unterauftragnehmer nicht auf die Einhaltung des vom Cloud-Anbieter garantierten Sicherheitsniveaus verpflichtet sind. Die informationelle Selbstbestimmung der Betroffenen, aber auch sonstige Privat-, Betriebs- oder Geschäftsgeheimnisse können beeinträchtigt werden. Der Verlust der Governance kann die betroffenen Nutzer verunsichern, einen Reputations- und Vertrauensverlust zur Folge haben, den Bestand von personenbezogenen Daten und Geheimnissen beeinträchtigen oder die Verfügbarkeit von Telemediendiensten des Kunden konkret gefährden.86 cc) Leistungsstörungen Der Betrieb von Cloud-Computing-Diensten kann durch Fehler bei der Bereitstellung und der Skalierbarkeit der Dienste, bei der Datenübertragung und aufgrund mangelhafter Verfügbarkeit87 eingeschränkt sein.88 Störungen in den Rechenzentren des Cloud-Anbieters89, beim Access Provider des Cloud-Anbieters, bei der Übertragung (zu) großer Datenmengen oder ausgelöst von DDoS-Angriffen90 85

ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 28. 86 ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 29. 87 Die Verfügbarkeit von Daten in der Cloud kann durch Angriffe auf der Netzwerkebene oder auf den Cloud-Anbieter beeinträchtigt werden. Die angestrebte Verfügbarkeit wird in Zeitangaben pro Jahr berechnet. Die Verfügbarkeit von 99 % der Zeit bedeutet, dass die Cloud ca. 87 Stunden pro Jahr nicht bereitstehen wird. Ausführlich dazu Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 70; Winkler, Securing the Cloud, S. 56; Downtime ist auch bei großen Cloud-Providern möglich, wie bspw. bei der Cloud von Microsoft Windows Azure, die im Februar 2012 weltweit für etwa sieben Stunden nicht verfügbar war, vgl. Parnell, The Register, Beitrag v. 29.02.2012, a. u. http://www.theregister.co.uk/2012/02/29/windows_ azure_outage/. 88 Terplan/Voigt, Cloud Computing, S. 50 ff. 89 Weiterführend im Hinblick auf temporäre und permanente Störungen der Verfügbarkeit, Jansen, Cloud Hooks: Security and Privacy Issues in Cloud Computing, S. 7. 90 Bei einem Denial-of-Service-Angriff wird ein Zielrechner oder ein Netzwerk mit Netzwerkanfragen überhäuft, sodass es zu einer Überlastung kommt. Hocheffizient sind auch Angriffe, die auf die Integrität von Servern abzielen. Koordinierte Angriffe mit einer Vielzahl von Rechnern, die Datenpakete gezielt versenden, werden Distributed-Denial-of-Service-Angriffe (verteilte DoS-Angriffe bzw. DDoS-Angriffe) genannt. Die Durchführung von DDoS-Attacken über ein Bot-Netz erfüllt den Straftatbestand der Computersabotage gem. § 303b StGB, LG Düsseldorf, Urt. v. 22.03.2011 – 3 KLs 1/11, Anm. Popp, jurisPR-ITR 25/2011, Anm. 6. Vertiefend zur Strafbarkeit von (D)DoS-Angriffen, Heckmann, in: jurisPK-Internetrecht, Kap. 8, Rn. 17.

110

C. Gefährdungslagen der informationellen Selbstbestimmung 

können sich auf die Verfügbarkeit der Cloud niederschlagen.91 Ein Beispiel ist der Cloud-Dienst „The Linkup“, der am 08.08.2008 seinen Dienst einstellen musste, nachdem der Storage- und Backup-Dienstleister den Verlust einer unbekannten Menge an gespeicherten Daten seiner etwa 20.000 Nutzer bekanntgegeben hatte.92 Von Leistungsstörungen sind auch große Cloud-Service-Provider betroffen. Die Amazon Cloud „S3“ hat z. B. im Jahr 2008 zwei große Ausfälle von mehreren Stunden erlitten.93 Im April 2011 waren die Amazon Cloud EC2 und damit hunderte gehostete Websites, wie u. a. das Soziale Netzwerk Foursquare, für 24 Stunden nicht erreichbar.94 Leistungsstörungen sind daher auch beim Outsourcing in die Cloud ein Aspekt, der im Rahmen einer Risikoanalyse berücksichtigt werden muss. dd) Transparenz Transparenz gehört zu den Grundvoraussetzungen bei der Ausübung der informationellen Selbstbestimmung. Nur wer sich hinreichend über die Daten­ sicherheit einer Informationstechnologie informieren und auf ihre Gewährleistung vertrauen kann, ist in der Lage, eine sorgfältige Entscheidung zu fällen. Informations­sicherheit gehört zu den wesentlichen Determinanten, um eine Auswahl von Cloud Anbietern und Dienstleistungen zu treffen.95 Sofern Cloud-Service-Provider nicht hinreichend über die Implementierung ihrer IT-Infrastruktur, ihre Nutzungs­bedingungen und Schutzmaßnahmen informieren, steht und fällt das IT-Out­sourcing in die Cloud mit dem Vertrauen, das ihnen ihre Kunden entgegenbringen.96 Das Vertrauen erstreckt sich auch auf die Abwehr und Prävention von Sicherheitsmängeln97 sowie auf den Umgang mit meldepflichtigen Datenschutzverstößen, bspw. gem. § 42a BDSG.

91 Es ist denkbar, dass ein Cloud-Anbieter hinter den in den Service Level Agreements vereinbarten Leistungen zurückbleibt, insbesondere bei der Verfügbarkeit der Dienste. Vertiefend zu den Risiken aufgrund von Leistungsstörungen und zur Kündigung des Dienstvertrags, ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-andresilience-in-governmental-clouds, S. 31 f. 92 „The Linkup“ bediente sich seinerseits eines IaaS-Providers, der für das Unternehmen das Hosting der Server übernahm. Daten, die bei diesem IaaS-Anbieter gespeichert waren, konnten nicht wiederhergestellt werden, Brodkin, Networkworld.com, Beitrag v. 11.08.2008, a. u. http://www.networkworld.com/news/2008/081108-linkup-failure.html?page=1; Jansen, Cloud Hooks: Security and Privacy Issues in Cloud Computing, S. 2. 93 Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 71. 94 Parr, Mashable 2011, Beitrag v. 22.04.2011, a. u. http://mashable.com/2011/04/22/amazoncloud-collapse/. 95 Giebichenstein, BB 2011, 2218 (2218). 96 Winkler, Securing the Cloud, S. 56. 97 Sog. Security Incident Management, dazu Winkler, Securing the Cloud, S.  56; Giebichenstein, BB 2011, 2218 (2219 ff.).

II. Weltweite Datenverarbeitung

111

b) Technische Risiken aa) Erschöpfung der IT-Ressourcen IT-Ressourcen im Cloud Computing werden unmittelbar und bedarfsgerecht (on demand) für den Cloud-Kunden bereitgestellt. Ob der Cloud-Anbieter seinerseits stets ausreichende Ressourcen vorhält, ist von seiner Ressourcenplanung abhängig. Dazu kommen in der Regel automatisierte Verfahren zum Einsatz, die fehlerbehaftet sein können. Ökonomische oder strategische Fehlentscheidungen und Automatisierungs- oder Softwarefehler in der Sphäre des Cloud-Anbieters können gravierende Folgen sowohl für den Cloud-Anbieter als auch für seinen ­Kunden haben. Beim Cloud-Anbieter sind, abgesehen von Verfügbarkeitsengpässen bei der Bereitstellung von IT-Ressourcen oder Anwendungen, Schwachstellen bei Sicherheitssystemen (sog. Verwundbarkeiten98), die Entstehung von Vermögensschäden oder Einbußen bei der Unternehmensreputation denkbar. Beim Cloud-Kunden ist denkbar, dass die Nutzbarkeit von Diensten eingeschränkt wird oder vollständig ausfällt. Daraus resultierende Verwundbarkeiten beim Zugriffsmanagement können die Vertraulichkeit und Integrität der Daten­ bestände gefährden. Möglich ist, dass diese Gefährdungslagen mit Vermögensschäden, entgangenem Gewinn, Reputationsverlusten oder Verstößen gegen die, mit den Endnutzern vereinbarten Leistungsbestimmungen einhergehen.99 bb) Verwundbarkeit der Cloud Cloud Computing ist ein Geschäftsmodell auf der Grundlage von virtuellen Maschinen. Unter virtuellen Maschinen (VM) werden typischerweise Standard­ betriebssysteme verstanden, die sich in einer abgekapselten Einheit innerhalb eines vollständig konfigurierten und betriebsbereiten Betriebssystems (Wirt) befinden. Die VM entspricht Abbildern (sog. Images) eines laufenden Systems mit Festplattenspeicher, in dem wiederum virtueller Speicherplatz bereitgestellt wird.100 Die Kapsel bzw. der virtuelle Rechner, auf dem die VM läuft, wird vom sog. Hypervisor erzeugt. Ob der Hypervisor als Virtualisierungssoftware seiner-

98 Nach Eckert werden unter Schwachstellen Schwächen eines Systems verstanden, an denen es verwundbar sein kann. Eine Verwundbarkeit ist eine Schwachstelle, die dazu aus­ genutzt wird, um die Sicherheitsdienste des Systems zu umgehen, zu täuschen oder zu ver­ ändern, ausführlich Eckert, IT-Sicherheit, S. 14 ff. 99 ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 34 f. 100 Vgl. Winkler, Securing the Cloud, S. 57.

112

C. Gefährdungslagen der informationellen Selbstbestimmung 

seits ein Betriebssystem voraussetzt oder unmittelbar auf der Hardware läuft, ist von der Ausgestaltung der Cloud-Infrastruktur im Einzelfall abhängig.101 Grundsätzlich schafft Virtualisierung Distanz. Softwarefehler, Schadsoftware oder Angriffe auf die Systemintegrität, die innerhalb einer VM stattfinden, bleiben innerhalb dieser Einheit (sog. Instanz). So kann bspw. eine normale SpywareSoftware, die über das Internet auf eine VM gelangt ist, diese nicht „verlassen“ und auf den Wirt-Computer übergehen. Das Betriebssystem und die IT-Ressourcen des Wirts bleiben unberührt. Dieser Effekt wird teilweise als Zugewinn an IT-Sicherheit bewertet.102 Virtualisierung zur Nutzung flexibler on-demand-Infrastrukturen hat aber ebenso die Beziehung von Betriebssystemen zu Hardware verändert.103 Virtualisierung bringt auch neue Gefährdungslagen mit sich, die die Datensicherheit beeinträchtigen können.104 (1) Angriffe auf virtuelle Maschinen VM bestehen i.  W. aus Betriebssystemen. Wie die Erfahrung zeigt, sind Betriebssysteme stets fehlerbehaftet105 und erfordern eine regelmäßige Wartung, Überwachung (sog. Monitoring) und Anpassung an ihre Einsatzzwecke. Die Komplexität virtualisierter Anwendungsumgebungen stellt ferner die Gewährleistung der Datensicherheit vor neue Herausforderungen.106 Hinzu kommt, dass Firewalls und Einbruchserkennungssysteme107 auf der Virtualisierungsebene nicht fehlerfrei betrieben werden können.108 Folglich bedarf es spezieller Methoden, um den Datenverkehr zwischen VM zu überwachen.109 Das Monitoring stößt an technische Grenzen, sofern Datenbestände und Anwendungen in der Cloud zum Lastenausgleich (engl. „load balancing“) oder zur Absicherung eines Systemausfalls (engl.

101

Dazu Winkler, Securing the Cloud, S. 58. Winkler, Securing the Cloud, S. 12. 103 Winkler, Securing the Cloud, S. 59. 104 Heidrich/Wegener, MMR 2010, 803 (803). 105 Zu statistischen Angaben zu erkannten Verwundbarkeiten in Virtualisierungsprodukten, IBM, x-Force 2010 Mid-Year Trend and Risk Report, http://public.dhe.ibm.com/common/ssi/ ecm/en/wgl03003usen/WGL03003USEN.PDF, S. 53. 106 Dies gilt insbesondere im Vergleich zu nicht-virtualisierten Umgebungen, vgl. Jansen, Cloud Hooks: Security and Privacy Issues in Cloud Computing, S. 3. 107 Systemadministratoren werden bei der Suche nach administrativen Fehlern, Schwachstellen oder Angriffen von Einbruchserkennungssoftware, sog. Intrusion-Detection-Systeme, unterstützt. Portscanner, Schwachstellenscanner wie Xscan (www.xfocus.org), Werkzeuge zur Prüfung von Firewallregeln, Packet-Sniffer, WLAN-Cracksoftware oder Software zum Abhören vom WLAN-Verkehr sind Beispiele für solche Programme. Die Absicherung von Systemen gegen Angriffe wird als Systemhärtung (engl. Hardening) bezeichnet. Zu den Mitteln und Methoden vertiefend, Eckert, IT-Sicherheit, S. 158 ff. 108 Winkler, Securing the Cloud, S. 58. 109 Winkler, Securing the Cloud, S. 59. 102

II. Weltweite Datenverarbeitung

113

„failover“) zwischen verschiedenen physischen Ressourcen verschoben werden.110 Virtualisierung erfordert zudem unterschiedliche Ansätze zur Systemsteuerung und -konfiguration, wobei technische Probleme bei der Zuordnung von Speicherplatz, sog. Allokation, unmittelbar die Leistungsfähigkeit der Cloud beeinträchtigen können.111 Die Allokation von Speicherplatz kann auch dann eine datenschutzrechtliche Gefährdungslage zur Folge haben, wenn der lokale Arbeitsspeicherplatz, der einer VM temporär zugewiesen wird, nach Betriebsende nicht ordnungsgemäß gelöscht, sondern im beschriebenen Zustand einer anderen VM zugeordnet wird.112 Passwörter, geheime (kryptografische)  Schlüssel, personenbezogene Daten und sonstige ggf. gem. § 203 StGB schutzbedürftige Informationen können zumindest theoretisch auf diesem Weg aus Speicherkomponenten von fremden VM ausgelesen und ggf. ausgewertet werden.113 Obgleich sich VM in softwarebasiert abgeschirmten Kapseln befinden, können die Verbindungswege zu physischen IT-Ressourcen Gefahren ausgesetzt sein. Die Löschung dieser Komponenten nach Betriebsende bzw. die Ausübung und Sicherstellung der Kontrolle über diese Ressourcen sind daher bedeutende Kriterien für die Sicherheit im Cloud Computing.114 (2) Angriffe auf den Hypervisor Der Hypervisor bildet die zentrale Anwendung, in der VM als Instanzen betrieben und gesteuert werden. Hypervisoren erschaffen damit die Cloud. Ist der Hypervisor aufgrund von mangelhafter Konfiguration oder Schwachstellen im Programmcode oder an Schnittstellen zu physischen IT-Ressourcen verwundbar, ist eine Bandbreite von schwerwiegenden115 Gefährdungslagen denkbar, die sich auf 110

Winkler, Securing the Cloud, S. 58. Winkler, Securing the Cloud, S. 59. 112 Winkler, Securing the Cloud, S. 61; AK Technik und Medien, Orientierungshilfe Cloud Computing, http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf, S. 15; von der ENISA werden Fehler bei der Speicherallokation den Isolationsfehlern (engl. Isolation Failure)  zugeordnet, vgl. ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/ security-and-resilience-in-governmental-clouds, S. 35 f. 113 Die Wahrscheinlichkeit entsprechender Angriffe, die andere VM ausnutzen, ist von zahlreichen Faktoren, wie z. B. dem Cloud-Bereitstellungsmodell und deren Ausgestaltung, abhängig. Im Private Cloud Computing wird die Eintrittswahrscheinlichkeit als gering, im Public Cloud Computing als mittelmäßig eingeschätzt, ENISA, Cloud Computing, Benefits, risks and recommendations for information security, S. 35 f. 114 Vgl. Winkler, Securing the Cloud, S.  61; AK Technik und Medien, Orientierungshilfe Cloud Computing, http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf, S. 14. 115 Vgl. ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/secu rity-and-resilience-in-governmental-clouds, S. 42. 111

114

C. Gefährdungslagen der informationellen Selbstbestimmung 

die Sicherheit in der Cloud auswirken. Im Vergleich zu nicht-virtualisierten Systemen bildet der Hypervisor somit eine weitere Angriffsfläche.116 Nach Angaben eines Lageberichts der Firma IBM gibt es hier verschiedene Verwundbarkeiten insbesondere bei Wirt- und Gastsystemen, bei Schnittstellen zum Internet, bei der virtualisierten Anwendungsumgebung oder bei Benutzerschnittstellen.117 Besonderes Augenmerk verdient ein Angriff, der Verwundbarkeiten bei der Isolation von Clouds ausnutzt. Gelingt es dem Angreifer, aus einer VM „auszubrechen“, kann die Steuerung des Hypervisors übernommen und ggf. können andere VM kompromittiert werden. Ein solcher Angriff soll hier als Cross-VirtualMaschine-Angriff (Cross-VM-Angriff) bezeichnet werden.118 Cross-VM-Angriffe haben schwerwiegende Auswirkungen für die Datensicherheit und den Datenschutz in den Zielsystemen. Studien haben gezeigt, dass mithilfe eines Cross-VMAngriffs geheime Schlüssel der RSA- und AES-Verschlüsselung119 aus einer fremden VM extrahiert werden konnten. Verwundbarkeiten, die einen Ausbruch aus einer VM für den Angriff eines Hypervisors oder einer fremden VM erlauben, gelten als zweithäufigste Gefährdungslage bei gängigen Anwendungen zur Server­ virtualisierung.120 Ein Cross-VM-Angriff erfordert Vorbereitungshandlungen. Zunächst muss der Angreifer die Cloud-Infrastruktur kartografieren (engl. Mapping), um zu erkennen, auf welchen physischen Ressourcen eine VM läuft, aus der Daten extrahiert werden sollen. Anhand einer Studie am Beispiel von Amazons Cloud EC2 wurde gezeigt, dass mit der Inbetriebnahme zahlreicher VM und der Zuteilung von IP-Adressen und Domänen die Infrastruktur innerhalb der Cloud sondiert werden kann. Mithilfe dieser Informationen kann der Ort einer bestimmten virtuellen Ziel-Maschine durch Annäherung bestimmt werden, sodass eine neue VM in der unmittelbaren Nähe der Ziel-Maschine platziert werden kann.121 Entscheidend ist

116

Jansen, Cloud Hooks: Security and Privacy Issues in Cloud Computing, S. 3. IBM, X-Force 2010 Mid-Year Trend and Risk Report, http://public.dhe.ibm.com/common/ ssi/ecm/en/wgl03003usen/WGL03003USEN.PDF, S. 53. 118 Eine einheitliche Terminologie dieses Angriffs, der viele einzelne Schritte erfordert, hat sich bisher nicht durchgesetzt. Teilweise wird der Angriff als Ausbruch (engl. „Escape to Hypervisor“) bezeichnet, S. IBM, X-Force 2010 Mid-Year Trend and Risk Report, http://public. dhe.ibm.com/common/ssi/ecm/en/wgl03003usen/WGL03003USEN.PDF, S. 53; so auch Ristenpart/Tromer/Shacham/Savage, Hey, you, get off of my cloud, S. 1; der Ausbruch aus einer Cloud ist nur ein Zwischenschritt zum Angriff auf einen anderen Hypervisor oder eine andere VM, Ristenpart/Tromer/Shacham/Savage, Hey, you, get off of my cloud, S. 2. 119 s. unten, S. 321 ff. 120 Laut IBM enthalten ca. 35 % der getesteten Virtualisierungssysteme für Server entspre­ chende Verwundbarkeiten und rangieren damit auf dem zweiten Platz der häufigsten Gefähr­ dungen, die die Virtualisierung mit sich bringt, S. IBM, X-Force 2010 Mid-Year Trend and Risk Report, http://public.dhe.ibm.com/common/ssi/ecm/en/wgl03003usen/WGL03003USEN.PDF, S. 55. 121 Ristenpart/Tromer/Shacham/Savage, Hey, you, get off of my cloud, S. 1. 117

II. Weltweite Datenverarbeitung

115

dabei, dass die VM des Angreifers und die VM des Opfers auf demselben physischen Rechner122 betrieben werden.123 Ist eine VM bei der Ziel-VM platziert, muss im nächsten Schritt die Isolation zwischen den VM überwunden werden. Dazu können Schwachstellen in der Datenverarbeitung des Hypervisors aufgedeckt und ausgenutzt werden. So ist es möglich, bspw. den Speicher eines Hypervisors zu kompromittieren und darin Schadcode auszuführen.124 Neben diesen direkten Angriffen auf fremde VM sind auch indirekte Attacken denkbar, bspw. mit dem Fokus auf die Live-Migration von Maschinen.125 Unter einer Live-Migration wird der Umzug einer VM von einem bestimmten physikalischen Rechner126 auf einen anderen verstanden, wobei die VM nicht angehalten, sondern weiterbetrieben wird.127 In Fallgestaltungen nach dem Muster einer Man-in-the-Middle-Attacke128 kann es einem Angreifer gelingen, die Kontrolle über fremde Maschinen zu erlangen.129 Ein weiterer indirekter Angriff ist die sog. Side-Channel-Attacke. Dabei werden Informationen über die Rechenzeiten, den Energieverbrauch, die elektromagnetischen Schwingungen oder die Geräusche einer physischen IT-Infrastruktur eines Systems ausgewertet, um einen geheimen Schlüssel zu decodieren.130 Möglich ist auch die Berechnung von Passwörtern anhand der Zeit, die zum Eintippen der Zeichen auf der Tastatur durch den Nutzer vergeht.131 Neben der Ausnutzung von Schwachstellen und Verwundbarkeiten des Hypervisors und der

122 In der Amazon Cloud EC2 wird eine VM für die Dauer ihrer Existenz (sog. Standzeit bzw. engl. Lifetime)  einer bestimmten physikalischen Maschine innerhalb des EC2-Netzwerks zugewiesen, mit ausführlichen Erläuterungen, Ristenpart/Tromer/Shacham/Savage, Hey, you, get off of my cloud, S. 1. 123 Ristenpart/Tromer/Shacham/Savage, Hey, you, get off of my cloud, S. 1; S. a. Metzger/ Reitz/Villar, Cloud Computing, S. 90 ff. 124 Jansen, Cloud Hooks: Security and Privacy Issues in Cloud Computing, S. 5 mit Verweis auf die Verwundbarkeit „VNnc Codec Heap Overflow“ bei durch die Ausführung einer mit Schadcode versehenen HTML-Seite oder einer Videodatei ein VMware Hypervisor zur Ausführung von Schadcode veranlasst werden kann, s. VMware, VMSA-2009–0005, a. u. http:// www.vmware.com/security/advisories/VMSA-2009–0005.html. 125 Münch/Doubrava/Essoh, DuD 2011, 322 (324). 126 Die Wartung eines physikalischen Servers oder der Lastenausgleich innerhalb des Netzwerks kann eine Migration erforderlich machen. Die Live-Migration erhält dabei die Verfügbarkeit der Gast-VM. 127 Zu technischen Grundlagen der Live-Migration, Clark/Fraser/Hand et al., Live migration of virtual machines, S. 1 ff. 128 Bei Man-in-the-middle, bzw. dem Mittelsmannsangriff handelt es sich um eine Form von Angriffen, die in Rechnernetzen vollzogen wird. Der Angreifer steht dabei physikalisch oder logisch zwischen den Kommunikationspartnern und übernimmt die Kontrolle über den Datentransfer. 129 Jansen, Cloud Hooks: Security and Privacy Issues in Cloud Computing, S. 5. 130 Dazu Ristenpart/Tromer/Shacham/Savage, Hey, you, get off of my cloud, S. 9. 131 Sog. Keystroke-timing-attack, Ristenpart/Tromer/Shacham/Savage, Hey, you, get off of my cloud, S. 11.

116

C. Gefährdungslagen der informationellen Selbstbestimmung 

über den Webbrowser zugänglichen Log-in- und Management-Bedienungsoberflächen132 sind auch Denial-of-Service-Attacken denkbar, bei denen eine Ziel-Maschine durch die Überlastung des gemeinsamen physischen Servers verlangsamt werden kann.133 Ein weiteres Problem für die Gewährleistung der Sicherheit in der Cloud stellen verdeckte Netzwerkangriffe dar, die auf den Datenverkehr zwischen VM abzielen. Hier sind bekannte Angriffe wie IP-Spoofing, MAC-Spoofing, Paket-Sniffing oder Man-in-the-Middle-Attacken denkbar.134 Die Schwierigkeit besteht darin, unzulässigen Datenverkehr zwischen VM aufzudecken, insbesondere dann, wenn der Datenaustausch zwischen den VM zu den vereinbarten Leistungen mit dem Kunden zählt. Eine Lösungsmöglichkeit ist, die Kommunikation zwischen VM durch virtuelle Local-area-Networks, sog. VLAN135, zu leiten. VLANs bedürfen allerdings der technischen Anpassung an die physischen IT-Ressourcen und können Probleme beim Hosting großer Cloud-Umgebungen bereiten.136 cc) Sonstige Risiken der technischen Vernetzung Schwerwiegende Auswirkungen auf ein betroffenes System im Cloud Computing hat der Missbrauch von Administratorenrechten. Dieser kann durch einen Beschäftigten des Cloud-Service-Providers oder einen Dritten erfolgen. Ein Administrator, der über entsprechende Zugriffsrechte und Rollen verfügt, ist in der Lage, die physische Kontrolle über die Daten dazu auszunutzen, personenbezogene Daten aus mehreren VM rechtswidrig zu extrahieren und zusammen­ zutragen.137 Mit entsprechenden Rechten ausgestattet kann auch ein externer Angreifer personenbezogene Datenbestände löschen oder unberechtigt an Dritte weitergeben.138 Im Unterschied zu traditionellen Computing-Architekturen findet beim Cloud Computing ein Datenaustausch in hohem Maße statt. Angriffe können daher auf

132

ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 37. 133 Jansen, Cloud Hooks: Security and Privacy Issues in Cloud Computing, S. 7. 134 Münch/Doubrava/Essoh, DuD 2011, 322 (324). 135 Virtual Local Area Network. Virtuelle Netzwerke werden auch zum Schutz der Netzwerksicherheit in Unternehmen eingesetzt, ausführlich zu den technischen Hintergründen, Schreiner, Computer-Netzwerke, S. 129. 136 Winkler, Securing the Cloud, S. 62; vertiefend Jansen, Cloud Hooks: Security and Privacy Issues in Cloud Computing, S. 3. 137 Art.-29-Datenschutzgruppe, Stellungnahme 5/2012, WP 196, S. 6. 138 Dazu ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/ security-and-resilience-in-governmental-clouds, S. 36.

II. Weltweite Datenverarbeitung

117

den Transfer von Daten gerichtet werden, sofern nicht verschlüsselte Verbindungen genutzt werden.139 Im Übrigen stellt die vollständige und wirksame Löschung von Daten die verantwortliche Stelle regelmäßig vor Hindernisse. Sofern lediglich der Personenbezug von Informationen gelöscht werden soll, genügt die Löschung der Identifikatoren, soweit dies möglich ist.140 Die sichere Löschung von Datenbeständen wird angenommen, wenn ein die Daten beinhaltender Datenträger physisch zerstört wird.141 Die physische Zerstörung von Daten ist zwar bei einer überschaubaren Anzahl an Datenträgern möglich, aber für den Cloud-Service-Provider unzumutbar, da eine Vielzahl an Hardware mit den Daten in Berührung kommt und bereits die Allokation von Daten in der Cloud aufwendig sein kann. Ob eine Löschung von Daten sicher durchgeführt wurde, ist für den Kunden kaum feststellbar.142 Eine Löschung kann auch mit dem Verlust eines geheimen Schlüssels für verschlüsselte Datenbestände bewirkt werden. Daten sind sodann dauerhaft gesperrt.143 Eine Kenntnisnahme der Inhalte ist unmöglich, sofern der Schlüssel nicht reproduzierbar ist. c) Zwischenergebnis Cloud Computing ist ein Geschäftsmodell aus dem Bereich des IT-Outsourcings und i. W. keine technische Innovation, da auf bekannte Technologien, Verfahren, Schnittstellen und Dienstleistungsmodelle zurückgegriffen wird. Aus organisatorischer und technischer Sicht stellen sich hier zahlreiche Sicherheitsfragen, die bereits aus dem nicht-cloudspezifischen oder sog. klassischen IT-Outsourcing bekannt sind. In dieser Arbeit wurden Risiken herausgearbeitet, die aufgrund ihrer faktischen Auswirkungen auf die Datensicherheit die informationelle Selbstbestimmung von Betroffenen beeinträchtigen können. Aus organisatorischer Sicht problematisch ist die große Abhängigkeit des Cloud-Kunden vom Diensteanbieter (Vendor-Lock-in), die mit der Auslagerung von Diensten einhergeht. Je umfangreicher die ausgelagerte Datenverarbeitung ausgestaltet ist, je mehr personenbezogene Daten verarbeitet werden und je wichtiger diese Datenverarbeitung für die Erfüllung von Leistungspflichten oder die Bewältigung von Geschäftsprozessen 139 ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 38. 140 Dammann, in: Simitis, BDSG, § 3, Rn. 179; es handelt sich dabei um den Ansatz der Löschung von personenbezogenen Daten durch hinreichende Anonymisierung. 141 Dammann, in: Simitis, BDSG, § 3, Rn. 178. 142 AK Technik und Medien, Orientierungshilfe Cloud Computing, http://www.datenschutzbayern.de/technik/orient/oh_cloud.pdf, S. 14. 143 ENISA, Cloud Computing, Benefits, risks and recommendations for information security, a. u. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/securityand-resilience-in-governmental-clouds, S. 41.

118

C. Gefährdungslagen der informationellen Selbstbestimmung 

des Cloud-Kunden ist, desto größer ist die Abhängigkeit des Cloud-Kunden von der Mitwirkung des Diensteanbieters. Fehlt es an der Mitwirkung des Diensteanbieters bei der Feinabstimmung der Dienste, bei dem Vollzug einer informationstechnischen Migration, bei der Bereitstellung von Schnittstellen für die Übermittlung von Daten (Export) oder bei der Gewährleistung von hinreichender Datensicherheit, kann der Datenschutz gefährdet sein. Eine unmittelbare Gefährdung kann sich auch aus dem Verlust der Steuerungsfähigkeit und anderen Leistungsstörungen ergeben, insbesondere wenn Unklarheit über die vereinbarte Leistungserfüllung, die Besitz- und Eigentumsverhältnisse von Hardware und die Vertrauenswürdigkeit bzw. Datenschutz-Compliance der teilnehmenden Subunternehmer besteht. Fehlende Transparenz bildet zudem ein Risiko, dass die virtualisierte Datenverarbeitung ohnehin mit sich bringt. Die (Live-)Migration von VM macht es möglich, die Cloud des Kunden und die darin erfolgende Datenverarbeitung weltweit flexibel zu relokalisieren, ohne dass dies für den Cloud-Kunden ersichtlich oder bemerkbar ist. Die weltweite Datenverarbeitung erschwert die Kontrollierbarkeit der Cloud für den Cloud-Kunden. Zu den wesentlichen technischen Risiken des Cloud Computings gehören die Erschöpfung der IT-Ressourcen bzw. die mangelnde Verfügbarkeit durch ServerAusfälle und die Verwundbarkeit der Virtualisierungsstrukturen. Während gegen die Erschöpfung der IT-Ressourcen und zur Erhaltung der Verfügbarkeit durch ein entsprechendes Ressourcen- und Notfallmanagement vorbeugende Maßnahmen getroffen werden können, gestaltet sich der Schutz der Virtualisierungsumgebung als aufwendig. Im Unterschied zum klassischen IT-Outsourcing gibt es cloudspezifische Besonderheiten bei der Sicherheit der VM und des Hypervisors. Eine Destabilisation dieser Strukturen kann Zugriffe von Dritten auf personenbezogene Daten, Zugangsdaten oder kryptografische Schlüssel ermöglichen, die die Datensicherheit mittelbar oder unmittelbar gefährden. Je nach der Art einer Schwachstelle und der von einem Angriff betroffenen Datensätze können Angreifer erhebliche Beeinträchtigungen der informationellen Selbstbestimmung herbeiführen. Mit Zugriffen auf private Daten, bspw. persönliche Fotoalben, elektronische Tagebücher oder ähnliche, private Schriften, können Dritte intensive Eingriffe in die Privatheit des Betroffenen vornehmen. Mit Cloud Computing können Kosten für Personal, ungenutzte Lizenzen und den Wartungsaufwand eingespart werden. Gemeinsam nutzbare IT-Ressourcen wie Storage-as-a-Service oder Software-as-a-Service erleichtern die stellenübergreifende Zusammenarbeit und die Synchronisation von Geschäftsprozessen. Aus der Abstraktion von IT-Ressourcen kann zwar teilweise ein Zugewinn an Datensicherheit abgeleitet werden. Die Arbeit hat aber auch gezeigt, dass es neben den bekannten Fragestellungen des IT-Outsourcings cloudspezifische Angriffe, Schwachstellen und Sicherheitsfragen gibt, die die Datensicherheit gefährden können.

II. Weltweite Datenverarbeitung

119

6. Datenschutzrechtliche Fragen a) Vorfragen einer Migration in die Cloud aa) Anwendbarkeit des deutschen Rechts SaaS-, PaaS- oder IaaS-Dienstleistungen können eine Datenverarbeitung oder technische Übermittlung zwischen Rechenzentren außerhalb der Bundesrepublik Deutschland erforderlich machen. Eigenen Angaben zufolge betreibt bspw. die Microsoft Corp. zwischen 10 und 100 Rechenzentren mit weltweiten Standorten.144 Die globale Dimension und die (praktische) „Unbeherrschbarkeit der Datenströme“145 des Cloud Computings erschweren die Bestimmung des anwendbaren Datenschutzrechts. Bei weltweiter, teilweise automatisiert gesteuerter Skalierung der Datenverarbeitung im Cloud Computing drängt sich die Frage auf, ob und unter welchen Voraussetzungen deutsches Recht Anwendung findet.146 Der räumliche Anwendungsbereich des deutschen Datenschutzrechts richtet sich nach dem Niederlassungsprinzip gem. § 1 Abs. 5 S. 1, S. 2 BDSG. Welches nationale Recht anzuwenden ist, bestimmt sich grundsätzlich nicht nach dem Recht, das an dem Ort der tatsächlichen Erhebung, Verarbeitung oder Nutzung gilt (sog. Territorialprinzip), sondern nach dem Recht des Ortes, an dem die hierfür verantwortliche Stelle ihre Niederlassung hat (sog. Niederlassungsprinzip).147 International tätige Unternehmen mit einer Niederlassung in Europa werden mit dieser Vorschrift privilegiert, indem nicht die Einhaltung einer Vielzahl von nationalen Datenschutzgesetzen gewährleistet werden muss, sondern nur das Recht, das am Ort der Niederlassung148 gilt. Ein ausländischer Cloud-Service-Provider mit deutscher Niederlassung, der personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, hat die Gestaltung und den Betrieb seiner Dienste nach dem BDSG auszurichten und dessen Vorgaben an die Datensicherheit zu erfüllen.149 Hat ein ausländischer Cloud-Service-Provider nur eine Niederlassung in einem anderen Mitgliedstaat, so gilt das Datenschutzrecht dieses Mitgliedstaats. 144

Sofern die Datenverarbeitung in Europa erfolgen soll, seien Rechenzentren in Dublin, Amsterdam und in den USA beteiligt, so Microsoft, Office 365 Trust Center, Geographic Boundaries, a. u. http://www.microsoft.com/online/legal/v2/?docid=25. 145 Schuster/Reichl, CR 2010, 38 (41); zur praktischen Unmöglichkeit festzustellen, wo sich wann welche Daten befinden, Nägele/Jacobs, ZUM 2010, 281 (289). Zur Datenherrschaft als Grundlage für die Gesetzmäßigkeit der Verwaltung, Heckmann, in: Hill/Schließky, Innovationen im und durch Recht, S. 97 (102). 146 Zur Anwendbarkeit von Kollisionsrecht bei Datenschutzverstößen, Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 118 ff. 147 Gola/Schomerus, BDSG, § 1, Rn. 27. 148 Auch im Hinblick auf Erwägungsgrund 19 DSRL ist der Begriff der Niederlassung mit einer festen Einrichtung verbunden, von der aus die Tätigkeit effektiv und tatsächlich ausgeübt wird, Gola/Schomerus, BDSG, § 1Rn. 28.  149 Gola/Schomerus, BDSG, § 1, Rn. 28.

120

C. Gefährdungslagen der informationellen Selbstbestimmung 

Eine Sonderregelung für ausländische Stellen ohne Niederlassung im Gemeinschaftsgebiet oder im Europäischen Wirtschaftsraum (EWR) enthält § 1 Abs.  5 S. 2 BDSG. Nach dieser Vorschrift ist eine Stelle zur Anwendung des deutschen Datenschutzrechts verpflichtet, sofern sie personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Ein derart weitreichender räumlicher Anwendungsbereich ist von Art. 4 Abs. 1 lit. c DSRL nicht vorgesehen, der nur auf den Rückgriff auf „automatisierte oder nicht automatisierte Mittel“ abstellt, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sein müssen. Wann ein solcher Rückgriff gegeben ist, wird unterschiedlich beurteilt.150 Vom Einwahlknoten eines Providers zum Betriebsort eines Servers bis hin zum Computer des betroffenen Nutzers werden unterschiedliche Kriterien diskutiert, um einen Rückgriff auf im Hoheitsgebiet belegene Mittel annehmen zu können.151 Auf den Ort, an dem VM betrieben werden, kann nicht abgestellt werden, weil sich ihr Betriebsort mit wenigen Mausklicks verändern lässt.152 Sinn und Zweck des Art. 4 Abs. 1 lit. c besteht darin, zu verhindern, dass verantwortliche Stellen europäisches Datenschutzrecht umgehen und „Deckung“ im ausländischen Recht suchen.153 Den Anknüpfungspunkt und die Legitimation für die Geltung europäischen Rechts bildet die „technische Präsenz“ einer Stelle auf dem Gebiet der EU bzw. des EWR.154 Eine „Weltregelung“ entspricht gerade nicht der Intention des Richtliniengebers.155 Die Fassung des § 1 Abs. 5 S. 2 BDSG, die die o. g. Beschränkung des Art. 4 Abs. 1 lit. c DSRL nicht enthält, wird daher als mit der Datenschutzrichtlinie unvereinbar angesehen. Da die Richtlinie nicht auf eine Mindestharmonisierung beschränkt ist, sondern zu einer grundsätzlich umfassenden Harmonisierung der nationalen Rechtsvorschriften führt156, ist eine Erhöhung des Schutzniveaus, wie sie durch die Regelung des § 1 Abs. 5 S. 2 BDSG vorgenommen wurde, nicht richtlinien­ konform.157 Die Vorschrift wird daher richtlinienkonform ausgelegt und der Rückgriff auf technische Mittel in Europa entsprechend der Richtlinie hinein­gelesen.158 Ob auf die Datenverarbeitung in der Cloud deutsches oder europäisches Recht anzuwenden ist, bestimmt sich nach ggf. vorhandenen Niederlassungen und nach der Art und Weise, wie ein Dienst betrieben und ausgestaltet ist. Ein auf deutschem Bundesgebiet stattfindender Datenumgang, der nicht nur in der Durchleitung von Daten besteht, wird kaum ohne Rückgriff auf dort belegene Mittel auskommen, 150 Vertiefend dazu im Kontext von Cloud Computing und Internetkriminalität, Bigo/Boulet/Bowden et al., Fighting cyber crime and protecting privacy in the cloud, http://www.europarl.europa.eu/committees/en/studiesdownload.html?languageDocument=EN&file=79050, S. 38. 151 Dammann, in: Simitis, BDSG, § 1, Rn. 217. 152 Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing, S. 135. 153 Vgl. Dammann, in: Simitis, BDSG, § 1, Rn. 219. 154 Dammann, in: Simitis, BDSG, § 1, Rn. 219. 155 Dammann, in: Simitis, BDSG, § 1, Rn. 219. 156 EuGH, Urt. v. 24.11.2011 – C-469/10, vgl. auch S. 36 ff. 157 Vgl. Bongers, GWR 2012, 45 (45). 158 Dammann, in: Simitis, BDSG, § 1, Rn. 218.

II. Weltweite Datenverarbeitung

121

sodass hier das BDSG anzuwenden wäre.159 Ein Rückgriff auf den Computer oder das Smartphone des Betroffenen findet bspw. bei Storage- und Synchronisationsdiensten statt. Entsprechende Dienste erfordern zumeist die lokale Installation einer Client-Software bzw. einer sog. App, über die der Zugang zur Cloud vermittelt wird. Nach dieser Methode funktioniert bspw. der weit verbreitete Dienst der Firma Dropbox Inc. mit Sitz in den USA.160 Über die richtlinienkonforme Auslegung von § 1 Abs. 5 S. 2 BDSG gelingt somit eine hinreichend bestimmte Eingrenzung des räumlichen Anwendungsbereichs des deutschen Datenschutzrechts. bb) Rechtsgrundlagen und Risiken: Cloud Computing als Auftragsdatenverarbeitung (1) Konzept der Auftragsdatenverarbeitung Zu den zentralen Begriffsbestimmungen zählt der Begriff der verantwortlichen Stelle. Personen oder staatliche Stellen sind verantwortliche Stellen, wenn sie selbst personenbezogene Daten erheben, verarbeiten oder nutzen oder dies im Auftrag durch andere vornehmen lassen (§ 3 Abs. 7 BDSG). Alle Personen, die nicht zu diesem Kreis zählen, sind Dritte (§ 3 Abs. 8 S. 2 BDSG). Diese Weichenstellung hat entscheidende Bedeutung für die Zulässigkeit einer Datenverarbeitung. Für die Datenverarbeitung im Auftrag ist ein eigenständiger Erlaubnistatbestand gem. § 11 BDSG vorgesehen. Die Vorschrift setzt eine Datenverarbeitung bzw. entsprechende strategisch-organisatorische Maßnahmen und vereinbarte Rahmenbedingungen voraus, wonach der Auftraggeber als „Herr der Daten“161 gem. § 3 Abs. 7 BDSG in der Verantwortung bleibt, während der Auftragnehmer Empfänger der Daten ist (§ 3 Abs. 8 S. 1 BDSG). Der Auftraggeber bleibt auch Inhaber von Rechten, Weisungs- und Kontrollbefugnissen. Lediglich die tatsächliche Verarbeitung von Daten bzw. bestimmte Bearbeitungsvorgänge oder Prozesse sollen an einen Auftragnehmer ausgelagert werden. Die Verantwortung des Auftraggebers umfasst die Verpflichtung zur Einhaltung des Datenschutzrechts, insbesondere die Haftung für Schäden (§ 7 BDSG) und die Zuständigkeit für Betroffenenrechte. Im Fall der unrechtmäßigen Kenntniserlangung von personenbezogenen Daten hat der Auftraggeber den Betroffenen nach Maßgabe des § 42a BDSG zu informieren.162 Der Auftragnehmer tritt insofern hinter der Verantwortung des Auftraggebers zurück. Die Gewährleistung der Datensicherheit hat nach Maßgabe des Auftraggebers zu erfolgen, der dazu gem. § 9 BDSG verpflichtet ist. 159

So auch Dammann, in: Simitis, BDSG, § 1, Rn. 217. Dropbox Inc., a. u. https://www.dropbox.com/privacy#privacy. 161 Gola/Schomerus, BDSG, § 3, Rn. 50. 162 Vertiefend zu § 42a BDSG, Hornung, NJW 2010, 1841 ff. 160

122

C. Gefährdungslagen der informationellen Selbstbestimmung 

Ein über die Durchführung des Auftrags hinausgehendes Eigeninteresse des Auftragsdatenverarbeiters schließt die Auftragsdatenverarbeitung nicht aus.163 Ein Cloud-Service-Provider, der Daten bspw. zu (Eigen-)Werbezwecken verwenden will, müsste dies allerdings vertraglich vereinbaren oder auf einen gesonderten Erlaubnistatbestand zurückgreifen.164 Mit der Auftragsdatenverarbeitung gem. § 11 BDSG hat der Gesetzgeber eine Rechtsgrundlage für eine verteilte Datenverarbeitung geschaffen, die im Cloud Computing je nach dem gewählten Bereitstellungsmodell typisch ist. Nach der wohl h. M., die sich am Wortlaut des § 11 BDSG orientiert, sind die Mindestvorgaben obligatorisch für die Wirksamkeit des Auftrags.165 Vor dem Hintergrund des Schutzzwecks des § 11 BDSG, der den Betroffenen vor einer Absenkung des Datenschutzniveaus bewahren soll, wird überzeugend vertreten, dass ein Auftrag auch dann wirksam geschlossen ist, wenn er nicht schriftlich vereinbart wurde. Denn die Anwendung des § 125 BGB hätte wegen des Formmangels die Nichtigkeit des Vertrags ex tunc zur Folge, was dem Ziel der Auftragsdatenverarbeitung nicht gerecht werden würde. Die übrigen Mindestanforderungen dienen gerade dem Schutz vor der Absenkung des Datenschutzniveaus und sind daher obligatorisch für die Wirksamkeit des Auftrags.166 (2) Abgrenzung von der Funktionsübertragung Von der Auftragsdatenverarbeitung ist die sog. Funktionsübertragung abzugrenzen. Kann eine Datenverarbeitung nicht unter § 11 BDSG subsumiert werden, wird von einer sog. Funktionsübertragung gesprochen. Diese wird insbesondere dann angenommen, wenn die datenverarbeitende Stelle selbstständig überwiegend oder vollständig weisungsfrei tätig ist und die Erfüllung eigener Geschäftszwecke beabsichtigt. Die Stelle ist nicht bloß der „verlängerte Arm“ des Auftraggebers.167 Im Unterschied zu § 11 BDSG werden nicht nur die Verarbeitung von Daten, sondern auch die Aufgabe, die die Datenverarbeitung erforderlich macht, übertragen.168 Die Funktionsübertragung ist nicht gesetzlich privilegiert. Datenverarbeiter sind demnach Dritte. Diese Übertragung von Daten ist eine Übermittlung i. S. v. § 3 Abs. 4 Nr. 3 BDSG, bei der als Komplementärbegriff zur Auftragsdatenver­ arbeitung nicht § 11 BDSG, sondern allgemeine Erlaubnistatbestände oder eine informierte Einwilligung gem. § 4a BDSG in Betracht kommen. 163

Gola/Schomerus, BDSG, § 11, Rn. 7a. Thalhofer, CCZ 2011, 222 (223). 165 Gola/Schomerus, BDSG, § 11, Rn. 17. 166 Funke/Wittmann, ZD 2013, 221 (225). 167 Thalhofer, CCZ 2011, 222 (223). 168 Gola/Schomerus, BDSG, § 11, Rn. 9. 164

II. Weltweite Datenverarbeitung

123

Die Zulässigkeit von Cloud Computing aufgrund allgemeiner Erlaubnis­normen, richtet sich besonders nach den Tatbestandsvarianten der §§ 28, 29 BDSG. Es kommt dabei auf die schuldrechtlich getroffenen Vereinbarungen, Zwecke und die Erforderlichkeit der Datenverarbeitung an, bspw. bei § 28 Abs. 1 Nr. 1 BDSG.169 (3) Einordnung des Cloud Computings Unter dem Begriff Cloud Computing verbirgt sich eine große Vielfalt an Dienstleistungen, die technisch und vertragsrechtlich nach den Umständen des Einzelfalls ausgestaltet sind. Cloud-basierte Dienste „von der Stange“, bspw. unentgeltliche Anwendungen, die sich v. a. an Verbraucher richten, oder typische Fachanwendungen für die Privatwirtschaft oder staatliche Stellen, werden nicht individuell verhandelt, sondern sind zumindest anbieterspezifisch standardisiert. Ihre Inanspruchnahme erfordert nur ein geringes Ausführungsermessen seitens des Cloud-Service-Providers.170 Vielfach bieten Cloud-Service-Provider IT-Dienstleistungen an, die nur Hilfsund Unterstützungstätigkeiten darstellen, und verfolgen keine eigenen Verarbeitungs-, Werbe- oder Weitergabezwecke mit den Daten.171 In der Lehre wird daher überwiegend davon ausgegangen, dass Cloud Computing nach gegenwärtigem Begriffsverständnis als „klassische Auftragsdatenverarbeitung“172 der Vorschrift des § 11 BDSG zuzuordnen ist.173 Zu beachten ist jedoch, dass der Begriff Cloud Computing unterschiedlich weit gefasst wird. Es gibt nicht „das“174 Cloud Computing. Unklarheiten eröffnen Interpretationsspielräume, die je nach Interessenlage von den Parteien (aus-)genutzt werden können.175 Je nach dem welche Dienstleistungen im Rahmen von Cloud Computing an­ geboten werden, können diese dem TKG unterfallen. Dies setzt voraus, dass der telekommunikative Bestandteil nicht nur eine untergeordnete Rolle hat. Das wäre bspw. bei Voice-over-IP-Diensten der Fall. Soweit die Signalübertragung im Cloud Computing, z. B. bei einer IaaS-Dienstleistung, die Speicherplatz im Internet be-

169

Zu dieser Fragestellung s. Brennscheidt, Cloud Computing und Datenschutz, S. 137 ff. Vgl. Niemann/Hennrich, CR 2010, 686 (687). 171 Vgl. Weichert, DuD 2010, 679 (683). 172 Weichert, DuD 2010, 679 (682). 173 Petri, in: Simitis, BDSG, § 11, Rn.  30; Heckmann, in: jurisPK-Internetrecht, Kap.  9, Rn. 621; Schuster/Reichl, CR 2010, 38 (41); Heidrich/Wegener, MMR 2010, 803 (806); Niemann/Hennrich, CR 2010, 686 (687); Pohle/Ammann, CR 2009, 273 (276); Pohle/Ammann, K&R 2009, 625 (630); Schulz/Rosenkranz, ITRB 2009, 232 (235). 174 Hennrich, CR 2011, 546 (546). 175 BfDI, Datenschutzrechtliche Grundlagen bei Auftragsdatenverarbeitung/Outsourcing in der öffentlichen Verwaltung, http://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/ AuftragsdatenverarbeitungOutsourcing.pdf;jsessionid=254EE31115FAD08F4EE857593652 15B0.1_cid134?__blob=publicationFile, S. 2. 170

124

C. Gefährdungslagen der informationellen Selbstbestimmung 

reitstellt, nur ein Nebenprodukt ist und die Hauptleistung in der Bereitstellung von IT-Ressourcen besteht, handelt es sich nicht um Telekommunikation i. S. v. § 3 Nr. 22 TKG.176 (4) Auftragsdatenverarbeitung in Drittstaaten Die Auftragsdatenverarbeitung kann im In- und Ausland erfolgen. Die Zulässigkeit der Datenverarbeitung im Ausland richtet sich nach der Zulässigkeit des Datentransfers ins Ausland gem. § 4b BDSG und nach der Frage, ob § 11 BDSG auch auf eine solche Datenverarbeitung anwendbar ist. Die Auftragsdatenverarbeitung erfolgt zwischen dem Auftraggeber und einem Auftragnehmer. Es wird diskutiert, ob der Auftragnehmer auch eine Stelle in einem Drittstaat sein kann. Gegen diese These werden die Begriffsbestimmungen gem. § 3 Abs. 8 S. 2, S. 3 BDSG angeführt. Dritter ist demnach „jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.“ Im Umkehrschluss sind solche Stellen, die personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen und diese Datenverwendung außerhalb der EU und des EWR stattfindet177, keine Auftragsdatenverarbeiter, sondern Dritte, denen eine Teilnahme am Privileg der Auftragsdatenverarbeitung verwehrt ist.178 Datenübermittlungen an diese Stellen können nur im Wege einer Funktionsübertragung gem. § 28 Abs. 1 Nr. 2 BDSG legitimiert werden, selbst wenn im Übrigen alle Anforderungen von § 11 BDSG erfüllt sind. Es ist fraglich, ob diese Einschränkung zweckmäßig und richtlinienkonform ist. Einer Ansicht nach dient die in § 3 Abs. 8 BDSG enthaltene Beschränkung des Kreises an Auftragsdatenverarbeitern der Gewährleistung eines angemessenen Datenschutzniveaus. Nach der Intention des Gesetzgebers soll sichergestellt werden, dass personenbezogene Daten nicht aus dem harmonisierten europäischen Schutzbereich entlassen werden, ohne dass die Übermittlungsschranken gewahrt werden.179 Dieser Regelungssystematik wird entgegengehalten, dass Art.  2 lit.  f und 17 DSRL keine vergleichbaren Beschränkungen auf europäische Auftrags 176

Boos/Kroschwald/Wicker, ZD 2013, 205 (206). Bei der Datenverarbeitung im Ausland kommt es nicht auf den Sitz oder die Nationalität des Datenverarbeiters an, Dammann, in: Simitis, BDSG, § 3, Rn. 246. 178 Dies gilt auch für Zweigniederlassungen einer inländischen Stelle. Nach der gesetzgeberischen Intention sollen personenbezogene Daten nicht aus dem harmonisierten europäischen Schutzbereich entlassen werden, vgl. Dammann, in: Simitis, BDSG, § 3, Rn. 247. 179 Dammann, in: Simitis, BDSG, § 3, Rn. 246. 177

II. Weltweite Datenverarbeitung

125

datenverarbeiter enthalten.180 Der Wortlaut des § 3 Abs. 8 S. 3 BDSG ist mit der Datenschutzrichtlinie nicht vereinbar.181 Art 25 Abs. 1 DSRL anweist allerdings Mitgliedstaaten an, Regelungen vorzusehen, wonach wonach personenbezogene Daten nur dann an eine Stelle in einem Drittland übermittelt (und dann verarbeitet) werden dürfen, wenn dort ein angemessenes Schutzniveau gewährleitet ist. Die Richtlinie ermöglicht daher die Auftragsverarbeitung auch mit Stellen in Drittstaaten ohne weitere Erlaubnistatbestände, soweit das Schutzniveau des Drittstaates angemessen ist. § 3 Abs. 8 BDSG steht daher im Widerspruch zur DSRL und ist dahingehend auszulegen, dass solche Stellen, die sich in datenschutzrechtlich „sicheren“ eingestuften Drittstaaten befinden, hinsichtlich § 11 BDSG den innereuropäischen Auftragsdatenverarbeitern gleichzustellen sind.182 (5) Cloud-Service-Provider in sonstigen Drittstaaten Neben der Safe-Harbor-Vereinbarung kann ein angemessenes Datenschutz­ niveau auch individualvertraglich durch die Verwendung von sog. EU-Standardvertragsklauseln183 und durch verbindliche Unternehmensregeln, sog. „Binding Corporate Rules“ (BCR), hergestellt werden.184 BCR sind freiwillige Selbstverpflichtungen, die dazu dienen, in internationalen Konzernen ein einheitliches, angemessenes Datenschutzniveau zu gewährleisten. Diese Vereinbarungen bilden eine anerkannte Alternative zu der Nutzung von Standardvertragsklauseln oder der Safe-Harbor-Vereinbarung. Mit der Genehmigung der BCR bei den Aufsichtsbehörden können grenzüberschreitende Datentransfers innerhalb der verbundenen Unternehmen vorgenommen werden.185 Die EU-Standardvertragsklauseln sind um die Vorgaben des § 11 BDSG zu ergänzen186, die der Empfänger nach deutschem Recht erfüllen müsste.187 Sofern die Klauseln verwendet werden, ist eine gesonderte behördliche Genehmigung nicht 180

Hartung, VersR 2012, 400 (402). Ausführlich dazu Funke/Wittmann, ZD 2013, 221 (227); Hartung, VersR 2012, 400 (402); a. A. Nielen/Thum, K&R 2006, 171 (172). 182 Funke/Wittmann, ZD 2013, 221 (228).Erd, DuD 2011, 275 (277). 183 Vertiefend zur intra-europäischen Verwendung von Standardvertragsklauseln, Schmidl/ Krone, DuD 2010, 838 (838 f.). 184 Heil, DuD 2009, 228 (228 f.). 185 Dazu Hennrich/Maisch, jurisAnwZert ITR 15/2011, Anm. 2. 186 Die EU-Standardvertragsklauseln dürfen nicht verändert werden, da diese sonst ihre gleichstellende Wirkung mit den Datenübertragungen innerhalb des EU-/EWR-Raums einbüßen könnten. In Übereinstimmung mit den obersten Aufsichtsbehörden sind die EU-Standardvertragsklauseln um die Vorgaben des § 11 BDSG zu ergänzen, ohne die Klauseln unmittelbar oder mittelbar zu modifizieren, vgl. Euro Cloud Deutschland_eco e. V., Leitfaden Cloud Computing, http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-datenschutzcompliance/, S. 12. 187 BITKOM, Cloud Computing, http://www.bitkom.org/files/documents/BITKOM-LeitfadenCloudComputing_Web.pdf, S. 54. 181

126

C. Gefährdungslagen der informationellen Selbstbestimmung 

erforderlich. Die EU-Standardvertragsklauseln zielen auf die klassische Auftragsdatenverarbeitung ab und berücksichtigen keine konkreten Gefährdungslagen, die im Cloud Computing denkbar sind. (6) Die Cloud als „Black Box“ Um als Auftrag i. S. v. § 11 BDSG zu gelten, muss der Cloud-Service-Vertrag der Vertragsparteien die Anforderungen von § 11 Abs. 2 BDSG erfüllen. Der Auftraggeber ist für die Zulässigkeit der Datenverarbeitung verantwortlich. Bevor personenbezogene Daten dem Auftragnehmer anvertraut werden, hat der Auftraggeber zu entscheiden, ob er sich hinreichend von der Zuverlässigkeit des Diensteanbieters überzeugt hat (§ 11 Abs.  1 BDSG). Eine solche Entscheidung erfordert Kenntnisse zu den technischen Abläufen, Strukturen und beteiligten Akteuren. Je nach der Fallgestaltung des Einzelfalls, z. B. im Bereitstellungsmodell der Public Clouds, kann die verteilte Datenverarbeitung Transparenzdefizite fördern. Dies ist insbesondere dann der Fall, wenn der Cloud-Service-Provider eine ausländische Stelle ist, die auf (weltweit) verstreute Rechenzentren zurückgreift und eine bestimmte oder variierende Anzahl an Subunternehmern beauftragt, Infrastrukturen oder Dienste bereitzustellen. Werden z. B. Verarbeitungsstrukturen, Datenschutz- und Datensicherheitsrichtlinien des Unternehmens, Serverstandorte, Auftragsverhältnisse oder das Notfallmanagement nicht offengelegt oder unpräzise beschrieben, bleibt die Cloud eine „Unbekannte“, mit anderen Worten eine „Black Box“188 für den Auftraggeber. Es fällt schwer, den Auftraggeber als Herr der Daten anzusehen, wenn die Datenverarbeitung in einer „Black Box“ stattfindet. Zwar setzt § 11 Abs. 1 BDSG nicht die Kenntnis aller Einzelheiten beim Einsatz von Informationstechnologien voraus, sondern nur eine sorgfältige Auswahl des Diensteanbieters. Eine effektive Steuerung und sorgfältige Auswahl und Kontrolle des Auftragnehmers sind ohne Transparenz der Datenverarbeitung und der konkreten Datensicherheitsmaßnahmen nicht denkbar.189 Transparenzdefizite in der Auftragsdatenverarbeitung sind kein neues Problem. IT-Outsourcing-Szenarien ohne cloudspezifische Besonderheiten sind von komplexen Zusammenhängen geprägt, die eine Eignungsprüfung durch den Auftraggeber – je nach dessen IT-Kenntnissen im Einzelfall – erschweren. Fallgestaltungen im Cloud Computing können diese Defizite verstärken. Die Cloud als „Black Box“ ist nicht nur bei der Vertragsanbahnung problematisch. Der Auftraggeber ist dem Betroffenen gegenüber zur Auskunft und zur Information bei Datenschutzverletzungen verpflichtet. Macht ein Betroffener 188

Heidrich/Wegener, MMR 2010, 803 (806). So auch Weichert, DuD 2010, 679 (683).

189

II. Weltweite Datenverarbeitung

127

Auskunftsrechte geltend, hat der Auftraggeber die entsprechenden Daten und Informationen zur Datenverarbeitung beim Auftragsdatenverarbeiter einzuholen und mitzuteilen. Die Beschaffung dieser Informationen kann Schwierigkeiten bereiten, wenn die Datenverarbeitung in der Cloud gänzlich intransparent ist. Diese Transparenzdefizite wirken sich letztlich auf den Betroffenen aus. Dies ist dann der Fall, wenn der Auftraggeber nicht in der Lage ist, die Art der unrecht­ mäßigen Kenntniserlangung gem. § 42a BDSG zu beschreiben und daher keine Empfehlungen zur Vornahme von Schutzmaßnahmen aussprechen kann. Im Kontext von Cloud Computing enthält § 11 BDSG keine Anforderungen, die die Schaffung von Transparenz, z. B. durch Unterrichtungspflichten oder durch ein direktes Auskunftsrecht des Betroffenen gegenüber dem Auftragnehmer, befördern könnten. cc) Zwischenergebnis Cloud Computing ist als IT-Outsourcing grundsätzlich als Auftragsdatenverarbeitung einzuordnen.190 Eine Auftragsdatenverarbeitung, bei der die Grenzen der EU überschritten werden, ist trotz der Regelung des § 3 Abs. 8 S. 3 BDSG de lege lata zulässig, da die Vorschrift richtlinienkonform ausgelegt werden muss. Nach den Umständen des Einzelfalls kann die Datenverarbeitung in der Cloud zudem komplexe Strukturen erfordern, die daran zweifeln lassen, ob der Auftraggeber noch als „Herr der Daten“ fungiert oder ob ihm mangels transparenter Ein­blicke die effektive Steuerungsmacht entzogen wird. Der Auftraggeber muss rechtlich und tatsächlich in die Lage versetzt werden, informierte Entscheidungen über die Zuverlässigkeit des Diensteanbieters zu treffen, um seiner Verantwortung gegenüber dem Betroffenen gerecht zu werden. b) Migration in die Cloud aa) Sorgfältige Auswahl des Cloud-Service-Providers (1) Grundzüge Die Vereinbarung eines Vertrags zur Auftragsdatenverarbeitung (ADV-Vertrag) setzt gem. § 11 Abs. 2 S. 1 BDSG zunächst die sorgfältige Auswahl eines Auftragnehmers voraus. Die Auswahlentscheidung obliegt dem Auftraggeber.191 In der einfachsten Konstellation treten hier eine natürliche Person als Auftraggeber (und Nutzer) und ein Cloud-Service-Provider als Auftragnehmer auf. Kom 190

Vgl. Petri, in: Simitis, BDSG, § 11, Rn. 30. Petri, in: Simitis, BDSG, § 11, Rn. 54.

191

128

C. Gefährdungslagen der informationellen Selbstbestimmung 

plexere Konstallationen weisen mindestens drei Personen auf, in denen der Betroffene und der Auftraggeber personenverschieden sein können. Das ist bspw. dann der Fall, wenn der Betroffene ein Kunde des Auftraggebers ist. Daneben sind im Cloud Computing unterschiedlichste Rollenverteilungen möglich. Auch ein Cloud-Service-Provider, z. B. ein SaaS-Dienst, kann einen Infrastrukturanbieter als Auftragnehmer oder als Unterauftragnehmer beauftragen. Diese Darstellung geht von dem Grundfall im Zwei-Personen-Verhältnis aus, soweit nicht anders vermerkt, bei dem ein Nutzer einen Cloud-Service-Provider auswählt und die Dienstleistung auf die Datenverarbeitung der personenbezogenen Daten des Nutzers gerichtet ist.192 Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus­ zuwählen. Der Auftraggeber hat sich hierüber „Gewissheit“ zu verschaffen.193 Eine sorgfältige Auswahlentscheidung erfordert, dass die Datenverarbeitung überhaupt zulässig ist, der Auftragnehmer die nötige Zuverlässigkeit besitzt und einen angemessenen Mindeststandard an Datenschutz gewährleistet.194 Für die Bemessung des Mindeststandards ist einen eigener Schutzstandard des Auftraggebers nötig, der von ihm selbst zu ermitteln ist.195 Die Eignungsprüfung im Hinblick auf technische und organisatorische Maßnahmen erfordert eine Prüfung der Pflichten des Auftragnehmers gem. § 11 Abs. 4 BDSG, der Einhaltung der Datensicherheit gem. § 9 BDSG, der Verpflichtung der Beschäftigten auf das Datengeheimnis gem. § 5 BDSG, der Bestellung eines Datenschutzbeauftragten gem. § 4f BDSG und der Kontrolle seiner Tätigkeit gem. § 4g BDSG.196 Diese Prüfung ist nicht nach ihrer einmaligen Durchführung abgeschlossen, sondern erfordert eine Erstkontrolle, bei der sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen zu Beginn der Datenverarbeitung überzeugen muss, § 11 Abs.  2 S.  4 BDSG. Der Verzicht auf die Erstkontrolle begründet eine bußgeldbewehrte Ordnungswidrigkeit gem. § 43 Abs. 1 Nr. 2b BDSG. Die Vorschriften zur sorgfältigen Auswahl und Erstkontrolle werden so verstanden, dass regelmäßig eine Überprüfung vor Ort vorgesehen, aber nicht zwingend geboten ist.197 Nicht ausreichend ist es, die Prüfung im Vertrauen auf Zusicherungen des Auftragnehmers bzgl. der IT-Compliance zu unterlassen.198 Der Rückgriff

192

Differenzierend zu weiteren Konstellationen, Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing, S. 192 ff. 193 Gola/Schomerus, BDSG, § 11, Rn. 20. 194 Petri, in: Simitis, BDSG, § 11, Rn. 55. 195 Zur Dogmatik der Schutzbedarfsanalyse, Maisch, jurisAnwZert ITR 20/2011, Anm. 2. 196 Petri, in: Simitis, BDSG, § 11, Rn. 56. 197 Petri, in: Simitis, BDSG, § 11, Rn. 59. 198 AK Technik und Medien, Orientierungshilfe Cloud Computing, http://www.datenschutzbayern.de/technik/orient/oh_cloud.pdf, S. 9.

II. Weltweite Datenverarbeitung

129

auf externe Prüfstellen und aussagekräftige Datenschutzaudits ist zulässig.199 Eine Ortsbesichtigung ist bei Cloud-Computing-Service-Modellen je nach Anzahl und Standort der beteiligten Rechenzentren nur schwer möglich oder mit unzumutbarem Aufwand verbunden. Manche Rechenzentren werden zudem von ggf. wechselnden Unterauftragnehmern betrieben. (2) Sorgfältige Auswahl bzgl. USA PATRIOT Act Wählt der Auftraggeber einen Auftragnehmer aus, der seinen Hauptsitz, eine Niederlassung oder sonstige Konzernverbindungen in den USA hat, ist fraglich, ob und wie sich die Kenntnis von möglichen Herausgabeanordnungen nach US-Recht auf die Erfüllung der Sorgfaltspflicht des Auftraggebers gem. § 11 Abs. 1 BDSG auswirkt. Nach dem Bekanntwerden von Datenzugriffen US-amerikanischer Sicherheitsbehörden auf US-amerikanische Provider wurde spekuliert, ob eine deutsche Stelle eine Auftragsdatenverarbeitung mit einem solchen Provider eingehen darf.200 Handelt der Auftraggeber sorgfaltswidrig, wenn er personenbezogene Daten einem Auftragnehmer anvertraut, der im Ausland von staatlichen Behörden zur Herausgabe von Daten verpflichtet werden kann?201 Grundsätzlich darf der Auftraggeber jeden beliebigen Auftragnehmer als Diensteanbieter auswählen, sog. Wahlfreiheit. Im Rahmen der sorgfältigen Auswahl hat der Auftraggeber zu prüfen, ob der Auftragnehmer ein angemessenes Datenschutzniveau gewährleistet.202 Diese Prüfung konzentriert sich auf die vom Auftragnehmer zu treffenden technischen und organisatorischen Sicherungsvorkehrungen, auf (Notfall-)Maßnahmen, Unterrichtungen und Vereinbarungen (bspw. nach § 5 BDSG oder die Unterwerfung unter die Safe-Harbor-Vereinbarung) und auf sonstige Nachweise, die seine Zuverlässigkeit belegen. Ob nach ausländischem Recht rechtmäßige Herausgabeanordnungen bzw. die Möglichkeit solcher Anordnungen Auswirkungen auf das deutsche Recht haben, ist nicht abschließend geklärt.203 Aufsichtsbehörden empfehlen mangels expliziter Regelungen in § 11 BDSG, vertragliche Abreden zu treffen, wonach eine Herausgabe von Daten an ausländische Behörden und sonstige Dritte unter Androhung einer Vertragsstrafe untersagt ist.204 199

Weichert, DuD 2010, 679 (685). Böken, Handelsblatt, Beitrag v. 13.07.2011, a. u. http://www.handelsblatt.com/technologie/ it-tk/it-internet/patriot-act-wie-gefaehrlich-das-cloud-computing-ist/4386484.html. 201 Dazu S. Becker/Nikolaeva, CR 2012, 170 (176). 202 Petri, in: Simitis, BDSG, § 11, Rn. 55. 203 ULD, Positionspapier v. 15.11.2011, a. u. https://www.datenschutzzentrum.de/internatio nales/20111115-patriot-act.html. 204 ULD, Positionspapier v. 15.11.2011, a. u. https://www.datenschutzzentrum.de/internatio nales/20111115-patriot-act.html. 200

130

C. Gefährdungslagen der informationellen Selbstbestimmung 

Ob solche Abreden oder Garantien schon allein zur Vermeidung von Bußgeldern gem. § 43 Abs. 1 Nr. 2b BDSG geboten sind205, ist fragwürdig. Denn über die sorgfältige Auswahl des Diensteanbieters soll in erster Linie seine Eignung aus technischer Sicht bzw. seine Zuverlässigkeit sichergestellt werden. § 43 Abs. 1 Nr. 2b BDSG sieht ein Bußgeld nur für den Fall vor, dass ein Auftrag nicht richtig, nicht vollständig oder nicht in der von § 11 Abs. 2 BDSG vorgeschriebenen Weise erteilt wird. Da dort eine Prüfung nationalstaatlicher Zugriffsbefugnisse außerhalb des Inlandes nicht verlangt wird, fällt es schwer, diese dort hineinzulesen. Andere Literaturstimmen verweisen darauf, dass es sich um Zugriffe handelt, die (nach ausländischem Recht) rechtmäßig erfolgen und nur theoretische Relevanz für die informationelle Selbstbestimmung haben. Zu den Datenzugriffen auf die Cloud im Kontext des USA PATRIOT Acts gäbe es bisher keine gesicherten Zahlen.206 Anders als in der Presse dargestellt, verfügen die US-amerikanischen Sicherheitsbehörden nicht über anlasslose und unbeschränkte Auskunftsrechte. Einer rechtsvergleichenden Studie zufolge seien diese Zugriffsmöglichkeiten nicht weitgehender als jene, die in anderen EU-Mitgliedstaaten oder Drittstaaten geregelt sind.207 Die Tatsache, dass Stellen auch nach ausländischem Recht zur Herausgabe von Daten verpflichtet sein können, führt daher nicht zur Unzulässigkeit des Auftragsdatenverarbeitungsverhältnisses.208 Ferner besteht die Möglichkeit, mit dem Auftragnehmer zu vereinbaren, ausländische Herausgabeanordnungen ggf. gerichtlich anzufechten und sich darauf zu berufen, dass eine Herausgabe mit dem Datenschutzrecht des Auftraggebers unvereinbar ist.209 Die unterschiedlichen Auffassungen zu der Frage, ob die Möglichkeit ausländischer Zugriffe auf die Cloud zur Unzulässigkeit einer Auftragsdatenverarbeitung führt, belegen das wachsende Interesse deutscher Auftraggeber, mit entsprechend betroffenen Diensteanbietern zu kontrahieren. Welche Auswirkungen dies auf § 11 BDSG hat, bleibt mangels konkreter Regelungen offen. bb) Mindestanforderungen an die Auftragsdatenverarbeitung (1) Schriftlicher Auftrag Der Auftrag zur Begründung einer Auftragsdatenverarbeitung ist gem. § 11 Abs. 2 S. 2 BDSG schriftlich zu vereinbaren. Die Schriftform dient der Gewährleistung der Weisungsbefugnisse des Auftraggebers und dem Nachweis des wei 205 Vgl. Böken, Handelsblatt, Beitrag v. 13.07.2011, a. u. http://www.handelsblatt.com/techno logie/it-tk/it-internet/patriot-act-wie-gefaehrlich-das-cloud-computing-ist/4386484.html. 206 Voigt/Klein, ZD 2013, 16 (20). 207 Maxwell/Wolf, Hogan Lovells White Paper v. 23.05.2012, S. 13. 208 Voigt/Klein, ZD 2013, 16 (20). 209 Vertiefend zur Frage, ob das BDSG ein im US-Recht anerkanntes Blockade-Gesetz sein kann, Voigt/Klein, ZD 2013, 16 (20).

II. Weltweite Datenverarbeitung

131

sungsgemäßen Verfahrens des Auftragnehmers.210 Im Cloud Computing schützt die Schriftform ferner vor Übereilung bei der Entscheidung, personenbezogene Daten oder deren Verarbeitung in eine Cloud auszulagern. Ob der Verzicht auf die Schriftform zur Nichtigkeit des Auftrags führt oder ob eine Datenübermittlung statthaft ist, wird unterschiedlich beurteilt.211 Im Hinblick auf den Schutzzweck des § 11 BDSG, der datenschutzkonformes IT-Outsourcing an andere Stellen ermöglichen soll, ist überzeugend, die Schriftform als Soll-Vorschrift zu verstehen. Der Verstoß ist daher ohne Rechtsfolge, sodass in elektronischer Form geschlossene ADV-Verträge nicht von vornherein wegen eines Formmangels als unwirksam abgetan werden müssen.212 (2) Gegenstand und Dauer des Auftrags Zu den obligatorischen Regelungsgegenständen einer Auftragsdatenverarbeitung enthält § 11 Abs. 2 S. 2 BDSG einen nicht abschließenden Anforderungskatalog.213 Gem. § 11 Abs. 2 S. 2 Nr. 1 BDSG sind der Gegenstand und die Dauer des Vertrags festzulegen. Es bedarf einer konkreten Beschreibung, bspw. in den Service Level Agreements214, des Auftragsgegenstandes, die von beiden Parteien nachvollzogen und zugeordnet werden kann.215 Bei der Auslagerung in die Cloud wäre bspw. die Beschreibung des Service Modells und der dabei zum Einsatz kommenden Software (z. B. Office-Anwendung) nötig. Der pauschale Hinweis, dass ein Outsourcing „in die Cloud“ vorgenommen werden soll, reicht nicht aus. Die Festlegung einer konkreten Zeitspanne zur Auftragsdatenverarbeitung ermöglicht die Prüfung, ob die Meilensteine des Auftrags fristgerecht erfüllt werden. Möglich ist auch eine Auftragsdatenverarbeitung, die „mit Auftragserledigung“ be­ endet wird.216 (3) Umfang, Art und Zweck des Auftrags Mit der Festlegung von Gegenstand und Dauer des Auftrags korrespondieren der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen. Mit der Vereinbarung des Auftragsumfangs wird definiert, welche Verarbeitungsvorgänge der Auftragnehmer vornehmen darf. Darüber hinausgehende Vorgänge, bspw. die Weitergabe von personenbezogenen Daten durch den Auftragnehmer an Dritte, 210

Gola/Schomerus, BDSG, § 11, Rn. 17. Petri, in: Simitis, BDSG, § 11, Rn. 64. 212 s. oben, S. 121. 213 Petri, in: Simitis, BDSG, § 11, Rn. 65. 214 Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 634. 215 Petri, in: Simitis, BDSG, § 11, Rn. 66. 216 Petri, in: Simitis, BDSG, § 11, Rn. 66. 211

132

C. Gefährdungslagen der informationellen Selbstbestimmung 

sind rechtswidrig. Die Abgrenzung des Auftragsumfangs ist daher eindeutig und vollständig vorzunehmen.217 Ferner sind die konkreten Verarbeitungsschritte festzulegen. Diese Vorgabe wirft im Cloud Computing dann Fragen auf, wenn eine Vielzahl an komplexen Verarbeitungsschritten möglich ist, bspw. bei einem Software-as-a-ServiceDienst, bei dem die Verarbeitungsschritte innerhalb der Software ausgeführt werden können. (4) Berichtigung, Löschung und Sperrung Nach dem Zehn-Punkte-Katalog des § 11 Abs.  2 BDSG sind ferner die Weisungsrechte des Auftraggebers bzgl. der Berichtigung, Löschung und Sperrung von personenbezogenen Daten zu regeln. Bei der Löschung wird die Festlegung von Löschfristen und bestimmten Verfahrensabläufen als ratsam bewertet.218 Die Weisungen sollten an die Umstände des Einzelfalls, insbesondere an die Service Modelle IaaS, PaaS und SaaS angepasst werden. Dabei müsste auch geklärt werden, welche Daten und Bereiche von der Reichweite einer Löschung umfasst sein sollen. (5) Regelung von Unterauftragsverhältnissen Gem. § 11 Abs. 2 Nr. 6 BDSG ist zu regeln, ob der Auftragnehmer berechtigt sein soll, Unterauftragsverhältnisse einzugehen. Diese Berechtigung ist schriftlich festzulegen. Einer Ansicht nach habe der Auftragnehmer den Kreis der möglichen Unterauftragnehmer zu benennen und mit ihnen angemessene Auftragsdatenverarbeitungsverträge abzuschließen.219 Anderes gelte für die bloß temporäre, unvorhersehbare und z. B. wegen Systembereichsausfällen erforderlich gewordene Begründung von Unterauftragsverhältnissen. Diese vorübergehenden Unterauftragsverhältnisse seien nicht vom Regelungserfordernis erfasst.220 Da ein Cloud-Service-Provider auf eine Vielzahl von wechselnden Subunternehmern zurückgreift221, die ihm gegenüber Infrastruktur-Dienstleistungen oder Wartungsaufgaben erbringen, bedarf es einer Festlegung von vertrauenswürdigen Unterauftragnehmern, bei denen die Einhaltung der Datensicherungsstandards gewährleistet ist.222 Andernfalls ist es dem Auftraggeber verwehrt, zu kontrol-

217

Petri, in: Simitis, BDSG, § 11, Rn. 67. Petri, in: Simitis, BDSG, § 11, Rn. 74. 219 Vgl. Niemann/Hennrich, CR 2010, 686 (692). 220 Schaffland/Wiltfang, BDSG, § 11, Rn. 12. 221 Niemann/Hennrich, CR 2010, 686 (691); Schulz, MMR 2010, 75 (78). 222 Petri, in: Simitis, BDSG, § 11, Rn. 59. 218

II. Weltweite Datenverarbeitung

133

lieren, ob die Dienstleistungen der Unterauftragnehmer hinreichend abgesichert sind.223 (6) Kontrolle und Mitteilung von Verstößen Die Vornahme von Kontrollen, die dazu erforderlichen Rechte des Auftraggebers und damit korrespondierenden Duldungs- und die Mitwirkungspflichten des Auftragnehmers sind gem. § 11 Abs. 2 Nr. 7 BDSG festzulegen. Ferner ist schriftlich zu vereinbaren, welche Datenschutzverstöße bzw. auftragswidrigen Verhaltensweisen des Auftragnehmers bzw. seiner Beschäftigten vom Auftragnehmer mitzuteilen sind (§ 11 Abs. 2 Nr. 8 BDSG). Die Mitteilung von Verstößen ist so zu regeln, dass der Auftraggeber als nicht öffentliche Stelle in seinen Mitteilungspflichten gem. § 42a BDSG unterstützt wird.224 Im Cloud Computing kommt es darauf an, dass ein Verstoß des Auftragnehmers und die Intensität eines Datenschutzverstoßes richtig eingeschätzt werden können, um den Pflichten gem. § 42a BDSG nachkommen zu können. (7) Sonstige Regelungsanforderungen Auch der Umfang der Weisungsbefugnisse ist festzulegen (Nr. 9). Letztlich sind ebenso Regelungen zur Rückgabe überlassener Datenträger und Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags, sog. Exit-Management, zu treffen. cc) Datensicherheit durch technische und organisatorische Maßnahmen (1) Erfordernis der Datensicherheit Technische und organisatorische Maßnahmen zur Datensicherung sind gem. § 11 Abs. 2 Nr. 3 BDSG schriftlich in den Auftrag aufzunehmen.225 Die schriftliche Aufnahme der zu treffenden Maßnahmen bildet die wesentliche Voraussetzung für eine effektive Ausübung der Kontrollpflichten des Auftraggebers gem. § 11 Abs. 2 S. 1 und S. 4 BDSG.226 Die bloße Wiedergabe des Maßnahmenkata 223

Schröder/Haag, ZD 2011, 147 (150). Petri, in: Simitis, BDSG, § 11, Rn. 80. 225 Weitere Anknüpfungspunkte finden sich bei der Eignungsprüfung der technischen und organisatorischen Maßnahmen im Rahmen der sorgfältigen Auswahl eines Auftragnehmers und bei der Kontrolle des Auftraggebers gem. § 11 Abs. 2 S. 4 BDSG. 226 Petri, in: Simitis, BDSG, § 11, Rn. 73. 224

134

C. Gefährdungslagen der informationellen Selbstbestimmung 

logs der Anlage zu § 9 S. 1 BDSG ist nicht ausreichend, um die Anforderungen der Auftragsdatenverarbeitung zu erfüllen.227 Ferner hat der Auftraggeber zu prüfen, ob der Auftragnehmer die vertraglich nach Maßgabe des § 11 BDSG auferlegten Pflichten erfüllt. Dazu zählen u. a. die Verpflichtung der Arbeitnehmer des Auftragnehmers auf das Datengeheimnis (§ 5 BDSG) und die Bestellung eines Datenschutzbeauftragten (§ 4f BDSG). Gem. § 9 BDSG müssen nur solche Maßnahmen vorgenommen werden, die zur Gewährleistung der Datenschutzvorschriften des BDSG erforderlich sind. Diese Anforderungen werden in der Anlage zu § 9 BDSG nicht abschließend konkretisiert. Ob eine Maßnahme erforderlich ist, muss im Rahmen einer Schutzbedarfsanalyse unter Berücksichtigung der personenbezogenen Daten und der klassischen und cloudspezifischen Risiken festgestellt werden.228 (2) Datensicherheitsmaßnahmen im Kontext von Cloud Computing Vor dem Hintergrund der vielfältigen technischen Risiken im Cloud Computing stellt sich die Frage, ob die Anlage zu § 9 BDSG ausreichend ist, um bei entsprechender Umsetzung Schutz vor cloudspezifischen Gefährdungslagen zu gewährleisten. Nach dem Maßnahmenkatalog der Anlage sind insbesondere solche technischen229 und organisatorischen Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, bestimmte Schutzziele zu erreichen. Dazu zählt das Gesetz die Gewährleistung der Zutrittskontrolle, der Zugangskontrolle, der Zugriffskontrolle, der Weiter­ gabekontrolle, der Eingabekontrolle, der Auftragskontrolle, der Verfügbarkeitskontrolle und der Funktionstrennung nach dem Zweckbindungsprinzip. Bei der Zutrittskontrolle sind Maßnahmen vorzunehmen, die Unbefugten den räumlichen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren sollen. Der Auftragnehmer schildert hier konkrete Sicherheitskonzepte mit Maßnahmenkatalogen zum Schutz der von ihm genutzten Rechenzentren und der darin betriebenen Anlagen. Eine Personeneingangskontrolle, einbruchssichere Fenster, Schlüsselregelungen, 227

Petri, in: Simitis, BDSG, § 11, Rn. 73. s. oben, S. 84. 229 Bei automatisierter Datenverarbeitung ist gem. S.  1 der Anlage „die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.“ Nach dem Wortlaut der Anlage werden Stellen, die personenbezogene Daten verarbeiten, dazu verpflichtet, ihre Organisation an die besonderen Anforderungen des Datenschutzes anzupassen. Da die Anlage keine eigenständige Rechtsnorm begründet, geht es entgegen dem Wortlaut nicht allein um organisatorische Maßnahmen, sondern gem. § 9 S. 1 2. HS BDSG um technische und organisatorische Maßnahmen (Ernestus, in: Simitis, BDSG, § 9, Rn. 57.) 228

II. Weltweite Datenverarbeitung

135

Alarmanlagen und sonstige räumlich-organisatorische Sicherheitsrichtlinien müssen dargelegt werden.230 Die Anlage zu § 9 BDSG ist geprägt von der Vorstellung, die Auftragsdatenverarbeitung finde an einem geografisch leicht zugänglichen Standort statt, bspw. in einem einzelnen Gebäude, in dessen Keller oder sonstigen Räumen Server betrieben werden. Diese Vorstellung von einer zentral abgewickelten Datenverarbeitung, die ohne Weiteres auf „klassische IT-Outsourcing“-Szenarien passt, ist mit der dynamisch verteilbaren Datenverarbeitung im Cloud Computing – je nach den Gestaltungsvariationen im Einzelfall – nur teilweise vereinbar. Anders stellt sich die Lage bei einem komplexen Public-Cloud-Szenario unter Rückgriff auf diverse Subunternehmer dar. Nicht nur die Virtualisierung, die Mandantenfähigkeit und die Skalierbarkeit machen cloudspezifische Gefährdungsanalysen und fein abgestimmte Schutzmaßnahmen erforderlich. Je nach Unternehmensgröße des Auftragnehmers steht dieser selbst vor der Herausforderung, zunächst die Anzahl, Firmen und Einsatzbereiche seiner Unterauftragnehmer zu ermitteln und in einem zweiten Schritt diese auf einen Mindeststandard an Datensicherheit nach Maßgabe des deutschen Datenschutzrechts zu überprüfen. Diese Überprüfung kann vor Ort, von einem Auditor oder im Wege eines schriftlichen Fragenkatalogs erfolgen. In einem weiteren Schritt müssen Standards definiert, vereinbart und fortlaufend überprüft werden. Schnittmengen der cloudspezifischen Schutzmaßnahmen mit jenen, die von der Anlage zu § 9 BDSG vorgeschlagen werden, sind weniger bei konkreten Zugriffsmaßnahmen aufgrund technischer Abweichungen, sondern bei Zutritts- und Zugangskontrollen gem. Nr. 1 und 2 der Anlage zu erwarten.231 Die Zugangskontrolle verhindert die unbefugte Nutzung von Datenverarbeitungssystemen. Nicht nur die räumliche Annäherung, sondern auch der Zugriff auf Hardware, Software und auf Daten ist hier umfasst, wobei es nicht darauf ankommt, ob sich die Stelle eigener oder fremder IT-Ressourcen bedient.232 Das Rechte- und Rollenmanagement233, die Authentifikation an Arbeitsplatzcomputern (Log-in, Log-out von berechtigten Nutzern), Zugriffe auf Datenbanken, die Verwaltung von Passwörtern, Signaturen und Verschlüsselungsschlüsseln, die Protokollierung von Zugängen und die Verwendung von Virtual Private Networks234 230

Ausführlich dazu Ernestus, in: Simitis, BDSG, § 9, Rn. 83. Vgl. Ernestus, in: Simitis, BDSG, § 9, Rn. 70. 232 Ernestus, in: Simitis, BDSG, § 9, Rn. 90. 233 Dazu Winkler, Securing the Cloud, S. 138 ff. 234 Bei einem Virtual-Private-Network (VPN) handelt es sich um ein Netz, das innerhalb eines anderen Netzes, z. B. des Internets, betrieben wird, aber logisch von jenem getrennt ist. Das VPN schafft einen sicheren „Tunnel“, der die Vertraulichkeit und Integrität von Daten bewahrt. Im Hinblick auf die verwendeten Schnittstellen werden Site-to-Site-VPN, End-to-SiteVPN und End-to-End-VPN unterschieden, mit umfangreichen Vertiefungshinweisen dazu, BSI, IT-Grundschutzkataloge, B 4.4 VPN, a. u. https://www.bsi.bund.de/ContentBSI/grund schutz/kataloge/baust/b04/b04004.html. 231

136

C. Gefährdungslagen der informationellen Selbstbestimmung 

(VPN) zur Absicherung von Telearbeitsplätzen oder mobilen Zugängen können hier neben anderen Sicherheitsmaßnahmen vom Auftragnehmer erklärt werden.235 Diese Sicherheitskonzepte zum Schutz der Systemzugänge und zum Identitäts­ management sind auch bei Cloud Services detailliert zu klären. Da die Zugangskontrolle auch die unbefugte Nutzung umfasst, die durch eine Datenübertragung im Internet möglich ist, müssen im Hinblick auf Cloud Services auch der Schutz von Administrator-, Besucher- oder Kundenzugängen zur Cloud (sog. Interfaces) und das Authentifikationsverfahren, bspw. das Single-Sign-On-Authentifikationsverfahren236, beschrieben werden. Die Zugriffskontrolle gem. Nr. 3 der Anlage gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung und Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Im Unterschied zur Zugangskontrolle wird hier der Zugriff auf Datenverarbeitungssysteme von grundsätzlich Berechtigten (Administratoren, Wartungspersonal) außerhalb ihrer Befugnisse verhindert.237 Auch Kundenzugänge zu Datenverarbeitungsanlagen unterliegen der Zugriffskontrolle.238 Der Fokus ist hier auf Zugriffe auf personenbezogene Daten gerichtet. Als Schutzmaßnahmen kommen z. B. die Festlegung von Zugriffsbefugnissen auf bestimmte Daten oder Datenbanken, das Identitätsmanagement, die Protokollierung von Zugriffen, das Mehraugenprinzip, die Begrenzung von Funktionen und der Menüsteuerung und die Durchführung von Backup-Routinen in Betracht.239 Bei der Bereitstellung eines Kundenkontos innerhalb einer Public Cloud müsste der Auftragnehmer den Schutz der Mandanten­ fähigkeit der Cloud erläutern. Die Herausforderung des Cloud-Service-Providers, die die Virtualisierung mit sich bringt, besteht darin, dass auf einem physischen System die Daten mehrerer Nutzer gespeichert werden.240 Der Cloud-Service-Provider hat Maßnahmen zu treffen, die eine Trennung der (personenbezogenen) Datenbestände sicherstellen. Zum Schutz vor sonstigen unberechtigten Zugriffen auf personenbezogene Daten innerhalb einer VM oder über kompromittierte Hypervisor hat der Auftrag­nehmer ferner zu erläutern, welche Viren- und Intrusion-Detection-Systeme und welche Sicherheitskonzepte zur Anwendung kommen. 235

Ausführlich Ernestus, in: Simitis, BDSG, § 9, Rn. 97. Gestattet der Cloud-Service-Provider z. B. die Anmeldung zu einer IaaS-Anwendung in der Cloud im Wege des Single-Sign-On-Verfahrens „OpenID“, so sind konkrete Schutzmaßnahmen gegen die dort möglichen Gefährdungen durch Cross-Site-Request-Forgery-,­ Phishing- oder Clickjacking-Attacken zu treffen und darzulegen. Vertiefend zum Problemkreis OpenID, Braun/Gemein/Höfling et al., DuD 2012, 502 (503 ff.). 237 Vgl. Gola/Schomerus, BDSG, § 9, Rn. 23. 238 Ernestus, in: Simitis, BDSG, § 9, Rn. 100. 239 Ernestus, in: Simitis, BDSG, § 9, Rn. 108; Gola/Schomerus, BDSG, § 9, Rn. 24. 240 Metzger/Reitz/Villar, Cloud Computing, S. 54. 236

II. Weltweite Datenverarbeitung

137

Die Weitergabekontrolle gem. Nr. 4 soll verhindern, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. An welchen Stellen die Übermittlung von personenbezogenen Daten vorgesehen ist, soll auch bei der Weitergabekontrolle überprüft und fest­gestellt werden. Der Kontrolle unterliegen hier der Übertragungsweg und die Verarbeitung. Der Transportweg kann z. B. durch den Einsatz geeigneter Verschlüsselungsverfahren oder eines VPN abgesichert werden.241 Die Gewährleistung der Weitergabekontrolle fordert ferner die Protokollierung der Übermittlung und die Dokumentation der dazu verfügbaren Schnittstellen.242 Im Cloud Computing müsste jede Datenübermittlung zwischen dem Auftraggeber und dem Auftragnehmer dokumentiert werden. Davon erfasst sind auch Unterauftragnehmer, die möglicherweise für den Auftragnehmer Dienste oder Infrastrukturen bereitstellen. Die Eingabekontrolle gem. Nr. 5 knüpft an die Zugriffskontrolle an. Die Speicherung, Veränderung oder Entfernung von personenbezogenen Daten soll nachträglich überprüfbar und feststellbar sein. Die Kontrolle umfasst nur vollständige Datensätze, nicht nur einzelne Zeichen.243 Der Nachweis der Speicherung, Verände­r ung oder Löschung und deren Urheber244 erfolgt über Protokolldaten, die zu einer entsprechenden Auswertung herangezogen werden können.245 Im Cloud Computing sind hier Maßnahmen zu treffen, die die räumliche Trennung der Nutzer und der Server Standorte überbrücken.246 Bei der Auftragskontrolle gem. Nr.  6 ist zu berücksichtigen, dass personen­ bezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Die Auftragskontrolle macht Maßnahmen erforderlich, die eine vollumfängliche Einhaltung der Weisungen des Auftraggebers gewährleisten, z. B. die Verwendung von (elektronischen) Formularen und Ticket-Systemen oder die Bestätigung von Weisungen per E-Mail.247 Damit sichergestellt ist, dass personenbezogene Daten nicht über die Erfüllung einzelner Aufträge hinaus vermischt werden, werden Maßnahmen zur Trennung von Daten eingefordert. In der Cloud sind Maßnahmen zu treffen, die gewährleisten, dass keine fremden Daten aus gemeinsam genutzten IT-Ressourcen, bspw. bei der Allokation von Arbeitsspeichern, ausgelesen werden können. Der Auftragnehmer hat hier eine Auftragsverwaltung, technische Maßnahmen zur Auftragstrennung und Löschroutinen darzulegen.

241

Metzger/Reitz/Villar, Cloud Computing, S. 54. Metzger/Reitz/Villar, Cloud Computing, S. 54. 243 Ernestus, in: Simitis, BDSG, § 9, Rn. 131. 244 Entscheidend ist, dass die Speicherung, Veränderung und Löschung einer bestimmten natürlichen Person zugeordnet werden können, Ernestus, in: Simitis, BDSG, § 9, Rn. 135. 245 Ernestus, in: Simitis, BDSG, § 9, Rn. 131. 246 Schröder/Haag, ZD 2011, 147 (150). 247 Vgl. Ernestus, in: Simitis, BDSG, § 9, Rn. 149 ff. 242

138

C. Gefährdungslagen der informationellen Selbstbestimmung 

Personenbezogene Daten müssen gem. Nr.  7 gegen die zufällige Zerstörung oder den Verlust geschützt sein. Dieses Schutzziel wird als Verfügbarkeits­ kontrolle bezeichnet. Absolute Verfügbarkeit wird vom Gesetzgeber nicht eingefordert. Es soll der Datenverlust z. B. durch Stromausfall oder Schäden bei physischen Datenverarbeitungsanlagen verhindert werden.248 Als Schutzmaßnahmen kommen u. a. Notstromaggregate, bauliche Brand- und Hochwasserschutzvorkehrungen, Tresore und die Ausarbeitung und der Test entsprechender Sicherheitskonzepte und Notfallpläne in Betracht.249 In der Cloud ist insbesondere ein­ Backup-System einzusetzen, dass mit hinreichender Verfügbarkeit die gewaltigen Datenmengen der Cloud Services bewältigen kann. Am Ende des Maßnahmenkatalogs nennt die Anlage in Nr. 8 das Erfordernis der Zweckbindung. Es muss gewährleistet sein, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Datenverarbeitungssysteme sind nach dem Willen des Gesetzgebers so zu gestalten, dass die Zweckbindung auch technisch durch eine getrennte Verarbeitung erhalten bleibt.250 In der Literatur wird vorgeschlagen, eine getrennte Verarbeitung dadurch zu schaffen, dass die personenbezogenen Daten, die an unterschiedliche Zwecke gebunden sind, auf physisch getrennte Rechner verteilt werden.251 Im Cloud Computing wäre eine solche Maßnahme allerdings unverhältnismäßig aufwendig, zumal in der Datenverarbeitung eine unüberschaubare Anzahl an Verarbeitungszwecken denkbar ist. Eine logische Trennung der Daten mit entsprechender Zugriffsverwaltung ist daher naheliegend. Datensätze können auch mit Attributen als Etiketten versehen werden, die eine Zuordnung zu Zwecken erkennen lassen.252 Alternativ können Daten unterschiedlich verschlüsselt werden oder Anwendungen nur bestimmte Zugriffe eingeräumt werden. Die Zweckbindung kann darüber hinaus über ein feingranular abgestimmtes Rechte- und Rollenmanagement der berechtigten Nutzer und Administratoren sichergestellt werden. (3) Weitergehende Datensicherheitsmaßnahmen in der Cloud Mit ihrem Maßnahmenkatalog statuiert die Anlage zu § 9 BDSG technikneutrale Gebote zur Gewährleistung der Datensicherheit. Diese Kontrollvorgaben können im Rahmen eines Auftrags gem. § 11 BDSG auf die tatsächlichen Gegebenheiten einer Cloud-Dienstleistung angepasst werden. Über die „klassischen Risiken“253 248

Ernestus, in: Simitis, BDSG, § 9, Rn. 156. Ausführlich dazu Ernestus, in: Simitis, BDSG, § 9, Rn. 159. 250 Vgl. Ernestus, in: Simitis, BDSG, § 9, Rn. 160. 251 Ernestus, in: Simitis, BDSG, § 9, Rn. 161. 252 Ernestus, in: Simitis, BDSG, § 9, Rn. 161. 253 AK Technik und Medien, Orientierungshilfe Cloud Computing, http://www.datenschutzbayern.de/technik/orient/oh_cloud.pdf, S. 15. 249

II. Weltweite Datenverarbeitung

139

für IT-Systeme hinaus ist die Verarbeitung personenbezogener Daten von Betroffenen in der Cloud einer Vielzahl neuartiger Gefährdungslagen ausgesetzt, die vom Gesetzgeber weder antizipiert noch bis zum gegenwärtigen Zeitpunkt gesetzlich geregelt worden sind. Zu diesen zählt die Erschöpfung der IT-Ressourcen des Auftragnehmers. In der Anlage zu § 9 BDSG ist zwar die Verfügbarkeitskontrolle als Maßnahme enthalten. Diese schützt aber nur gegen den zufälligen Untergang und den Verlust von personenbezogenen Daten. Verfügbarkeitsengpässe bei IT-Ressourcen können zum Ausfall von Dienstleistungen führen, der auch die zufällige Zerstörung oder Kompromittierung von personenbezogenen Daten zur Folge haben kann. Die Störung einer (Live-)Migration von VM kann ganze Systeme eines Cloud-Kunden beeinträchtigen. Die mangelhafte Verfügbarkeit von Diensten wirkt sich damit auch auf die informationelle Selbstbestimmung der Betroffenen aus, da die personenbezogenen Daten für den Zeitraum der Beeinträchtigung nicht zur Verfügung stehen oder Dritten zugänglich werden könnten. Im Cloud Computing zeichnen sich neben üblichen Verwundbarkeiten von IT-Systemen neue Bedrohungen ab, die vom Maßnahmenkatalog der Anlage zu § 9 BDSG nicht ausdrücklich erfasst werden. Bekannte und neue Angriffe zielen auf VM oder auf den Hypervisor ab. Von der Sicherheit des Hypervisors sind die VM maßgeblich abhängig. Die Sicherheit des Hypervisors kann durch die Ausarbeitung von Benutzerrichtlinien und Sicherheitskonzepten (bspw. der Verzicht auf Live-Migration), die regelmäßige Wartung, Abschirmung von Angriffen und Schadcode (bspw. durch sog. Intrusion-Detection-/Prevention-Systeme), die Protokollierung der Verarbeitungsprozesse und durch die Nutzung vertrauenswürdig zertifizierter Hypervisorsoftware gewahrt werden.254 Ohne ein Gebot zur Kontrolle weitergehender IT-Sicherheitsmaßnahmen, ggf. unter Berücksichtigung der dezentralen, cloudspezifischen Gefährdungslagen, ist dem Auftraggeber eine effektive Kontrollmöglichkeit verwehrt. Bei der Anlage zu § 9 BDSG handelt es sich zwar um einen nicht abschließenden Maßnahmenkatalog. Die Tatsache, dass bestimmte Maßnahmen ausdrücklich geregelt sind, gibt jedoch richtungsweisende Leitlinien bei der Gestaltung des Sicherheitskonzepts vor. Bei nicht ausdrücklich geregelten Maßnahmen droht aber die Flucht der Auftragnehmer in vage und pauschale Beschreibungen.255 Nachlässigkeiten können zu einer Absenkung des Datenschutzniveaus für den Betroffenen führen. Dieser Entwicklung zulasten des vom Gesetzgeber vorgegebenen Datenschutzniveaus könnte mit einer Novellierung der Anlage Rechnung getragen werden.256 254 AK Technik und Medien, Orientierungshilfe Cloud Computing, http://www.datenschutzbayern.de/technik/orient/oh_cloud.pdf, S. 15; dem folgend, Schröder/Haag, ZD 2011, 147 (151). 255 Weichert, DuD 2010, 679 (685). 256 Vgl. Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, S.  28; zu den Eigenschaften des „Security-by-obscurity“-Ansatzes, Niemann/Hennrich, CR 2010, 686 (690).

140

C. Gefährdungslagen der informationellen Selbstbestimmung 

Im Unterschied zum bspw. regional niedergelassenen Hosting-Diensteanbieter mit eigenem Rechenzentrum ist bei komplexen Cloud-Szenarien nicht ohne Weiteres eindeutig, wo die Daten tatsächlich verarbeitet werden. Sofern ein CloudService-Provider Teile seiner Dienstleistungen mithilfe von Unterauftragnehmern anbietet, kann die Datenverarbeitung fragmentiert werden und in einzelnen Prozessen verteilt verarbeitet werden.257 Über Breitbandanbindungen zum Internet können in kurzer Zeit gewaltige Datenmengen zwischen den Standorten eines Cloud-Service-Providers ausgetauscht werden. Transparenz in diese Abläufe wird teilweise mit der Protokollierung von Verarbeitungsprozessen im Rahmen der Eingabekontrolle und der Weitergabekontrolle hergestellt. Der Gesetzgeber könnte Vorgaben zu technischen und organisatorischen Maßnahmen in die Anlage aufnehmen, die sicherstellen, dass personenbezogene Daten nur an einem vom Auftraggeber gewählten Ort oder in einer Region erhoben, verarbeitet oder genutzt werden, z. B. im EU-/EWR-Raum. Der Vorrang der Datenverarbeitung im Inland bzw. im EU-/EWR-Raum ist ohnehin im BDSG angelegt, da davon ausgegangen wird, dass der Datentransfer in Drittländer zu einer Ab­senkung des Schutzniveaus für Betroffene führt. Unter Berücksichtigung der technischen und ökonomischen Fortentwicklung des IT-Outsourcings am Beispiel von Cloud Computing wird aufgezeigt, dass vielfach die Umgehung dieser Beschränkungen angestrebt wird. Bis eine gesetzliche Regelung erfolgt, bleibt es der vertraglichen Vereinbarung der Parteien überlassen, eine EU-/EWR-Cloud zu vereinbaren. Unter diesem Schlagwort wird der Betrieb einer Cloud diskutiert, bei der ausschließlich Rechenzentren mit Standorten im EU-/EWR-Raum zum Einsatz kommen und eine Übermittlung in Drittstaaten technisch oder vertraglich ausgeschlossen werden kann. Vertraglich kann dies im Wege von entsprechenden Garantien oder durch die Klarstellung von Haftungsklauseln oder Vertragsstrafen bewirkt werden. Dies ist allein schon zur Vermeidung der Haftung des Auftraggebers gegenüber dem Betroffenen erforderlich. Bei Cloud Services, die von international vertretenen Großunternehmen als Massenanwendungen angeboten werden, dürfte sich die individuelle Abrede einer Verarbeitungsregion allerdings als schwierig verhandelbar herausstellen, wenn eine EU-/EWR-Cloud nicht ohnehin vom Provider angeboten wird. (4) Zwischenergebnis Für die Festlegung der konkreten technischen und organisatorischen Maßnahmen im Rahmen eines Auftrags zur Erbringung von Cloud Services durch einen Cloud-Service-Provider gem. § 11 BDSG liefert die Anlage zu § 9 BDSG 257 AK Technik und Medien, http://www.datenschutz-bayern.de/technik/orient/oh_cloud. pdf, Orientierungshilfe Cloud Computing, S. 14.

II. Weltweite Datenverarbeitung

141

richtungsweisende Leitlinien zur technisch-organisatorischen Absicherung von Datenverarbeitungsanlagen und den einzelnen Systemen. Diese können vom Cloud-Service-Provider herangezogen und im Hinblick auf das konkrete Bereitstellungsmodell konkretisiert werden. Die Untersuchung der Anlage zu § 9 BDSG hat gezeigt, dass ihr das Bild der zentralen Datenverarbeitung in einem abgeschotteten Rechenzentrum zugrunde liegt.258 Dieses Bild divergiert z. T. mit den Strukturen der dezentralen Datenverarbeitung in der Cloud. Über die Anforderungen der Anlage hinaus bedarf es Maßnahmen zum Schutz vor cloudspezifischen Bedrohungen. Anstelle von maßnahmengeprägten Regelungen wäre eine Orientierung an den technikneutralen Sicherheitszielen der Vertraulichkeit, Integrität, Verfügbarkeit und Revisionssicherheit wünschenswert.259 Darüber hinausgehende essenzielle Schutzziele sind u. a. die Verfügbarkeit, die Transparenz, die Portabilität und der Schutz vor Erschöpfung der IT-Ressourcen sowie die Gewährleistung der Sicherheit des Hypervisors und der Datenverarbeitung innerhalb einer VM. dd) Datenzugriff durch US-amerikanische Behörden (1) Geheimdienstliche Datenerhebung In Europa wird eine Datenschutztradition gepflegt, die weltweit einzigartig ist.260 In den USA hingegen, wo viele international agierende Cloud-Service-Provider ihren Hauptsitz, ihre Niederlassungen oder ihre Konzernverbindungen261 haben, steht der wirtschaftliche Nutzen von Daten, weniger deren Bedeutung für die informationelle Selbstbestimmung, im Vordergrund. In den USA ist eine mit dem europäischen Datenschutzrecht vergleichbare Konzeption unbekannt. US-amerikanisches Recht räumt Behörden teilweise weitreichende Eingriffsbefugnisse zur Strafverfolgung und zur Gefahren- und Spionageabwehr ein. Nach Angaben der deutschen Bundesregierung, die aus der Zeit vor den Enthüllungen von Edward Snowden stammen, liegen keine Anhaltspunkte dafür vor, dass deutsche oder europäische Betroffene flächendeckend durch die USA überwacht werden.262 Seit den Enthüllungen von Edward Snowden kann diese Aussage zumindest im Hinblick auf die Datenverarbeitung durch US-Geheimdienste nicht mehr als zutreffend hingenommen werden.263 258 Die §§ 11, 9 BDSG zusammen mit der Anlage zu § 9 BDSG sind auf klassische Auftragsszenarien zugeschnitten, vgl. Niemann/Hennrich, CR 2010, 686 (689); dazu auch Gabel, in: Taeger/Gabel, BDSG, § 9, Rn. 30. 259 Schröder/Haag, ZD 2011, 147 (150); AK Technik und Medien, Orientierungshilfe Cloud Computing, http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf, S. 13. 260 Vgl. Becker/Nikolaeva, CR 2012, 170 (170). 261 Vgl. Becker/Nikolaeva, CR 2012, 170 (170). 262 BT-Drs. 17/1450, S. 2. 263 Übersichtlich dazu, Härting, Beitrag v. 26.07.2013, http://www.cr-online.de/blog/2013/ 07/26/nsa-und-bnd-rechtsgrundlagen-gemeinsamkeiten-unterschiede/.

142

C. Gefährdungslagen der informationellen Selbstbestimmung 

Im Zuge der Enthüllungen ist bekannt geworden, dass die National Security Agency (NSA), der größte Auslandsgeheimdienst der USA dort erhebt, wo der Schutz endet, um Daten unverschlüsselt weiterzuverarbeiten. Nach Berichten der Washington Post habe sich die NSA zusammen mit dem britischen Geheimdienst GCHQ die weitverzweigten Netzwerke zwischen den weltweit verteilten Rechenzentren jeweils der Firmen Yahoo! und Google zu Nutze gemacht, um Daten zu erheben. Für diese Überwachung sei nicht PRISM, sondern ein Programm mit Namen „Muscular“ verwendet worden. Auf technischer Basis seien diejenigen Glasfaserkabel kompromittiert worden, die die Clouds der internen Rechenzentren mit den sog. Front-End-Servern verbinden. Diese Front-End-Server seien die Vermittler des internen Netzes zum Internet. Bei Google seien nicht nur Verkehrs-, sondern auch Inhaltsdaten betroffen, die im Rahmen der Dienste GoogleDocs, Gmail und GoogleMaps erhoben und verarbeitet werden. Die Erfassung von E-Mails in hunderten Nutzerkonten sei somit in Echtzeit möglich. Unter Berufung auf Präsentationsfolien der NSA, die Edward Snowden veröffentlicht hat, ist konkret die Rede von mehr als 181 Millionen Datensätzen, die in einem Zeitraum von 30 Tagen ausgelesen werden können. Da diese Vorgänge über Datenzugriffe vom Direktor der NSA, Keith Alexander, dementiert und von Yahoo! und Google mit Nichtwissen bestritten werden, bedarf es zur abschließenden Bewertung dieser Gefährdungslage für das Cloud Computing gesicherter Erkenntnisse von Untersuchungsausschüssen der US-Regierung264 oder des deutschen Bundestags265, die über die bloße Presseberichterstattung hinausgehen. Deutsche Ermittlungsbehörden haben bisher lediglich Zugriff auf die von Edward Snowden veröffentlichten Dokumente. Eine Befragung Snowdens wird von der deutschen Bundesregierung abgelehnt.266 Was die Datenerhebung durch die NSA betrifft, bleibt daher vorerst unklar, inwieweit deutsche Nutzer betroffen sind. Nicht nur verdeckte Angriffe auf die Datensicherheit, sondern auch offene Auskunftsanfragen und Zugriffe bilden eine Herausforderung für Anbieter. Denn Cloud-Service-Provider, die sowohl in den USA als auch in Europa tätig sind, stehen vor dem Dilemma, Adressat zweier divergierender Rechtsordnungen zu 264 Der Geheimdienstausschuss im amerikanischen Senat hat eine umfassende Untersuchung der NSA-Affaire angekündigt, S.  FAZ, Beitrag v. 29.10.2013, http://www.faz.net/aktuell/ politik/abhoeraffaere-obama-will-das-ausspaehen-verbuendeter-verbieten-12638514.html. 265 Seitens der SPD-Bundestagsfraktion wurde ein Untersuchungsausschuss zur NSA-Affaire gefordert, Spiegel Online, Beitrag v. 27.10.2013, http://www.spiegel.de/politik/deutschland/ spaehaffaere-oppermann-fordert-nsa-untersuchungsausschuss-a-930222.html. Auf Antrag aller Fraktionen hat der Deutsche Bundestag am 20.03.2014 einen Untersuchungsausschuss zur NSA-Affaire unter Vorsitz des Abgeordneten Prof. Dr. Patrick Sensburg (CDU/CSU) eingesetzt, http://www.bundestag.de/bundestag/ausschuesse18/ua/1untersuchungsausschuss. 266 Meiritz, Spiegel Online, Beitrag v. 02.06.2014, http://www.spiegel.de/politik/deutschland/ bundesregierung-verteidigt-umstrittenes-snowden-gutachten-a-972912.html.

II. Weltweite Datenverarbeitung

143

sein.267 Klärungsbedürftig ist zunächst, wie die US-amerikanischen Ermächtigungsgrundlagen ausgestaltet sind und ob diese für sich betrachtet eine Gefährdungslage für den Datenschutz deutscher Betroffener darstellen können. (2) USA PATRIOT Act Die US-amerikanische Rechtsordnung sieht verschiedene Rechtsgrundlagen für Zugriffe auf Daten durch (Sicherheits-)Behörden vor. Zugriffsbefugnisse mit Relevanz für die Datenverarbeitung in der Cloud wurden insbesondere durch den „USA PATRIOT Act“ anlässlich der Terroranschläge vom 11.09.2001 neu ge­ regelt, um die bestehenden Befugnisse der US-Geheimdienste und Sicherheits­ behörden zu erweitern.268 Der USA PATRIOT Act enthält zehn Kapitel. Darin werden u. a. Befugnisse zur Überwachung und zum Austausch von Informationen, die Strafprozessordnung und bestimmte Straftaten des Bundesrechts (engl. US Code oder USC) vorübergehend verschärft.269 Der USA PATRIOT Act statuiert keine selbstständigen Eingriffsermächtigungen. Es handelt sich nur um ein Änderungsgesetz, dessen Geltung zwar zeitlich befristet ist, aber bereits mehrfach verlängert worden ist.270 Der Zugriff auf personenbezogene Daten eines europäischen Betroffenen kann, von Rechtshilfeersuchen an europäische Behörden oder speziellen Abkommen abgesehen, im Wege von behördlichen Anordnungen, unter dem Foreign Intelligence Surveillance Act (FISA) oder aufgrund eines National Security Letters der USBundespolizeibehörde FBI erfolgen.271 Das Herausgabeverlangen über behördliche Anordnungen (engl. Administrative Subpoena) gründet sich bspw. auf 18 USC § 2703 (c).272 Eine Behörde konnte auf dieser Rechtsgrundlage bereits vor dem Inkrafttreten des USA PATRIOT Act von einem TK- oder Internetdiensteanbieter die Herausgabe von Bestandsdaten zu Kunden herausverlangen. Mit Sec. 210 USA PATRIOT Act wurde die Vorschrift des 18 USC § 2703 (c)(2) erweitert, sodass nun auch die Preisgabe der zugeordne 267

Becker/Nikolaeva, CR 2012, 170 (170). Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, H. R.3162. 269 Bestimmte Sektionen des USA PATRIOT Act sunterliegen der sog. Sunset-Regelung, wonach die vorgenommenen Änderungen am 31.12.2005 hätten außer Kraft treten müssen. Sunset-Regelungen sollen einer Ausweitung der Überwachungsbefugnisse vorbeugen. Mit den Gesetzen „USA PATRIOT Improvement And Reauthorization Act of 2005“ und „­ PATRIOT Sunsets Extention Act of 2011“ wurde die Frist der Sunset-Regelung im USA ­PATRIOT Act zunächst bis zum 27.05.2011 und nunmehr bis zum 01.06.2015 verlängert, S. Pallasky, DuD 2002, 221 (225). 270 Voigt/Klein, ZD 2013, 16 (16). 271 Hintergründe zu National Security Letters, a. u. https://www.eff.org/issues/national-­ security-letters. 272 18 US Code § 2703, a. u. http://www.law.cornell.edu/uscode/text/18/2703. 268

144

C. Gefährdungslagen der informationellen Selbstbestimmung 

ten IP-Adresse und die Zahlungs- und Bankdaten gefordert werden können.273 Die Voraussetzungen der Administrative Subpoena wurden hingegen nicht geändert. Eine Bundesbehörde kann die Herausgabe nur unter den Voraussetzungen des 18 USC § 2703 (c)(1)(E) verlangen, wenn dies eine bundes- oder landesrechtliche Vorschrift vorsieht, dies eine Grand Jury in einem Verfahren gestattet oder soweit ein richterlicher Beschluss vorliegt. Bei 18 USC § 2703 (c) handelt es sich um eine Ermächtigungsgrundlage, die grundsätzlich auch Cloud-Service-Provider betreffen kann, allerdings aufgrund ihrer restriktiven Voraussetzungen kein Einfallstor für Massenverfahren eröffnet – im Gegenteil: Es wäre falsch anzunehmen, so Schuppert und v. Reden, das amerikanische Behörden mehr Zugriffsmöglichkeiten hätten als deutsche Behörden.274 (3) Foreign Intelligence Surveillance Act (FISA) Eine Gefährdungslage für den Datenschutz deutscher Betroffener kann sich aus dem Gesetz zur Überwachung ausländischer Geheimdienste, dem sog. Foreign Intelligence Surveillance Act (FISA), ergeben.275 Das im Jahr 1978 erlassene Gesetz erlaubt u. a. Behörden, unter erleichterten Bedingungen ausländische Geheimdienste zu überwachen. Das Unterkapitel VI des 50 USC, Chapter 36 enthält Regelungen zu zusätzlichen Verfahren zur Überwachung von bestimmten Per­ sonen außerhalb der USA. Gem. 50 USC § 1881a können der Generalstaatsanwalt und der Direktor der nationalen Geheimdienste gemeinsam anweisen, dass ein Betroffener, der kein USStaatsbürger ist, bis zu einem Jahr lang außerhalb der USA überwacht werden soll, von dem angenommen wird, dass er über Informationen zu ausländischen Geheimdiensten verfügt.276 Ein hinreichender Tatverdacht ist dazu nicht erforderlich, obgleich die Maßnahme in Übereinstimmung mit dem Fourth Amendment277 durchgeführt werden soll („An acquisition […] shall be conducted in  a manner consistent with the fourth amendment to the Constitution of the United States.“).278 Sec. 215 des USA PATRIOT Act regelt nunmehr auch, dass Empfänger einer FISA-Anordnung verpflichtet sind, über den Zugang der Anordnung und über ihren Inhalt zu schweigen. Dies hat zur Folge, dass ein Cloud-Service-Pro 273

Pallasky, DuD 2002, 221 (224). Ausführlich zum Zugriff auf die Cloud durch US- und deutsche Behörden, Schuppert  / v. Reden, ZD 2013, 210 (216 f.). 275 50 USC Chapter 36 – Foreign Intelligence Surveillance, a. u. http://www.law.cornell.edu/ uscode/text/50/chapter-36. 276 Pallasky, DuD 2002, 221 (224 f.). 277 Das Fourth Amendment als Bestandteil der Bill of Rights schützt vor Eingriffen durch rechtswidrige Maßnahmen zur Durchsuchung oder Beschlagnahme und regelt die verfassungsrechtliche Vorgabe des „probable cause“ bzw. des hinreichenden Tatverdachts. 278 Vgl. 50 USC § 1881a (b)(5); dazu s. a. ULD, Positionspapier v. 15.11.2011, a. u. https:// www.datenschutzzentrum.de/internationales/20111115-patriot-act.html. 274

II. Weltweite Datenverarbeitung

145

vider nicht berechtigt ist, seine Kunden über staatliche Zugriffe auf die Cloud zu unterrichten.279 Die Ermächtigungsgrundlage 50 USC § 1861 regelt die Antrags­ erfordernisse einer Herausgabeanordnung auf sämtliche Gegenstände und Unterlagen, die zur Spionage- oder Terrorismusabwehr relevant sein können. Eine Herausgabeanordnung kann vom Direktor des FBI oder einem Vertreter beantragt werden und bedarf gem. 50 USC § 1803 der gerichtlichen Kontrolle eines speziell für FISA-Anordnungen eingerichteten Gerichts. Ein Cloud-Service-Provider kann Adressat von Herausgabeanordnungen im Rahmen von Ermittlungsverfahren gem. 50 USC § 1861 sein. Der Diensteanbieter hat in diesem Fall personenbezogene Daten herauszugeben, die bei ihm über einen bestimmten Betroffenen gespeichert sind, selbst wenn dies mit deutschem Datenschutzrecht in Widerspruch steht. Sofern nicht ausgeschlossen ist, dass ein Diensteanbieter im Wege einer FISA-Anordnung zur Herausgabe verpflichtet werden kann, ist der Datenschutz in der Cloud gefährdet. Die Gefährdung beschränkt sich jedoch auf der gerichtlichen Kontrolle unterliegende Einzelfälle, da das US-amerikanische Recht, selbst unter Berücksichtigung des USA PATRIOT Acts, keine beliebigen oder massenverfahrenstauglichen Zugriffsrechte normiert.280 (4) National Security Letters Der USA PATRIOT Act hat auch das Recht der sog. National Security Letters (NSL) erweitert und Anforderungen gelockert.281 Gem. Sec. 505 USA PATRIOT Act können die Bundespolizeibehörde FBI und andere Justizbehörden Herausgabeanordnungen erlassen. Ein richterlicher Beschluss ist nicht erforderlich. Werden Informationen für eine Ermittlung zu Zwecken der nationalen Sicherheit benötigt, kann ein NSL erlassen werden, um bspw. einen Internet-Service-Provider zur Herausgabe von personenbezogenen Bestands- und Verkehrsdaten zu verpflichten.282 Wer als Provider einen NSL erhält, ist zur Verschwiegenheit verpflichtet, sodass der Betroffene keine Kenntnis von entsprechenden Zugriffen erlangt. Auf das Instrument der NSL hat das FBI im Jahr 2010 in über 24.000 Fällen zurückgegriffen, wie aus Informationen des US-Justizministeriums hervorgeht.283 Hierbei handelt es sich um besonders intransparente behördliche Zugriffe auf personenbezogene Daten.

279

Spies, ZD-Aktuell 2012, 03062. Voigt/Klein, ZD 2013, 16 (17). 281 Becker/Nikolaeva, CR 2012, 170 (171). 282 Becker/Nikolaeva, CR 2012, 170 (171). 283 Spies, ZD-Aktuell 2012, 03062. 280

146

C. Gefährdungslagen der informationellen Selbstbestimmung 

(5) Reichweite von US-amerikanischen Anordnungen (a) Auslegung des USA PATRIOT Acts Herausgabeanordnungen treffen in erster Linie Diensteanbieter mit einem Sitz in den USA. Cloud-Service-Provider mit Sitz in Europa sind vor Zugriffsbefugnissen US-amerikanischer Behörden auf der Grundlage ausländischen Rechts geschützt, da diese auf das Hoheitsgebiet der USA begrenzt sind.284 Es gilt der völkerrechtliche Grundsatz der Gebiets- und Personalhoheit, der staatliche Befugnisse auf das Territorium innerhalb der Staatsgrenzen beschränkt. Nach USamerikanischer Rechtsprechung werden jedoch aufgrund des USA PATRIOT Act geänderte Befugnisnormen derart weit ausgelegt, dass US-amerikanische Gesellschaften verpflichtet werden können, Daten, die sich im Ausland befinden, herauszugeben.285 (b) Datenzugriff über Konzernverbindungen Sind personenbezogene Daten in der Cloud eines Cloud-Service-Providers in Europa gespeichert, können diese Daten Gegenstand von Herausgabeanordnungen sein, wenn der Dienstleister eine deutsche Tochtergesellschaft eines US-amerikanischen Unternehmens ist.286 Für die Herausgabeanordnungen ist ausreichend, dass der Adressat der Befugnisnorm rechtlich und tatsächlich in der Lage ist, Zugang zu den begehrten Informationen zu erlangen.287 Eine Muttergesellschaft mit Sitz in den USA kann aufgrund ihrer konzernrechtlichen Weisungsrechte gem. den §§ 311 Abs. 1, 308 Abs. 1 und 2, 17 AktG bzw. §§ 37 Abs. 1, 47 Abs. 1, 48 Abs. 1 GmbHG ihre Tochtergesellschaft zur Herausgabe von Unterlagen veranlassen.288 Um an Daten gelangen zu können, die bei der Tochtergesellschaft in Europa gespeichert sind, kann eine US-amerikanische Behörde die Herausgabe von Informationen bei der Muttergesellschaft in den USA durch eine FISA-Anordnung gem. 50 USC § 1861 erzwingen. Der Muttergesellschaft drohen bei Nichtbefolgung der Anordnung Zwangsgelder und Zwangsmaßnahmen gem. 18 USC §§ 401, 402 bzw. gem. 18 USC § 3511 (c). Kann auf diesem Wege eine Herausgabe von Unterlagen über das Konzernrecht nicht herbeigeführt werden, ist es möglich, durch Sanktionen gegenüber der Muttergesellschaft „wirtschaftlichen Druck“ zulasten der Tochtergesellschaft zu erzeugen, um diese zur Preisgabe der Informa 284

Becker/Nikolaeva, CR 2012, 170 (171). Vgl. zum US-amerikanischen Richterrecht: Restatement (Third)  of Foreign Relations, Sec. 442 (1)(a); ausführlich Becker/Nikolaeva, CR 2012, 170 (172). 286 Dazu ULD, Positionspapier v. 15.11.2011, a. u. https://www.datenschutzzentrum.de/inter nationales/20111115-patriot-act.html. 287 Becker/Nikolaeva, CR 2012, 170 (172). 288 Ausführlich Becker/Nikolaeva, CR 2012, 170 (175). 285

II. Weltweite Datenverarbeitung

147

tionen, bspw. Kundendaten, zu veranlassen.289 Selbst wenn personenbezogene Daten in einer „Europäischen Cloud“ des Tochterunternehmens eines US-amerikanischen Cloud-Service-Providers gespeichert sind, besteht also die Gefahr, dass durch diese Stellen personenbezogene Daten an ausländische Sicherheitsbehörden weiter­gegeben werden. (c) „Bank of Nova Scotia“-Anordnungen Datenzugriffe sind nach US-amerikanischer Rechtsprechung auch im Wege der sog. „Bank of Nova Scotia“-Anordnung bzw. durch Zwangsmaßnahmen gegen ausländische Tochterunternehmen möglich, selbst wenn dadurch ausländisches (Geheimnisschutz-)Recht verletzt wird.290 Anordnungen zur Herausgabe von Dokumenten oder Informationen werden von US-Gerichten erteilt. Das von der US-Rechtsprechung entwickelte Institut291 geht auf einen Präzedenzfall der kanadischen Bank of Nova Scotia im Rahmen eines Grand-Jury-Verfahrens zurück.292 Das Gericht United States Court of Appeals, Eleventh Circuit, hat in einem Berufungsverfahren entschieden, dass eine Bank durch eine richterliche Anordnung (engl. Subpoena)  verpflichtet werden darf, Dokumente herauszugeben, die unselbstständigen Tochterunternehmen im Ausland gehören oder einem Angestellten im Ausland zugeordnet werden.293 Ferner setzen „Bank of Nova Scotia“-Maßnahmen eine schriftliche Zustimmung des Office of International Affairs voraus, da die Maßnahmen die Beziehungen zur ausländischen Justiz beeinträchtigten können.294 Diese Maßnahmen erfordern außerdem, dass rechtliche Verfahren der fristgerechten Erlangung von Datenbeständen, bspw. durch gegenseitige Amtshilfe, Rechtshilfeersuchen oder Abkommen, in Betracht gezogen wurden. Zudem müssen die Daten für den Erfolg der Ermittlungsmaßnahme oder der Verurteilung eines Beschuldigten von unverzichtbarer Bedeutung sein. Darüber hinaus muss erforderlich sein, die Informationen vor ihrer Zerstörung im Ausland zu schützen. Die US-Behörden sind in die Lage zu versetzen, die Informationen vor ihrer möglichen Zerstörung zu erlangen.295 Die Beantragung einer Subpoena zur Erlangung 289

Becker/Nikolaeva, CR 2012, 170 (172). United States Department of Justice, United States Attorneys Manual (USAM), 279 Subpoenas, a. u. http://www.justice.gov/usao/eousa/foia_reading_room/usam/title9/crm00279.htm. 291 Vertiefend Cihlar, Journal of Financial Crime, Vol. 16, Nr. 2, 115 (120). 292 In re Grand Jury Proceedings, United States v. Bank of Nova Scotia II, 722 f. 2d 657 (11th Cir. 1983). 293 In re Grand Jury Proceedings, United States v. Bank of Nova Scotia II, 722 f. 2d 657 (11th Cir. 1983). 294 Zu den Voraussetzungen des FOIA-Antrags, S.  United States Department of Justice, USAM, 279 Subpoenas, a. u. http://www.justice.gov/usao/eousa/foia_reading_room/usam/ title9/crm00279.htm. 295 United States Department of Justice, United States Attorneys Manual (USAM), 279 Subpoenas, a. u. http://www.justice.gov/usao/eousa/foia_reading_room/usam/title9/crm00279.htm. 290

148

C. Gefährdungslagen der informationellen Selbstbestimmung 

ausländischer Daten setzt somit nicht die Erfüllung besonders strenger Vorgaben voraus, sondern bildet einen einfachen Weg zur Ermittlung von Informationen, die in der Cloud gespeichert sind. (6) Eigene Stellungnahme US-amerikanische Behörden können auf Zugriffsbefugnisse und richterrechtlich geprägte Institute zurückgreifen, um personenbezogene Daten europäischer Betroffener zu erlangen. Dies gilt nicht nur für Stellen mit Sitz in den USA, sondern auch dann, wenn die Daten in der Cloud deutscher Tochterunternehmen in Europa gespeichert sind und die Betroffenen keine US-Staatsbürger sind. Cloud-Service-Provider, die unmittelbar oder über Konzernverbindungen zur Herausgabe von Informationen über EU-Bürger aus der Cloud verpflichtet werden können, stehen vor dem Problem, zwei divergierenden Rechtsordnungen unterworfen zu sein. Auftragsdatenverarbeiter sind im Auftrag (auch Vertrag zur Auftragsdatenverarbeitung, ADV-Vertrag) gem. § 11 BDSG dazu verpflichtet, ein angemessenes Datenschutzniveau zu gewährleisten und die Vertraulichkeit von Daten zu schützen. Nach US-amerikanischem Recht kann dieselbe Stelle zur Auskunft oder Herausgabe personenbezogener Daten verpflichtet sein. Nach geltendem Recht ist daher der Schutz von personenbezogenen Daten gefährdet, wenn der vom Auftraggeber ausgewählte Auftragnehmer296 ein CloudService-Provider mit Sitz oder einer Niederlassung in den USA ist oder er als Tochterunternehmen mit einem US-amerikanischen Unternehmen verbunden ist.297 Die Gefahr für die informationelle Selbstbestimmung des Betroffenen wurde in der Praxis bisher als lediglich theoretisch oder als gering bewertet.298 Ob im Hinblick auf die NSA-Enthüllungen daran festgehalten werden kann, ist fraglich. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert, die Datenübermittlungen an Stellen in den USA auszusetzen, da die hohe Wahrscheinlichkeit’ bestehe, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt seien.299 Eine solche Entscheidung kann jedoch nur die EU-Kommission treffen, was sie auch im Hinblick auf die laufenden transatlantischen TTIP-Verhandlungen noch nicht getan hat, sodass es nach der gegenwärtigen Rechtslage zulässig bleibt, Daten (auch in die Cloud) an Stellen in den USA zu übermitteln, wenn diese Stellen die Safe-Harbor-Grundsätze anerkannt haben oder EU-Standardvertragsklauseln vereinbart haben.300 296

Zur Auswahl eines US-Anbieters s. a., S. 152. So auch Becker/Nikolaeva, CR 2012, 170 (176). 298 Voigt/Klein, ZD 2013, 16 (20). 299 Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Pressemitteilung v. 24.07.2013, https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen236.c.9283.de. 300 Spies, ZD 2013, 535 (537). 297

II. Weltweite Datenverarbeitung

149

c) Kontrolle in der Cloud aa) Kontrollen in der Cloud Gem. § 11 Abs. 2 S. 4 BDSG ist der Auftraggeber dazu verpflichtet, die datenschutzkonforme Datenverarbeitung des Auftragnehmers regelmäßig zu kontrollieren und das Prüfungsergebnis zu dokumentieren. Beim „klassischen IT-Outsourcing“ versprechen eine unangekündigte Kontrolle vor Ort beim Auftragnehmer, die Besichtigung der Datenverarbeitungsanlagen und die Überprüfung der technischen und organisatorischen Schutzmaßnahmen vor Ort eine hohe Effektivität.301 Im Cloud Computing – anders als beim herkömmlichen Hosting durch einen Datenverarbeiter oder eine überschaubare Anzahl an Datenverarbeitern – ist eine solche Kontrolle je nach Komplexität der vernetzten Infrastrukturen nur vereinzelt möglich, es sei denn, die IT-Ressourcen des Cloud-Service-Providers sind auf eine geringe Anzahl an Rechenzentren verteilt.302 Weit verstreute Rechenzentren können Kontrollen vor Ort unzumutbar machen. Es sind auch Fallgestaltungen denkbar, in denen der Auftragnehmer die Datenverarbeitung dynamisch innerhalb eines Pools an Unterauftragnehmern verteilt. Da die Orte der Datenverarbeitung letztlich nicht oder nur teilweise geklärt werden können, kann es bereits an einer Kontrollmöglichkeit des Auftraggebers fehlen.303 Die individuelle Kontrolle des Cloud-Service-Providers durch den Auftraggeber in der Art und Weise, wie es von § 11 Abs. 2 S. 4 BDSG vorgesehen ist, kann im Einzelfall einen unverhältnismäßigen Aufwand erforderlich machen. Ob regelmäßige Prüfungsberichte und Mitteilungen des Auftragnehmers die mangelhaften Kontrollmöglichkeiten kompensieren können, ist offen.304 bb) Weisungen in der Cloud In der Cloud stößt ferner die Erteilung von Weisungen durch den Auftraggeber an praktische Grenzen. Da Cloud-Service-Provider, z. B. in Form von Infrastructure-as-a-Service- oder Platform-as-a-Service-Dienstleistungen, regelmäßig standardisierte Dienste bereitstellen, wird bezweifelt, ob Weisungen überhaupt in der von § 11 Abs. 3 S. 1 BDSG geregelten Weise erteilt werden können.305 Im

301 Vgl. Petri, in: Simitis, BDSG, § 11, Rn.  78; Bayerischer Landesbeauftragter für den Datenschutz (BayLBfdD), Orientierungshilfe Auftragsdatenverarbeitung, http://www.daten schutz-bayern.de/technik/orient/oh_auftragsdatenverarbeitung.pdf, S. 9. 302 Niemann/Hennrich, CR 2010, 686 (690). 303 Niemann/Hennrich, CR 2010, 686 (691). 304 Zustimmend Niemann/Hennrich, CR 2010, 686 (691). 305 Ablehnend vgl. Weichert, DuD 2010, 679 (685); so auch Niemann/Hennrich, CR 2010, 686 (692).

150

C. Gefährdungslagen der informationellen Selbstbestimmung 

Hosting wie auch im Cloud Computing räumen die Diensteanbieter ihren Kunden im Regelfall nur Optionen bei der Gestaltung der Datenverarbeitung ein. Individuell ausgestaltete Weisungen werden den Ausnahmefall bilden. cc) Datenlöschung und Rückgabe von Datenträgern Personenbezogene Daten können auch in Cloud-Umgebungen nicht unbegrenzt aufbewahrt werden. Ist der Zweck der Datenverarbeitung erfüllt, können personenbezogene Daten jederzeit gelöscht werden, sofern keine vertraglichen oder gesetzlichen Aufbewahrungsfristen bestehen oder sofern nicht anzunehmen ist, dass mit der Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt werden (vgl. § 35 Abs. 3 Nr. 1 und Nr. 2 BDSG). Eine Löschung hat der Auftragnehmer weisungsgemäß durchzuführen. Eine Pflicht zur Löschung von personenbezogenen Daten kann erwachsen, wenn dies von § 35 Abs. 2 S. 2 BDSG vorgesehen ist. Der Gesetzgeber bewertet darin das Interesse des Betroffenen an der Aufhebung der Informationsfunktion der Daten höher als das an ihrer Aufbewahrung.306 Die Löschungsregelungen der §§ 20 und 35 BDSG enthalten keine Vorschriften für Auftragsdatenverarbeiter und zu den Modalitäten einer sicheren Löschung. Auftragnehmer sind zwar gem. § 11 Abs. 3 S. 2 BDSG verpflichtet, die verantwortliche Stelle auf Verstöße gegen das BDSG oder andere Gesetze hinzuweisen. Die Pflicht zur Löschung von Daten oder die Geltendmachung eines Löschungsanspruchs eines Betroffenen richtet sich aber an die Stelle, die als Auftraggeber die Verantwortung für die Datenverarbeitung trägt. Kommt es zu einem Nutzungs­ verbot, ist die verantwortliche Stelle verpflichtet, den Auftragsdatenverarbeiter zur Löschung der Daten anzuweisen.307 Die Art und Weise der Löschung sowie der Berichtigung und Sperrung von personenbezogenen Daten ist vertraglich gem. § 11 Abs. 2 Nr. 4 BDSG zu vereinbaren. Nach der Legaldefinition gem. § 3 Abs. 4 Nr. 5 BDSG bedeutet Löschen das „Unkenntlichmachen gespeicherter personenbezogener Daten“. Unkenntlichmachen ist die irreversible Aufhebung der Informationsfunktion bzw. der Umstand, dass „eine Information nicht länger aus gespeicherten Daten gewonnen werden kann“.308 Die verantwortliche Stelle hat dafür zu sorgen, dass auch zukünftig kein Rückgriff auf den in den Daten gespeicherten Informationswert möglich ist.309 Zur Unkenntlichmachung gibt es unterschiedliche Verfahren, die sich an den Speichermedien orientieren. Bei der elektronischen Datenverarbeitung wird in der Li 306

Dammann, in: Simitis, BDSG, § 3, Rn. 173. Gleiches gilt, wenn die Daten bspw. von der Konzernmutter und nicht von der verantwortlichen Stelle selbst verarbeitet werden. Ein Löschungsanspruch des Betroffenen richtet sich dann weiterhin gegen die verantwortliche Stelle, Schaffland/Wiltfang, BDSG, 4. Lfg. 2010, § 35, Rn. 40. 308 Dammann, in: Simitis, BDSG, § 3, Rn. 174. 309 Dammann, in: Simitis, BDSG, § 3, Rn. 175. 307

II. Weltweite Datenverarbeitung

151

teratur teilweise bis heute die physische Zerstörung von Datenträgern empfohlen, die bei sensiblen Daten, die auf einer eingrenzbaren Anzahl von Datenträgern, wie bspw. CDs oder SD-Speicherkarten, gespeichert sind, geeignet sein kann, um die Unkenntlichmachung vorzunehmen.310 Ferner kann die Unkenntlichmachung auch durch die irreversible Löschung der Verknüpfung erfolgen.311 Im Cloud Computing werden personenbezogene Daten je nach dem gewählten Bereitstellungsmodell und den Umständen des Einzelfalls an unterschiedlichen Serverstandorten verarbeitet. Während bei einer Private Cloud die Datenverarbeitung auf bestimmte Server-Stacks eingrenzbar ist, kann bei einer Public Cloud die Datenverarbeitung in verstreuten Rechenzentren erfolgen oder redundant gespeichert sein. Um den Anforderungen der Unkenntlichmachung gerecht zu werden, müssen Datenträger unter Zuhilfenahme einer Software zumindest mehrfach durch Zufallsdaten überschrieben werden.312 Aufgrund der Möglichkeiten im Cloud Computing, Datenverarbeitung in auto­ matisierten Routinen redundant und dezentral durchzuführen, ist de lege lata unklar, wie in einer großen Cloud-Umgebung eine vollständige Unkenntlichmachung von personenbezogenen Daten in allen Rechenzentren und Anlagen der Unterauftragnehmer sichergestellt werden kann und welche Anforderungen daran zu stellen sind.313 dd) Exit-Management Für den Fall einer Kündigung des Auftrags sieht § 11 Abs. 2 Nr. 10 BDSG vor, dass eine Vertragsklausel für „die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags“ zu vereinbaren ist. In Zeiten der digitalen Datenverarbeitung und besonders unter den Bedingungen des Cloud Computings, weist die Rückgabe überlassener Datenträger kaum Relevanz auf. Etwas anderes gilt für den Fall, in dem der Auftragnehmer Datenverarbeitungsanlagen im unmittelbaren Besitz des Auftraggebers, bspw. bei einer Private Cloud im Eigenbetrieb, positioniert und betreibt oder sich Hardware des Auftraggebers im Rechenzentrum des Auftragnehmers befindet. Gerade bei komplexerer Datenverarbeitung stellt sich jedoch die Frage, was mit den Ergebnissen der Datenverarbeitung geschehen soll. Ob, auf welchem Weg, in welchem Umfang und in welchen Formaten personenbezogene Daten von den Systemen des Diensteanbieters (zurück-)übermittelt werden können, lässt § 11 BDSG offen. Gerade dann, wenn nicht alle Daten, die dem Auftragnehmer überlassen werden, beim Auftraggeber in Form von Sicherungskopien vorliegen, sind die 310

Dammann, in: Simitis, BDSG, § 3, Rn. 178. Dammann, in: Simitis, BDSG, § 3, Rn. 179. 312 Art.-29-Datenschutzgruppe, Stellungnahme 5/2012, WP 196, S. 12. 313 Vgl. Niemann/Hennrich, CR 2010, 686 (692). 311

152

C. Gefährdungslagen der informationellen Selbstbestimmung 

Exit-Strategien im Vorfeld zu klären. Hier zeigt sich erneut, dass der Gesetz­geber die Problematik, dass Stellen große Datenmengen (sog. Big Data)  von bzw. bei Auftragnehmern verarbeiten lassen und diese Daten im Kündigungsfall zurückholen können müssen, nicht gesehen hat. Es kommt nicht nur auf die Mitwirkung des Auftragnehmers beim Daten-Export an, sondern auch auf die Bereitstellung entsprechender Schnittstellen, Export-Werkzeuge oder sonstiger Anwendungen. Ohne eine vertragliche Einigung über Exit-Strategien ist nicht nur die Verfügbarkeit der Daten, sondern besonders der Schutz der informationellen Selbstbestimmung des Betroffenen gefährdet. 7. Befund zur weltweiten Datenverarbeitung Beim Cloud Computing handelt es sich um eine vorwiegend ökonomische Fortentwicklung des IT-Outsourcings unter neuen technischen und rechtlichen Vorzeichen. Hier hat sich gezeigt, dass Cloud Computing einerseits ökonomische Vorteile und einen Zugewinn an IT-Sicherheit verzeichnen kann. Andererseits sind Cloud Services keine Sicherheitsrevolution. Cloudspezifische Gefährdungslagen, bspw. neuartige Angriffe auf die Hypervisoren, bilden Gefahren, die bei der Gewährleistung eines angemessenen Datenschutzniveaus nicht unberücksichtigt bleiben dürfen. Die Prüfung der datenschutzrechtlichen Konfliktlagen hat eine Fülle an Rechtsfragen und Rechtsunsicherheiten in Bezug auf cloudspezifische IT-OutsourcingSzenarien ergeben. Die Anwendung der gesetzlichen Vorschriften auf cloudspezifische Sachverhalte hat den Reformbedarf des BDSG veranschaulicht. CloudComputing-Verfahren passen nur noch teilweise auf das veraltete, gesetzliche Konstrukt der Auftragsdatenverarbeitung. Besonders dringlich stellt sich der Modernisierungsbedarf bei der Frage, ob und wie personenbezogene Daten gelöscht werden. Zu den Problembereichen des Cloud Computings zählt ferner die Intransparenz, die die dezentrale, verteilte und dynamisch skalierte Datenverarbeitung mit sich bringt. Nicht nur zur Wahrung der informationellen Selbstbestimmung des Betroffenen, sondern auch zur Förderung und zum Schutz des Vertrauens in die Sicherheit und Zuverlässigkeit dieses Geschäftsmodells und seiner Anbieter bedarf es transparenter Einblicke. Anstatt auf die Wahrung von Betriebsgeheimnissen zu setzen, sollten Cloud-Service-Provider die Partizipation des Auftrag­ gebers zulassen und sich zur Notwendigkeit der Transparenz in der Datenverarbeitung bekennen. Ein ähnliches Bild zeigt sich im Problemfeld der Migration in die Cloud. Konzeptionelle Schwächen des § 11 BDSG werden im Kontext von Cloud-Comput­ ing-Szenarien offenkundig. Als Leitlinie ist der in § 11 Abs. 2 BDSG enthaltene Katalog zwar bis heute unverzichtbar. Eine Reihe wichtiger Maßnahmen und Prüfungspunkte ist jedoch nicht enthalten oder so normiert, dass sie Rechtsunsicherheiten zur Folge hat. Anhand einzelner Katalogtatbestände wurde der Mo-

II. Weltweite Datenverarbeitung

153

dernisierungsbedarf herausgearbeitet. Reformbedarf zeigt sich auch bei den Kontrollvorschriften, insbesondere zur Löschung und Rückholung von Daten. Mit der Kurzanalyse des US-amerikanischen Rechts wurden spezifische Gefahren aufgezeigt, unter welchen Umständen personenbezogene Daten an US-Behörden herausgegeben werden müssen. In der Vor-Snowden-Zeit wurde die Wahrscheinlichkeit, dass Zugriffe auf Netzwerke von US-Behörden auch aufgrund des USA PATRIOT Acts vorgenommen werden als gering eingeschätzt. Seit den Enthüllungen von Edward Snowden ist zumindest bekannt, dass die NSA nicht nur zu Zugriffen befugt ist und diese in großem Umfang vornimmt. Vielmehr verfügt die NSA auch über Programme und technische Zugangswege in gesicherte Netzwerke, sodass sie personenbezogene Daten über jeden Einzelnen erheben und verarbeiten kann. Personenbezogene Daten sind daher in Netzwerken, also auch Clouds, von US-Unternehmen nicht hinreichend vor geheimdienstlicher Datenerhebung geschützt. Nach der gegenwärtigen Rechtslage führt dies aber nicht dazu, dass die Auswahl eines Cloud-Service-Providers mit Konzernverbindungen in die USA eine unzulässige (nicht-sorgfältige) Auswahl im Sinne von § 11 Abs. 1 BDSG bedeutet und daher unwirksam wäre. Denn die bei der Auswahl vorzunehmende Sorgfalt ist in erster Linie auf die technisch-organisatorische Zuverlässigkeit des Auftragnehmers gerichtet. Solange ein US-Anbieter den Safe-Harbor-Richtlinien zugestimmt hat, bleiben die übrigen rechtlichen Umstände – auch die Geheimdienstaktivitäten, die nicht nur in den USA stattfinden – datenschutzrechtlich außer Betracht. Nichtsdestotrotz werden US-amerikanische und sonstige staatliche Zugriffe hier als Gefährdungslagen für die informationelle Selbstbestimmung im Cloud Computing klassifiziert, die im Rahmen einer konkreten Schutzbedarfsanalyse eines Auftraggebers Beachtung finden und ggf. mit Garantien oder technischen Schutzmaßnahmen kompensiert werden müssen. Insgesamt hat diese Arbeit gezeigt, dass Cloud Computing das Recht vor neue Herausforderungen und Fragen stellt. Das materielle Recht gibt hier auf zahlreiche Fragen keine angemessenen Antworten und leistet Rechtsunsicherheiten Vorschub, die nicht nur die technische Entwicklung und den Wettbewerb behindern, sondern auch die Selbstbestimmung des Betroffenen beeinträchtigen, frei über die Verwendung seiner Daten entscheiden zu können. Je weniger Rechtssicherheit und Vertrauen bestehen, desto weniger Dienstleistungen werden dem Betroffenen oder einer Stelle als Cloud-Kunden zur Verfügung stehen.

154

C. Gefährdungslagen der informationellen Selbstbestimmung 

III. Sozialvernetzte Datenverarbeitung 1. Einleitung Mit dem Beitragstitel „Facebook’s Zuckerberg Says The Age of Privacy is Over“ sorgte der Blog ReadWriteWeb am 09.01.2010 weltweit für Schlagzeilen.314 In einem Interview erklärte der Facebook-Gründer Mark Zuckerberg, dass, wenn er Facebook noch einmal entwickeln würde, dann die Datenschutzeinstellungen standardmäßig so eingestellt wären, dass alle (personenbezogenen) Daten öffentlich zugänglich sind.315 Zuckerberg begründete eine im Jahr 2010 vollzogene Veränderung der Datenschutzeinstellungen mit einem Wandel des Nutzerverhaltens.316 Die Verbreitung, die Veröffentlichung und der Austausch von (privaten) Informationen seien, wie bereits die Bloggerszene des Web 2.0 belege, zum Normalzustand geworden. Facebook greife diese Veränderung auf und biete eine Plattform, die dieser neuen „sozialen Norm“ gerecht werde. Ob diese bei neuen Medien nicht fernliegende317 Einschätzung zutreffend ist, kann hier nicht näher untersucht werden. Studien deuten darauf hin, dass der Schutz der Daten im Internet bzw. die Effektivität der informationellen Selbstbestimmung auch zum gegenwärtigen Zeitpunkt bei Betroffenen einen hohen Stellenwert einnimmt.318 Vor diesem 314 Kirkpatrick, ReadWriteWeb, Beitrag v. 09.01.2010, a. u. http://www.readwriteweb.com/ archives/facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php. 315 Kirkpatrick, ReadWriteWeb, Beitrag v. 09.01.2010, a. u. http://www.readwriteweb.com/ archives/facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php. 316 Den Hintergrund dieses Interviews bildeten unangekündigte Änderungen der Datenschutzeinstellungen bei Facebook im Dezember 2009, wobei unmittelbar zahlreiche personenbezogene Daten wie Name, Wohnort, Geschlecht, Profilbild, Freunde und Fanpages für jeden Nutzer öffentlich sichtbar gemacht wurden. Zahlreiche Sicherheitslücken und weltweite Kritik ließen Facebook im Frühjahr 2010 zurückrudern und den Status quo ante wiederherstellen, Maisch, jurisAnwZert ITR 23/2010, Anm. 3; mittlerweile wurde das Datenschutzkonzept mehrfach überarbeitet. 317 Neuen Medien werde bei deren Einführung oftmals das Potenzial zugeschrieben, die Gesellschaft zu verändern, wobei die Frage nach Kausalität unberücksichtigt bliebe. Letztlich würden Medien nur gesellschaftlich angelegte Trends verstärken, vertiefend dazu, Kneidinger, Facebook und Co., S. 55 f. 318 Einer Studie aus dem Jahr 2012 mit 1000 befragten Personen zufolge nimmt der Datenschutz in Deutschland weiterhin einen hohen Stellenwert ein. Lediglich 23 % der Befragten würden auf ein deutsches Datenschutzgesetz zugunsten einer EU-weiten Regelung verzichten wollen. 81 % der Teilnehmer sprachen sich für einen optimalen Schutz von personenbezogenen Daten aus, die von nicht öffentlichen Stellen verarbeitet werden. Identitätsdiebstahl wurde in dieser Studie als größte Gefahr für die informationelle Selbstbestimmung im Internet eingeschätzt, Unisys Deutschland GmbH, Unisys Security Index – Germany, May 2012, S. 8 ff. Die Untersuchung des Verhaltens von 18- bis 20-Jährigen im Zeitraum 2009–2010 hat bspw. ergeben, dass jugendliche Nutzer Datenschutzeinstellungen zumindest teilweise anpassen. Dazu auch Boyd/Hargittai, First Monday, Vol. 15, Nr. 8, 02.08.2010, a. u. http://www.uic.edu/ htbin/cgiwrap/bin/ojs/index.php/fm/article/view/3086/2589. Ob Facebook Auswirkungen auf das Kommunikationsverhalten oder die sozialen Beziehungen hat, ist Gegenstand einer weiteren Untersuchung geworden: Eine Studie hat ergeben, dass Facebook nicht das Kommunikationsverhalten per se, sondern die Nutzung der computergestützten Kommunikationskanäle

III. Sozialvernetzte Datenverarbeitung

155

Hintergrund wird in dieser Arbeit der Frage nachgegangen, welche organisatorischen und technischen Risiken Soziale Netzwerke für die informationelle Selbstbestimmung bergen. Um die funktionale Risikoerhöhung zu untersuchen, die Soziale Netzwerke für die informationelle Selbstbestimmung mit sich bringen, steht hier die Prüfung der datenschutzrechtlichen Zulässigkeit einzelner Funktionen im Vordergrund. Die Analyse organisatorischer, technischer und datenschutzrechtlicher Risiken für die informationelle Selbstbestimmung wird mit einer Darstellung zur Entstehungsgeschichte der Sozialen Netzwerke und ihrer technischen Grundlagen eingeleitet. 2. Evolution der sozialen Vernetzung Unter den Sozialen Netzwerken nimmt derzeit Facebook mit über 1.345 Mrd.319 registrierten Nutzern weltweit (davon 26 Mio. in Deutschland320) die Spitzenposition ein, gefolgt von Twitter, LinkedIn, MySpace und Google+.321 Der Beginn des Social Web322 lässt sich jedoch nicht erst an den Gründungsjahren der genannten Dienste festmachen. Die wissenschaftliche Auseinandersetzung mit webbasierter Interaktion lässt sich auf das Jahr 1968 zurückführen. Damals wurde bereits diskutiert, wie solche (virtuellen) Communities ausgestaltet sein könnten.323 Die technische Entwicklung des Social Web nahm ab Mitte der 1990er Jahre konkrete Züge an. Zu den ab etwa 990 verbreiteten E-Mail-Diensten, Foren und Chats trat mit sog. Instant-Messengern ein neuer Kommunikationskanal hinzu. Instant-Mes-

(E-Mail, Chat etc.) verändert hat, Kneidinger, Facebook und Co., S. 111. Bei sozialen Beziehungen hat die Nutzung von Facebook nur Auswirkungen auf die „Kontaktpflege mit lockeren Bekannten“ – nicht auf Beziehungen zu engen Freunden oder Familienmitgliedern. Nur die Kontaktpflege mit lockeren Bekannten werde nach Ansicht von 58 % der Befragten gestärkt, Kneidinger, Facebook und Co., S. 112 ff. 319 Statista.com, http://de.statista.com/statistik/daten/studie/37545/umfrage/anzahl-der-aktivennutzer-von-facebook/, Stand: Dezember 2014. 320 Allfacebook.de, Nutzerzahlen, a. u. http://allfacebook.de/userdata/, Stand: Juni 2013 (aktuelle Zahlen nicht verfügbar). 321 Die Popularität von Sozialen Netzwerken lässt sich nach unterschiedlichen Methoden bemessen. Die Ansätze reichen von der Einschätzung der Anzahl an echten Nutzern (Unique Users) pro Tag, der Gesamtbesucherzahl bis zur Anzahl der registrierten Nutzer. Die Resultate der Rankings sind daher Variationen unterworfen. Zu den Top-10 der größten Sozialen Netzwerke, vgl. Global Recruting Roundtable.com, a. u. http://www.globalrecruitingroundtable.com/2011/03/28/worlds-largest-social-networking-sites-2011/#.UBUis6Pf0Xh; Statista. com, http://de.statista.com/statistik/daten/studie/37545/umfrage/anzahl-der-aktiven-nutzer-vonfacebook/, Stand: Dezember 2014. 322 Der Begriff Social Web bezeichnet einen Teilbereich des Web 2.0, der i. W. durch Soziale Netzwerke gekennzeichnet ist, in denen eine (kollaborative) Zusammenarbeit in gemeinschaftlichem oder gesellschaftlichem Kontext stattfindet und dabei Inhalte und soziale Beziehungen zwischen Nutzern entstehen, vgl. Ebersbach/Glaser/Heigl, Social Web, S. 31. 323 Kirkpatrick, The Facebook Effect, S. 66.

156

C. Gefährdungslagen der informationellen Selbstbestimmung 

senger verfügen über Chatfunktionen und erlauben die Übermittlung von sonstigen Dateianhängen. Wie auch bei E-Mails oder z. T. bei Foren kann der Nutzer ein soziales Netz aus ihm bekannten Personen aufbauen. Im Unterschied zu E-Mail-Diensten setzen Instant-Messenger auf Personenverzeichnisse zu registrierten Nutzern, die die Suche nach bekannten Personen erheblich erleichtern. Anders als bei Foren sind Instant-Messenger nicht interessens-, sondern nutzerorientiert.324 Parallel entwickelte sich der Trend, über kostenlos gehostete private Webseiten, die in Communities vernetzt waren, einfache HTML-Webseiten mit selbst geschaffenen Medieninhalten und personenbezogenen Daten allgemein zugänglich zu veröffentlichen.325 Anders als bei Foren und E-Mails drehten sich Instant-Messenger um die Erstellung von Nutzerprofilen. Freundeslisten waren bei dem im Jahr 1998 gegründeten Dienst ICQ zunächst nur für den Profilinhaber sichtbar. Der Dienst Classmates.com ermöglichte zwar die Recherche, wer zu welcher Schule gegangen ist, nicht aber die Erstellung und Betrachtung von Profilen. Der Durchbruch kam mit der Kombination dieser Funktionen, also mit der Möglichkeit, Profile zur eigenen Persönlichkeit zu erstellen, Freunde in Listen zu verwalten und diese Listen dem allgemeinen Zugriff zu öffnen. Dies gelang erstmals in dem Netzwerk Sixdegrees.com.326 Der im Jahr 1997 gegründete Dienst, der heute als das erste Soziale Netzwerk im Internet gilt, bewarb sich als Plattform, die Nutzern die Kontaktaufnahme und Kommunikation mit anderen Nutzern erleichtert.327 Zum Beispiel visualisierte Sixdegrees.com anhand einer Karte die Beziehungsgeflechte zwischen Personen auf eine sehr transparente Art und Weise.328 Die (teilweise patentierten) Konzepte von Sixdegrees.com wurden in den Jahren 1997 bis 2001 von einer Reihe von vergleichbaren Diensten imitiert – die Sichtbarkeit von Beziehungsgeflechten prägt bspw. Facebook und Xing bis heute. Das im Jahr 1999 gestartete Soziale Netzwerk Livejournal.com ermöglichte die Eingehung von Freundschaften ohne Zustimmung des Kommunikationspartners. Wenn ein Nutzer Informationen über Tagebucheinträge, die andere Nutzer in dem 324 Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol. 13, Article 11, a. u. http://www.danah.org/papers/JCMCIntro.pdf. 325 Mit der Verbreitung der Instant-Messenger wuchs das Interesse an sozialer Kommunikation, Interaktion und Selbstdarstellung im Internet. In Communities, bspw. in den Free­hostern Geocities oder Tripod, konnten Nutzer selbst programmierte HTML-Webseiten für private Zwecke auf einfachem Wege hochladen und hosten (Kirkpatrick, The Facebook Effect, S. 67). Diese Portale ermöglichten eine frühe Form der webbasierten Selbstdarstellung und Veröffentlichung von (selbst) geschaffenen Inhalten. 326 Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol. 13, Article 11, a. u. http://www.danah.org/papers/JCMCIntro.pdf, The Facebook Effect, S. 67. 327 Im Jahr 1999 erreichte Sixdegrees.com 3,5 Mio. registrierte Nutzer. Technisch zwar seiner Zeit voraus, aber in Ermangelung einer nachhaltig erfolgreichen Geschäftsführung, wurde die Weiterentwicklung von Sixdegrees.com im Jahr 2000 eingestellt, dazu Kirkpatrick, The Facebook Effect, S. 69. 328 Kirkpatrick, The Facebook Effect, S. 69.

III. Sozialvernetzte Datenverarbeitung

157

Netzwerk veröffentlichen, abonnieren wollte (sog. Folgen von Beiträgen), konnte er diese als Freunde ohne deren Zustimmung mit seiner Freundesliste verbinden. Livejournal.com erlaubte seinen Nutzern zudem die Anpassung von Datenschutzeinstellungen, um den Zugriff auf Daten regeln zu können. Im Jahr 2001 startete eine Reihe von Sozialen Netzwerken, die Nutzern die Vernetzung mit Geschäftskontakten erleichtern sollten. Der Startschuss fiel mit Ryze. com und dem bis heute erfolgreichen Dienst LinkedIn.com. Auf einen neuen Ansatz der sozialen Vernetzung setzten die Betreiber des Netzwerks Friendster.com. Die Betreiber des Sozialen Netzwerks aus dem Jahr 2002, das ursprünglich als Konkurrenz der Kontaktbörse Match.com entworfen wurde, legten der Plattform die Hypothese zugrunde, dass Personen in den Freunden ihrer Freunde (sog. Freunde-von-Freunden) bessere Partner finden können als bei Vorschlägen zu sonstigen Dritten. Im Jahr 2003 verzeichnete Friendster.com mit 300.000 Nutzern einen zum damaligen Zeitpunkt gewaltigen Anstieg der Nutzerzahlen.329 In Friendster.com wurden erstmals die heute üblichen Funktionalitäten, wie bspw. Kommentarfelder, sog. Pinnwände und Austauschmöglichkeiten für Bilder (Shared Photos) und Blogs in Nutzerprofilen, integriert.330 Trotz anfänglich hoher Nutzerzahlen konnte sich Friendster.com – zumindest auf dem US-amerikanischen Markt – nicht durchsetzen. Die Begrenzung des Zugriffs auf fremde Nutzerprofile, technische Schwierigkeiten bei der Verfügbarkeit des Netzwerks und strategische Fehlentscheidungen der Geschäftsführung zerstörten das Vertrauen der Nutzer.331 Ehemaligen Friendster.com-Nutzern bot sich ab dem Jahr 2003 ein breites Spektrum neuer Sozialer Netzwerke für unterschiedliche Zielgruppen. Neben Plattformen, die i. W. profilzentriert die Selbstdarstellung und Nutzerkommunikation unterstützten, bildeten sich auch berufsund interessenbezogene Soziale Netzwerke, wie Xing.de oder Couchsurfing.org, heraus. Herkömmliche (User-)Generated-Content-Plattformen, wie Youtube.com oder Flickr.com, wurden nachträglich um Social-Media-Funktionen ergänzt, sodass die Abgrenzung der Sozialen Netzwerke zu anderen Social-Media-Diensten Schwierigkeiten bereitet.332 Das im Jahr 2003 gegründete Netzwerk MySpace hat gezeigt, wie sich technische Innovationen auf die Beliebtheit eines Dienstes auswirken können. MySpace ermöglichte seinen Nutzern die individuelle Anpassung und Formatierung ihrer Profile.333 Ehemalige Friendster.com-Nutzer, Musiker und Jugend 329 Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol 13, Article 11, a. u. http://www.danah.org/papers/JCMCIntro.pdf. 330 Waters, The Everything Guide to Social Media, S. 85. 331 Zur Geschichte von Friendster, Waters, The Everything Guide to Social Media, S. 86 ff. 332 Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol. 13, Article 11, a. u. http://www.danah.org/papers/JCMCIntro.pdf. 333 Dank der Programmierung der Anwendungsoberflächen mit der Skriptsprache Cold Fusion (eingebettet in HTML), ermöglichte das im Jahr 2003 gegründete Netzwerk MySpace

158

C. Gefährdungslagen der informationellen Selbstbestimmung 

liche gehörten zu der Nutzerbasis von MySpace, das im Jahr 2005 für 580 Mio. US-Dollar übernommen wurde.334 Im Unterschied zu den 1990er Jahren standen den Nutzern nunmehr vielerorts Breitbandverbindungen zur Verfügung, die die Übertragung von Webseiten mit audiovisuellen Medieninhalten beschleunigten.335 Neue Technologien und Methoden, wie bspw. das Audiokompressionsverfahren MP3336, oder der Siegeszug der Digitalkameras, die ab der Jahrtausendwende erschwinglich geworden sind, setzten in der Offline-Welt neue Impulse für den Austausch von Daten im Internet (sog. Filesharing) und gehören damit zu den Weg­ bereitern des Social Web.337 Facebook.com wurde im Jahr 2004 zunächst unter dem Namen „thefacebook“ als nicht öffentliches Soziales Netzwerk gestartet. Die Registrierung war zunächst ausschließlich über eine E-Mail-Adresse der Harvard Universität, später mit Adressen anderer Universitäten und High Schools in den USA möglich.338 Ab Herbst 2006 wurde der Nutzerkreis auf Studenten ausländischer Universitäten erweitert. Seit 2008 werden alle Anwendungsoberflächen in deutscher Sprache vorgehalten. Facebook ist ein profilzentriertes Soziales Netzwerk, das kostenlos genutzt werden kann. Im Mai 2007 öffnete Facebook Programmierschnittstellen (API) für Drittanbieter, die seither Apps und Browser-Spiele auf der FacebookPlattform anbieten können. Im April 2010 wurde das Open Graph Protokoll vorgestellt.339 Diese Schnittstelle ermöglicht Entwicklern den vereinfachten Zugriff auf die Daten, die Facebook von seinen Nutzern erhält oder über sie speichert. Mit dem sog. Open Graph Protokoll wurden Funktionen, die sog. Social Plugins wie der Like-Button, das Activity-Feed-Plugin, die Empfehlungsbox und das Log-inFeld für externe Webseiten („Log-in with Faces“ und „Facepile“), integriert.340 Social Plugins erlauben dem Nutzer auf einfache Weise, Empfehlungen für Inhalte im World Wide Web mit ihren Freunden in Facebook zu teilen.341

die individuelle Anpassung von Nutzerprofilen, bspw. im Hinblick auf die Schriftarten, Farben, Hintergründe und Layouts, Lusted, Social Networking, S. 33. 334 BBC, Beitrag v. 19.07.2005, a. u. http://news.bbc.co.uk/2/hi/business/4695495.stm. 335 Kirkpatrick, The Facebook Effect, S. 76. 336 Der MP3-Standard erlaubt eine komprimierte Speicherung von Musik bei guter Ausgabe­ qualität. Dieser bereits im Jahr 1994 von der Fraunhofer Gesellschaft entwickelte Standard (dazu Ebersbach/Glaser/Heigl, Social Web, S. 113) revolutionierte nachhaltig die Möglichkeiten der digitalen Vervielfältigung (File-Sharing), die das Urheberrecht, insbesondere die effektive Rechtsdurchsetzung, bis heute vor Herausforderungen stellen. 337 Vgl. Ebersbach/Glaser/Heigl, Social Web, S. 113. 338 Zur Vorgeschichte und Entstehungsgeschichte von Facebook Inc., Kirkpatrick, The Face­book Effect, S. 77 ff. 339 Dazu Scheliga, Facebook-Anwendungen programmieren, S. 4 ff. 340 Roth, allfacebook.de, Beitrag v. 21.04.2010, a. u. http://allfacebook.de/connect/facebooksocial-plugins-like-button-recommendations-activity-feed-like-box-usw-die-neuen-undalten-plugins-im-uberblick. 341 Vgl. Townsend, Time Magazine, 13/2012, S. 30; Sonnleithner, ITRB 2011, 238 (238).

III. Sozialvernetzte Datenverarbeitung

159

Im Jahr 2010 wurden ebenso Facebook-Apps für mobile Betriebssysteme eingeführt.342 Diese Apps ermöglichen auch die Erstellung standortbezogener Informationen über den Aufenthaltsort des Nutzers (sog. Facebook Places).343 Der Anwendungsumfang und die Gestaltung der Facebook-Plattform ändern sich fortlaufend. Das grafische Layout der Nutzerprofile wurde zuletzt im Dezember 2011 mit der Vorstellung der sog. Chronik tiefgreifend verändert. Nutzer­ profile sind seither so aufgebaut, dass sich der Lebenslauf des Nutzers von der Geburt bis zur Gegenwart entlang eines vertikal verlaufenden Zeitstrahls anhand von Informationen, Fotos oder Videos nachvollziehen lässt. Facebook fordert seine Nutzer dazu auf, die personenbezogenen Informationen (schulische und berufliche Ausbildung, Wohnort, Beziehungen) und Ereignisse aus der Vergangenheit nachzutragen, um die eigene Lebensgeschichte erzählen zu können.344 Spezielle Algorithmen sollen dabei errechnen, welche Ereignisse bedeutsam sind, damit diese besonders hervorgehoben werden.345 Die neu eingeführte Schnittstelle „Frictionless Sharing“ ermöglicht, dass ein Inhalt, der außerhalb von Facebook gelesen wird, ohne Anklicken eines Like- oder Teilen-­Buttons in der Chronik veröffentlicht wird („Social Reading“).346 Facebook ist mit fast 1,5 Milliarden registrierter Nutzer das weltweit größte Soziale Netzwerk im Internet. Mit Ausnahme von natürlichen Personen unter 13 Jahren dürfen sich den Nutzungsbedingungen zufolge natürliche und juristische Personen bei Facebook registrieren.347 Im Jahr 2011 startete Google mit Google+ sein zweites Soziales Netzwerk neben dem im September 2014 endgültig eingestellten Google Orkut, das zuletzt nur noch in Brasilien hohe Nutzerzahlen verzeichnete. Nutzer, die ein Google Nutzerkonto eröffnen, werden automatisch zu Nutzern von Google+. Im Unterschied zu anderen Netzwerken ist die Eingehung von sozialen Beziehungen bei Google+ auch ohne Zustimmung des Kommunikationspartners möglich. Nach dem Vorbild des freien Sozialen Netzwerks Diaspora348 werden registrierte Nutzer oder Nichtmitglieder in sog. Kreise eingeteilt.349 Mithilfe der Kreise bestimmt der Nutzer, wie er die Veröffentlichung von Informationen kanalisiert.

342

Facebook Inc., Facebook Handy, a. u. https://www.facebook.com/mobile/. Roth, allfacebook.de, Beitrag v. 11.05.2010, a. u. http://allfacebook.de/places/update-face book-places-nun-offiziell-bestatigt/. 344 Townsend, Time Magazine, 13/2012, S. 28. 345 Townsend, Time Magazine, 13/2012, S. 28. 346 Townsend, Time Magazine, 13/2012, S. 30; zu den technischen Grundlagen des Social Readings, Luehrsen, allfacebook.de, Beitrag v. 15.05.2012, a. u. http://allfacebook.de/connect/ frictionless-sharing-gastbeitrag/#more-21941. 347 Karg/Fahl, K&R 2011, 453 (454). 348 Diaspora, a. u. https://joindiaspora.com/. 349 Beuth, Zeit Online, Beitrag v. 28.08.2012, a. u. http://www.zeit.de/digital/internet/ 2012-08/diaspora-community-kontrolle. 343

160

C. Gefährdungslagen der informationellen Selbstbestimmung 

Die Evolution der Sozialen Netzwerke deutet auf eine Transformation des World Wide Web hin. Die themenbezogene Aufgliederung des World Wide Web dürfte in Zukunft stärker mit dem Social Web in Konkurrenz treten, in dem sich Informationen um den Nutzer herum organisieren. Gesteuert werden diese Prozesse von Mechanismen auf der Basis umfangreicher und qualitativ hochwertig verarbeiteter Persönlichkeitsprofile aus personenbezogenen Daten der Betroffenen. 3. Begriffe und technische Grundlagen a) Begriffe und Definitionen aa) Social Media und Social Web Der Begriff „Social Media“ wird nicht einheitlich verwendet. Aus technologischer Perspektive werden unter Social Media „beschreibbare Internetangebote“ verstanden, die modular aufgebaut sind. Offene Schnittstellen ermöglichen den Austausch und die Modifikation dieser Internetangebote.350 Ein sozio-ökonomischer Ansatz erklärt Social Media als „die auf einem neuen Informations- und Kommunikationsverhalten basierenden Beziehungen zwischen unterschiedlichen Akteuren in Wirtschaft und Gesellschaft.“351 In der Gesamtschau gibt es eine Reihe an webbasierten Technologien und Plattformen aus den Bereichen der Information, Kommunikation, Kollaboration und der (nutzergenerierten) Medien, die unter den Begriff der Social Media gefasst werden. Zu diesen zählen Foren und Blogs als Keimzelle der Social-MediaDienste sowie auch die Sozialen Netzwerke352, Social-Bookmarking-Dienste353, Social-News-Dienste354, Media-Sharing- bzw. User-Generated-Content-Plattformen355 und Microblogging-Dienste356.357 Eine andere Ansicht differenziert SocialMedia-Dienste nach dem Schwerpunkt ihrer Nutzungszwecke im Hinblick auf Informationen und Inhalte (bspw. Veröffentlichung, Sharing, Networking und Gaming) neben den etablierten Diensten Facebook, Twitter und Google+.358 350

Michelis, in: Michelis/Schildhauer, Social Media Handbuch, S. 19 (23). Michelis, in: Michelis/Schildhauer, Social Media Handbuch, S. 19 (24). 352 Bspw. Facebook.com, LinkedIn.com, MySpace.com. 353 Z. B. Pinterst.com, Delicious.com. 354 Bekannte Social-News-Dienste sind etwa Digg.com oder Reddit.com. Facebook bietet mit seinen Social Plugins ähnliche Funktionen zur Weiterempfehlung von Inhalten. 355 Bspw. Youtube.com, Flickr.com. 356 Das bekannteste Beispiel für Microblogging-Dienste ist Twitter.com. 357 Vgl. Mayfield, What Is Social Media, S. 5; und Outthinkgroup.com, a. u. http://outthink group.com/tips/the-6-types-of-social-media. 358 Cavazza, Welcome to the 21st Century, Beitrag v. 12.03.2012, a. u. http://www.forbes. com/sites/fredcavazza/2012/03/12/an-overview-of-the-social-media-ecosystem/; vgl. a. Bernet, Social Media in der Medienarbeit, S. 10. 351

III. Sozialvernetzte Datenverarbeitung

161

Diese Ansätze legen den Schluss nahe, dass Social Media den Oberbegriff für unterschiedliche technische Gestaltungsvarianten der sozialen Vernetzung unterschiedlicher Akteure darstellt. Unter Social Media werden „digitale Medien und Technologien [verstanden], die es Nutzern ermöglichen, sich miteinander zu kommunizieren und Inhalte zu erstellen oder auszutauschen“.359 bb) Soziale Netzwerke Der Begriff des Sozialen Netzwerks360 ist gesetzlich nicht definiert und wird in der Literatur unterschiedlich weit gefasst. Nach der Auffassung der Art.-29-Datenschutzgruppe sind Soziale Netzwerke „Kommunikationsplattformen, [die] im Online-Bereich (…) es dem Einzelnen ermöglichen, sich Netzwerken von gleich gesinnten Nutzern anzuschließen bzw. solche zu schaffen.“ Ferner müssen diese Plattformen die Nutzer zur Preisgabe von personenbezogenen Daten zur Profilerstellung auffordern, Funktionalitäten zur Veröffentlichung von (Multimedia-)Inhalten anbieten und die Nutzungsmöglichkeiten auf der Basis dieser Funktionen und der Freundeslisten erlauben.361 Einem anderen Definitionsansatz zufolge sind Soziale Netzwerke webbasierte Dienste, die Nutzern die Erstellung eines öffentlichen oder halb-öffentlichen Profils, die Gliederung einer Liste an Personen, zu denen eine soziale Beziehung besteht und die Betrachtung dieser Listen ermöglichen.362 Ein anderer Ansatz kreist um den Funktionsumfang der Sozialen Netzwerke, bei denen es sich um Anwendungssysteme handeln soll, „die ihren Nutzern Funktionalitäten zum Identitätsmanagement (d. h. zur Darstellung der eigenen Person in Form eines Profils) zur Verfügung stellen und darüber hinaus die Vernetzung mit anderen (und so die Verwaltung eigener Kontakte) ermöglichen.“363 Den gemeinsamen Nenner der Definitionsansätze bildet die vernetzte Kommunikation von Menschen auf der Basis von Listen in einem geschlossenen System, das Hilfsmittel zur Interaktion zur Verfügung stellt. Nach hier vertretener Ansicht sind Soziale Netzwerke Webportale, die den dort registrierten Nutzern Möglichkeiten zur Selbstdarstellung der eigenen Person (hier sog. digitale Persönlichkeit) 359

Schwenke, Social Media Marketing und Recht, S. 528. Die Begriffe Social Network, Social Network Site (Boyd/Ellison, Journal of ComputerMediated Communication, 2007, 13, http://www.danah.org/papers/JCMCIntro.pdf, S.  210.) und soziale Netzwerkdienste (vgl. Art.-29-Datenschutzgruppe, Stellungnahme 5/2009, WP 163, S. 4) werden hier als Synonyme des hier verwendeten Begriffs „Soziale Netzwerke“ verstanden. 361 Art.-29-Datenschutzgruppe, Stellungnahme 5/2009, WP 163, S. 5. 362 Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, 13, http://www. danah.org/papers/JCMCIntro.pdf, S. 210. 363 Kneidinger, Facebook und Co., S. 50; mit Hinweis auf Richter/Koch, Proceding Multikonferenz Wirtschaftsinformatik 2008, 1239 (1240). 360

162

C. Gefährdungslagen der informationellen Selbstbestimmung 

bieten und die Kontaktaufnahme, den Informationsaustausch und die Kommunikation erleichtern.364 b) Technische Grundlagen und Funktionen aa) Systeminfrastruktur von Facebook Bei Facebook handelt es sich um eine Webseite auf der Basis von verschiedenen Programmen und Programmiersprachen.365 Mit 1,5 Milliarden registrierter Nutzer und 168,1 Mio. eindeutigen Nutzern pro Monat, ist Facebook das derzeit beliebteste Soziale Netzwerk des Internets.366 Dazu betreibt Facebook hochmoderne Rechenzentren in den USA mit über 60.000 Webservern.367 Der Betrieb der Facebook-Plattform erfolgt überwiegend auf der Basis von Open-Source-Software, die von Facebook selbst entwickelt und freigegeben wurde.368 bb) Profil Bei geschlossenen Systemen haben nur registrierte Nutzer Zugriff auf Informationen und Funktionalitäten. Je nach Betreiber eines Sozialen Netzwerks kann die Erstregistrierung für jedermann möglich sein oder von bestimmten Registrierungsvoraussetzungen369 abhängen.370 Mit der Beschränkung des Zugangs können die Exklusivität und die Attraktivität von Netzwerken erhöht werden.371 Bei den meisten Netzwerken ist die Registrierung weitgehend unbeschränkt, um hohe Nutzerzahlen erzielen zu können.372 Zumeist bedarf es nur der Angabe von Bestandsdaten (Name, Adresse, Kontaktdaten) und der Authentifizierung einer E-MailAdresse oder einer Mobilfunknummer. 364 Vgl. zum Begriff Soziale Netzwerke, Schwenke, Social Media Marketing und Recht, S. 528; Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol. 13, http:// www.danah.org/papers/JCMCIntro.pdf, S. 210. 365 Linux, Apache, MySQL und PHP (sog. LAMP Kombination), vertiefend Scheliga, Facebook-Anwendungen programmieren, S. 13. 366 Statista.com,Anzahl der Besucher auf Facebook, http://de.statista.com/statistik/daten/ studie/71861/umfrage/unique-visitors-auf-facebookcom/ (Stand: Dezember 2014). 367 Scheliga, Facebook-Anwendungen programmieren, S. 13. 368 Ausführlich zur technischen Struktur, Scheliga, Facebook-Anwendungen programmieren, S. 14 ff. 369 Geschlossene Netzwerke machen die Registrierung in der Regel von einer Einladung per E-Mail durch den Administrator oder einen bereits registrierten Nutzers abhängig, dazu Ebersbach/Glaser/Heigl, Social Web, S. 85. 370 Bspw. konnte ein Facebook-Mitgliedskonto in der Anfangsphase des Portals nur von Nutzern mit einer harward.edu-E-Mail-Adresse registriert werden. 371 Systematisch dazu Kollmann, E-Business, S. 615 ff. 372 Ebersbach/Glaser/Heigl, Social Web, S. 85.

III. Sozialvernetzte Datenverarbeitung

163

Nach der Erstregistrierung eines Mitgliedskontos, bei der eine Reihe von persönlichen Informationen (Bestandsdaten) mit Einwilligung des Nutzers erhoben und gespeichert wird, erstellt der Nutzer einen persönlichen elektronischen Steckbrief (sog. Profil) mit Informationen zu seiner Persönlichkeit. Die Erhebung dieser Daten erfolgt zumeist über die Aufforderung, eine Reihe von katalogartig zusammengefassten Fragen zu beantworten, typischerweise zum Alter, zum Wohnort, zu den Interessen, zum Familienstand, zum Beruf, zur Religion und zu politischen Ansichten.373 Ferner wird der Nutzer dazu angehalten, ein Porträtbild zu seiner Person in dem Profil, sog. Profilbild, zu speichern. Darüber hinaus werden technische Hilfsmittel zur Veröffentlichung von Multimediainhalten (Fotos, Videos, Links zu Webinhalten etc.) bis hin zu umfangreichen Fotoalben bereitgestellt.374 Manche Netzwerke, wie bspw. Facebook, ermöglichen die Modifikation der Profile, indem Textmodule auf der sog. Chronik individuell angeordnet werden können. Facebook-Nutzer können ferner kleine Anwendungen von Drittanbietern (sog. Apps) zur Modifikation oder Erweiterung ihrer Profile nutzen. Dieses Identitätsmanagement wird zu den Basisfunktionen der sozialen Vernetzung gezählt.375 Die Sichtbarkeit von Profilen bzw. der Zugriff auf personenbezogene Daten, die im Profil gespeichert sind, variiert je nach Diensteanbieter und den individuellen Datenschutzeinstellungen der Nutzer.376 Das berufsbezogene deutsche Netzwerk Xing räumt seinen Nutzern ein, ihr Profil für den Zugriff von Suchmaschinen oder nicht registrierten Betrachtern zu öffnen. Bei Facebook handelt es sich dagegen um ein insofern geschlossenes System, bei dem standardmäßig alle Profile nur innerhalb des Systems für Mitglieder zugänglich sind, es sei denn, der Nutzer nimmt individuelle Datenschutzeinstellungen vor, die das Profil für Such­ maschinen auffindbar machen. cc) Soziale Beziehungen Die Eingehung einer Beziehung zu anderen registrierten Nutzern (sog. Freundschaft) erfolgt technisch durch Erstellung eines Links zwischen der Freundesliste des Profilinhabers und dem Profil des Dritten. Dazu sind keine Programmierkenntnisse, sondern nur ein Mausklick auf einen Button „Als Freund hinzu­fügen“ nötig.

373 Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol. 13, Article 11, a. u. http://www.danah.org/papers/JCMCIntro.pdf. 374 Vgl. Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol. 13, Ar­ ticle 11, a. u. http://www.danah.org/papers/JCMCIntro.pdf. 375 Kneidinger, Facebook und Co., S. 50; mit Hinweis auf Richter/Koch, Proceding Multikonferenz Wirtschaftsinformatik 2008, S. 1239 (1242). 376 Vgl. Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol. 13, Ar­ ticle 11, a. u. http://www.danah.org/papers/JCMCIntro.pdf.

164

C. Gefährdungslagen der informationellen Selbstbestimmung 

In Sozialen Netzwerken kommen unterschiedliche Verfahren zur Verlinkung zum Einsatz. Eine Verlinkung kann einseitig, ohne Zustimmung des Dritten erfolgen oder gerade von der Zustimmung des Dritten abhängen. In manchen Netzwerken, wie bspw. Google+ oder Twitter377, werden Freunde in der Regel einseitig zu einer Freundesliste hinzugefügt. Profilzentrierte Netzwerke, bei denen die Selbstdarstellung der Persönlichkeit oder der (beruflichen) Interessen im Vordergrund steht, wie bspw. bei Facebook oder bei Xing, binden die Eingehung einer Freundschaft in der Regel an die Zustimmung des Kommunikationspartners. Welches Verfahren in einem Sozialen Netzwerk eingesetzt wird, ist von den Nutzungs­ zwecken, den Zielgruppen und den strategischen Entscheidungen der Dienste­ anbieter abhängig. Ist ein „Freund“ „hinzugefügt“, sind sein Name und sein Profilbild in der Freundesliste des Profilinhabers vermerkt. Mit einem Klick auf diese Daten erfolgt eine Weiterleitung auf dessen Nutzerprofil. Auch die Entfernung eines Freundes, also die Auflösung der Verlinkung, ist möglich.378 Der Zugriff auf Informationen zu Freundschaften eines Profilinhabers mit Dritten gilt als entscheidender Erfolgsfaktor von Sozialen Netzwerken. Die Sichtbarkeit von Freundschaftsbeziehungen zwischen Personen und die Möglichkeit, die Profile der Freunde in dessen Freundesliste anklicken zu können, um weitere Informationen erheben zu können, sind kennzeichnend für Soziale Netzwerke.379 Die Funktion, Freundschaften in Sozialen Netzwerken zu verwalten, ist zumeist an ein Identitätsmanagement geknüpft. Nutzer haben als Freunde des Profilinhabers erweiterte Zugriffsrechte auf dessen Profildaten und erweiterte Berechtigungen.380 Der Nutzer kann bspw. sein Profil so gegen Zugriffe von Fremden abschirmen, dass „Freunde“ alle Fotos sehen können, die sonstigen Facebook-Nutzern als Nicht-Freunden verborgen bleiben. Neben erweiterten Zugriffsrechten erhalten Freunde  – je nach Ausgestaltung eines Sozialen Netzwerks – ein Abonnement der Statusmeldungen und sonstigen Interaktionen ihres Freundes, wie bspw. die Eingehung einer neuen Freundschaft die Nutzung der Kommentar- oder Like-Funktion381 oder die Änderung von Profilinformationen. Diese als Netzwerkawareness bezeichnete Funktion von Sozialen 377 Bei Twitter kommen je nach Profileinstellungen einseitige oder zweiseitige Verlinkungen zum Einsatz. 378 Ebersbach/Glaser/Heigl, Social Web, S. 88. 379 Boyd/Ellison, Journal of Computer-Mediated Communication, 2007, Vol. 13, Article 11, a. u. http://www.danah.org/papers/JCMCIntro.pdf. 380 Neben dem Abruf der Profildaten eines Profilinhabers stehen Freunden erweiterte Kommunikations- und Interaktionsmöglichkeiten zur Verfügung, wie bspw. die Kommentierung eines Multimediainhalts, der auf dem Profil des Inhabers gespeichert ist. Der Umfang und die Ausgestaltung der Zugriffsrechte richten sich nach anbieterspezifischen Maßgaben und individuellen Datenschutzeinstellungen. 381 Der sog. Like-Button ist eine nonverbale Kommentarfunktion bei Facebook, mit der der Nutzer eine Empfehlung oder seine Zustimmung ausdrücken kann.

III. Sozialvernetzte Datenverarbeitung

165

Netzwerken dient dazu, den Nutzer über die Handlungen seiner Freunde innerhalb und außerhalb des Netzwerks informiert zu halten.382 Durch Statusmeldungen, die Veröffentlichung von (Mobiltelefon-)Fotografien (in Echtzeit) oder sog. Check-ins383 werden Nutzer in die Lage versetzt, einen Bezug zwischen Handlungen aus der Offline-Welt und dem Sozialen Netzwerk herzustellen. Das Gelingen dieser Assoziation kann das Nutzerinteresse an dem Sozialen Netzwerk steigern. dd) Information, Kommunikation und Interaktion Soziale Netzwerke können als Personensuchmaschine, Selbstdarstellungs- oder Kommunikationsplattform genutzt werden.384 Zeitversetzt können Nutzer in der Regel über Nachrichtensysteme, E-Mails oder über die Nutzung von Kommentarfunktionen kommunizieren. Synchrone Kommunikation findet über text- oder multimediabasierte Chatsysteme, wie bspw. bei Facebook, statt. Seit März 2013 können Facebook-Nutzer über die Messenger-App für Mobiltelefone auch Voiceover-IP-Telefonate mit anderen Nutzern führen. Bei Google+ steht auch Videochat zur Verfügung. Die Interaktion erfolgt auch über Check-ins, über den Austausch (sog. Sharing) von Multimediainhalten, durch die Herstellung von Personenbezug von Multimediainhalten (bspw. indem ein Freund auf einem Bild markiert und mit seinem Profil verlinkt wird) und durch die Nutzung der Kommentarfunktionen. Mit sog. Social Plugins bieten die meisten Sozialen Netzwerke Hilfsmittel zur Empfehlung von Inhalten oder zur sozialen Vernetzung an. Diese können von Webseitenbetreibern durch Skriptbausteine in jede Webseite außerhalb der Facebook-Plattform integriert werden.385 Social Plugins können von Telemediendiensteanbietern als kostenlose Marketinginstrumente genutzt werden. Nutzerinduzierte Empfehlungen, sog. E-Recommendation, werden als kostengünstigstes und effektivstes Marketinginstrument eingestuft.386 Der Facebook Like-Button bietet ferner Applikationen zur Durchführung von Reichweitenanalysen an.387 Mit einem Klick auf einen Social Plugin wird die Empfehlung eines Webseiteninhalts auto 382

Richter/Koch, Proceding Multikonferenz Wirtschaftsinformatik 2008, S. 1239 (1242). Ein sog. Check-in ist eine vom Netzwerk generierte Kurznachricht, die orts- und personenbezogene Daten enthält. Check-ins werden in der Regel in den Mobiltelefon-Apps von Sozialen Netzwerken, wie bspw. Facebook oder Foursquare, erzeugt und an das Netzwerk übermittelt. Die Freunde des Nutzers erfahren auf diese Weise, wann ihr Freund sich wo aufgehalten hat und können ihrerseits darauf mit einem Klick auf den Like-Button, einem Kommentar oder in sonstiger Weise darauf reagieren, dazu Beaumont, The Telegraph, Beitrag v. 19.08.2010, a. u. http://www.telegraph.co.uk/technology/facebook/7953676/Facebook-PlacesWhat-it-is-and-how-it-works.html#. 384 Kneidinger, Facebook und Co., S. 51. 385 Zu den technischen Grundlagen im Überblick, Maisch, jurisAnwZert ITR 19/2010, Anm. 2; vgl. a. ULD, Arbeitspapier v. 19.11.2011, S. 2 ff., a. u. https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf. 386 Vertiefend Kollmann, E-Business, S. 631 ff. 387 Maisch, jurisAnwZert ITR 19/2010, Anm. 2. 383

166

C. Gefährdungslagen der informationellen Selbstbestimmung 

matisch in dem jeweiligen Netzwerk erzeugt und allen Freunden bzw. allen dazu definierten Kreisen zugestellt. c) Erlösmodelle von Sozialen Netzwerken Im sog. E-Business werden mit Content, Commerce, Context, Connection und Communication fünf Geschäftskonzepte differenziert.388 Das Geschäftsmodell „Communication“ ermöglicht die Interaktion von Nutzern, sei es untereinander oder mit dem Diensteanbieter.389 Die Erwirtschaftung von Erlösen kann direkt durch die Erhebung von Gebühren oder indirekt durch die Bereitstellung von Werbeflächen und -zeiten erfolgen.390 Bei Sozialen Netzwerken, deren Fokus auf die Eingehung von privaten sozialen Beziehungen gerichtet ist, werden derzeit überwiegend keine Entgelte erhoben. Dies ist bspw. bei Facebook der Fall.391 Etwas anderes gilt für Netzwerke, die für bestimmte Zielgruppen bestimmt sind. Themen- und berufsbezogene (Experten-)Netzwerke werden teilweise über kostenpflichtige Nutzungsverträge (sog. Premium-Mitgliedschaften) finanziert. Als Beispiel kann das deutsche Netzwerk Xing genannt werden, dass sog. Premium-Mitgliedern einen Wissensvorsprung gegenüber Basis-Mitgliedern verschafft, indem nachvollziehbar ist, wer ihr Nutzerprofil gesucht oder betrachtet hat.392 Kostenpflichtig sind zudem auch Soziale Netzwerke, bei denen die Erbringung einer Dienstleistung wie Heirats- oder Kontaktvermittlung im Vordergrund steht. Andere Netzwerke erwirtschaften den überwiegenden Anteil der Einnahmen aus der Werbung, die kontext- oder zielgruppenspezifisch auf der Anwendungsoberfläche eingeblendet wird.393 Mit der Anzahl der registrierten Nutzer und der monatlichen Seitenaufrufe steigt die Attraktivität einer Webseite für Werbekunden.394 Je mehr Aufmerksamkeit eine Seite bekommt, desto mehr Klicks auf Werbebanner können verzeichnet werden. Eine signifikante Steigerung des Erlöses kann ferner mit zielgruppenspezifischer Konsumentenansprache erzielt werden.395 Je mehr personenbezogene Daten über einen Betroffenen gespeichert oder 388

Kollmann, E-Business, S. 49; so auch Maaß, E-Business Management, S. 32. Kollmann, E-Business, S. 50. 390 Vgl. Kollmann, E-Business, S. 50. 391 Kollmann, E-Business, S. 51. 392 Nur ein „Premium-Mitglied“ kann nachvollziehen, welcher Nutzer zuletzt sein Profil aufgerufen hat und wie das Profil innerhalb des Netzwerks, bspw. über die Suchfunktion oder über gemeinsame Freunde, aufgefunden wurde; dazu Ebersbach/Glaser/Heigl, Social Web, S. 85. 393 Art.-29-Datenschutzgruppe, Stellungnahme 5/2009, WP 163, S. 5. 394 Maaß, E-Business Management, S. 104. 395 Der Zuschnitt von Werbung auf die Interessen der Nutzer ist bspw. in den Facebook-Richtlinien für Werbeanzeigen (a. u. Facebook, Werberichtlinien, http://www.facebook.com/ad_ guidelines.php) geregelt: „Die besten Werbeanzeigen sind diejenigen, die je nach Art der 389

III. Sozialvernetzte Datenverarbeitung

167

anhand seines Nutzungsverhaltens erhoben und zu einem Interessensprofil verarbeitet werden können, desto individueller kann eine Werbeansprache gestaltet werden.396 Dabei gilt: Je präziser die Werbeansprache auf die wirklichen Interessen des Empfängers abgestimmt ist, desto höher ist sein Interesse bzw. sein Konsumbedürfnis, das für eine Kaufentscheidung ausschlaggebend sein kann. Soziale Netzwerke sind dazu prädestiniert, diese Effekte auf der Basis personenbezogener Daten kommerziell nutzbar zu machen. 4. Risiken der sozialen Vernetzung a) Ansatz Diese Arbeit geht davon aus, dass die Nutzung von Sozialen Netz­werken eine datenschutzrechtlich relevante Handlung ist. Im Folgenden wird untersucht, ob die informationelle Selbstbestimmung bei der Registrierung und Nutzung eines Mitgliedskontos in Facebook hinreichend geschützt ist. In gleicher Weise wie bei der technischen Risikoerhöhung durch die Datenverarbeitung in der Cloud fordert die funktionale Vernetzung zunächst die Datensicherheit aus organisatorischer und technischer Hinsicht heraus. Unter rechtlichen Risiken werden auch hier datenschutzrechtliche Problemstellungen verstanden, die hier diskussionswürdig sind. Im Kern geht es darum, wie und in welchem Umfang personenbezogene Daten verarbeitet werden, ob diese Verfahren zulässig sind und ob der Betroffene als Nutzer hinreichend geschützt ist. b) Organisatorische Risiken aa) Anreize zum sorglosen Umgang mit Daten (Plug-and-Play-Falle) Soziale Netzwerke schaffen zahlreiche Anreize, um die Nutzer zur Preisgabe personenbezogener Daten und zur Nutzung von Funktionen zu veranlassen. Der mögliche Eintritt von Rechtsfolgen bleibt dabei meist außer Betracht. Einfach bedienbare Anwendungsoberflächen, optisch ansprechend und spielerisch gestaltete Nutzerprofile und Kommunikations- und Interaktionsfunktionen begünstigen unreflektierte oder sorglose Nutzerhandlungen. „Die spielerisch-einfache Gestaltung von IT-Umgebungen (Plug and Play) verhindert eine kritische Reflektion der Be-

Interaktion der Nutzer und ihrer Freunde sowie der Art der Verbindung dieser zu Marken, Künstlern und Unternehmen, die ihnen wichtig sind, auf den individuellen Nutzer zugeschnitten sind.“; hierzu Fuchs, DuD 2010, 453 (453 f.). 396 Dazu Maisch, ITRB 2011, 13 (13).

168

C. Gefährdungslagen der informationellen Selbstbestimmung 

troffenen über die Folgen ihrer IT-Nutzung.“397 Diese Gefahr wird als Plug-andPlay-Falle398 bezeichnet.399 Bei der Nutzung von Facebook können fünf Ausprägungen der Plug-and-Play-Falle identifiziert werden. (1) Preisgabe von personenbezogenen Daten Bei Facebook wird der Nutzer bereits bei der Registrierung eines Profils im Wege von Fragenkatalogen zur Preisgabe umfassender Daten zu seiner Person aufgefordert. Bereits hier entsteht ein klares, detailliertes Persönlichkeitsprofil über den Betroffenen. Die Erhebung dieser Daten ist benutzerfreundlich, intuitiv bedienbar und optisch ansprechend gestaltet. Von der Erhebung bestimmter Bestands- und Nutzungsdaten abgesehen bleibt es dem Nutzer überlassen, Informationen über sich preiszugeben. Wer keine Profildaten zu seiner Person freigibt, bspw. Informationen über den Arbeitsplatz oder die schulische oder universitäre Ausbildung, der wird in unregelmäßigen Abständen wiederholt dazu aufgefordert, dies nachzuholen. Facebook erinnert seine Nutzer in unterschiedlicher Weise daran, Daten einzugeben. Bei Profildaten werden nicht ausgefüllte Datenfelder seit April 2013 nicht mehr verborgen, sondern als leer stehend dargestellt. Dem Nutzer dürfte sich das Gefühl aufdrängen, sein Profil noch nicht abschließend fertiggestellt zu haben. In den leeren Eingabefeldern sind halb transparente oder farbig formatierte „Fragen“ formuliert („Wo arbeitest Du?“, „Füge ein Buch hinzu, das Du gelesen hast“), die sich an den Nutzer richten. Bei der Bereitstellung von Medieninhalten wird der Nutzer stets dazu aufgefordert, freiwillig eine Beschreibung einzugeben, das GPS-Positionsdatum anhand einer Karte zu bestimmen (soweit dies nicht über die Mobiltelefon-App automatisch erfolgt) und Personen mit dem Inhalt zu verlinken („markieren“), die damit aus Sicht des Nutzers in Verbindung stehen sollen. Mit einem Slide-down-Banner, eine Einblendung am oberen Bildrand der Chronikdarstellung, erinnert Facebook die Nutzer zudem fortlaufend, den sog. Status, Fotos, Aufenthaltsorte oder sog. Lebensereignisse nachzutragen.

397

Heckmann, NJW 2012, 2631 (2633). Der Begriff Plug-and-Play steht ursprünglich für das Marketing-Konzept, dass eine Infor­mationstechnologie derart einfach installierbar und bedienbar sein soll, dass sie nach wenigen Handgriffen für ihre bestimmungsgemäßen Nutzungszwecke zur Verfügung steht. Zu denken wäre an die Anbindung eines Druckers an einen Computer, wobei der Drucker­ treiber automatisch geladen und installiert wird. Dieses Konzept kann auch auf Software­ installationen bzw. auf die Registrierung und Nutzung von Internetanwendungen (bzw. Software-as-a-Services) wie ein Soziales Netzwerk übertragen werden; dazu auch Heckmann, vorgänge Nr. 184, 20 (20). 399 Hierzu Heckmann, NJW 2012, 2631 (2633 ff.); Roßnagel, MMR 2005, 71 (72). 398

III. Sozialvernetzte Datenverarbeitung

169

Insgesamt zeigt sich, dass Facebook die Preisgabe von personenbezogenen­ Daten nicht nur besonders einfach gestaltet hat, sondern den Nutzer gezielt zur Datenpreisgabe verleitet. Es wird suggeriert, je mehr Daten preisgegeben werden, desto leichter könne der Nutzer soziale Beziehungen eingehen und pflegen. Werden keine Daten in Felder eingegeben, die für Facebook bedeutsam sein dürften, wird dem Nutzer das Gefühl gegeben, ausstehende Erledigungen zu haben. Umfragen zufolge speichern 89 % der Nutzer ihr vollständiges Geburtsdatum und weitere Identitätsdaten400 in ihrem Profil. Je mehr personenbezogene Daten zur eigenen Identität veröffentlicht werden, desto höher ist die Eintrittswahrscheinlichkeit, Opfer eines sog. Identitätsdiebstahls zu werden.401 Beim sog. Identitätsdiebstahl werden personenbezogene Daten zur Identität des Betroffenen rechtswidrig von Dritten zur Erstellung neuer Profile bei Sozialen Netzwerken, zum Betrug oder Computerbetrug oder für sonstige Straftaten verwendet. Identitätsdiebstahl kann auch die Ausforschung der privaten Lebens­ umstände des Betroffenen begünstigen, um Straftaten zulasten des Betroffenen oder eines Dritten vorzubereiten oder auszuführen. Zum Beispiel könnte der Täter über ein unechtes Profil des Betroffenen (sog. Fake-Account) Kontakt zu Freunden des Betroffenen aufnehmen und Informationen über private Lebensgewohnheiten, das Vermögen, Wohnsitze, die Urlaubsplanung etc. erheben, um einen Wohnungseinbruchsdiebstahl vorzubereiten. Fotos nehmen bei Facebook eine zentrale Rolle ein. Gesamte Fotoalben können mittels leistungsstarker Hilfsmittel schnell und einfach auf die Plattform hochgeladen und dort dauerhaft gespeichert werden. Zeitweise stand Nutzern eine Gesichtserkennungsanwendung zur Verfügung, die automatisch Gesichter erkennen sollte und die Markierung von Freunden nahezu automatisiert durchführbar machen sollte. Diese Funktion hat Facebook aufgrund einer Anordnung des Hamburger Datenschutzbeauftragten im Oktober 2012 abgeschaltet.402 Zusammenfassend kann festgestellt werden, dass die Erhebung von personenbezogenen Daten bei Facebook nicht nur begünstigt wird, sondern die Anwendungen sogar so gestaltet sind, dass der Nutzer zu einer Datenpreisgabe gedrängt wird. 400 Daten, die allein oder verknüpft die Herstellung des Personenbezugs mit einer bestimmten Person ermöglichen oder fördern können, sind insbesondere Vor- und Nachname, Geschlecht, Geburtsdatum, Name des Ehe- oder Lebenspartners, Arbeitsplatz, Name der Schule, Wohnsitz, Geburtsort, E-Mail-Adresse und die Telefonnummer, vgl. Boshmaf/Muslukhov/ Beznosov et al., The Social Network, S.  7, a. u. http://lersse-dl.ece.ubc.ca/record/264/files/ ACSAC_2011.pdf?version=1. 401 Damit korrespondiert das Risiko, Einbußen bei der Datenherrschaft hinnehmen zu müssen, da bei der Speicherung eines Portraitbildes auf einer öffentlichen Internetplattform eine zumindest konkludente Einwilligung angenommen wird, dass diese Bilder von (Personen-) Suchmaschinen verarbeitet werden, BGH, Urt. v. 29.04.2010 – I ZR 69/08, ZUM 2010, 580; OLG Köln, Urt. v. 09.02.2010 – 15 U 107/09, ZUM 2010, 706; ausführlich und systematisierend Reinemann/Remmertz, ZUM 2012, 216 (224). 402 Zur Problematik der Gesichtserkennung, S. 221.

170

C. Gefährdungslagen der informationellen Selbstbestimmung 

Auf diese Weise gibt der Betroffene mehr personenbezogene Daten über sich preis und er wird veranlasst, seine Privatheit offenzulegen. Die Plug-and-Play-Falle, der sich Facebook bedient, um mehr über seine Nutzer in Erfahrung zu bringen und das Netzwerk weiterhin interessant zu machen, kann somit die Kontrolle über die (eigene) Preisgabe und die Verwendung von personenbezogenen Daten erschweren. Die Plug-and-Play-Falle kann sich auch auf Rechtsgüter Dritter als FacebookNutzer oder Nichtmitglieder auswirken, wenn bspw. Fotos aus der Intim- oder Privatsphäre auf der Plattform öffentlich zugänglich gemacht werden. Insofern korrespondiert die Sorglosigkeit beim Selbstschutz nicht selten mit der Rücksichtslosigkeit bei der Verarbeitung von Daten Dritter bzw. mit einer Datenverarbeitung ohne Wissen und Wollen des Dritten.403 (2) Rechtswidrige Äußerungen, „Shitstorms“ und Rechtsverletzungen Soziale Netzwerke, die als ein geschlossenes System strukturiert sind, werden von Nutzern häufig fälschlicherweise als vertrauliche virtuelle Räume (miss-)verstanden, in denen private Äußerungen keine oder nur eine geringe Breitenwirkung haben. Diese vermeintliche Privatheit der Sozialen Netzwerke bzw. der Deckmantel der Anonymität, der durch die Benutzung fremder oder falscher Identitäten herbeigeführt werden kann404, verleitet manche Nutzer zur Veröffentlichung von Äußerungen, die die Rechtsgüter Dritter verletzen oder die Privatheit zumindest gefährden können. Vom Schutzbereich des Art. 5 Abs. 1 S. 1 GG sind lediglich Meinungsäußerungen, nicht unwahre oder nicht persönlichkeitsrechtsverletzende Tatsachenbehauptungen oder Schmähkritik405 erfasst.406 Unbedachte oder rechtswidrige Äußerungen in Social-Media-Diensten können auch in einen Sturm der Entrüstung einer unvorhersehbar großen Anzahl anderer Nutzer umschlagen, der sich gegen eine Person oder gegen eine Thematik richtet. Ein solcher sog. Shitstorm an Textmitteilungen wird im Internet in Foren, Blogs, Microblogs oder Sozialen Netzwerken ausgetragen.407 Der Äußernde kann auch selbst zum Opfer von ehrverletzenden

403

Heckmann, NJW 2012, 2631 (2631). Dazu Heckmann, NJW 2012, 2631 (2632 f.). 405 Solche Äußerungen können auch bspw. als Beleidigung gem. § 185 StGB, als üble Nachrede gem. § 186 StGB oder als Verleumdung gem. § 187 StGB bewertet werden. Äußerungen in Sozialen Netzwerken können die Tatbestände der Straftaten gegen die öffentliche Ordnung (bspw. Volksverhetzung gem. § 130 StGB) oder der Verunglimpfung gem. §§ 90, 90a StGB erfüllen. 406 Härting/Schätzle, ITRB 2010, 39 (41). 407 Zur rechtlichen Einordnung sog. Shitstorms, Heckmann, The European, Beitrag v. 22.05.2012, a. u. http://www.theeuropean.de/dirk-heckmann/11145-juristische-betrachtung-desshitstorms; zu Shitstorms auf Fanseiten in Sozialen Netzwerken, Schwenke, K&R 2012, 305 ff. 404

III. Sozialvernetzte Datenverarbeitung

171

Straftaten bis hin zu Straftaten gegen die persönliche Freiheit (bspw. einer Bedrohung gem. § 241 StGB) werden. Die einfache Handhabung von Sozialen Netzwerken kann auch die Begehung anderer Rechtsverletzungen erleichtern, bspw. durch die Vervielfältigung und Verbreitung von urheberrechtlich geschützten Inhalten.408 Dem Domaingrabbing409 ähnlich gelagert sind Fälle, in denen Nutzernamen exklusiv vergeben werden und Nichtberechtigte Bezeichnungen auswählen, die namensrechtlich gem. § 12 BGB geschützt sind oder markenrechtlich gem. § 14, 15 MarkenG verwechselt werden könnten.410 (3) Haftung für „Facebook Partys“ Viele Soziale Netzwerke ermöglichen ihren Nutzern, mit wenigen Mausklicks Veranstaltungshinweise zu erstellen und innerhalb des Netzwerks zu veröffentlichen. Zusätzlich zum Namen, Ort und Datum einer Veranstaltung kann ein Facebook-Nutzer die Zielgruppe wählen, für die der Hinweis sichtbar sein soll. Zur Auswahl stehen die Gruppen „Öffentlich“, „Freunde“ oder „Nur für eingeladene Gäste“. Bei der Wahl der Option „Öffentlich“ ist ein Hinweis über den Freundeskreis hinaus sichtbar, bspw. für Freunde-von-Freunden.411 Ein Veranstaltungs­ hinweis kann sich aufgrund der auf Effektivität ausgerichteten Kommunikationsstrukturen von Facebook in kurzer Zeit und mit großer Reichweite verbreiten.412 Wer zu einer Veranstaltung eingeladen wird, erhält von Facebook automatisch eine Teilnahmeliste, aus der hervorgeht, welche seiner Freunde bereits zugesagt oder abgelehnt haben. Die Publizität und Dynamik dieser Veranstaltungswerbung entziehen sich jeder (nachträglichen) Steuerungsmöglichkeit.413 Mangels einer verantwortlichen Person und entsprechender Organisation können diese in der Realität stattfindenden Massenveranstaltungen414 zu kosteninten 408

Vgl. Krieg, Kriegs-recht.de, Beitrag v. 18.11.2012, a. u. http://www.kriegs-recht.de/comicbilder-als-profilbild-auf-facebook-nicht-unbedingt-eine-gute-aktion/. 409 Domaingrabbing ist die rechtswidrige Praxis, „trotz fehlender eigener Nutzungsabsicht bzw. legitimem Nutzungsinteresse fremde Kennzeichen als Domainnamen zu registrieren, um diesen dem Kennzeicheninhaber zum Verkauf anzubieten“, S. Heckmann, in: jurisPK-Internetrecht, Kap. 2.2, Rn. 115. 410 Härting/Schätzle, ITRB 2010, 39 (41). 411 Vgl. Söllner/Wecker, ZRP 2011, 179 (179). 412 Söllner, Die Polizei 2012, 8 (8). 413 Söllner, Die Polizei 2012, 8 (8). 414 Bspw. „Thessas Geburtstag“, eine private Feierlichkeit einer minderjährigen FacebookNutzerin, die aus Sorglosigkeit als öffentliche Veranstaltung in Facebook angekündigt wurde. Die Ankündigung enthielt genauere Angaben über den Veranstaltungsort. Durch die öffentliche Sichtbarkeit war der Hinweis einem unbegrenzten Empfängerkreis zugänglich. Ca. 1500 Personen reisten zu dieser Veranstaltung an und veranlassten ein Polizeiaufgebot mit mehr als 100 Polizeibeamten, Pilarczyk, Spiegel Online, Beitrag v. 04.06.2011, a. u. http://www. spiegel.de/panorama/gesellschaft/facebook-party-festnahmen-und-verwuestungen-bei-thessasfeier-a-766576.html.

172

C. Gefährdungslagen der informationellen Selbstbestimmung 

siven Polizeieinsätzen führen, um die Sicherheit für die Rechtsgüter der Teilnehmer und der Dritten sowie die Einhaltung der Rechtsordnung zu gewährleisten.415 Aus polizeirechtlicher Sicht ist fraglich, wer als Kostenschuldner für die Heranziehung der Polizeibeamten in Anspruch genommen werden kann.416 Grundsätzlich ist derjenige zur Zahlung der Kosten verpflichtet, der z. B. als Störer die Amtshandlung veranlasst hat (bspw. gem. Art.  2 Abs.  1 S.  1 BayKG). Hier kommen verschiedene Personen in Betracht.417 Die Haftung des Veranstaltungserstellers kann eine straßenrechtliche Sondernutzungsgebühr, Gebühren für die Müllbeseitigung, Einzelmaßnahmen418 oder, soweit ein landesrechtlicher Ermächtigungsgrund besteht, auch Gebühren für das Polizeiaufgebot umfassen.419 Ob der Veranstaltungsersteller als Zweckveranlasser auch als Kostenschuldner in Anspruch genommen werden kann, hängt vom Verlauf der realen Veranstaltung im Hinblick auf die Sicherheit und Ordnung und vom Veranstaltungsort ab.420 Die Sorglosigkeit bei der Erstellung von Veranstaltungshinweisen ist – auch mangels Unterrichtung durch den Diensteanbieter – eine Ausprägung der Plug-and-Play-Falle. Eine einfache Nutzungshandlung mit wenigen Mausklicks kann eine Störung ver­ursachen, die zu einem erheblichen Schaden führen kann. (4) Fremde als Freunde Unter einem Freund wird nach allgemeinem Sprachgebrauch ein sehr nahestehender Mensch, für den eine natürliche Person freundschaftliche und kameradschaftliche Gefühle entwickelt hat, bezeichnet. Ein „Freund“ bei Facebook ist ein Profilinhaber, der mit einem anderen Profilinhaber übereingekommen ist, sein Freund zu sein. Dies geschieht durch einen Klick auf einen Button „Als Freund hinzufügen“ und ist von der korrespondierenden Einwilligung des Freundschaftsempfängers abhängig. Facebook macht es den Nutzern leicht, viele Freunde zu haben. Damit hat Facebook eine, zumindest im Internet geltende, neue soziale Norm

415

Vertiefend zu den Rechtsgrundlagen der Gefahrenabwehr, Söllner, Die Polizei 2012, 8 ff.; Söllner/Wecker, ZRP 2011, 179 ff. 416 Soweit Facebook-Partys als Spaßveranstaltungen, d. h. ohne den Zweck zur gemein­ samen Meinungsbildung oder -kundgabe, eingeordnet werden, handelt es sich nicht um eine Versammlung, die dem Schutz des Art. 8 GG unterliegt, BVerfG, Urt. v. 12.07.2001 – 1 BvQ 28/01, NJW 2001, 2459 (2459). 417 Ausführlich zur Haftung des Veranstaltungserstellers, des Online- und Offline-Teilnehmers sowie des Diensteanbieters, Söllner, Die Polizei 2012, 8 (11 ff.); nach Veranstaltungsort weiter differenzierend, Klas/Bauer, K&R 2011, 533 (534 f.). 418 Dazu Heckmann, in: Becker/Heckmann/Kempen/Manssen, Öffentliches Recht in Bayern, S. 356, Rn. 420. 419 Söllner, Die Polizei 2012, 8 (11 ff.). 420 Bei der Einladung zu einer bestehenden Veranstaltung wird Einladende nicht selbst zum Veranstalter. Der Einladende kann in diesem Fall nicht als Zweckveranlasser herangezogen werden, Klas/Bauer, K&R 2011, 533 (535).

III. Sozialvernetzte Datenverarbeitung

173

etabliert, nach der jeder faktisch zum Freund wird, ganz gleich, ob es sich wirklich um einen Freund oder nur eine flüchtige Bekanntschaft handelt.421 Als Freunde werden auch Personen zur Freundesliste hinzugefügt, die dem Nutzer gänzlich unbekannt sind: Umfragen zufolge nimmt etwa jeder zweite Facebook-Nutzer Personen in seine Freundesliste auf, die ihm in der Offline-Welt nicht persönlich bekannt sind.422 Diese Personen, denen als Fremde die Rolle der Freunde eingeräumt wird (hier als sog. Fremde Freunde bezeichnet), werden je nach Rechte- und Rollenverteilung in Facebook in die Lage versetzt, gezielt personenbezogene Daten des Nutzers zu erheben, zu speichern oder an Dritte weiterzugeben. Fremde Freunde können die personenbezogenen Daten (bspw. Name, Adressdaten, Geburtsdatum, Interessen, Bilder und Freundesliste) des Profilinhabers zur Begehung eines Identitätsmissbrauchs erheben, um im Rahmen von Betrugsdelikten Dritte oder den Profilinhaber selbst zu schädigen.423 Die Einräumung von Zugriffsrechten auf Profildaten für fremde Personen kann auch eine Beeinträchtigung der Privatheit des Profilinhabers und seiner Angehörigen zur Folge haben. Der Nachweis der Freundschaft zwischen dem Profilinhaber und der fremden oder fiktiven Person kann vertrauensbildende Wirkung haben, die ein Täter zur gezielten Ausforschung von Freunden des Profilinhabers, zu deren Täuschung oder zur Ausspähung weiterer Informationen verwenden kann (sog. Social Engineering).424 Denkbar ist darüber hinaus, dass der Profilinhaber als mögliches Opfer von Straftaten ausgewählt wird, bspw. von Eigentumsdelikten, weil bestimmte Profilinformationen Rückschlüsse über seine Lebensgewohnheiten und seine Vermögenslage erlauben. (5) Apps und Spiele Über definierte Programmierschnittstellen (API) bieten Soziale Netzwerke Zusatzanwendungen an, die von externen Dritten programmiert und betrieben werden.425 Die Anwendungen können als Apps in das Nutzerprofil integriert werden. Diese Apps, die bspw. automatisiert Quizfragen für die Freunde des Nutzers bereitstellen oder als Browser-Spiele zur Verfügung gestellt werden, greifen auf personenbezogene Daten des Profilinhabers zu, der dazu eine meist umfangreiche Einwilligungserklärung abgegeben hat. Nach den Umständen des Einzelfalls kön 421 Khosla, TechCrunch, Beitrag v. 28.08.2011, a. u. http://techcrunch.com/2011/08/28/thesocial-network-paradox/. 422 Vgl. Ducklin, Sophos.com, Beitrag v. 06.12.2009, a. u. http://nakedsecurity.sophos.com/ 2009/12/06/facebook-id-probe-2009/. 423 Zum Begriff des Identitätsmissbrauchs, Borges/Schwenk/Stuckenberg et al., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 9. 424 Lardschneider, DuD 2008, 574 (576). 425 Art.-29-Datenschutzgruppe, Stellungnahme 5/2012, WP 196, S. 10.

174

C. Gefährdungslagen der informationellen Selbstbestimmung 

nen Zusatzanwendungen auch auf mobil gespeicherte Daten wie Adressbücher und Fotos zurückgreifen.426 Die externen Diensteanbieter machen die Nutzbarkeit dieser Zusatzanwendungen regelmäßig von der Abgabe der Einwilligung in teilweise seitenlange Datenschutzerklärungen abhängig. Die Abgabe einer individuell anpassbaren Einwilligung ist im Regelfall nicht möglich. Bei Zusatzdiensten besteht die Gefahr, leichtfertig in eine vollständig intransparente Datenverarbeitung einzuwilligen oder unvorteilhafte Nutzungsverträge abzuschließen. bb) Transparenz Die Verarbeitung und Nutzung personenbezogener Daten erfolgen zumeist in den Rechenzentren des Diensteanbieters eines Sozialen Netzwerks. Ob dabei auf Cloud Computing zurückgegriffen wird, ist einzelfallabhängig. Bei Facebook wird die IT-Infrastruktur überwiegend von Facebook selbst, aber auch von Auftragnehmern betrieben.427 Die Verfahren der Datenverarbeitung oder der Rückgriff auf Subunternehmer werden nicht näher dargelegt. In Ergänzung zur Datenschutzerklärung erläutert Facebook in den Datenverwendungsrichtlinien, wie darüber hinaus Daten erhoben, verarbeitet und genutzt werden. Welche technischen oder organisatorischen Schutzmaßnahmen getroffen werden, ist nicht Bestandteil der Unterrichtung. Anstatt einer transparenten Erklärung der Daten­ verarbeitungsprozesse beschränkt sich Facebook auf einen Überblick. Zur Funktionsweise von Werbung, gesponserten Meldungen und Cookies hat Facebook entsprechende Datenverwendungsrichtlinien aufgenommen. Gerade Werbung und gesponserte Meldungen werden hier anschaulich anhand von Grafiken und Kontexten aus der Sicht der Werbenden erläutert.428 cc) Datenabhängigkeit (Vendor-Lock-in) Personenbezogene Daten, die in Sozialen Netzwerken gespeichert sind, können im Fall einer Kündigung des Nutzungsvertrags in der Regel nicht exportiert werden. Ein sog. Vendor-Lock-in droht daher nicht nur bei der technischen Vernetzung, sondern auch hier auf der Anwendungsebene. Benutzerfreundliche Export-Schnittstellen werden nicht zur Verfügung gestellt, um ganze Profile herunter zu laden oder zu einem anderen Sozialen Netz-

426

Art.-29-Datenschutzgruppe, Stellungnahme 5/2012, WP 196, S. 10. United States Securities and Exchange Commission, Börsenprospekt Facebook Inc., S.  24, a. u. Registration No. 333–179287, http://www.sec.gov/Archives/edgar/data/1326801/ 000119312512175673/d287954ds1a.htm. 428 Facebook Inc., Datenverwendungsrichtlinien, So funktionieren Werbung und gesponserte Meldungen, a. u. https://www.facebook.com/about/privacy/advertising. 427

III. Sozialvernetzte Datenverarbeitung

175

werk transferieren zu können. Der Speicherort der Profildaten ist zudem nicht frei wählbar, anders als bei dem freien Sozialen Netzwerk Diaspora, in dem auch nutzereigene Server eingebunden werden können. Im Rahmen einer elektronisch abgewickelten Auskunft kann zumindest bei Facebook eine ZIP-Datei429 heruntergeladen werden, die eine Auswahl an Kommunikationsinhalten, hochgeladenen Bildern und anderen Profilinformationen beinhaltet.430 Die Löschung von personenbezogenen Daten kann sich als problematisch erweisen. Denn ein Exit-Management im Sinne einer endgültigen Löschung ist je nach Netzwerk nur teilweise vorgesehen. Bei Facebook bspw. tritt die Aufforderung zur Vornahme einer endgültigen Löschung des Kontos erst nach Ablauf von 90 Tagen in Kraft.431 Personenbezogene Daten, die durch die Nutzung der Kommentar- oder Nachrichtenfunktion verarbeitet worden sind, werden von der Löschung ausdrücklich ausgenommen.432 Unklar ist, ob Soziale Netzwerke die Aufforderung zur Löschung von Daten auch an Diensteanbieter von Zusatzdiensten weitergeben. c) Technische Risiken aa) „Datendiebstahl“ Personenbezogene Daten, die in Sozialen Netzwerken gespeichert sind, können nicht nur vom Diensteanbieter des Netzwerks, von seinen Unterauftragnehmern, von Anbietern von Zusatzdiensten (Apps und Spiele) oder von Werbepartnern verarbeitet und genutzt werden. Auch anderen Nutzern ist es im Regelfall technisch ohne Weiteres möglich, Inhalte aus einem Nutzerprofil abzurufen und zu vervielfältigen. Die unbefugte Erhebung und Verarbeitung von personenbezogenen Daten können in Einzelfällen von Nutzern manuell vorgenommen werden.

429

Bei ZIP handelt es sich um ein Dateiformat, das die Kompression von Dateien und Verzeichnissen in einer Container-Datei ermöglicht, um Speicherplatz einzusparen. 430 Diese Funktion stand nicht von Anfang an in Facebook zur Verfügung. Nachdem die Gruppe „Europe-v-Facebook“ um Max Schrems medienwirksam Facebook zur Erteilung einer Auskunft aufgefordert und später wegen Datenschutzverletzungen bei der zuständigen irischen Aufsichtsbehörde anzeigt hatte, beantragten tausende Nutzer eine Auskunft gem. Art. 12 DSRL, Sec. 4 Irish Data Protection Act. 431 „When you delete an account, it is permanently deleted from Facebook. It typically ­takes about one month to delete an account, but some information may remain in backup copies and logs for up to 90 days.“ Facebook Inc., Datenverwendungsrichtlinie, a. u. http://www.face book.com/about/privacy/your-info. 432 „Some of the things you do on Facebook aren’t stored in your account, like posting to a group or sending someone a message (where your friend may still have a message you sent, even after you delete your account). That information remains after you delete your account.“ Facebook Inc., Datenverwendungsrichtlinie, a. u. http://www.facebook.com/about/privacy/ your-info.

176

C. Gefährdungslagen der informationellen Selbstbestimmung 

Üblicherweise werden Softwareanwendungen für diese Zwecke programmiert und eingesetzt. So wurde im Rahmen eines Forschungsprojekts bspw. eine Software entwickelt, die anderen Nutzern vortäuscht, sie würden mit einer natürlichen Person in Kontakt stehen (sog. Social Bot).433 Diese Social Bots können dazu genutzt werden, nach automatisierten Programmabläufen personenbezogene Daten, insbesondere Statusmeldungen, Profilinformationen und Pinnwand-Einträge, aber auch Bilder zu erheben und zu speichern.434 Vervielfältigte Datensätze zu echten Identitäten können zur Vorbereitung, bspw. in Form von falschen Nutzerkonten435, oder zur Begehung von Straftaten verwendet werden. bb) Verwundbarkeiten von Sozialen Netzwerken (1) Angriffe auf Authentifikationsverfahren am Beispiel von OpenID Der Schutz der Datensicherheit von personenbezogenen Daten in Sozialen Netzwerken beginnt bei der Zugriffskontrolle. Authentifizierungsprozesse sollen sicherstellen, dass nur der berechtigte Nutzer Zugriff auf das Netzwerk und die in seinem Konto gespeicherten Daten hat. Da es sich bei Sozialen Netzwerken um Webanwendungen handelt, setzen Angreifer entweder bei Schwachstellen436 oder Verwundbarkeiten des Systems an oder richten ihre Angriffe auf den Nutzer. Bei Angriffen auf das System können Sicherheitsmängel beim Webserver oder Programmierungsfehler bei der Webanwendung einen unberechtigten Zugriff vorbereiten oder ermöglichen. Verzichtet der Diensteanbieter bspw. auf Filter bei Ein-

433 Boshmaf/Muslukhov/Beznosov et al., The Social Network: When Bots Socialize for Fame and Money, S.  1, a. u. http://lersse-dl.ece.ubc.ca/record/264/files/ACSAC_2011.pdf? version=1. 434 Vertiefend dazu Boshmaf/Muslukhov/Beznosov et al., The Social Network: When Bots Socialize for Fame and Money, S. 7, a. u. http://lersse-dl.ece.ubc.ca/record/264/files/ACSAC _2011.pdf?version=1. 435 Bei allen Sozialen Netzwerken sind sog. Fake-Konten registriert. Aus dem ersten Börsenquartalsbericht von Facebook im Jahr 2012 geht hervor, dass bei dem Netzwerk ca. 8,7 % bzw. 83 Mio. Nutzerkonten registriert sind, die gegen die Nutzungsbedingungen verstoßen. Davon seien 4,8 % Duplikate von bestehenden Konten, 2,4 % seien falsch spezifizierte Konten und 1,5 % seien Konten, die nach der Einschätzung von Facebook nur zur Begehung von Verstößen gegen die Nutzungsbedingungen angelegt werden, bspw. zum Versand von Spam-Nachrichten, vgl. United States Securities and Exchange Commission, Form 10-Q v. 30.06.2012, S. 24, a. u. http://www.sec.gov/Archives/edgar/data/1326801/000119312512325997/d371464d10q.htm. 436 Unter Schwachstellen werden Schwächen eines Systems verstanden, an denen seine Integrität verletzt werden kann. Verwundbarkeiten bezeichnen Schwachstellen, bei denen die Sicherheitsmaßnahmen eines Systems umgangen oder verändert werden können, Eckert, ITSicherheit, S. 16.

III. Sozialvernetzte Datenverarbeitung

177

gabefeldern (hier droht ein SQL-Injection-Angriff) oder auf hinreichende Sicherheitsmaßnahmen bei der Authentifikation, bspw. bei der Wiederherstellung eines vergessenen Passworts, können Implementierungsfehler einer Anwendung derart ausgenutzt werden, dass Datenstrukturen mit fremdem Programmcode überschrieben und modifiziert werden (sog. Buffer-Overflow-Angriffe).437 Ebenso viele Angriffsvektoren setzen beim Nutzer an, indem seine Authentifikationsdaten (Benutzerkennung und Passwort) ausgespäht werden. In ungesicherten Funknetzen können Zugangsdaten oder ggf. Session-Cookies, bspw. durch die Übernahme des Facebook datr-Cookies (sog. Session Hijacking), erhoben und für einen Identitätsdiebstahl oder -missbrauch ausgenutzt werden. Ein besonders hohes Schadenspotenzial ist bei Variationen dieser Angriffe zu erwarten, die sich gegen OpenID-Authentifizierungsverfahren438 richten, die auch Facebook439, MySpace, Google und eine Vielzahl weiterer Dienste unterstützen.440 OpenID ist ein sog. Single-Sign-On-Verfahren, das die Anmeldung441 bei Websites, die dem OpenID-Verbund (sog. Relying Partys) angehören, dadurch erleichtert, dass der Benutzername und das Passwort nur einmal eingegeben werden müssen. Zugriff erhält der Nutzer nicht nur bei dieser Website, sondern sodann auch bei allen Websites des Verbundes, ohne jeweils erneut Authentifikationsdaten eintippen zu müssen. Dies wird technisch so abgewickelt, indem eine vom Nutzer aufgerufene Website, bzw. der sog. OpenID-Provider, die Echtheit der Nutzeridentität überprüft und einen Session-Cookie übermittelt. Wird dieser von anderen Websites erkannt, bedarf es bei weiteren Anmeldevorgängen (vorausgesetzt, der Nutzer ist dort bereits registriert) nur noch der Angabe des OpenID-Benutzernamens (sog. OpenID-Identität).442 Die Anmeldung vollzieht sich dann ohne erneute Eingabe von Passwörtern. Mögliche Angriffe auf OpenID-Verfahren können im Wege einer PhishingKonstellation erfolgen, bei der dem Nutzer vorgetäuscht wird, dass er eine Anmeldung bei einem echten OpenID-Provider vornimmt – tatsächlich werden die Daten 437

Vertiefend Eckert, IT-Sicherheit, S. 47 ff. OpenID ist ein dezentrales Authentifikationsverfahren, das frei betrieben werden kann. Es wird von der OpenID-Foundation als Non-Profit-Organisation vorangetrieben und von zahlreichen großen Diensteanbietern, wie Google Inc., Microsoft Corp., PayPal Inc. etc unterstützt, vgl. OpenID-Foundation, a. u. http://openid.net/foundation/. 439 Das von Facebook unterstützte Authentisierungsverfahren, OAuth-Protokoll, wird zur Absicherung von Datenübertragungen über API-Schnittstellen verwendet, Dewanto, Heise, Beitrag v. 03.11.2009, a. u. http://www.heise.de/developer/artikel/Autorisierungsdienste-mitOAuth-845382.html. 440 Smith, Inside Facebook, Beitrag v. 27.04.2009, a. u. http://www.insidefacebook.com/ 2009/04/27/facebook-announces-users-will-soon-be-able-to-login-to-facebook-with-an-openid/; zu den weiteren Diensten, vgl. a. u. http://openid.net/get-an-openid/. 441 OpenID-Verfahren ersetzen nicht die Registrierung von Nutzer-Konten, sondern erleichtern (und beschleunigen) nur den Anmeldevorgang, vgl. Raepple, DuD 2009, 174 ff. 442 Ausführlich dazu Braun/Gemein/Höfling et al., DuD 2012, 502 ff. 438

178

C. Gefährdungslagen der informationellen Selbstbestimmung 

bei einer Nachbildung des OpenID-Providers eingegeben.443 Gelingt dieser Angriff, gelangt der Angreifer in den Besitz der OpenID-Identität und des Passworts. Mithilfe dieser Daten kann er sich mit der Identität des Nutzers bei allen Relying Partys anmelden und auf personenbezogene Daten des Betroffenen oder Dritter zugreifen. Ein erfolgreicher Angriff stellt daher eine erhebliche Gefahr für die Datensicherheit dar. Dies gilt insbesondere dann, wenn über OpenID-Daten Bankund Kreditkartendaten, besonders schutzwürdige Daten oder sonstige geheimnisschutzbedürftige Daten erhoben und weitergegeben werden können. Eine besonders schwer erkennbare Bedrohung stellt der Cross-Site-RequestForgery-Angriff (CSRF) dar, der bei einer bereits erfolgten Anmeldung des Nutzers bei einem OpenID-Provider ansetzt.444 Besteht eine gültige Session, nutzt der Angreifer diese aus, indem er dem Nutzer über eine bösartige Website Befehle und Anfragen an eine andere Webanwendung, sog. HTTP-Requests, unterschiebt.445 Dies kann durch Einbettung der Befehle, bspw. in einem HTML-Image-Element, erfolgen.446 Über diese HTTP-Requests können in einem Sozialen Netzwerk oder auf einer dritten Website Zugriffsrechte modifiziert, Nachrichten (ggf. Spam) oder Einladungen an Fremde versendet werden, ohne dass der Nutzer davon (unmittelbar) Kenntnis nimmt. Es ist denkbar, dass die Datensicherheit durch Cross-SiteRequest-Forgery-Angriffe über Schwachstellen des OpenID-Verfahrens massiv gefährdet werden kann. (2) Angriffe durch Malware Bei Sozialen Netzwerken, die Zusatzdiensten API-Schnittstellen zur Verfügung stellen, kann die informationelle Selbstbestimmung durch Apps gefährdet sein, die Schadsoftware enthalten.447 Besonders große Bekanntheit haben Internet-Würmer448, die technisch auf Clickjacking-Angriffen basieren. Bei einem Clickjacking-Angriff wird die Darstellung einer Webseite oder eines Seitenelements derart überlagert, dass ein Nutzer dazu verleitet wird, Aktionen

443

Braun/Gemein/Höfling et al., DuD 2012, 502 ff. Ausführlich dazu Braun/Gemein/Höfling et al., DuD 2012, 502 (503 f.). 445 Im Januar 2013 wurde eine Sicherheitslücke in Facebook geschlossen, durch die mit Cross-Site-Request-Forgery-Angriffen die Webcam eines Profilinhabers ohne dessen Wissen oder Wollen gestartet und die aufgezeichneten Aufnahmen in dessen Chronik veröffentlicht werden konnten, Beer, Heise, Beitrag v. 03.01.2012, a. u. http://heise.de/-1776339. 446 Bspw. , Auger, cgisecurity.com, Beitrag v. 28.4.2010, a. u. http://www.cgisecurity.com/csrf-faq.html. 447 So z. B. die Malware „Ramnit“ bei Facebook, vgl. Seeger, Heise Security, Beitrag v. 07.01.2012, a. u. http://www.heise.de/security/meldung/Computerwurm-klaut-Facebook-Pass woerter-1405061.html. 448 Bei einem Internet-Wurm handelt es sich um ein lauffähiges Programm, das sich über Netzwerke verbreitet und eigenständig reproduziert, zum Begriff Eckert, IT-Sicherheit, S. 67 ff. 444

III. Sozialvernetzte Datenverarbeitung

179

(Klicks) durchzuführen, die nicht in seinem Interesse sind.449 Über eine unsichtbare Fensteraufteilung (sog. IFrames) kann ein Angreifer einem Nutzer getarnte Anwendungsoberflächen unterschieben und diese von ihm durch den Aufruf eines externen Webinhalts per Mausklick aktivieren lassen.450 In Facebook sind Fälle von sog. Likejacking-Angriffen bekannt geworden, bei denen sich Spam über die Freundesnetze ausbreitet, sobald der betroffene Nutzer dazu motiviert wird, einen nicht sichtbar dargestellten Like-Button anzuklicken oder einen vermeintlichen Multimediainhalt, der extern gespeichert ist, aufzurufen.451 Neben dem Versand von Spam-Nachrichten können Likejacking-Angriffe die Beeinträchtigung der Vertraulichkeit von Profildaten zur Folge haben oder weitere Schadsoftware nachladen (sog. Drive-by-Download). 5. Datenschutzrechtliche Fragen a) Vorfragen zu Sozialen Netzwerken aa) Anwendbarkeit des deutschen Rechts (1) Dogmatik Viele Soziale Netzwerke werden von Diensteanbietern mit Sitz in Drittstaaten betrieben. Wie bei der weltweiten Datenverarbeitung stellt sich hier die Frage, ob deutsches Datenschutzrecht gem. § 3 Abs. 3 Nr. 4 TMG, § 1 Abs. 5 S. 1, 2 BDSG zur Anwendung kommt. Gem. § 1 Abs.  5 BDSG findet das BDSG „keine An­ wendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. [Das BDSG] findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt.“ § 1 Abs. 5 S. 1, S. 2 BDSG gibt daher einen dreistufigen Prüfungsaufbau vor. Erst ist zu prüfen, ob in Deutschland personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Danach wird gefragt, wo eine Stelle Niederlassungen hat. Schließlich ist fraglich, durch welche Niederlassung diese Datenverarbeitung im Inland erfolgt.

449

Braun/Gemein/Höfling et al., DuD 2012, 502 (504). Vgl. Braun/Gemein/Höfling et al., DuD 2012, 502 (504 f.). 451 Bachfeld, Heise Security, Beitrag v. 02.06.2010, a. u. http://www.heise.de/security/mel dung/Clickjacking-fuer-soziale-Netze-Likejacking-1014234.html. 450

180

C. Gefährdungslagen der informationellen Selbstbestimmung 

Zunächst ist festzustellen, dass in § 1 Abs. 5 S. 2 BDSG nicht geregelt ist, was genau mit einer Datenverarbeitung im Inland gemeint ist, sodass zur Auslegung die DSRL herangezogen wird. In dem § 1 Abs. 5 S. 2 BDSG zugrundeliegenden Art. 4 Abs. 1 lit. c DSRL heisst es dazu: „Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener Daten an, die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, daß diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden.“ Mit Art. 4 Abs. 1 lit. c DSRL wird also auf den Rückgriff auf „Mittel“ abgestellt.452 Unerheblich ist, ob es sich um einen Computer, ein Tablet oder ein Mobiltelefon handelt. Die Art.-29-Datenschutzgruppe lässt sogar den Rückgriff auf Cookies oder Javaskripte auf dem Client ausreichen.453 Der Begriff der Mittel kann daher weit ausgelegt werden und ist gegeben, wenn ein Nutzer z. B. die Website von Facebook aufruft, die sogleich Cookies im Browser plaziert. Neben dem „Mittel“ bedarf es ferner eines Rückgriffs auf selbiges im Inland.454 Ein Rückgriff wird angenommen, wenn sich bspw. ein Telemedium „äußerlich erkennbar (auch) an deutsche Nutzer richtet“.455 Dies sei bei Sozialen Netzwerken regelmäßig der Fall.456 Gleiches gelte für den Fall, in dem das Verhalten des Nutzers, bspw. durch einen Social Plugin oder einen Webanalysedienst, erfasst wird.457 Bei der zweiten Frage erfolgt die Weichenstellung nach den Orten, an denen die verantwortliche Stelle belegen ist. Handelt es sich bei dem Diensteanbieter eines Sozialen Netzwerks um eine Stelle, die über eine Niederlassung im EU- oder EWRRaum (und nicht auch im Inland)verfügt, tritt das sog. Territorialprinzip (§ 1 Abs. 5 S. 2 BDSG) hinter dem Sitzprinzip (§ 1 Abs. 5 S. 1 BDSG) zurück. Nach dem Sitzprinzip gilt das Datenschutzrecht desjenigen Mitgliedsstaates, in dem der Diensteanbieter als verantwortliche Stelle eine Niederlassung hat. Eine Niederlassung ist eine feste Einrichtung, von der aus die Tätigkeit effektiv und tatsächlich ausgeht.458 Hat diese verantwortliche Stelle zusätzlich eine Niederlassung im Inland, durch die personenbezogene Daten im Inland erhoben, verarbeitet oder genutzt werden,

452

VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (282). Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 v. 16.12.2010, WP 179, S. 26. 454 Art. 4 Abs. 1 lit. c DSRL. 455 Jotzo, MMR 2009, 232 (237). 456 Düsseldorfer Kreis, Beschl. v. 08.12.2011, S. 1. 457 Jotzo, MMR 2009, 232 (236). 458 Erwägungsgrund 19 DSRL. 453

III. Sozialvernetzte Datenverarbeitung

181

richtet sich die Anwendbarkeit des BDSG wieder nach dem Territorialprinzip, sodass dann deutsches Recht anwendbar ist. (2) Anwendbares Recht bei Facebook Im Hinblick auf die erste Frage zur Anwendbarkeit des deutschen Rechts ist festzustellen, dass Facebook über Cookies auf in Deutschland befindliche Clients zurückgreift.459 Mit einem anderen Ansatz gelangt auch das LG Berlin zur Anwendbarkeit des deutschen Datenschutzrechts.460 Das Gericht stützte sich auf die Nutzungsbedingungen von Facebook, die Sonderregelungen für deutsche Nutzer vorsehen und bewertete diese als Rechtswahl gem. Art. 3 Abs. 1 S. 2 Rom-I VO. Da das BDSG auch zwischen Privaten gilt, sei hier eine Rechtswahl möglich und nicht durch Art. 9 Rom-I VO versperrt.461 Problematisch sind die Fragen, auf welche Niederlassung (an welchen Orten) es ankommt und durch welche die Datenverarbeitung erfolgt. Bekannt ist, dass Facebook als Unternehmen seinen Hauptsitz in Menlo Park, Kalifornien, USA und damit in einem Drittstaat hat. Daneben hat Facebook in Dublin, Irland eine Niederlassung „Facebook Ireland Ltd.“ und in Hamburg eine Niederlassung, die auf der Facebookseite als „Unternehmenssitz“ bezeichnet wird. Einigkeit besteht überwiegend darin, dass die deutsche Niederlassung von Facebook462 keine datenverarbeitenden Tätigkeiten ausübt und keine wesentlichen Entscheidungen trifft. In einem Verfahren im einstweiligen Rechtsschutz hat das VG Schleswig festgestellt, dass die Stelle Facebook Germany GmbH lediglich im Bereich der Anzeigenakquise und im Marketing tätig ist.463 Eine Verarbeitung personenbezogener Daten von Facebook-Nutzern erfolgt bei der Facebook Germany GmbH nicht im Rahmen der Tätigkeit dieser Stelle gem. Art. 4 Abs. 1 lit. a DSRL, sodass deutsches Datenschutzrecht nicht anwendbar ist.464

459 Karg/Thomsen, DuD 2012, 729 (734); Stadler, ZD 2011, 57 (58); Düsseldorfer Kreis, Beschl. v. 08.12.2011, S.  1.; vgl. a. HmbBfDI, Anordnung v. 21.09.2012, a. u. http://www. datenschutz-hamburg.de/uploads/media/Anordnung_gegen_Facebook_2012-09-21.pdf; ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 20; a. A. VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (281). 460 LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10, ZD 2012, 276 (276). 461 LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10, ZD 2012, 276 (276). 462 In einem Verfahren im einstweiligen Rechtsschutz hat das VG Schleswig (Beschl. v. 14.02.2013 – 8 B 60/12, S. 6) festgestellt, dass die Stelle Facebook Germany GmbH lediglich im Bereich der Anzeigenaquise und im Marketing tätig ist. Eine Verarbeitung personen­ bezogener Daten von Facebook-Nutzern erfolgt dort nicht, sodass es sich dabei nicht um eine Niederlassung i. S. d. Datenschutzrichtlinie handelt. 463 VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (281). 464 VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (281 f.); zustimmend OVG Schleswig, Beschl. v. 22.04.2013 – 4 MB 10/13.

182

C. Gefährdungslagen der informationellen Selbstbestimmung 

Es ist umstritten, ob die irische Niederlassung nur als Beschwerde- und Anlaufstelle dient oder die Datenverarbeitung der europäischen Nutzer effektiv steuert.465 Diese Frage war Gegenstand der Entscheidungen des LG Berlin466 und des VG Schleswig467. Bei letzterem Gericht ließ Facebook mit einem Antrag gem. § 80 Abs.  5 VwGO vorläufig feststellen, dass es bis zur Entscheidung im Hauptverfahren weiterhin Konten von Nutzern sperren darf, die nicht ihren echten Namen als Profilnamen angegeben haben. Gegen diese Praxis der Sperrung richtete sich eine Anordnung des Unabhängigen Landeszentrums für Datenschutz SchleswigHolstein (ULD) mit Verweis auf das Pseudonymitätsgebot gem. § 13 Abs. 6 TMG. In den Datenverwendungsrichtlinien von Facebook wird die irische Niederlassung des Unternehmens als die verantwortliche Stelle für EU- und EWR-Bürger beschrieben.468 Einer Auffassung nach kommt der Facebook Ireland Ltd. keine Verantwortung zu, da alle wesentlichen Entscheidungen von Facebook in den USA (Facebook Inc.) getroffen werden.469 Nach der Auffassung von Facebook und den Ausführungen des irischen Datenschutzbeauftragten zufolge ist die Facebook Ireland Ltd. die einzige Stelle, die Kontrolle über personenbezogene Daten von nicht nordamerikanischen Nutzern in Europa hat.470 Andere regionale Stellen üben keine Kontrolle aus. Die irische Niederlassung verfügt mit 400 Arbeitnehmern über ausreichend viel Personal und die dortigen Einrichtungen erfüllen die Voraussetzungen für die Annahme einer effektiven und tatsächlichen Ausübung einer Tätigkeit mittels einer festen Einrichtung.471 Die Datenverarbeitung der Nutzerdaten findet nur im Rahmen der Tätigkeit der irischen Niederlassung statt. Der Umstand, dass die Daten technisch in den USA verarbeitet werden472, spricht nicht dagegen, da der Standort von Daten, insbesondere von Servern, weder für den Begriff der Niederlassung noch für das Merkmal „im Rahmen der Tätigkeit“ ausschlaggebend ist.473 Hat eine verantwortliche Stelle mit Sitz in einem Drittstaat eine Niederlassung in einem EU-Mitgliedstaat, ist dessen Recht an-

465

ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 19. 466 LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10, ZD 2012, 276 (276). 467 VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (280). 468 „Nutzern außerhalb der USA und Kanadas werden die Webseite www.facebook.com sowie alle Leistungen auf diesen Seiten von Facebook Ireland Limited, Hanover Reach, 5–7 Hanover Quay, Dublin 2, Irland bereitgestellt. Das Unternehmen Facebook Ireland Ltd. ist als Gesellschaft mit beschränkter Haftung mit Sitz in Irland gegründet und unter folgender Firmennummer eingetragen: 462932. [Facebook Ireland Ltd.] ist der verantwortliche Daten­ inhaber für deine persönlichen Informationen.“ Facebook Inc., Datenverwendungsrichtlinien, VI. Abschnitt, a. u. https://www.facebook.com/full_data_use_policy (Stand: 25.04.2013). 469 Karg/Thomsen, DuD 2012, 729 (731). 470 Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 213 ff. 471 Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 25. 472 Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 26. 473 Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 v. 16.12.2010, WP 179, S. 16.

III. Sozialvernetzte Datenverarbeitung

183

wendbar.474 Auch der Rechtswahl-Lösung des LG Berlin erteilt das VG Schleswig eine Absage. Bei § 1 Abs. 5 BDSG handle es sich um eine öffentlich-rechtliche Vorschrift, die als Eingriffsnorm gem. Art. 9 Rom-I VO keine Disposition über ihre Anwendbarkeit einräumt und der vertragsrechtlichen Rechtswahl vorgeht.475 Mit dieser Begründung schließt das VG Schleswig die Anwendbarkeit des deutschen Datenschutzrechts aus. Ausschließlich irisches Datenschutzrecht sei demnach anwendbar.476 Ob es sich bei der irischen Niederlassung Facebooks um die Stelle handelt, die tatsächlich die entscheidungserheblichen Datenverarbeitungsprozesse ausführt, wird vor allem in der Lehre bezweifelt. Das Kernproblem ist nunmal ob die Datenverarbeitung durch Facebook Ireland Ltd. im Rahmen ihrer Tätigkeit erfolgt. Es komme nicht nur darauf an, an welchen Tätigkeiten die Stelle beteiligt ist, sondern auch darauf welche Tätigkeiten von welcher Niederlassung ausgeführt werden und wer letztlich „Herr der Daten“ ist.477 Das VG Schleswig habe hier nicht geprüft, ob Facebook Ireland Ltd. auch Entscheidung zu Inhalten treffen darf und hat nur infrastrukturelle Aspekte bewertet.478 Die Schwierigkeit der Auslegung besteht auch darin, dass Datenverarbeitungsprozesse intransparent und nur im Wege einer sorgfältigen Prüfung der internen Abläufe ermittelbar sind. Anlässlich des vorliegenden Verfahrens im einstweiligen Rechtsschutz gem. § 80 Abs. 5 VwGO stützte sich das Gericht in einer summarischen Prüfung des Antrags nur auf den Bericht des irischen Datenschutzbeauftragten. Im Rahmen eines Hauptverfahrens könnte daher Raum für eine genaue Untersuchung der tatsächlichen Verantwortlichkeiten sein.479 Die gegen die Entscheidungen des VG Schleswig erhobenen Beschwerden des Antragsgegners wurden jedoch schließlich allesamt vom OVG Schleswig zurückgewiesen.480 (3) Zwischenergebnis Ob deutsches Datenschutzrecht auf die Datenverarbeitung bei Facebook anwendbar ist, wird in der Literatur und von der Rechtsprechung uneinheitlich beantwortet. Bei der Rechtsprechung handelt es sich v. a. um Entscheidungen im einstweiligen Rechtsschutz. Die irische Niederlassung dürfte in erster Linie, wie es bei anderen IT-Dienstleistern auch üblich ist, aus steuerrechtlichen Erwägun-

474

Offen lässt das Gericht die Frage, ob die Facebook Ireland Ltd. gemeinsam mit Facebook Inc. verantwortlich ist, VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (282). 475 VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (281); zustimmend Piltz, K&R 2013, 283 (283). 476 VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (282). 477 Karg, ZD 2013, 245 (248). 478 Karg, ZD 2013, 245 (248). 479 Piltz, K&R 2013, 283 (284); so auch Karg, ZD 2013, 245 (248). 480 OVG Schleswig, Beschl. v. 22.04.2013 – 4 MB 10/13.

184

C. Gefährdungslagen der informationellen Selbstbestimmung 

gen in Dublin gegründet worden sein und beherbert wohl in zweiter Linie das Personal zum Anzeigenvertrieb für Europa. Nach allem was über die Arbeitsweise des Unternehmens, das Wirken des Unternehmensgründes, die Bekanntmachung neuer Funktionen oder richtungsweisen­ der Entscheidungen bekannt ist, wird hier angenommen, dass die besseren Argumente dafür sprechen, dass die Datenverarbeitung effektiv vom Hauptsitz in den USA erfolgt. Daher kommt nach der hier vertretenen Auffassung deutsches Datenschutzrecht zur Anwendung. bb) Rechtsgrundlagen und Risiken der Datenverarbeitung in Sozialen Netzwerken (1) Datenschutzrelevante Handlungen Die Zulässigkeit der Datenverarbeitung beurteilt sich nach § 12 Abs.  1 TMG und § 4 Abs. 1 BDSG, soweit personenbezogene Daten zur Bereitstellung von Tele­ medien erhoben, verarbeitet und genutzt werden. Personenbezogene Daten werden in Sozialen Netzwerken beim Abschluss eines Nutzungsvertrags (Registrierung) und im Rahmen der Inanspruchnahme des Telemediums erhoben und verwendet. Soziale Netzwerke sind Telemedien, die Nutzern die Aufnahme und Pflege von sozialen Kontakten erleichtern sollen. Zum Leistungsspektrum von Sozialen Netzwerken gehören Informations- und Kommunikationsdienste, in denen personenbezogene Daten verarbeitet werden. Soziale Netzwerke halten regelmäßig Funktionen bereit, die Nutzern die Herstellung, Verarbeitung oder Weitergabe von personenbezogenen Daten Dritter ermöglichen, bspw. durch die Markierung eines Profilinhabers auf einem Foto.481 Personenbezogene Daten werden in Sozialen Netzwerken unterschiedlichen Phasen der Datenverarbeitung gem. § 3 Abs.  4 BDSG unterworfen.482 Im Rahmen der Registrierung werden Bestandsdaten und Nutzungsdaten über den Betroffenen abgefragt bzw. erhoben, § 3 Abs.  3 BDSG. Soziale Netzwerke erheben und verarbeiten ferner Nutzungs- und Inhaltsdaten bei der Inanspruchnahme ihrer Dienste, bspw. Positionsdaten und Statusbeschreibungen. Mit dem Hochladen von personenbezogenen Daten speichert der Nutzer gem. § 3 Abs.  4 Nr.  1 BDSG dort weitere Informationen. Die Bereithaltung von personenbezogenen Daten, z. B. Profildaten oder Porträtaufnahmen einer Person, die für andere Nutzer sichtbar sind oder von ihnen geteilt, mit einem „Like“ oder Kommentar versehen oder anderweitig bearbeitet werden können, ist als Übermittlung von Daten an Dritte zur Einsicht oder zum Abruf gem. § 3 Abs. 4 Nr. 3b BDSG einzu 481

Vgl. Jandt/Roßnagel, MMR 2011, 637 (639). Wohlgemuth/Gerloff, Datenschutzrecht, S. 35 ff.

482

III. Sozialvernetzte Datenverarbeitung

185

ordnen.483 Werden dem Nutzer Vorschläge zu neuen Freunden oder zu sog. ­Pokes („Anstupsen“) unterbreitet, nimmt die Stelle Handlungen vor, die zur Folge haben, dass die personenbezogenen Daten in den Bereich des Adressaten gelangen.484 Wird der Diensteanbieter als verantwortliche Stelle aktiv, handelt es sich gem. § 3 Abs. 4 Nr. 3a BDSG um eine Weitergabe personenbezogener Daten an einen Empfänger. Soweit Daten mit Personenbezug und nicht lediglich aggregierte Daten Werbepartnern zur Schaltung von Werbebannern zur Verfügung gestellt werden, sind darin eine Verarbeitung und Nutzung von Daten gem. § 3 Abs. 4 BDSG zu sehen.485 (2) Datenkategorien und Erlaubnistatbestände Die Zulässigkeit der Datenverarbeitung in Sozialen Netzwerken von nicht öffentlichen Stellen richtet sich nach den gesetzlichen Erlaubnistatbeständen der §§ 14, 15 TMG und §§ 28, 29 BDSG. Es kommt maßgeblich auf die konkreten Verarbeitungsvorgänge des Diensteanbieters an, die für die Grundfunktionen eines Sozialen Netzwerks wie folgt klassifiziert werden können: Die Registrierung eines Nutzerkontos (Registrierungsdaten), die Erhebung und Verarbeitung von personenbezogenen Daten, die im Rahmen vertraulicher, zumindest nicht öffentlicher Kommunikation, bspw. über E-Mails oder Nachrichten innerhalb der Plattform, übertragen werden (Kommunikationsdaten), die Erhebung und Verarbeitung von personenbezogenen Daten, die der Nutzer bei der Erstellung seines Profils preisgibt, um die Selbstdarstellungsfunktionen eines Sozialen Netzwerks zu nutzen (Profildaten486) und die Erhebung und Verarbeitung von personenbezogenen Daten, die bei der Nutzung eines Sozialen Netzwerks und seiner Dienste entstehen (hier sog. Interaktionsdaten). Diese vier Klassen an Datenverarbeitungsvorgängen können in Sozialen Netzwerken unterschieden werden. (a) Registrierungsdaten Für die Registrierung eines Nutzerkontos bildet § 14 TMG die maßgebliche Vorschrift, die eine Erhebung und Verwendung von personenbezogenen Daten des Nutzers erlaubt, soweit diese Daten „für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestands­ 483

Jandt/Roßnagel, MMR 2011, 637 (639). Dammann, in: Simitis, BDSG, § 3, Rn. 146. 485 Jandt/Roßnagel, MMR 2011, 637 (639). 486 Ähnlich Karg/Fahl, K&R 2011, 453 (455). 484

186

C. Gefährdungslagen der informationellen Selbstbestimmung 

daten).“ Diese Bestandsdaten werden bei der Registrierung eines Nutzerkontos er­hoben und gespeichert. Zu diesen zählen der Name, die (E-Mail-)Adressen und das Geburtsdatum des Betroffenen. Gem. § 15 Abs. 1 TMG sind die Erhebung und die Verwendung von Daten zulässig, die dazu erforderlich sind, „um die Inanspruchnahme von Telemedien zu ermöglichen oder abzurechnen (Nutzungsdaten).“ Nutzungsdaten sind Daten, die durch die konkrete Nutzung eines Telemediums entstehen oder zur Erbringung des Dienstes erforderlich sind.487 Diese Daten beinhalten gem. § 15 Abs. 1 Nr. 1 bis 3 TMG Identifikationsmerkmale wie IP-Adressen, Benutzernamen, Passwörter und Beginn und Ende der Nutzungszeit und andere Informationen über die vom Nutzer in Anspruch genommenen Dienste. Im Rahmen der Registrierung dürfen demnach diese Daten als Bestands- und Nutzungsdaten erhoben, verarbeitet und genutzt werden, sofern der Diensteanbieter seine Unterrichtungspflichten gem. § 13 TMG erfüllt hat. (b) Kommunikationsdaten Im Unterschied zu in der Regel öffentlich sichtbaren Foren, Gästebüchern oder Pinnwänden können Nutzer über Soziale Netzwerke auch vertraulich bipolar oder multipolar kommunizieren. Dazu bieten sich E-Mail-Dienste, Instant Messenger oder von der Funktionsweise her ähnliche Nachrichtendienste an. Kommunikationsinhalte können nur vom Sender, vom Empfänger und stets von der verantwortlichen Stelle gelesen werden. Werden Nachrichten über Facebook verschickt, fungiert das Netzwerk als geschlossenes System – im Unterschied zur Übertragung von E-Mails werden die Nachrichten nicht unverschlüsselt über Mailserver gesendet.488 Auch bei dieser Art der Übermittlung von Kommunikationsinhalten steht der technische Transport von (personenbezogenen) Daten im Vordergrund, sodass die Datenschutzvorschriften des TMG und der §§ 91 ff. TKG nebeneinander Anwendung finden.489 (c) Profil- und Interaktionsdaten Profil- und Interaktionsdaten machen „das Wesen Sozialer Netzwerke“490 aus. Auf Veranlassung des Betroffenen als Nutzer werden umfangreiche personen­ bezogene Daten erhoben und gespeichert. Darunter befinden sich auch besonders schutzwürdige Daten gem. § 3 Abs. 9 BDSG, die Angaben über politische Mei 487 Schmitz, in: Hoeren/Sieber, Multimedia-Recht, Teil 16.2, Rn. 198; Heckmann, in: jurisPKInternetrecht, Kap. 9, Rn. 348. 488 Vgl. Karg/Fahl, K&R 2011, 453 (456). 489 Vertiefend Karg/Fahl, K&R 2011, 453 (457). 490 Karg/Fahl, K&R 2011, 453 (455).

III. Sozialvernetzte Datenverarbeitung

187

nungen, die Religion, die Gesundheit oder das Sexualleben enthalten. Zwar bleibt es dem Nutzer überlassen, selbst über die Eingabe von Angaben zu bestimmen. In Anbetracht der Gestaltung der Eingabefelder und der Art und Weise, wie bspw. Facebook seine Nutzer zur Preisgabe ihrer Daten verleitet, ist fraglich, ob die Daten der Stelle aufgedrängt oder zielgerichtet von der Stelle beim Betroffenen erhoben werden.491 Bei Profil- und Interaktionsdaten stellt sich die Frage nach der datenschutzrechtlichen Einordnung. Da es sich um Einzelangaben handelt, die vom Nutzer bereitgestellt werden, um die vertraglich vereinbarten Funktionen zu nutzen, könnten Inhaltsdaten gegeben sein. Im Unterschied zu Bestands- oder Nutzungsdaten wären Inhaltsdaten personenbezogene Daten, deren Verarbeitung nach dem BDSG zu bewerten ist. Dogmatisch ist die Einordnung der Inhaltsdaten umstritten. Inhaltsdaten sind gesetzlich nicht ausdrücklich geregelt.492 Teilweise werden diese Inhaltsdaten den Nutzungsdaten zugeordnet, da der Anwendungsbereich des TMG gem. §§ 1 Abs. 1 S. 1, 12 Abs. 1 TMG eröffnet ist, wenn die Datenverarbeitung über einen Telemediendienst erfolgt, ganz gleich, welche Daten für welche Zwecke über­tragen werden.493 Die Zulässigkeit ist nach § 15 TMG zu beurteilen, wenn das „durch den Telemediendienst begründete Leistungsverhältnis elektronisch und online erbracht“494 wird.495 Demnach sind alle Inhaltsdaten, die zwischen dem Nutzer und dem Diensteanbieter übermittelt werden, nach § 15 TMG zu bewerten. Nach anderer Ansicht sind Inhaltsdaten dem Anwendungsbereich des BDSG, also den §§ 28, 29 BDSG, zuzurechnen.496 Es wird darauf verwiesen, dass mangels ausdrücklicher Erwähnung der Inhaltsdaten in § 15 TMG unklar sei, ob diese Vorschrift bloß auf die bei der Nutzung anfallenden Daten abzielt oder auch diejenigen Daten erfasst, die mithilfe des Telemediendienstes transportiert werden.497 Vermittelnd wird vorgeschlagen, die Einordnung nach der Erforderlichkeit der Daten für die Inanspruchnahme des Telemediums vorzunehmen.498 Sind bestimmte Daten dazu erforderlich, richtet sich die Zulässigkeitsprüfung nach § 15 TMG, andernfalls nach den §§ 28, 29 BDSG. Die Erforderlichkeit beurteilt sich

491

Vgl. Karg/Fahl, K&R 2011, 453 (455). Müller-Broich, TMG, § 15, Rn. 3. 493 Schmitz, in: Hoeren/Sieber, Multimedia-Recht, Teil 16.2, Rn. 212. 494 Schmitz, in: Hoeren/Sieber, Multimedia-Recht, Teil 16.2, Rn. 212. 495 Davon zu trennen sei lediglich der Fall der online vereinbarten Leistung, die nichtelektronisch erbracht wird; vertiefend dazu Schmitz, in: Hoeren/Sieber, Multimedia-Recht, Teil 16.2, Rn. 212. 496 Müller-Broich, TMG, § 15, Rn. 3; BT-Drs. 16/3078, S. 16. 497 Vgl. Müller-Broich, TMG, § 15, Rn.  3; Heckmann, in: jurisPK-Internetrecht, Kap.  9, Rn.  164; so auch Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, Zwölfter Teil, § 15, Rn. 2. 498 Müller-Broich, TMG, § 15, Rn. 3. 492

188

C. Gefährdungslagen der informationellen Selbstbestimmung 

nach dem im Nutzungsvertrag vereinbarten Umfang der Datenverarbeitung499 und ist anhand der konkreten Diensteerbringung eng auszulegen.500 Vor dem Hintergrund der Datenverarbeitung in Sozialen Netzwerken birgt diese Ansicht die Schwierigkeit, dass zunächst zu klären ist, welche Daten erforderlich sind, um die Inanspruchnahme eines Sozialen Netzwerks zu ermöglichen. Nach ersterer Ansicht werden alle Daten ohne Rücksicht auf die terminologische Aufgliederung des TMG in Bestands- und Nutzungsdaten, dem Telemedienrecht zugeordnet. Dies vereinfacht die Rechtsanwendung, indem die Zulässigkeit der Datenverarbeitung allein über das TMG beurteilt wird. Andererseits handelt es sich bei Inhaltsdaten um Daten, die rein zufällig über Telemedien transportiert werden. Die Zulässigkeit ihrer Datenverarbeitung durch nicht öffentliche Stellen bestimmt sich in anderen Kontexten nach den restriktiveren Tatbeständen der §§ 28 Abs. 1, 29 Abs. 1 BDSG. Beim Geschäftszweck der Übermittlung wird hier zum Schutz des Betroffenen eine Interessenabwägung vorgesehen, die in § 15 TMG nicht enthalten ist. Beide Auffassungen sind mit guten Argumenten vertretbar. Nach hier vertretener Auffassung entspricht die bundesdatenschutzgesetzliche Zuordnung der Inhaltsdaten der Intention des Gesetzgebers, sodass hier davon ausgegangen wird, dass Inhaltsdaten nach dem BDSG zu beurteilen sind. cc) Anonymität und Pseudonymität (1) Auslegung des § 13 Abs. 6 TMG Im Jahr 2012 hat Facebook eine Software eingesetzt, um Nutzerkonten zu ermitteln, deren Inhaber anstatt ihrer echten Namen mit Pseudonymen in Erscheinung treten. Nutzer wurden mit einem Popup-Fenster dazu aufgefordert, anzugeben, ob ein darauf angezeigter Freund seinen echten Namen angegeben hat.501 Nach Angaben von Facebook handelte es sich um eine statistische Erhebung.502 Im Hinblick auf das Geschäftsmodell von Facebook, das auf der sozialen Vernetzung realer, aktiv handelnder Individuen basiert503, denen eine große Bedeutung für die Vermarktung von Werbung zugemessen wird, spricht vieles dafür, dass Facebook andere Zwecke verfolgte. Die kontrovers diskutierte Nutzerbefragung wird als Vorbereitungshandlung eingeschätzt, Nutzerkonten zu entfernen, die Pseudonyme, fremde Namen, Unternehmenskennzeichen oder Markennamen als Nutzer 499

Schmitz, in: Hoeren/Sieber, Multimedia-Recht, Teil 16.2, Rn. 198. Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, Zwölfter Teil, TMG, § 15, Rn. 5. 501 Hamann/Rohwetter, Zeit Online, Beitrag v. 06.08.2012, a. u. http://www.zeit.de/2012/32/ Zensur-Apple-Facebook-Amazon-Google. 502 Hamann/Rohwetter, Zeit Online, Beitrag v. 06.08.2012, a. u. http://www.zeit.de/2012/32/ Zensur-Apple-Facebook-Amazon-Google. 503 Sorkin, New York Times, Beitrag v. 06.02.2012, a. u. http://dealbook.nytimes.com/2012/ 02/06/those-millions-on-facebook-some-may-not-actually-visit/. 500

III. Sozialvernetzte Datenverarbeitung

189

namen verzeichnen.504 Klarnamen haben für Soziale Netzwerke einen hohen Stellenwert. Bei Facebook und Google+505 tritt der Nutzer stets unter seinem Namen auf, während andere Netzwerke das Recht einräumen, innerhalb des Netzwerks unter einem Pseudonym kommunizieren zu können.506 Im Vorfeld der Eingehung eines Nutzungsvertrags ist fraglich, ob die Betreiber von Sozialen Netzwerken ihre Telemedien auch zur anonymen oder pseudonymen Nutzung bereitstellen müssen. Dazu enthält § 13 Abs.  6 S.  1 TMG eine besondere Regelung, die mit dem Gebot der Datenvermeidung und Datensparsamkeit in § 3a BDSG korrespondiert und das Recht auf Anonymität konkretisiert.507 Demnach hat der Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Nach dem Willen des Gesetzgebers hat der Diensteanbieter seine Tele­medien auf eine entsprechende anonyme oder pseudonyme Gestaltung zu prüfen.508 Umstritten ist, ob mit der „Nutzung von Telemedien und ihre[r] Bezahlung“ erst die Durchführung des Vertragsverhältnisses, also die Inanspruchnahme eines Dienstes nach Abschluss der Registrierung, oder bereits die Eingehung des Vertrags gemeint ist.509 Einer Ansicht nach habe die Vorschrift zum Ziel, „möglichst die Generierung von personenbezogenen Nutzungs- und Abrechnungsdaten, nicht aber von Bestandsdaten zu vermeiden.“510 Mit Verweis auf die zivilrechtliche Störerhaftung von Forenbetreibern wird ferner gegen eine weite Auslegung argumentiert.511 Eine anonyme Abrechnung habe jedoch wenig Sinn, wenn der Anbieter über Bestands- und Nutzungsdaten verfügt.512 Das Ziel des Gebots gem. § 3a BDSG würde nicht erreicht werden, wenn der Anbieter anonyme oder pseudonyme Nutzungs- oder Abrechnungsdaten über die Bestandsdaten reidentifizieren kann.513 Eine Belastung des Diensteanbieters durch eine weite Auslegung von § 13 Abs. 6 S. 1 TMG sei überdies ausgeschlossen, da die Vorschrift mit der tech 504 Ein ähnlicher Vorfall ist bei Google Plus bekannt geworden, dazu Stadler, ZD 2011, 57 (57); Hamann/Rohwetter, Zeit Online, Beitrag v. 06.08.2012, a. u. http://www.zeit.de/2012/32/ Zensur-Apple-Facebook-Amazon-Google. 505 Stadler, ZD 2011, 57 (57). 506 Lokalisten.de fordert den Nutzer gem. 4.3 der AGB dazu auf, seinen richtigen Namen bei der Registrierung als Bestandsdatum anzugeben. Innerhalb des Netzwerks kann der Nutzer unter einem Pseudonym agieren, a. u. http://www.lokalisten.de/common/open/showAgb. do#registration. 507 Brunst, Anonymität im Internet, S. 389; zum Dilemma der Persönlichkeitsentfaltung und der Notwendigkeit der Zurechenbarkeit des Nutzerverhaltens, Heckmann, DIVSI, a. u. https:// www.divsi.de/anonymitaet-als-dilemma; Heckmann, NJW 2012, 2631 (2632). 508 Vgl. Schaar, Datenschutz im Internet, Rn. 365. 509 Albrecht, jurisAnwZert ITR 1/2011, Anm. 2. 510 Moos, in: Taeger/Gabel, BDSG, § 13 TMG, Rn. 41. 511 Müller-Broich, TMG, § 13, Rn. 10 mit Hinweis auf OLG Düsseldorf, MMR 2006, 618 (620). 512 Brunst, Anonymität im Internet, S. 390. 513 Albrecht, jurisAnwZert ITR 1/2011, Anm. 2.

190

C. Gefährdungslagen der informationellen Selbstbestimmung 

nischen Möglichkeit und Zumutbarkeit bereits über ein Korrektiv verfügt.514 Der Schutz des § 13 Abs. 6 S. 1 TMG umfasst daher auch die anonyme und pseudonyme Vertragsgestaltung. Diese kann nach dem heutigen Stand der Technik anonym oder pseudonym abgewickelt werden515, sofern nicht die Leistungsfähigkeit des Telemediums beeinträchtigt wird.516 Zur Vermeidung der Identifikation dürften dann auch die IP-Adressen der Nutzer  – soweit sie als personenbezogene Daten bewertet werden  – nicht über den Nutzungsvorgang hinaus gespeichert werden.517 Abrechnungsverfahren können (pseudonym) über Prepaid-Dienstleister durchgeführt werden, sodass der Diensteanbieter keine Bankdaten erhebt. Ob eine anonyme oder pseudonyme Bereitstellung von Telemedien dem Diensteanbieter zumutbar ist, wird von der technischen Ausgestaltung eines Dienstes abhängig gemacht.518 Hier ist im Einzelfall das Interesse des Nutzers auf die informationelle Selbstbestimmung mit dem des Diensteanbieters auf die Identifizierung des Nutzers abzuwägen.519 Die informationelle Selbstbestimmung genießt einen Vorrang, den nur ein objektiv plausibles Interesse des Diensteanbieters überwiegen kann.520 Unzumutbar ist eine anonyme Bereitstellung eines Dienstes dann, wenn die Gefahr besteht, bei Rechtsverletzungen als Störer in Anspruch genommen zu werden. Eine solche Gefahr ist dann anzunehmen, wenn es bereits in der Vergangenheit zu Rechtsverletzungen gekommen ist oder Foren und User-Generated-Content-Plattformen intensiv genutzt werden.521 Die Gefahr, für Rechtsverletzungen Dritter in Anspruch genommen zu werden, ist jedoch bei jedem Diensteanbieter von Telemedien möglich, sodass § 13 Abs. 6 TMG leer liefe, wenn aus diesem Grund der Anonymität oder Pseudonymität eine Absage erteilt werden würde.522 (2) Anonyme Nutzungsverträge und Nutzungsmöglichkeit Eine anonyme Ausgestaltung der Nutzungsverträge ist auch bei Sozialen Netzwerken wie Facebook denkbar. Bei einer anonymen Vertragsgestaltung hätte Facebook keine Möglichkeit, einen Nutzer innerhalb und außerhalb der Face 514

Brunst, Anonymität im Internet, S. 390. Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 277. 516 Albrecht, jurisAnwZert ITR 1/2011, Anm. 2. 517 Brunst, Anonymität im Internet, S. 390; vgl. Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 277. 518 Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 278. 519 Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, Zwölfter Teil, TMG, § 13, Rn. 10; so auch Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 278; Brunst, Anonymität im Internet, S. 392. 520 Brunst, Anonymität im Internet, S. 392. 521 Müller-Broich, TMG, § 13, Rn. 10; Brunst, Anonymität im Internet, S. 392. 522 Kremer, CR 2012, 438 (442). 515

III. Sozialvernetzte Datenverarbeitung

191

book-Plattform zu identifizieren. Soziale Netzwerke sind allerdings nicht auf die einmalige Kontaktaufnahme zwischen anonymen Kommunikationspartnern gerichtet. Als Selbstdarstellungs- und Kommunikationsplattformen erleichtern sie dem Nutzer die elektronische Kontaktpflege. Ohne personenbezogene Daten zur (Nutzer-)Identität kann ein soziales Nutzungserlebnis technisch nicht gewährleistet werden. Zudem ist es unmöglich die Identität von Nutzern zu ermitteln, die Rechtsverletzungen begehen, um diese dauerhaft vom Portal auszusperren. Für den Diensteanbieter wäre es nicht zumutbar, stets als Störer haften zu müssen. Gleiches gilt für eine anonyme Nutzungsmöglichkeit eines Sozialen Netzwerks. (3) Pseudonyme Nutzungsverträge Die Verträge eines Sozialen Netzwerks könnten jedoch pseudonym vereinbart werden, indem sich der Nutzer unter seiner wahren Identität registriert und diese personenbezogenen Bestandsdaten bzw. Identifikatoren sodann durch andere Kennzeichen ersetzt (§ 3 Abs. 6a BDSG) oder indem sich der Nutzer von vornherein unter einem Pseudonym registriert. Aus technischer Sicht sind hier keine Probleme erkennbar. Fraglich ist nur, ob die pseudonyme Vertragsgestaltung zumutbar wäre. Das Geschäftsmodell eines Sozialen Netzwerks ist darauf gerichtet, seine Nutzer anhand ihrer personenbezogenen Daten und sozialen Beziehungen zu bewerben. Ob die Erhebung personenbezogener Bestandsdaten (insbesondere Name und Adressen) für den Nutzungsvertrag erforderlich ist, kann unterschiedlich bewertet werden. Für Werbetreibende kommt es darauf an, einen Nutzer interessensgerecht anzusprechen. Bei Facebook erfolgt dies z. B. durch „umfeldorientierte Werbung“ bzw. „gesponserte Meldungen“, die auf der Basis von Nutzerhandlungen (Behavioural Targeting) erzeugt werden.523 Zwar bemisst sich der Preis von Werbe­ flächen und -möglichkeiten nach bestimmbaren Personen (Unique Visitors). Diese werden allerdings anhand von IP-Adressen, deren datenschutzrechtliche Einordnung umstritten ist, ermittelt. Personenbezogene Daten zur Identität des Betroffenen müssen also nicht an Werbetreibende weitergegeben werden, um Werbung zu vermarkten.524 Klarnamen innerhalb von Sozialen Netzwerken können die Suche neuer Freunde erleichtern. Neue Freunde können allerdings auch über Freundeslisten Dritter, über Gruppen oder über das Suchfeld ohne Klarnamen gefunden 523 Facebook Inc., Datenverwendungsrichtlinien, a. u. https://www.facebook.com/about/pri vacy/advertising (Stand: Mai 2013). 524 Bei Facebook werden personenbezogene Daten nach eigenen Angaben pseudonymisiert an Werbetreibende weitergegeben: „Wie in diesen Richtlinien beschrieben, können wir deine Daten weitergeben, wenn wir alle personenbezogenen Informationen über dich von diesen entfernt haben bzw. mit anderen Informationen verknüpft haben, sodass du nicht länger identifiziert wirst.“ Facebook Inc., Datenverwendungsrichtlinien, a. u. https://www.facebook.com/ about/privacy/advertising (Stand: Mai 2013).

192

C. Gefährdungslagen der informationellen Selbstbestimmung 

und hinzugefügt werden. Vor diesem Hintergrund spricht einiges dafür, dass eine pseudonyme Gestaltung der Nutzungsverträge für Soziale Netzwerke als Diensteanbieter technisch möglich und zumutbar wäre, da die Leistungsfähigkeit der Plattform nicht eingeschränkt wäre. Problematisch ist jedoch auch hier, dass Täter oder Teilnehmer von Rechts­ verletzungen mangels hinreichender Identifizierung nicht dauerhaft von der Plattform ausgesperrt werden können. Die Wiederholungsgefahr von Rechtsverletzungen kann somit nicht ausgeräumt werden. Die Begehung von Rechtsverletzungen ist in Sozialen Netzwerken nicht unwahrscheinlich. Manche Nutzer nehmen Soziale Netzwerke als einen quasi anonymen Raum wahr, der sich tatentschlussfördernd auswirken kann.525 Bestimmte Rechtsverletzungen können auch durch die Ausgestaltung der Plattform provoziert werden.526 Ebenso wie bei pseudo­ nymen Nutzungsverträgen kann die Gefahr einer Störerhaftung des Diensteanbieters nicht von vornherein ausgeschlossen werden, während der Betroffene datenschutzrechtlich vor rechtswidrigen Eingriffen des Diensteanbieters geschützt ist. Unter Berücksichtigung dieser Aspekte haben auch pseudonyme Nutzungsverträge erhebliche Nachteile für den Diensteanbieter. Eine entsprechende Ver­ pflichtung nach § 13 Abs. 6 S. 1 TMG wäre daher für Soziale Netzwerke nicht zumutbar.527 (4) Pseudonyme Nutzungsmöglichkeit Nach Nutzerprotesten hat sich Google bereit erklärt, in seinem Sozialen Netzwerk Google+ ab März 2012 Pseudonyme anstatt von Klarnamen im Nutzer­profil zuzulassen.528 Nicht so bei Facebook. Im Rahmen des Nutzungsvertrags werden Nutzer dazu verpflichtet, ihre echte Identität anzugeben. Nutzerkonten, bei denen Profilinhaber Pseudonyme anstatt ihrer echten Namen verwendet haben, wurden gesperrt.529

525

Vgl. Heckmann, DIVSI, a. u. https://www.divsi.de/anonymitaet-als-dilemma. Zur sog. Plug-and-Play-Falle, S. 167. 527 So wohl auch Stadler, ZD 2011, 57 (58). 528 Heinemeyer, MMR-Aktuell 2011, 324834. 529 Gegen die Sperrung entsprechender Nutzerkonten schleswig-holsteinischer Betroffener richtete sich eine Anordnung des Unabhängigen Landeszentrums für Datenschutz SchleswigHolstein gem. § 38 Abs. 5 S. 1 BDSG i. V. m. § 13 Abs. 6 TMG. Gegen diese Anordnung legte Facebook Widerspruch ein. Der im Bescheid angeordnete Sofortvollzug des Verwaltungsakts wurde im Rahmen des von der Facebook Ireland Ltd. betriebenen Verfahrens im einstweiligen Rechtsschutz vom VG Schleswig (Beschl. v. 14.02.2013 – 8 B 60/12, ZD 2013, 245 (245)) kassiert und die aufschiebende Wirkung des Widerspruchs wiederhergestellt. Zu Recht, wie das OVG Schleswig in einem nachfolgenden Beschwerdeverfahren beschlossen hat (Beschl. v. 22.04.2013 – 4 MB 10/13). Nicht materiell-rechtliche Erwägungen zu § 13 Abs. 6 TMG, sondern die Anwendbarkeit des deutschen Datenschutzrechts war für die Entscheidungsfindung maßgeblich. 526

III. Sozialvernetzte Datenverarbeitung

193

Anlässlich dieser Praxis stellt sich die Frage, ob die Betreiber von Sozialen Netzwerken gem. § 13 Abs. 6 S. 1 TMG verpflichtet sind, ihren Nutzern die Möglichkeit einzuräumen, zumindest das Netzwerk pseudonym nutzen zu können.530 Das wäre dann der Fall, wenn das Nutzerkonto so konfigurierbar wäre, dass im Profil nur ein Pseudonym, Künstler- oder Spitzname anstelle des echten Vor- und Zunamens sichtbar ist. Der Einzelne wird somit zum informationellen Selbstschutz befähigt, ohne auf die Nutzung eines Sozialen Netzwerks verzichten zu müssen.531 Dies würde bedeuten, dass der Nutzer den Namen, der ihn als Person in seinem Profil bezeichnet, frei wählen könnte und dass andere Nutzer keinen Zugriff auf Bestandsdaten nehmen könnten. Diese Schutzmaßnahme ist technisch ohne Weiteres realisierbar und müsste verhältnismäßig sein. Eine derartige Maßnahme verfolgt den legitimen Zweck, die informationelle Selbstbestimmung des Betroffenen zu stärken und ist dazu auch geeignet. Bei der Erforderlichkeit der Verpflichtung wird angeführt, dass organisatorische Maßnahmen in Form der Konfigurationsmöglichkeit von sog. Datenschutzeinstellungen den Profilinhaber dazu befähigen würden, die Zugriffsrechte anderer Nutzer auf seine Daten zu begrenzen.532 Diese Ansicht ist zutreffend, sofern die Datenschutzeinstellungen im Einzelfall auch die Sichtbarkeit des Namens erfassen. Bei Facebook ist eine solche Konfiguration allerdings nicht möglich. Der Name eines Nutzers ist innerhalb und teilweise auch außerhalb des Sozialen Netzwerks für alle Empfänger sichtbar. Die Einräumung der Möglichkeit, pseudonym innerhalb des Sozialen Netzwerks handeln zu können, fördert die informationelle Selbstbestimmung des Nutzers, selbst wenn die Verschleierung der Identitäten dem Interesse der Nutzer an einer erleichterten sozialen Vernetzung und Interaktion widersprechen könnte.533 Dem Diensteanbieter erwachsen keine nennenswerten Nachteile. Aufgrund der personenbezogenen Bestandsdaten können Nutzer stets (re)identifiziert werden, um bspw. zur Vermeidung einer Störerhaftung einen Nutzer ausschließen zu können. Soziale Netzwerke, die keine pseudonyme Nutzung ermöglichen, verstoßen daher gegen § 13 Abs. 6 S. 1 TMG. Diese Auffassung teilen auch der Düsseldorfer Kreis534 und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), das in einer Anordnung gem. § 38 Abs. 5 S. 1 BDSG der Facebook Ireland Ltd. aufgegeben hat, diese Praxis zu ändern.535 Nach der Auffassung des ULD sind die Facebook Inc. und die Facebook Ireland Ltd. gemeinsam verantwortlich und haben § 13 Abs. 6 TMG ein 530

s. dazu auch Düsseldorfer Kreis, Beschl. v. 08.12.2011, S. 2. Vgl. Stadler, ZD 2011, 57 (58). 532 Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 281. 533 Vgl. Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 278. 534 Vgl. Düsseldorfer Kreis, Beschl. v. 08.12.2011, S. 2. 535 ULD, Pressemitteilung v. 17.12.2012, a. u. https://www.datenschutzzentrum.de/presse/ 20121217-facebook-klarnamen.htm. 531

194

C. Gefährdungslagen der informationellen Selbstbestimmung 

zuhalten. Die Einräumung von Pseudonymen sei Facebook zumutbar, da die Klarnamenpflicht weder einen Missbrauch des Dienstes für Rechtsverletzungen oder Provokationen noch einen Identitätsdiebstahl verhindere. Facebook steht dagegen auf dem Standpunkt, dass die Facebook Ireland Ltd., nicht die Konzernmutter Facebook Inc., verantwortlich sei, für die allein irisches Recht gelte, dass die DSRL vollständig umsetzt, und daher § 13 Abs. 6 S. 1 TMG keine Anwendung finde. Da Facebook mit der Klarnamenpflicht zudem Vertrauen und Sicherheit fördern wolle, wäre eine Abkehr von dieser Praxis nicht zumutbar, selbst wenn § 13 Abs. 6 S. 1 TMG anwendbar wäre.536 Das VG Schleswig537 hat im Rahmen zweier Eilverfahren entschieden, dass allein die Facebook Ireland Ltd. die verantwortliche Stelle für deutsche Nutzer sei und das allein irisches Datenschutzrecht zur Anwendung komme, sodass § 13 Abs. 6 TMG keine Anwendung findet. Nach der Entscheidung des OVG Schleswig ist für das Eilverfahren von einer Tätigkeit der irischen Niederlassung im Bereich der Nutzerdatenverarbeitung auszugehen.538 Der sog. Klarnamenzwang von Facebook ist daher weiterhin nach deutschem Datenschutzrecht nicht zu beanstanden. dd) Minderjährige als Nutzer Eine Reihe von Sozialen Netzwerken, wie bspw. Lokalisten, MySpace oder Face­book, wirbt gezielt um jugendliche und heranwachsende Nutzer. Altersgrenzen sind dabei meist gering angesetzt.539 Soziale Netzwerke avancieren auch bei jungen Nutzern zum zentralen Kommunikationsmedium: Nach einer EU-weiten Umfrage aus dem Jahr 2010 verfügen 77 Prozent der 13- bis 16-Jährigen und 38 Prozent der 9- bis 12-Jährigen über ein Profil in einem Sozialen Netzwerk.540 Ein Viertel der Profile sei öffentlich zugänglich und ein Fünftel der Profile beinhalte zudem private Adressen und Telefonnummern.541 Da Soziale Netzwerke sowohl für ihre Diensteanbieter, aber auch für (nicht-)öffentliche Stellen oder andere Nutzer mannigfaltige Möglichkeiten zur Auswertung der Daten bereitstellen, kann die Ausübung der informationellen Selbstbestimmung gefährdet sein.542 Die Inhalte der Daten sind zudem mangels einer Überprüfung bzw. Überprüfbarkeit ihrer Richtigkeit, kaum kontrollierbar und können aufgrund der weltweiten Ver-

536

ULD, Pressemitteilung v. 17.12.2012, a. u. https://www.datenschutzzentrum.de/presse/ 20121217-facebook-klarnamen.htm. 537 VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (280). 538 OVG Schleswig, Beschl. v. 22.04.2013 – 4 MB 10/13. 539 Jandt/Roßnagel, MMR 2011, 637 (637). 540 Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 498. 541 Dies geht aus der EU-Kids-Online-Studie mit 25.000 Befragten hervor, Beck-Aktuell, Beitrag v. 19.04.2011, becklink 1012463. 542 Jandt/Roßnagel, MMR 2011, 637 (637).

III. Sozialvernetzte Datenverarbeitung

195

netzung nur schwerlich gelöscht werden.543 Im Hinblick auf diese Gefährdungs­ lagen ist fraglich, ob Minderjährige eine wirksame Einwilligung in die Datenverarbeitung eines Sozialen Netzwerks oder einer Anwendung (App) erteilen können. Da das deutsche Datenschutzrecht keine ausdrücklichen Altersgrenzen für die wirksame Abgabe von Einwilligungserklärungen normiert, werden Schutzanforderungen für jugendliche Nutzer aus dem Recht auf informationelle Selbstbestimmung und dem Elternrecht gem. Art.  6 Abs.  2, Abs.  3 GG abgeleitet.544 Altersunabhängig können Jugendliche Träger des Rechts auf informationelle Selbstbestimmung sein. Etwas anderes gilt bei der Fähigkeit zur Ausübung eines Grundrechts. Die sog. Grundrechtsmündigkeit wird von der Einsichtsfähigkeit abhängig gemacht. Die Schutzpflichten des Staates, die informationelle Selbstbestimmung von Jugendlichen zu gewährleisten, enden nach dem Verantwortungsprinzip grundsätzlich dann, wenn personenbezogene Daten auf einen freiwilligen Entschluss hin preisgegeben werden.545 Die Nutzung von Sozialen Netzwerken ist somit der gesetzlichen Regulierung entzogen, soweit ein Nutzer selbst die Verantwortung für sein (datenschutzrechtlich relevantes) Handeln trägt. Das Verantwortungsprinzip erfährt jedoch bei Jugendlichen eine Einschränkung, die sich aus Art.  6 Abs.  2 GG herleitet. Der Schutz und die Förderung des Kindeswohls sind gem. Art. 6 Abs. 2 S. 1 GG eine Pflicht der Eltern546, über die gem. Art. 6 Abs. 2 S. 2 GG die staatliche Gemeinschaft wacht.547 Diese Schutzfunktion des Staates hat Auswirkungen auf die informationelle Selbstbestimmung eines Jugendlichen.548 Die Ausübung der informationellen Selbstbestimmung erfolgt durch die Erklärung einer Einwilligung in die Datenverarbeitung. Die Rechtsnatur der Einwilligungserklärung wird unterschiedlich beurteilt, aber überwiegend als nicht rechtsgeschäftliche Erklärung eingeordnet, sodass es auf die Geschäftsfähigkeit des Betroffenen nicht ankommt.549 Vor dem Hintergrund des staatlichen Schutzauftrags und der Dogmatik zur Grundrechtsmündigkeit eines Jugendlichen setzt eine datenschutzrechtliche Einwilligung die Einsichtsfähigkeit des Betroffenen voraus.550 Die Einsichtsfähigkeit kann weder abstrakt festgelegt noch an ein bestimmtes Alter gebunden werden.551 Entscheidend ist vielmehr der jeweilige Verwendungszusammenhang der Datenverarbeitung.552 Die Kenntnis der Ziele und Zwecke der Datenverarbeitung 543

Jandt/Roßnagel, MMR 2011, 637 (637). Jandt/Roßnagel, MMR 2011, 637 (638). 545 Jandt/Roßnagel, MMR 2011, 637 (638). 546 Badura, in: Maunz/Dürig, Grundgesetz, Art. 6, Rn. 110. 547 Badura, in: Maunz/Dürig, Grundgesetz, Art. 6, Rn. 139. 548 Jandt/Roßnagel, MMR 2011, 637 (638). 549 Schaffland/Wiltfang, BDSG, 2. Lfg 2011, § 4a, Rn. 21; Jandt/Roßnagel, MMR 2011, 637 (640); a. A. Simitis, in: Simitis, BDSG, § 4a, Rn. 20. 550 Vgl. Jandt/Roßnagel, MMR 2011, 637 (638). 551 Simitis, in: Simitis, BDSG, § 4a, Rn. 21. 552 Simitis, in: Simitis, BDSG, § 4a, Rn. 21. 544

196

C. Gefährdungslagen der informationellen Selbstbestimmung 

und deren Bedingungen befähigt den Betroffenen dazu, eine freiwillige Entscheidung zu treffen.553 Ob ein Minderjähriger die erforderliche Einsichtsfähigkeit hat, muss daher unter Berücksichtigung der Umstände des Einzelfalls beurteilt werden.554 Es kann nicht pauschal davon ausgegangen werden, dass Minderjährige ab dem 15.  Lebensjahr grundsätzlich die nötige Reife haben, um die Tragweite der Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen.555 Bei Sozialen Netzwerken besteht die Gefahr, dass jugendliche Nutzer die ihnen potenziell drohenden Gefährdungslagen nicht hinreichend ein­ schätzen können. Diese Gefahr hat auch der Düsseldorfer Kreis festgestellt und empfiehlt daher, den Minderjährigenschutz zu verbessern.556 Kommt eine Betrachtung unter Berücksichtigung des Einzelfalls, insbesondere des Funktionsumfangs eines Sozialen Netzwerks zu dem Ergebnis, dass die nötige Einsichtsfähigkeit bei Abgabe der Einwilligung nicht vorhanden war, ist die Einwilligung unwirksam. Die Zulässigkeit der Datenverarbeitung bestimmt sich dann nach den §§ 28, 29 BDSG. In der Praxis der sozialen Netzwerke findet derzeit in der Regel keine Alterskontrolle statt, sodass eine solche Überprüfung einen Ausnahmefall bilden würde. ee) Rechtmäßiger Datenzugriff durch US-amerikanische Behörden Der Zugriff auf personenbezogene Daten, die in Sozialen Netzwerken gespeichert sind, unterscheidet sich dem Grunde nach nicht von Zugriffen auf Cloud-Service-Provider.557 Der Durchgriff auf Daten, die bei europäischen Niederlassungen eines Konzerns gespeichert sind, ist unter denselben rechtlichen Rahmenbedingungen möglich. Bei Facebook bspw. werden die personenbezogenen Daten aller Nutzer auf US-amerikanischen Servern gespeichert558, sodass ein Zugriff auf diese Daten ohne Umwege über Konzernverbindungen denkbar ist, die im Kontext von Cloud Computing erörtert wurden.559 Nach Angaben von Facebook, die im Nachgang der NSA-Enthüllungen zur Vermeidung von Reputationsschäden ver­öffentlicht wurden, sind im zweiten HalbJahr 2012 9.000 bis 10.000  Anfragen von US-amerikanischen Sicherheitsbehörden zur Auskunft über personenbezogene Daten bei dem Unternehmen eingegangen. Die Anfragen betrafen etwa 18.000 bis 19.000 Nutzerkonten. Inhaltlich sei es sowohl um Fälle vermisster Kin 553

Vgl. Simitis, in: Simitis, BDSG, § 4a, Rn. 21. Kremer, CR 2012, 438 (442). 555 OLG Hamm, Urt. v. 20.9.2012 – I-4 U 85/12, ZD 2013, 29. 556 Düsseldorfer Kreis, Beschl. v. 08.12.2011, S. 2. 557 s. oben, S. 141. 558 Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 26. 559 Ausführlich dazu s. oben im Kontext der Vorfragen zum Cloud Computing, S. 141 ff. 554

III. Sozialvernetzte Datenverarbeitung

197

der, polizeiliche Ermittlungen und um Terrordrohungen gegangen. Weitere Informationen, auch dazu wie oft tatsächlich eine Auskunft erteilt wurde, gab Facebook Inc. nicht bekannt.560 Gesicherte Erkenntnisse zu dem Gesamtumfang der Zugriffe gibt es bislang nicht. b) Zulässigkeit der Datenverarbeitung in Sozialen Netzwerken aa) Selbstdarstellung und soziale Interaktion (1) Begrenzte Selbstbestimmung bei Profilen In Nutzerprofilen von Sozialen Netzwerken kann eine grenzenlose Menge an personenbezogenen Daten des Betroffenen oder Dritter gespeichert werden. Bei Facebook weist das Profil eines neu registrierten Nutzers zunächst nur dessen Namen, E-Mail-Adresse und Profilbild auf. Die Erhebung dieser Daten setzt Facebook als Bestandsdaten im Registrierungsprozess voraus und speichert sie auch im Profil. In Profilen kann ferner eine unendliche Menge an Inhaltsdaten zu Interessen, Freunden, Multimediadaten, Orten etc. gespeichert werden. Facebook schafft dazu nicht nur Anreize, sondern fordert Profilinhaber regelmäßig und nachdrücklich dazu auf, weitere Daten, z. B. welche Schule oder Universität besucht wurde, einzugeben. Mit jeder Nutzungshandlung, bspw. der Veröffent­lichung eines Check-ins oder eines Kommentars, entstehen nach den Umständen des Einzelfalls weitere Nutzungs- oder Inhaltsdaten. Das Profil eines Sozialen Netzwerks bildet die virtuelle Bühne, auf der die Selbstdarstellung des Nutzers von diesem oder seinen Freunden mithilfe von personenbezogenen Daten inszeniert wird. Gleichzeitig kann das Profil als Anwendungsoberfläche eines Software-as-a-Service-Dienstes betrachtet werden, über die Prozesse zur Speicherung, Verarbeitung561 oder Nutzung von personenbezogenen Daten gesteuert werden. Die Qualität dieser Steuerungsmöglichkeiten ist nicht nur für die Bedienbarkeit der Plattform, sondern auch für die Gewährleistung der informationellen Selbstbestimmung entscheidend. Im Rechtsverhältnis des Nutzers zum Diensteanbieter kann ein Profil Funktionen enthalten, Daten zu sperren oder zu löschen. Für die Gewährleistung eines angemessenen Datenschutzniveaus ist aber vielmehr entscheidend, den Zugriff von anderen Nutzern oder Dritten (ggf. auch Drittdienst-

560

Zeit Online, Beitrag v. 15.06.2013, http://www.zeit.de/digital/datenschutz/2013-06/face book-anfragen-nsa. 561 Dazu zählt gem. § 3 Abs. 4 BDSG die Bereithaltung von Daten zur Einsicht Dritter, zum Abruf oder zur Weitergabe, bspw. wenn die Einwilligung zur Erhebung von personenbezogenen Daten von einem Drittdienstleister gefordert wird, um eine App benutzen zu können. Ferner ist auch die Löschung von Daten eine Verarbeitung i. S. v. § 3 Abs. 4 BDSG.

198

C. Gefährdungslagen der informationellen Selbstbestimmung 

leistern) individuell begrenzen zu können. Die Begrenzung des Zugriffs kann über Konfigurationseinstellungen, sog. Datenschutzeinstellungen, vorgenommen werden. Diese Art von Einstellungen war in Sozialen Netzwerken ursprünglich nicht enthalten.562 Je nach Art einer Anwendung kann es allgemeine, objekt- oder anwendungsspezifische Datenschutzeinstellungen geben. Über die Konfiguration der allgemeinen Datenschutzeinstellungen kann der Datenzugriff von Nutzern bei Facebook (dort sog. Privatsphäre-Einstellungen) über eine Auswahl voreingestellter Empfängerkreise oder teilweise individuell bestimmbarer sog. Listen beschränkt werden. Facebook differenziert zwischen den Empfängerkreisen „Öffentlich“, „Freunde“, „Freunde ohne Bekannte“, „Bekannte“, „Nur ich“, „Benutzerdefiniert“ und auch „Alle“ und „Freunde von Freunden“. Darüber hinaus können Listen erstellt werden, die teilweise von Facebook anhand des Social Graphs nutzergruppenspezifisch vorgeschlagen werden, wie bspw. „Enge Freunde“ oder „Uni Passau“. Trotz dieser Konfigurationsoptionen ist der Schutz der informationellen Selbstbestimmung nur eingeschränkt möglich. Zwar bietet Facebook eine präzise Zugriffssteuerung bei bestimmten Nutzungshandlungen, wie bspw. bei der Veröffentlichung von Beiträgen. Bei bestimmten Datenkategorien ist allerdings ein Zugriffsschutz von vornherein ausgeschlossen. In den Datenverwendungsrichtlinien stellt Facebook klar, dass bestimmte Daten der freien Entscheidung des Betroffenen zur Preisgabe und Verwendung entzogen sind. In erster Linie zählen dazu die zur Registrierung erforderlichen Bestands- und Nutzungsdaten, deren Erhebung und Verarbeitung gem. den §§ 13, 14 TMG legitimiert sind. Stets sichtbar563 sind ferner „öffentliche Informationen“564, die sich aus personenbezogenen Daten zusammensetzen, die ein Nutzer aus freier Entscheidung für „Alle“ oder „Öffentlich“ sichtbar gemacht hat oder die Facebook 562 Mit dem Aufkommen der Sozialen Netzwerke waren derartige „Datenschutzeinstellungen“ zunächst nicht verfügbar. Der Zugriff auf fremde Profile konnte bspw. bei StudiVZ oder Lokalisten in den Anfangsjahren nicht beschränkt werden. Jeder Nutzer konnte alle personenbezogenen Daten anderer Nutzer abrufen. Auch Facebook kannte zunächst keine Zugriffsregelungen für Profile. Das Unternehmen sprach sich vielmehr dafür aus, die informationelle Selbstbestimmung, bzw. nach US-amerikanischem Verständnis die Privatheit, als solche aufzugeben, da dieses Konzept im Social Web nicht mehr zeitgemäß sei. Dieses auch sog. Postprivacy-Konzept wurde von Facebook nach weltweiten Nutzerprotesten nicht weiter verfolgt, dazu auch Kirkpatrick, ReadWriteWeb, Beitrag v. 09.01.2010, a. u. http://www.readwriteweb. com/archives/facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php. 563 Diese Daten sind innerhalb und außerhalb von Facebook allgemein zugänglich und werden an Suchmaschinen weitergegeben, dazu im Kontext von polizeilichen Ermittlungen vertiefend, Seidl/Beyvers, jurisAnwZert ITR 15/2011, Anm. 3; weiterführend Rosengarten/Römer, NJW 2012, 1764 ff. 564 Facebook versteht darunter „Informationen, die du auf eigenen Wunsch öffentlich zugänglich machst, sowie Informationen, die stets öffentlich verfügbar sind.“ Facebook Inc., Datenverwendungsrichtlinien, a. u. https://www.facebook.com/about/privacy/your-info.

III. Sozialvernetzte Datenverarbeitung

199

von vornherein als öffentlich definiert. Unter „Alle[n]“ versteht Facebook nicht nur die Gesamtheit der Facebook-Mitglieder, sondern die Gesamtheit der Internetnutzer und Werbetreibenden.565 Vorab und unveränderlich als öffentlich definiert sind Name, Profil- und Chronikbilder566, das Netzwerk, das Geschlecht, der Nutzername und die eindeutige Nutzerkennnummer. Eine ausführliche Beschreibung zum Umfang und zu den Zwecken der Verarbeitung ist nur für „Nutzername und Nutzerkennnummer“ vorgesehen. Diese zentralen Daten kann ein Nutzer also nicht vor dem Zugriff Dritter schützen. Die allgemeinen Datenschutzeinstellungen enthalten ebenfalls Beschränkungen. In der Rubrik „Wer kann nach mir suchen?“ kann der Betroffene lediglich zwischen „Alle“, „Freunde von Freunden“ oder „Freunde“ optieren. Eine weitere Eingrenzung auf Listen, bspw. „Uni Passau“, oder eine Deaktivierung der Suchfunktion ist nicht vorgesehen. Die von den Datenschutzeinstellungen nur aus Gründen der Übersichtlichkeit getrennten Datenschutzoptionen „Chronik und Markierungseinstellungen“ weisen auch Einschränkungen auf.567 Hervorzuheben ist, dass Facebook seinen Nutzern mittlerweile die „Vorab­ kontrolle“ von Markierungen ermöglicht. Über Markierungen können Profil­ inhaber mit Medieninhalten verknüpft werden, sodass personenbezogene Daten überhaupt erst geschaffen werden. Die Sichtbarkeit solcher Markierungen im Nutzerprofil kann bei entsprechender Aktivierung dieser Opt-in-Option von der Einwilligung des Betroffenen in jedem Einzelfall abhängig gemacht werden. Damit wird zwar die Verlinkung von Objekten mit Nutzerprofilen individuell steuerbar. Die Verbreitung und Vervielfältigung von personenbezogenen Daten wie Portraitoder Nahaufnahmen werden dadurch jedoch nicht unterbunden  – hochgeladene Medieninhalte befinden sich auch dann auf der Facebook-Plattform, wenn der Nutzer die Markierung nicht gestattet. Ob die Begrenzung des Zugriffsschutzes in den Datenschutzeinstellungen zulässig ist, richtet sich danach, ob eine entsprechende Datenverarbeitung legitimiert ist. Beim öffentlichen Zugriff auf den Klarnamen des Nutzers handelt es sich um eine Erhebung und Verarbeitung von Daten. Die Erhebung von Namen ist grundsätzlich gem. den §§ 12, 14 TMG legitimiert. Namen werden in Facebook u. a. in der Weise verarbeitet, dass sie für eine beschränkte Vielzahl an Dritten gem. § 3 Abs. 4 Nr. 3 BDSG zur Einsicht bereitgehalten werden. Die Veröffentlichung dieser Daten auf dem Profil eines Betroffenen ist nicht für die Begründung, inhaltliche Ausgestaltung oder Änderung des Nutzungsvertrags zwischen dem Diensteanbieter und dem Nutzer erforderlich. Diese Datenverarbeitung ist daher von

565

Erd, in: Taeger, Digitale Evolution, S. 253 (264 f.). Der Zugriff auf Profil- und Chronikbilder ist insofern beschränkbar, als der Profilinhaber einstellen kann, dass eine Vergrößerung der Bilder nicht möglich ist. 567 Bei der Rubrik „Wer kann Inhalte zu meiner Chronik hinzufügen?“ kann nur zwischen „Freunde“ oder „Nur ich“ ausgewählt werden. Mehr Optionen werden nicht zugelassen. 566

200

C. Gefährdungslagen der informationellen Selbstbestimmung 

einer informierten, ausdrücklichen und freien Entscheidung des Nutzers gem. § 12 TMG, § 4a BDSG abhängig. Der Betroffene müsste auf den vorgesehenen Zweck der Verarbeitung oder Nutzung und ggf. auf die Folgen der Verweigerung der Einwilligung hingewiesen werden. In den Datenverwendungsrichtlinien erklärt Facebook, die „öffentliche“ Verarbeitung von Namen diene dazu, dass der Nutzer für Freunde und Familienangehörige im Sozialen Netzwerk auffindbar ist.568 Über weitere Zwecke wird der Betroffene nicht unterrichtet. So wird bspw. der Name des Betroffenen auch im Rahmen der sog. „Umgehenden Personalisierung“ als geschäftsmäßige Übermittlung zum Zweck der Werbung an externe Diensteanbieter weitergegeben. Diese Funktion ist voreinstellungsbedingt aktiviert und muss vom Betroffenen deaktiviert werden (Opt-out-Entscheidung). Auch darüber ob der Name zur Verifikation der Authentizität einer Person, zur Ermittlung der Anzahl echten Nutzer zum Ausschluss von Fake-Konten oder zu sonstigen statistischen Zwecken569 verwendet wird, bspw. indem Freunde gefragt werden, ob eine bestimmte Person seinen richtigen Namen bei Facebook gespeichert hat570, klärt Facebook nicht auf. Ob der öffentliche Zugriff auf Klarnamen ebenso dazu dient, das Soziale Netzwerk gegen Anonymität, die Verletzung der Allgemeinen Geschäftsbedingungen (bei Facebook sog. Nutzungsbedingungen) und der sog. Gemeinschaftsrichtlinien abzusichern, bleibt offen. Es ist daher zweifelhaft, ob Facebook hinreichend über die Zwecke dieser Datenverarbeitung unterrichtet und ob eine entsprechend getroffene Einwilligung im Rahmen des Registrierungsvorgangs wirksam abgegeben wird. Bei den von Facebook vorgenommenen Konfigurationsoptionen handelt es sich um ein Zugeständnis des Diensteanbieters an die Nutzer, die auch im Sozialen Netzwerk nicht auf ihre informationelle Selbstbestimmung und den Schutz ihrer Privatheit verzichten wollen. Die Begrenzung von Zugriffen anderer Nutzer kann nur partiell vorgenommen werden. Die Voreinstellungen sind überwiegend an dem Ziel der allgemeinen Zugänglichkeit der Daten ausgerichtet. Den Konfigurationsoptionen ist überwiegend gemein, dass die Voreinstellungen nicht datenschutzfördernd, sondern auf die größtmögliche Verbreitung von personenbezogenen Daten programmiert sind. Es fehlt an einem Korrektiv für besonders schutzwürdige Betroffene, bspw. Minderjährige571 oder unerfahrene Nutzer, die die Komplexität der Datenverarbeitung und ihrer Folgen nicht ohne Weiteres verstehen können. Die

568

Facebook Inc., Datenverwendungsrichtlinien, a. u. https://www.facebook.com/about/pri vacy/your-info. 569 Nach Angaben von Facebook diente diese Überprüfung lediglich der Auswertung zu „statistischen Zwecken“, Lischka/Reißmann, Spiegel Online, Beitrag v. 09.07.2012, a. u. http://www.spiegel.de/netzwelt/netzpolitik/pseudonyme-facebook-nutzer-sollen-freundeverpetzen-a-843326.html. 570 Lischka/Reißmann, Spiegel Online, Beitrag v. 09.07.2012, a. u. http://www.spiegel.de/ netzwelt/netzpolitik/pseudonyme-facebook-nutzer-sollen-freunde-verpetzen-a-843326.html. 571 Düsseldorfer Kreis, Beschl. v. 08.12.2011, S. 2.

III. Sozialvernetzte Datenverarbeitung

201

Datenschutzeinstellungen enthalten mit wenigen Ausnahmen572 keine hinreichenden Informationen oder Empfehlungen, die eine Hilfestellung geben könnten.573 (2) Nutzer als Betroffene oder verantwortliche Stellen (a) Nutzungshandlungen Mit „Betroffenen“, „verantwortlichen Stellen“, „Empfängern“ und „Dritten“ sind die Rollen im Datenschutzrecht klar verteilt.574 Nach der Konzeption des § 3 Abs.  1 BDSG wird jede natürliche Person in die Rolle des Betroffenen gedrängt, über die Informationen über persönliche oder sachliche Verhältnisse erhoben, verarbeitet oder genutzt werden. Der Grundrechtsschutz des Betroffenen, der im BDSG konkretisiert ist, wird durch das Verbot der Datenverarbeitung mit Erlaubnisvorbehalt abgesichert. Verantwortliche Stelle ist gem. § 3 Abs. 7 BDSG „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“. Empfänger ist gem. § 3 Abs. 8 BDSG „jede Person oder Stelle, die Daten erhält“. Dritte sind Kommunikationspartner der verantwortlichen Stelle, die gem. § 3 Abs. 8 S. 2 BDSG nicht der Stelle angehören und nicht Betroffene sein können. Die Übertragung dieser Rollenverteilung auf die Anbieter-Nutzer-Beziehungen in Sozialen Netzwerken weist Schwierigkeiten auf. Zwar wird kaum bezweifelt, dass der Diensteanbieter als Software-as-a-Service-Anbieter eine verantwortliche Stelle ist.575 Bei dem Betroffenen handelt es sich jedoch um eine natürliche Person, die als Nutzer die Datenverarbeitung selbst veranlasst und vorantreibt. Neben einer Bühne zur Selbstdarstellung unterstützen Soziale Netzwerke die Aufnahme und Förderung sozialer Kontakte. Die dazu angebotenen Funktionen erlauben nicht nur, personenbezogene Daten anderer Betroffener preiszugeben, sondern auch, den Personenbezug überhaupt erst herzustellen. Dazu werden Medieninhalte mit Profildaten bestimmter Personen verknüpft.576 Datenschutzrechtlich unstreitig ist, dass auch eine eigenständig handelnde natürliche Person577 verantwortliche Stelle sein kann. Dies gilt selbst dann, wenn die 572 Bei der „Umgehenden Personalisierung“ wird die Funktionsweise der Datenverarbeitung bspw. in einem kurzen Textfeld erläutert und mit einem Videofilm veranschaulicht. 573 Zu einer älteren Version der Datenschutzeinstellungen, Erd, in: Taeger, Digitale Evolution, S. 253 (261 f.). 574 Jandt/Roßnagel, ZD 2011, 160 (160). 575 Erd, NVwZ 2011, 20 (20); BT-Drs. 17/6765, S. 10 ff. 576 Soziale Netzwerke bieten dem Nutzer daher vielfältige Möglichkeiten, nicht nur die informationelle Selbstbestimmung anderer zu beeinträchtigen, sondern auch über deren Privatheit zu disponieren. Persönlichkeitsrechtlich droht die Reduktion von Distanz zwischen der privaten und öffentlichen Sphäre des Grundrechtsträgers, Heckmann, K&R 2010, 770 (772). 577 Natürliche Personen, die als Arbeitnehmer für eine Stelle tätig werden, sollten nicht als eigene verantwortliche Stellen betrachtet werden. Dies gilt nicht, wenn die natürliche Person

202

C. Gefährdungslagen der informationellen Selbstbestimmung 

Person auch Betroffener ist. Das wäre z. B. dann der Fall, wenn der Nutzer personenbezogene Daten von anderen Betroffenen verarbeitet.578 Die eigene Datenverarbeitung ist allerdings nur dann datenschutzrechtlich relevant, wenn sie nicht für „persönliche oder familiäre Tätigkeiten“ gem. § 1 Abs. 2 Nr. 3 BDSG erfolgt. Die Vornahme der Datenverarbeitung zu diesen Zwecken ist vom Anwendungsbereich des BDSG ausgenommen. Der Betroffene kann in eigener Sache frei disponieren und sich ggf. durch die Preisgabe von Daten bei unzuverlässigen Stellen selbst gefährden. Eine Verpflichtung des Betroffenen zum Selbstdatenschutz kennt das BDSG gerade nicht.579 Die Selbstdarstellung eines Nutzers durch die Preisgabe privater Daten in Sozialen Netzwerken ist daher keine datenschutzrechtlich relevante Handlung. Wenn nun aber der Nutzer nicht nur eigene, sondern auch fremde personenbezogene Daten in einem Sozialen Netzwerk veröffentlicht, stellt sich die Frage, ob der Betroffene damit zur verantwortlichen Stelle avanciert. Im Kern ist fraglich, ob die klassische Rollenverteilung, die das BDSG voraussetzt, den Herausforderungen an einen effektiven Schutz der informationellen Selbstbestimmung von Nutzern im Social Web gerecht wird. Im Unterschied zum BDSG ist in Art. 2 lit. d S. 1 DSRL konkreter geregelt, wer als Verantwortlicher einer Datenverarbeitung in Betracht kommt. Das ist die Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach Auffassung der Art.-29-Datenschutzgruppe erschöpft sich die Verantwortlichkeit nicht in der Entscheidungsbefugnis, sondern erfordert eine tatsächliche Einflussnahme.580 Nicht nur die Entscheidung, ob eine Datenverarbeitung vorgenommen werden soll, sondern auch die Wahl der Mittel, also der Technologien, der Anwendungen, des Umfang und der Art der Datenverarbeitung sowie der Speicherdauer sind entscheidend.581 Die Wahl der Mittel geht mit der Entscheidung über die Ziele und den Zweck der Datenverarbeitung einher.582 Maßgeblich kommt es auf die Entscheidung zur Zweckbestimmung an. Der Verantwortliche gibt damit vor, wie die Datenverarbeitung ausgestaltet werden soll. Die Entscheidung über die Wahl der Mittel kann hingegen delegiert werden, wie das Konstrukt der Auftragsdatenverarbeitung belegt. Der Nutzer eines Sozialen Netzwerks kann teilweise über das „Ob“ der Datenverarbeitung entscheiden, wenn er vor der Frage steht, ob personenbezogene Informationen auf der Plattform gespeichert werden sollen bzw. ob er eine datenschutzrechtlich relevante Funktion oder App nutzen will. Die Entscheidung zum „Wie“ trifft der Nutzer zumindest oberflächlich durch die Verwendung vorgegebener Kommunikationskanäle und Anwendungen. Auf die dahinter stehenden techinnerhalb der Stelle personenbezogene Daten für eigene Zwecke verarbeitet, dazu Art.-29Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 15 f. 578 Jandt/Roßnagel, ZD 2011, 160 (160). 579 Dammann, in: Simitis, BDSG, § 3, Rn. 226. 580 Art.-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 11. 581 Vgl. Jandt/Roßnagel, ZD 2011, 160 (160). 582 Jandt/Roßnagel, ZD 2011, 160 (160).

III. Sozialvernetzte Datenverarbeitung

203

nischen Bedingungen hat er keinen Einfluss, denn diese werden vom Betreiber des Netzwerks entschieden. Bei der Entscheidung über das „Warum“, also über den Zweck der Datenverarbeitung, wird der Nutzer von der Ausgestaltung des Sozialen Netzwerks beeinflusst. Je weniger Gestaltungsoptionen verbleiben, desto weniger sei von einer Entscheidung des Nutzers auszugehen.583 Wird der Nutzer in die Rolle des „Datenlieferanten“ gedrängt, indem er sich von den formularartig vorgegebenen Erhebungsphasen bei seinem Umgang mit Daten lenken lässt, ist der Diensteanbieter derjenige, der die tatsächliche Einflussnahme ausübt. Eine solche Datenverarbeitung ist bspw. bei der Erhebung von Bewertungen in Bewertungsplattformen wie Spickmich.de gegeben.584 Soziale Netzwerke sind von einem größeren Handlungsspielraum gekennzeichnet. Bei Facebook bleibt es grundsätzlich dem Nutzer überlassen, ob er eine datenschutzrechtlich relevante Handlung vornimmt und welche Daten über wen preisgegeben, weitergegeben (bspw. bei der Installation von Apps), verändert oder gelöscht werden. Sofern er über das „Ob“ und „Wie“ der Datenverarbeitung bestimmt, sowie über deren Zwecke, treffe allein der Nutzer die Entscheidung über die Datenverarbeitung gem. Art. 2 lit. d S. 1 DSRL, selbst wenn der Diensteanbieter nur eine endliche Auswahl an Mitteln zur Verfügung stellt.585 Der Nutzer entscheidet nach den Umständen des Einzelfalls allein oder mit dem Diensteanbieter über die Zwecke der Datenverarbeitung. Warum eine Information über eine Person in Facebook gespeichert werden soll, wo und wie lange die Information platziert wird und welche Personengruppen zugriffsberechtigt sind, bestimmt der Nutzer. In diesen Fällen nähert sich der Nutzer der Rolle der (mit586-)verantwortlichen Stelle an. Zu diesem Ergebnis führt auch die Berücksichtigung der Lindqvist-Entscheidung des EuGH, wonach die Veröffentlichung von personenbezogenen Daten im Internet keine persönliche oder familiäre Tätigkeit sein kann. Bei dieser Form der Veröffentlichung, die faktisch in der Öffentlichkeit, nicht im kleinen, privaten Wirkungskreis stattfindet, bleibt kein Raum für einen Ausnahmetatbestand.587 Soziale Netzwerke sind nur über das Internet abrufbar. Strukturell bilden sie zwar aufgrund des Registrierungserfordernisses ein überwiegend abgeschottetes Netz innerhalb des Internets. Sofern es sich wie bei Facebook um ein Soziales Netzwerk handelt, bei dem die Registrierung und der Zugang zur allgemeinen Nutzungsebene für jedermann in wenigen Schritten möglich sind, kann hier nichts anderes gelten als für das Internet. Wer personenbezogene Daten jenseits von

583

Jandt/Roßnagel, ZD 2011, 160 (161). Jandt/Roßnagel, ZD 2011, 160 (161). 585 Jandt/Roßnagel, ZD 2011, 160 (161). 586 Der Diensteanbieter stellt die Mittel der Datenverarbeitung auch dafür zur Verfügung, um eigene Geschäftszwecke zu verwirklichen oder um Daten geschäftsmäßig zur Übermittlung (§ 29 BDSG) zu verarbeiten. Es ist daher davon auszugehen, dass der Betroffene personenbezogene Daten im Regelfall gemeinsam mit dem Diensteanbieter verarbeitet. 587 EuGH, Urt. v. 06.11.2003 – C-101/01, MMR 2004, 95 (99). 584

204

C. Gefährdungslagen der informationellen Selbstbestimmung 

zugriffsgesicherten Bereichen588 innerhalb eines Sozialen Netzwerks preisgibt, macht Daten öffentlich589 und handelt daher als mitverantwortliche Stelle, selbst wenn seine Nutzungshandlung nur private Zwecke verfolgt. (b) Eigene Stellungnahme Der Nutzer als Betroffener und zugleich verantwortliche Stelle – diese Rollenverteilung ist im Datenschutzrecht bisher nicht vorgesehen. Wer mit personenbezogenen Daten anderer in Sozialen Netzwerken umgeht, z. B. durch den Upload von Bildern und ihre Beschriftung mit Namen der Abgebildeten, kann datenschutzrechtlich verantwortlich sein. Es ist allerdings sehr fraglich, ob der Nutzer in dieser Rolle dem Datenschutzrecht unterworfen werden soll. Die Gewährleistung von ordnungsgemäßem, rechtmäßigem Datenumgang zu privaten Zwecken ist nicht der Schutzzweck des BDSG. Da aber m. E. eine Mitverantwortung des Nutzers, wie oben geschildert, mit guten Argumenten vertretbar ist, sollte sich der Gesetzgeber dieser Form der (privaten) Datenveröffentlichung in Sozialen Netzwerken annehmen. Zu denken wäre an eine Einschränkung des Ausnahmetatbestandes. (3) Freundefinder Die Diensteanbieter Sozialer Netzwerke streben stets nach einer Erhöhung der Mitgliederzahl, um den Absatz ihrer (Werbe-)Dienstleistungen zu steigern. Facebook bietet dazu die Funktion des sog. Freundefinders an, der bereits den Nutzer bei der Registrierung eines Mitgliedskontos bei der Auswahl neuer Freunde unterstützt. Dazu werden externe E-Mail- oder Instant-Messenger-Adressbücher importiert und E-Mail-Adressen mit den Adressen abgeglichen, die von FacebookNutzern als Bestandsdaten angegeben wurden.590 Bis ins Jahr 2011 war der Freundefinder so voreingestellt, dass das automatisch erzeugte Suchergebnis des Datenabgleichs auch die E-Mail-Adressen von Nichtmitgliedern aufwies. Mit einem weiteren Klick auf „Einladungen versen 588 Zugriffsgesicherte Bereiche können Netzwerke sein, die innerhalb von Facebook nur zugänglich sind, wenn der Nutzer sich über eine E-Mail-Adresse z. B. der US-Army authentifizieren kann. Ferner können Nutzer Datenzugriffe durch die Erstellung von Listen wie „Enge Freunde“ einschränken. Zumindest bei den individuell beschränkbaren Listen kann davon ausgegangen werden, dass hier Daten zu persönlichen oder privaten Zwecken preisgegeben werden. 589 Vgl. im Ergebnis auch Seidl/Beyvers, jurisAnwZert ITR 15/2011, Anm. 3. 590 Bei dieser sog. Laienwerbung profitiert ein Unternehmer von dem (Konsum-)Erlebnis seiner Nutzer, die dieses im Wege der von ihm veranlassten Kommunikation an Zielgruppen mit vergleichbaren Lebenslagen verbreiten, Weller, jurisAnwZert ITR 15/2012, Anm. 2; vertiefend Terhaag/Schwarz, K&R 2012, 377 (378 ff.).

III. Sozialvernetzte Datenverarbeitung

205

den“ konnte eine von Facebook automatisch generierte Einladungs-E-Mail an diese Empfänger versendet werden.591 Der Freundefinder enthielt nur einen anklickbaren Hinweis, dass das Passwort zum E-Mail-Adressbuch nicht gespeichert wird.592 Mit der Betätigung des Buttons „Freunde finden“ werden auch die­ E-Mail-Adressen der Kontakte des Nutzers, die nicht Mitglieder von Facebook sind, importiert und sodann in einer Liste einzeln aufgeführt. Bereits registrierte Facebook-Mitglieder werden in einem ersten Schritt aufgezählt. In einem zweiten Schritt werden die Nichtmitglieder aufgelistet. Bei Nichtmitgliedern war vor dem jeweiligen Kontakt ein anklickbares Feld („Checkbox“) vorgesehen, das in der Voreinstellung bereits ein Häkchen enthielt, um mit nur einem weiteren Klick Einladungs-E-Mails zu versenden. Unter dieser Liste befanden sich zwei Buttons, die mit den Worten „Einladungen versenden“ und „Überspringen“ beschriftet waren. Der Freundefinder gehört zu den Facebook-Funktionen, die Gegenstand gerichtlicher Entscheidungen gewesen sind. In erster Linie wurde der Freundefinder wettbewerbsrechtlich bewertet. Eine Ansprache eines Nutzers zu Werbezwecken per E-Mail setzt gem. § 7 Abs. 2 Nr. 3 UWG voraus, dass der Werbeadressat ausdrücklich seine Einwilligung in den Empfang von elektronischen Werbebotschaften erteilt hat. Nach der Rechtsprechung des BGH muss die Einwilligung gesondert von sonstigen Erklärungen, mit klarem Bezug auf den Empfang der Werbung und unter Verzicht auf eine Opt-out-Klausel eingeholt werden.593 Der Versand der Einladungs- und Erinnerungs-E-Mails mithilfe des Freundefinders wurde vom LG Berlin als unlautere geschäftliche Handlung i. S. v. § 7 Abs. 2 Nr. 3 UWG bewertet.594 Auf die „Spürbarkeit der Beeinträchtigung“ kommt es nicht an.595 Die Auswahl der Empfänger durch den einladenden Nutzer führt nicht zu der erforderlichen Einwilligung der Empfänger in die Zusendung der E-Mails.596 Es handelt sich um unerbetene Werbung von Facebook, da diese primär ein Marketing-Instrument, konkret eine sog. Tell-a-Friend-Funktion597 ist und im Kontext des Sozialen Netzwerks nur sekundär einen „sozialen Zweck“ verfolgt.598 Der Einladende und Facebook handeln dabei als Mittäter, da sie bewusst 591

Wittern/Wichmann, ITRB 2012, 133 (133). LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10. 593 BGH, Urt. v. 16.07.2008 – VIII ZR 348/06, NJW 2008, 3055 (3057). 594 LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10. 595 LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10. 596 LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10.; so auch LG Berlin, Beschl. v. 18.08.2009 – 15 S 8/09. 597 Tell-a-Friend-Funktionen sind nur in engen Grenzen zulässig. Tritt der Empfehlende selbst als Versender einer eigenhändig formulierten Nachricht ohne weitere Werbehinweise auf, kann sich der Werbende einer Störerhaftung entziehen. Dies gilt nicht, wenn der Ver­ sender eine vorformulierte Werbebotschaft versendet, vgl. LG Berlin, Beschl. v. 18.08.2009 – 15 S 8/09 mit Anm. Schirmbacher, GRUR-Prax 2010, 207 (207). 598 Vgl. LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10. 592

206

C. Gefährdungslagen der informationellen Selbstbestimmung 

zusammenwirken: Der Nutzer stellt die Adressdaten bereit und Facebook erstellt und versendet vorformulierte E-Mails.599 Nach Ansicht des LG Berlin kommt für die Datenverarbeitung von Facebook deutsches Datenschutzrecht zur Anwendung. Die Begründung stützt sich auf die von den Parteien vorgenommene Rechtswahl gem. Art. 3 Abs. 1 S. 1 Rom-I VO. Die Rechtswahl muss gem. Art. 3 Abs. 1 S. 2 Rom-I VO ausdrücklich erfolgen oder sich eindeutig aus den Bestimmungen des Vertrags oder aus den Umständen des Falles ergeben. Die AGB von Facebook enthalten gem. Ziffer 17.3 abweichende Klauseln für Nutzer mit Wohnsitz in Deutschland. Die in Ziffer 16.1. der AGB vorgenommene Rechtswahl des US-amerikanischen und kalifornischen Rechts wird für diese Nutzer durch deutsches Recht ersetzt. Mit dieser Klausel wird erkennbar auf die deutsche Rechtsordnung Bezug genommen.600 Von dieser Rechtswahl sei nicht nur das Privatrecht, sondern auch das Datenschutzrecht umfasst, da das BDSG und das TMG auch zwischen privaten Personen Anwendung finden und § 1 Abs. 5 BDSG im Übrigen keine abweichenden Kollisionsvorschriften trifft.601 In einer jüngeren Entscheidung des VG Schleswig wurde dies abgelehnt, da § 1 Abs. 5 BDSG eine Eingriffsnorm gem. Art. 9 Rom-I VO sei, die der vertragsrechtlichen Rechtswahl vorgehe.602 Zur datenschutzrechtlichen Legitimation des Freundefinders müsste der Betroffene diesbezüglich eine ausdrückliche Einwilligung gem. § 12 TMG, § 4a BDSG erteilt haben. Hieran fehlt es, da die verantwortliche Stelle den Nutzer nicht hinreichend über den Zweck der Verwendung informiert hat, insbesondere in Bezug auf die Verwendung von E-Mail-Adressen von Nichtmitgliedern.603 Unklar ist hier bspw., ob und wie E-Mail-Adressen zu Nichtmitgliedern gespeichert, verarbeitet und genutzt werden. Teilweise wird davon ausgegangen, dass Facebook sog. Schattenprofile zu Nichtmitgliedern erstellt und mit weiteren Daten anreichert.604 Die Tatsache, dass Daten über Nichtmitglieder erhoben werden, belegen auch die Nutzungsbedingungen, in denen ausdrücklich geregelt ist, dass die Nutzungsbedingungen für Nutzer „und Nicht-Nutzer“ gelten. Schattenprofile können nach den Umständen des Einzelfalls personenbezogene Daten enthalten. Über die Zwecke dieser Datenverarbeitung und die Rechtsgrundlage schweigt Facebook. Schattenprofile dürften dazu dienen, das gesamte elektronisch adressierbare, soziale Be-

599

LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10; LG Berlin, Beschl. v. 18.08.2009 – 15 S 8/09. Pfeiffer/Weller/Nordmeier, in: Spindler/Schuster, Recht der elektronischen Medien, Vierter Teil, Art. 3 Rom-I VO, Rn. 5. 601 LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10 mit Anm. Schweda, MMR-Aktuell 2012, 329914. 602 VG Schleswig, Beschl. v. 14.02.2013 – 8 B 60/12, K&R 2013, 280 (281), bestätigt vom OVG Schleswig, Beschl. v. 22.04.2013 – 4 MB 10/13; zustimmend Piltz, K&R 2013, 283 (283). 603 LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10. 604 Europe-v-Facebook.org, Anzeige v. 18.08.2011, S. 2, a. u. http://www.europe-v-facebook. org/Compalint_02_Shadow_Profiles.pdf. 600

III. Sozialvernetzte Datenverarbeitung

207

ziehungsgeflecht eines registrierten Nutzers außerhalb von Facebook nachvollziehen zu können. Auf diese Weise kann die Nutzeransprache für eigene oder fremde Geschäftszwecke verbessert werden. Mangels hinreichender Unterrichtung über diese Zwecke fehlte es an einer wirksam erteilten informierten Einwilligung des Nutzers. Die Funktion des Freundefinders in der vom LG Berlin beurteilten Gestaltung ist daher rechtswidrig.605 Die Gestaltung des Freundefinders wurde seit der Entscheidung des LG Berlin verändert. Nunmehr enthält der Freundefinder einen kleinformatigen Link „Finde heraus, wie es funktioniert“606 zu einem Hinweisfenster: „Importiere Kontakte von deinem Konto und speichere sie auf den Facebook-Servern, wo sie verwendet werden können, um anderen bei der Suche nach oder Herstellung von Verbindungen zu Personen zu helfen bzw. um Freundschaftsvorschläge für dich und andere zu generieren. Es können Kontaktinformationen von deiner Kontaktliste und deinen Nachrichten-Ordnern importiert werden. Berufliche Kontakte können ebenfalls importiert werden. Allerdings solltest du nur Einladungen an persönliche Kontakte versenden. Bitte sende Einladungen nur an Freunde, die diese gerne erhalten möchten.“607 Im Unterschied zu älteren Versionen des Freundefinders ist hier zumindest eine allgemeine Unterrichtung enthalten. Der Wortlaut lässt allerdings Spielraum für Interpretationen. Es wird nicht genau erklärt, welches Verfahren der Nutzer erwarten kann. Die Formulierung „Es können Kontaktinformationen von deiner Kontaktliste und deinen Nachrichten-Ordnern importiert werden.“ wirft die Frage auf, ob neben den E-Mail-Adressen auch Namen, Geburtstage, Wohnsitzadressen oder individuelle Bemerkungen erhoben werden. Der Hinweis auf berufliche Kontakte könnte so verstanden werden, dass Facebook den Nutzer bewusst in die Rolle der verantwortlichen Stelle drängen will. Die Übermittlung von personenbezogenen Geschäftskontakten ist eine datenschutzrechtlich relevante Tätigkeit, die nicht mehr vom Ausnahmetatbestand für persönliche und familiäre Zwecke umfasst ist. Unklar bleibt zudem, ob die importierten Kontaktinformationen langfristig gespeichert und für Schattenprofile verwendet werden und wie diese Datenverarbeitung unterbunden werden kann bzw. die importierten Kontaktdaten gelöscht werden können. Ein gesetzlicher Erlaubnistatbestand kommt für die Erhebung von E-MailAdressen von Nichtmitgliedern nicht in Betracht. Die Betroffenen stehen mit Facebook nicht im Anbieter-Nutzer-Verhältnis, sodass der Anwendungsbereich des TMG nicht eröffnet ist. Bei derart erhobenen E-Mail-Adressen handelt es sich 605

LG Berlin, Urt. v. 06.03.2012 – 16 O 551/10. Bei dem Text „Finde heraus, wie es funktioniert“, der zusammen mit einem Schlosssymbol unterhalb des blauen Aktions-Buttons „Freunde finden“ in grauer Schrift platziert ist, handelt es sich nicht um einen Hyperlink. Weder das Schlosssymbol noch der Text können angeklickt werden. 607 Facebook Freundefinder, a. u. https://www.facebook.com/find-friends/. 606

208

C. Gefährdungslagen der informationellen Selbstbestimmung 

gerade nicht um allgemein-zugängliche Daten, sodass eine Erhebung gem. § 28 Abs. 1 Nr. 3 BDSG bzw. § 29 Abs. 1 Nr. 2 BDSG nicht vorliegt. Darüber hinaus ist nicht erkennbar, warum die Erhebung dieser Daten zur Begründung von Rechtsgeschäften oder zur Wahrung berechtigter Interessen erforderlich sein könnte. Nichtmitglieder haben noch nicht einmal Kenntnis davon, dass ein dritter Diensteanbieter E-Mail-Adressen verarbeitet, die sie einer Person anvertraut haben, die Facebook-Nutzer ist und die Freundefinder-Funktion nutzt. Daher dürfte ein überwiegendes schutzwürdiges Interesse der Nichtmitglieder am Ausschluss einer Datenverarbeitung anzunehmen sein, die darauf abzielt, personenbezogene Schattenprofile anzulegen oder Werbezwecken zu dienen. Auch in der gegenwärtigen Gestaltungsvariante handelt es sich bei dem Facebook-Freundefinder um eine Datenverarbeitung, die nicht mit dem BDSG vereinbar ist, zumindest dann, wenn Daten von Nichtmitgliedern über den Abgleich hinaus gespeichert und weiterverarbeitet werden. bb) Allgegenwärtige Datenverarbeitung in Sozialen Netzwerken (1) Like-Button (a) Technische Grundlagen Soziale Netzwerke können nicht nur über ihre Portale, sondern auch über sog. Social Plugins genutzt werden. Unter Social Plugins werden kleine Anwendungen verstanden, die einzelne Funktionen eines Sozialen Netzwerks enthalten und in Webseiten außerhalb der damit verbundenen Social-Network-Plattform eingebunden werden können.608 Besondere Popularität genießt der sog. Like-Button609 bzw. „Gefällt mir“- oder „Teilen“-Button von Facebook. Dieser Social Plugin erfüllt drei Funktionen. Erstens handelt es sich um ein Hilfsmittel der sozialen Interaktion: Die Einbindung eines Social Plugins ermöglicht Nutzern, einen Medieninhalt mit nur einem Mausklick den eigenen Facebook-Freunden zu empfehlen. Medieninhalte können innerhalb von Facebook weiterempfohlen („geliked“) werden. Alternativ kann der Social Plugin zu einem Medieninhalt auf einer externen Seite aktiviert werden. Auf externen Webseiten bzw. im allgemein zugänglichen Internet treffen nicht nur Facebook-Nutzer, sondern auch Nicht-Nutzer auf Social Plugins. 608 Die im Jahr 2010 bei Facebook eingeführten Social Plugins sollen angemeldeten Facebook-Nutzern auch außerhalb des Facebook-Portals ein soziales Nutzungserlebnis bieten. Die Funktionen zeigen bspw. an, welcher ihrer Freunde einen Inhalt auf einer externen Webseite empfohlen hat, sog. Facepile. Auch Statusmeldungen (sog. Activity Feed) oder Kommentare zu Inhalten können, je nach Implementierung des Website-Betreibers, dargestellt werden. 609 Facebook Inc., Facebook Developers, Social Plugins, a. u. http://developers.facebook. com/docs/plugins/.

III. Sozialvernetzte Datenverarbeitung

209

Ein Social Plugin kann nur von Facebook-Nutzern genutzt werden. Im Falle einer Interaktion wird den Freunden im Netzwerk sodann610 automatisch eine Nachricht (Feed) mit einer Kurzbeschreibung des Medieninhalts und Hyperlinks nach dem Muster „Person X gefällt Y“ angezeigt.611 Zweitens können Website-Betreiber, die den Social Plugin integrieren, von kostenloser Werbung für ihre Telemedien profitieren. Der Social Plugin ist zudem mit der webbasierten Facebook-Anwendung „Insights“ verbunden, die in Gestalt von Statistiken über die Anzahl der Interaktionen (bspw. sog. Shares, Reshares) oder über demografische Angaben (Geschlecht, Altersgruppen etc.) eine Auswertung des Nutzungsverhaltens visualisiert.612 Drittens können die personenbezogenen Einzelangaben von Facebook zur Erstellung von Nutzungsprofilen für zielgruppen- oder verhaltensorientierte Werbung herangezogen werden.613 Der Social Plugin wird als kurzer HTML- und Javascript-Quellcode im Rahmen eines IFrames614 in eine Webseite eingebunden. Der Website-Betreiber lädt dazu eine Kopie des Quellcodes über das Facebook-Portal herunter. Die Erstellung von Social Plugins oder die Nutzung von Facebook-Insights erfordert ein registriertes Unternehmenskonto.615 Mit sog. Metatags werden Titel, Beschreibung, Quelle und ein Miniaturbild, bspw. ein Hinweis auf einen Kinofilm, referenziert.616 Der eingebettete Social Plugin wird mit dem Aufruf der Webseite im Browser des Nutzers ausgeführt. Das Skript ermittelt, ob im Browser-­Cache ein Cookie von Facebook mit dem Namen „datr“617 abgelegt worden ist, der

610 Ob und welchem Freund eine Meldung zugestellt wird, hängt von den vom Nutzer zu treffenden Datenschutzvorkehrungen ab. Seit Ende 2012 können diese individuell angepasst werden, sodass ein Nutzer bei jedem Beitrag vor der Veröffentlichung entscheiden kann, für welche Listen oder Empfänger der Medieninhalt sichtbar sein soll. Öffentliche Stellen sind dazu übergegangen, den Like-Button von ihren Websites zu entfernen, Heise Online, Beitrag v. 20.11.2013, http://www.heise.de/newsticker/meldung/Oeffentliche-Einrichtungen-inBaden-Wuerttemberg-verzichten-auf-Facebooks-Like-Button-2050332.html. 611 Ausführlich dazu Ernst, NJOZ 2010, 1917 (1918), Maisch, jurisAnwZert ITR 19/2010, Anm. 2. 612 Maisch, jurisAnwZert ITR 19/2010, Anm. 2; dazu ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 12 f. 613 Maisch, jurisAnwZert ITR 19/2010, Anm. 2. 614 Facebook Inc., Hilfebereich, a. u. http://www.facebook.com/help/social-plugins. 615 Facebook Inc., Like-Button, a. u. http://developers.facebook.com/docs/reference/plugins/ like; ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 7. 616 Bspw.: , vertiefend Maisch, jurisAnwZert ITR 19/2010, Anm. 2. 617 Nach einmaligem Log-in bei der Facebook-Plattform wird u. a. der datr-Cookie an den Browser des Nutzers übermittelt. Der datr-Cookie enthält eine eindeutige ID des Nutzers und ist zwei Jahre gültig; dazu ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 7.

210

C. Gefährdungslagen der informationellen Selbstbestimmung 

die Identifikation des Nutzers als einen bestimmten Facebook-Nutzer möglich macht.618 Im Zuge dessen werden Daten zwischen dem Client und Facebook ausgetauscht. Facebook werden die IP-Adresse des Nutzers, der Browserstring, die Adresse der Webseite, eine eindeutige Identifikationsnummer der Webseite, technische Informationen über den Browser619 und die Nutzer-ID übermittelt, soweit der diese Information speichernde datr-Cookie aufgrund vorangegangener Nutzung der Facebook-Plattform vorhanden ist.620 Ist ein datr-Cookie vorhanden, kann Facebook diese Informationen einer bestimmten Person eindeutig zuordnen.621 Bei Nutzern, die in dem Zeitpunkt des Aufrufs der Webseite bei Facebook eingeloggt sind, werden zudem weitere Cookies lokal gespeichert und weitere Javascript-Funktionen ausgeführt.622 Für den Website-Betreiber gab es zunächst keine Möglichkeit, den Kreis der Betroffenen, insbesondere der Nicht-Nutzer, vor der Datenerhebung und -verarbeitung über den Social Plugin zu schützen, wenn dieser eingebunden ist und nicht auf ihn verzichtet werden sollte.623 Erst ab September 2011 konnte auf eine frei entwickelte sog. Zwei-Klick-Lösung zurückgegriffen werden, bei der ein Social Plugin erst mit einem Klick eingeschaltet werden muss, um anklickbar zu sein.624 Beim Einsatz eines Social Plugins können drei Konstellationen im Hinblick auf die Zulässigkeit der Datenverarbeitung differenziert werden. Kontrovers spekuliert wurde über die Konstellation, in der ein nicht bei Facebook registrierter Nutzer (Nicht-Nutzer) eine Webseite aufruft, die einen Social Plugin enthält. Es wurde insbesondere gefragt, ob und in welchem Umfang Facebook Daten über den Nicht-Nutzer erhebt (bspw. IP-Adressen und Nutzungsdaten) und diese Daten zu Profilen anreichert.625 In einer Stellungnahme hat Facebook am 16.09.2011 gegenüber dem ULD klargestellt, dass über Nicht-Nutzer keine Daten zum Zweck von pseudonymen Profilen erhoben und verarbeitet werden. Face­ book erhalte lediglich Daten zum Browser, zu Datum und Uhrzeit, zu der URL und eine generische IP-Adresse.626 Es dürfte daher davon auszugehen sein, dass

618

Maisch, jurisAnwZert ITR 19/2010, Anm. 2. Ausführlich dazu Maisch, jurisAnwZert ITR 05/2010, Anm. 3. 620 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 8. 621 Vgl. auch Blochinger, MMR-Aktuell 2010, 303975; Facebook Inc., Datenverwendungsrichtlinien, a. u. http://www.facebook.com/#!/policy.php. 622 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 8. 623 Piltz, CR 2011, 657 (658). 624 Schmidt, c’t, Beitrag v. 01.09.2011, a. u. http://www.heise.de/ct/artikel/2-Klicks-fuer-mehrDatenschutz-1333879.html. 625 Schulzki-Haddouti, Zeit Online, Beitrag v. 18.03.2011, a. u. http://www.zeit.de/digital/ datenschutz/2011–03/facebook-like-datenschutz/seite-2. 626 Facebook Inc., Stellungnahme v. 16.09.2011, a. u. https://www.datenschutzzentrum.de/ facebook/kommunikation/20110916_Facebook_deutsch.pdf. 619

III. Sozialvernetzte Datenverarbeitung

211

über Nicht-Nutzer keine Schattenprofile über Social Plugins erstellt werden, sodass es an einem datenschutzrechtlich relevanten Eingriff fehlt.627 Daneben gibt es die Konstellation, in der ein Facebook-Nutzer auf einen Social­ Plugin klickt, um seine Funktion zur Verbreitung von Inhalten in Anspruch zu nehmen. Diskussionswürdig ist ferner das Szenario, in dem ein Facebook-Nutzer nicht mit dem Button interagiert und trotzdem personenbezogene Daten über sein Nutzungsverhalten durch den Button erhoben und verarbeitet werden. (b) Datenschutzrechtliche Einordnung Social Plugins haben datenschutzrechtliche Relevanz, wenn personenbezogene Daten gem. § 12 TMG, § 3 Abs. 1 BDSG erhoben, verarbeitet oder genutzt werden. Sofern die IP-Adresse erhoben wird, stellt sich auch hier die Frage nach dem Personenbezug dieses Datums. Bei dynamischen IP-Adressen ist dies umstritten.628 Die Kernfrage lautet, wie der Begriff der Personenbezogenheit ausgelegt wird.629 Nach der objektiven Theorie des Personenbezugs, wonach die theoretische Möglichkeit der Bestimmbarkeit einer Person ausreicht, wird der Personenbezug von IP-Adressen angenommen.630 Die relative Theorie bestimmt den Personenbezug nach den Fähigkeiten der verantwortlichen Stelle, diesen ohne unverhältnis­ mäßigen Aufwand herzustellen.631 Auch in der Rechtsprechung ist noch immer umstritten, ob dynamische IP-Adressen als personenbezogene Daten einzuordnen sind. Der Personenbezug wurde bspw. vom OLG Hamburg632, AG München633, LG Wuppertal634 und LG Frankenthal635 mit Hinweis auf die Theorie des relativen Personenbezugs abgelehnt. Der Personenbezug von IP-Adressen wurde vom BGH636 und vom BVerfG637 bejaht. In den Entscheidungen wurde der Personenbezug allerdings ohne nähere Begründung angenommen. Ob eine dynamische IP-Adresse als personenbezogenes Datum einzuordnen ist, lässt sich folglich nicht abschlie-

627

Das ULD betont, dass die Informationen von Facebook nicht überprüft werden könnten, vgl. ULD, Stellungnahme v. 30.09.2011, a. u. https://www.datenschutzzentrum.de/facebook/ facebook-verantwortlichkeit.html. 628 Maisch, ITRB 2011, 13 (14 f.); zum Personenbezug von IP-Adressen nach IPv6, vgl. Brosch/Hennrich, jurisAnwZert ITR 21/2011, Anm. 2. 629 Dazu auch Härting, CR 2011, 585 (586). 630 Vgl. Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 3, Rn. 14 f.; Brosch/Hennrich, jurisAnwZert ITR 21/2011, Anm. 2; ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 15. 631 Dammann, in: Simitis, BDSG, § 3, Rn. 32; Gola/Schomerus, BDSG, § 3, Rn. 10. 632 OLG Hamburg, Beschl. v. 03.11.2010 – 5 W 126/10. 633 AG München, Urt. v. 30.09.2008 – 133 C 5677/08. 634 LG Wuppertal, Beschl. v. 19.10.2010 – 25 Qs 10 Js 1977/08 – 177/10, 25 Qs 177/10. 635 LG Frankenthal, Beschl. v. 21.05.2008 – 6 O 156/08. 636 BGH, Urt. v. 13.01.2011 – III ZR 146/10. 637 BVerfG, Urt. v. 02.03.2010 – 2 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08.

212

C. Gefährdungslagen der informationellen Selbstbestimmung 

ßend beurteilen.638 Im Zweifel sind IP-Adressen als personenbezogene Daten zu bewerten. Im Rahmen des Like-Buttons werden Cookies mit eindeutiger ID-Nummer, die IP-Adresse und weitere Nutzungs- und Inhaltsdaten erhoben, verarbeitet und genutzt.639 Bei dem datr-Cookie handelt es sich (zumindest für Facebook) um ein personenbezogenes Datum, da diese Textdatei eine eindeutige ID-Nummer des Nutzers enthält und damit die Zuordnung zu einer bestimmten Person erlaubt.640 Darüber hinaus werden weitere Daten über das Nutzerverhalten und den Browser erhoben.641 Werden diese Daten mit den bei Facebook gespeicherten personenbezogenen Informationen zu Interessen, Wohnsitz, Freundeskreise etc. zusammengeführt, können feingranulare Interessens- und Persönlichkeitsprofile erzeugt werden.642 Nach unternehmenseigenen Angaben werden diese Profile nur in Form von statistischen Analysen und Reichweitenmessungen über die FacebookInsights-Plattform an Dritte weitergegeben.643 Sofern ein eingeloggter Facebook-Nutzer nicht mit dem Social Plugin interagiert, werden nach Angaben des Unternehmens nur Daten zur Bereitstellung des Social Plugins ausgetauscht. Ob eine darüber hinausgehende Verwertung dieser Daten zu eigenen Zwecken von Facebook erfolgt, ist nicht abschließend geklärt. (c) Verantwortliche Stellen Im Rahmen der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch Social Plugins kommen drei Akteure als verantwortliche Stellen in Betracht. Das sind Facebook Inc., Facebooks Content Delivery Networks und der Telemediendiensteanbieter, der einen Social Plugin in seiner Website integriert (kurz: Website-Betreiber). Verantwortliche Stelle ist gem. § 3 Abs. 7 BDSG „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“ Nach europarechtskonformer Aus­ legung gem. Art. 2 lit. d S. 1 DSRL kommt es auf die Steuerungsmöglichkeit an. 638 So auch in der Stellungnahme des Wissenschaftlichen Dienstes, Schleswig-Holsteinischer Landtag, Umdruck 17/2988, S. 6. 639 Ernst, NJOZ 2010, 1917 (1918); Maisch, jurisAnwZert ITR 19/2010, Anm. 2; Piltz, CR 2011, 657 (659); KG Berlin, Beschl. v. 29.04.2011 – 5 W 88/11. 640 KG Berlin, Beschl. v. 29.04.2011 – 5 W 88/11. 641 „Zu den Daten, die wir erhalten, gehören deine Anmeldekennnummer, die besuchte Webseite, das Datum und die Uhrzeit sowie andere browserbezogene Informationen.“ Facebook Inc., Hilfebereich, a. u. http://www.facebook.com/help/social-plugins. 642 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 15. 643 s. Facebook Inc., Hilfebereich, a. u. http://www.facebook.com/help/social-plugins.

III. Sozialvernetzte Datenverarbeitung

213

Die Steuerungsmöglichkeit muss nicht notwendigerweise von einer Stelle allein wahrgenommen werden. Verantwortliche Stelle ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verantwortung übernimmt demnach an erster Stelle Facebook als Anbieter des Sozialen Netzwerks i. S. v. § 2 S. 1 Nr. 1, 5 TMG und als Anbieter von Telekommunikationsdiensten gem. § 3 Nr. 6, 24 TKG.644 Facebook bietet die für die Implementierung der Social Plugins grundlegend erforderlichen Skripte zum Download an und bestimmt den Funktionsumfang, die visuelle Gestaltung und die technische Bereitstellung der Buttons und des damit verbundenen Reichweitenanalysedienstes. Wesentliche Entscheidungen über die Mittel trifft damit Facebook. Gleiches gilt für die Zwecke der Datenverarbeitung. Zu welchem Zweck welche Daten erhoben und ausgewertet werden, ist nicht hinreichend klar, denn allein Facebook hat den maßgeblichen Einfluss auf die Zwecke und Mittel der Datenverarbeitung. Obwohl Facebook die Datenverarbeitung für den Website-Betreiber über­nimmt, liegt kein Auftragsdatenverhältnis vor. An einem solchen fehlt es bereits deswegen, weil zwischen dem Website-Betreiber und Facebook kein Auftragsdatenverhältnis vereinbart wird. Die vertragliche Bindung beschränkt sich auf die Zurverfügungstellung der Like-Button-Funktionalitäten entsprechend der Nutzungsbedingungen, wie das VG Schleswig in der Sache „Fanpage“ entschied.645 Im Übrigen bestehen auch keinerlei Weisungsrechte gegenüber Facebook.646 Keinen Einfluss hat Facebook darauf, von welchen Stellen, auf welchen Webseiten und zu welchen individuellen Zwecken Social Plugins eingebunden werden. Die Facebook-Plattform wird nur teilweise von Facebook selbst betrieben. Das Diensteangebot, insbesondere in Form von Apps, wird von anderen, externen Stellen bereitgestellt.647 Die technische Bereitstellung der Plattform, insbesondere Infrastructure-as-a-Services, ist teilweise bei sog. Content Delivery Networks (CDN) ausgelagert. Da diese Stellen gerade nur weisungsabhängig technische Dienstleistungen übernehmen, ohne auf die konkrete Ausgestaltung der Social Plugins entscheidungsrelevanten Einfluss zu haben, kommen diese nicht als verantwortliche Stellen in Betracht. Das ULD geht zudem davon aus, dass in Europa erhobene und verarbeitete Daten zunächst zu Facebook in die USA übermittelt und

644 So auch ULD, Stellungnahme v. 30.09.2011, a. u. https://www.datenschutzzentrum.de/ facebook/facebook-verantwortlichkeit.html. 645 VG Schleswig, Urt. v. 09.10.2013 – 8 A 14/12, ZD 2014, 51. 646 ULD, Stellungnahme v. 30.09.2011, a. u. https://www.datenschutzzentrum.de/facebook/ facebook-verantwortlichkeit.html. 647 Zu den verantwortlichen Stellen können darüber hinaus Anbieter von Zusatzdiensten (z. B. Apps), E-Mail-Dienstleister oder Werbepartner gezählt werden, vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 15.

214

C. Gefährdungslagen der informationellen Selbstbestimmung 

erst im Anschluss an CDN weitergereicht werden.648 Auch dies spricht gegen eine (Mit-)Verantwortung von CDN. Website-Betreiber sind als Diensteanbieter grundsätzlich für die Erhebung und Verarbeitung von personenbezogenen Daten in eigenen oder fremden Telemedien gem. den §§ 1 Abs. 1, 11 TMG verantwortlich.649 Die Grenze der Mitverantwortung für fremde Telemedien richtet sich auch hier danach, welchen Einfluss der Diensteanbieter des fremden Telemediums auf die Datenverarbeitung hat. Der Diensteanbieter einer Website entscheidet lediglich, ob er einen Social Plugin als Mittel einer Datenverarbeitung verwendet und zu welchem Zweck auf entsprechende Analysen zurückgegriffen werden soll. Wie bereits festgestellt, werden die Mittel und Zwecke der Datenverarbeitung bei Social Plugins überwiegend von Facebook gesteuert. Neben Facebook hat aber auch der Website-Betreiber einen Beitrag zur Datenverarbeitung geleistet, indem er diese überhaupt erst möglich gemacht hat. Dies gilt selbst dann, wenn berücksichtigt wird, dass diese Datenverarbeitung unmittelbar zwischen dem Betroffenen und Facebook erfolgt und der Website-Betreiber selbst keine personenbezogenen Daten unmittelbar erhebt, verarbeitet oder nutzt.650 Es ist fraglich, ob die Entscheidung darüber, ob ein Facebook-Plugin zum Einsatz kommen soll, ausreichend ist, um dem Website-Betreiber eine Mitverantwortung an der Datenverarbeitung Facebooks zu geben. Dies wird teilweise bejaht.651 Zwar ist dem Datenschutzrecht das ordnungsrechtliche Institut des Zweckveranlassers einer Datenverarbeitung fremd.652 Es ist aber gerade der Website-Betreiber, der über das „Ob“ von Facebooks Datenverarbeitung entscheidet und damit einen ersten, kausalen Beitrag leistet. Es komme nicht darauf an, ob der WebsiteBetreiber selbst unmittelbar personenbezogene Daten verarbeitet, sondern es reiche aus, dass er sich für die Einbindung eines Social Plugins entschieden hat.653 Diese Ansicht stützt sich darauf, dass Art. 2 lit. d S. 1 DSRL die gemeinsame Verantwortung vorsieht. Dabei solle es ausreichen, wenn die Stellen – auch zeitlich 648

ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 16. 649 Es kommt nicht darauf an, ob der Diensteanbieter einen eigenen Server nutzt oder auf fremde IT-Ressourcen zurückgreift, OLG Düsseldorf, Urt. v. 18.12.2007  – I-20 U 17/07, MMR 2008, 682 (683). 650 Maisch, jurisAnwZert ITR 19/2010, Anm. 2; so auch ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 17; ULD, Stellungnahme v. 30.09.2011, a. u. https://www.datenschutzzentrum.de/facebook/facebook-verantwortlichkeit. html. 651 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 18 f.; ULD, Stellungnahme v. 30.09.2011, a. u. https://www.datenschutzzentrum. de/facebook/facebook-verantwortlichkeit.html. 652 Vgl. Schüßler, jurisAnwZert ITR 24/2011, Anm. 2. 653 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 18 f.; ULD, Stellungnahme v. 30.09.2011, a. u. https://www.datenschutzzentrum.de/ facebook/facebook-verantwortlichkeit.html.

III. Sozialvernetzte Datenverarbeitung

215

und räumlich unabhängig voneinander – aufeinander aufbauende Entscheidungen zu einem gemeinsamen Zweck treffen, wie es hier der Fall ist.654 Nach anderer Ansicht verbietet es sich, den Kreis der Verantwortung so weit zu ziehen, dass davon eine Stelle erfasst wird, die keinerlei Verfügungsgewalt über die Erhebung und Verarbeitung von personenbezogenen Daten innehat.655 Mit der Art.-29-Datenschutz-Gruppe sei vielmehr davon auszugehen, dass der Begriff der verantwortlichen Stelle funktionell gemeint sei656 und es auf den tatsächlichen, inhaltlichen Einfluss auf die Datenverarbeitung ankomme.657 Die Einbindung und die Konfiguration der als Feed ausgegebenen Inhaltsdaten eines Social Plugins seien demnach keine Entscheidungen über die Zwecke und Mittel der Datenverarbeitung.658 Mit der Implementierung des Social Plugins schafft der Website-Betreiber im Grunde nicht mehr als einen Hyperlink zwischen der Webseite und dem eigenen Facebook-Profil. Es spricht daher einiges dafür, Website-Betreiber von der Verantwortung für Social Plugins auszunehmen, da sie ohnehin keine inhaltlichen Entscheidungen über Funktionsweisen, Verfahren oder zumindest individuelle Optionen treffen können.659 Dieser Sichtweise hat sich auch das VG Schleswig mit seiner „Fanpage“-Entscheidung angeschlossen.660 Das Verfahren hatte eine Anfechtungsklage eines Fanpage-Betreibers zum Gegenstand, in der er sich gegen die datenschutzrechtliche Anordnung gem. § 38 Abs. 5 S. 1 BDSG des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) wandte. Das ULD hatte die Deaktivierung der Facebook-Fanpage des Unternehmers unter Androhung von Zwangsgeld angeordnet. Das ULD hatte seine Anordnung damit begründet, dass ein Fanpage-Betreiber, der eine in Facebook eingebettete Website, sog. Fanpage, betreibt, als verantwortliche Stelle die Nutzer nicht ausreichend über die Widerspruchsmöglichkeiten bzgl. der Datenverarbeitung unterrichte. Das VG Schleswig hat entschieden, dass ein Fanpage-Betreiber zwar ein Diensteanbieter i. S. v. § 2 Nr. 1 TMG ist. Dies hat aber keine spezielle Verantwortlichkeit für fremde (durch Facebook erfolgende) Datenverarbeitung zur Folge. Das OVG Schleswig hat die Entscheidung des VG bestätigt und die Berufung des ULD zurückgewiesen.661

654 ULD, Stellungnahme v. 30.09.2011, a. u. https://www.datenschutzzentrum.de/facebook/ facebook-verantwortlichkeit.html; vgl. a. Art.-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 21. 655 Piltz, CR 2011, 657 (662). 656 Art.-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 1; dem folgend Schüßler, jurisAnwZert ITR 24/2011, Anm. 2. 657 Schüßler, jurisAnwZert ITR 24/2011, Anm. 2. 658 Schüßler, jurisAnwZert ITR 24/2011, Anm. 2. 659 Stellungnahme des Wissenschaftlichen Dienstes, Schleswig-Holsteinischer Landtag, Umdruck 17/2988, S. 17. 660 VG Schleswig, Urt. v. 09.10.2013 – 8 A 14/12, ZD 2014, 51. 661 OVG Schleswig, Urt. v. 04.09.2014  – 4 LB 20/13, BeckRS 2014, 55993; dazu auch Starnecker/Tausch, juris-ITR 24/2014, Anm. 3.

216

C. Gefährdungslagen der informationellen Selbstbestimmung 

Nach dem Wortlaut der § 11 ff. TMG ist ein Diensteanbieter nur für die eigene Erhebung und Verwendung von personenbezogenen Daten verantwortlich. Nach § 12 Abs. 3 TMG findet § 3 Abs. 7 BDSG Anwendung, da das TMG nichts anderes bestimmt. Das OVG stellt weiter fest, dass ein Fanpage-Betreiber keine personenbezogenen Daten seiner Fanpage-Nutzer, erhebt, verarbeitet oder an Facebook übermittelt. Aus Art. 2 lit. d DSRL ergibt sich nichts anderes, da der FanpageBetreiber nicht über Zwecke und Mittel der Datenverarbeitung entscheidet. Über Zwecke, also über das „Warum“ der Datenverarbeitung trifft er keine Entscheidung, da Facebook keine diesbezüglichen Optionen bereithält. Auch über Mittel, also das „wie“ der Datenverarbeitung, entscheidet der Website-Betreiber nicht. Selbst die anonymisierten Informationen über das Nutzerverhalten erhält der Fanpage-Betreiber im Rahmen von „Facebook-Insights“ ungefragt. Da der Betreiber keinen Einfluss auf die Datenverarbeitung hat, ist er nicht eine verantwortliche Stelle. Die Anordnung ist daher rechtswidrig.662 Aus diesen Gründen wird auch der gemeinsamen Verantwortung eine Absage erteilt. Es fehlt an der Kontrolle und den Einflussmöglichkeiten des FanpageBetreibers. Auch eine Störerhaftung des Fanpage-Betreibers kommt nicht in Betracht, da § 3 Abs.  7 BDSG hinsichtlich der Verantwortung eine abschließende Regelung trifft.663 Das ULD hält weiter daran fest, dass der Website-Betreiber als verantwortliche Stelle handelt und hat Revision zum Bundesverwaltungsgericht eingelegt.664 Bis zu einer Entscheidung des BVerwG bleibt der Betrieb einer Face­book-Fanpage datenschutzrechtlich zulässig. Ob diese Entscheidung auch auf Social-Plugins übertragbar ist, die durch einen Website-Betreiber in seine Seite eingebunden werden, war nicht Gegenstand der Entscheidung und ist bisher ungeklärt. (d) Zulässigkeit der Einbindung des Social Plugins Mit der Einbindung von Facebook-Social-Plugins können personenbezogene Daten über Nutzer erhoben werden. Bei einem Facebook-Nutzer sind das die IPAdresse und ein Cookie mit Nutzer-ID und Nutzungsdaten. Diese Daten werden zur Reichweitenanalyse im Rahmen von Facebook-Insights Dritten zur Verfügung gestellt. Facebook ist der Auffassung, dass diese Datenverarbeitung über die Einwilligung des Nutzers, die bei der Eröffnung eines Facebook-Kontos erteilt wird, legitimiert wird.665 In einem im August 2011 veröffentlichten Gutachten kam das ULD zu dem Ergebnis, dass Facebook nicht hinreichend über die Verfahren und 662

OVG Schleswig, Urt. v. 04.09.2014 – 4 LB 20/13, BeckRS 2014, 55993. VG Schleswig, Urt. v. 09.10.2013 – 8 A 14/12, ZD 2014, 51 (52). 664 ULD, Pressemitteilung v. 29.09.2014, https://www.datenschutzzentrum.de/artikel/770 -ULD-OVG-Urteil-zu-Facebook-Fanpages-revisionsbeduerftig.html. 665 ULD, Stellungnahme v. 30.09.2011, a. u. https://www.datenschutzzentrum.de/facebook/ facebook-verantwortlichkeit.html. 663

III. Sozialvernetzte Datenverarbeitung

217

Zwecke der Datenverarbeitung von Social Plugins informiert.666 Die von Facebook bereitgehaltenen Unterlagen, bspw. die Datenverwendungsrichtlinien, seien zu unbestimmt und erfüllten nicht das Mindestmaß an Transparenz.667 Die Datenverwendungsrichtlinien bilden die Datenschutzerklärung, die sich in verschiedene, teils umfangreiche Unterrichtungen zu einzelnen Funktionen aufgliedert und allgemein über die Zwecke der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten informiert.668 Die Zwecke der Datenverarbeitung durch Social Plugins werden nicht konkret dargestellt. Auf eine Erläuterung der technischen Verfahren wird ebenso verzichtet wie auf die Unterrichtung über die von Facebook verfolgten Zwecke der Datenverarbeitung.669 In einer allgemein gehaltenen Unterrichtung werden Beispiele für eigene Zwecke genannt. Welche Daten zu welchen Zwecken verarbeitet werden, bleibt auch hier unklar.670 Ferner fehle es an notwen-

666 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 20. 667 Piltz, CR 2011, 657 (659); ULD, Datenschutzrechtliche Bewertung der Reichweiten­ analyse durch Facebook v. 19.08.2011, S. 21. 668 „Daten, die wir erhalten, und ihre Verwendung“, „Teilen von Inhalten und Auffinden deiner Person auf Facebook“, „Andere Webseiten und Anwendungen“, „So funktionieren Werbung und gesponserte Meldungen“, „Cookies, Pixel und andere Systemtechnologien“ und „Was du sonst noch wissen solltest“. 669 Das Dokument „Andere Webseiten und Anwendungen“ enthält vereinfachte Hinweise zu Social Plugins. Diese dienten dazu, dem Nutzer „Facebook-Inhalte zu präsentieren und ein sozialeres und persönlicheres Nutzungserlebnis zu ermöglichen.“ Es folgt eine Erläuterung zu den Vorteilen von Social Plugins für Nutzer und zur Funktionsweise der Verarbeitung anhand einzelner Social Plugins, wie bspw. einer Kommentarfunktion oder des „Teilen“-Buttons. Die Erhebung und Verarbeitung wird in diesem Dokument nicht näher erläutert, mit Ausnahme der Information zur Speicherdauer von 90 Tagen. Nähere Erläuterungen können im Hilfe­bereich, der mit dem Link „Mehr dazu“ referenziert ist, zur Kenntnis genommen werden. Diese Informationen sind nicht Teil der Datenverwendungsrichtlinien und daher nicht von der Einwilligungserklärung umfasst. Die Nutzung der Daten wird lediglich aus der Sicht von Website-Betreibern dargestellt und unbestimmt formuliert: „Webseiten, die soziale Plugins verwenden, können manchmal feststellen, dass du das soziale Plugin verwendet hast. Bspw. können sie gegebenenfalls feststellen, dass du in einem sozialen Plugin auf eine „Gefällt mir“-Schaltfläche geklickt hast.“ Facebook als verantwortliche Stelle erhebt, ver­a rbeitet und nutzt ebenfalls diese Daten: „Wir erhalten Daten, wenn du eine Webseite mit einem sozialen Plugin besuchst. Wir speichern diese Daten für einen Zeitraum von bis zu 90 Tagen. Danach ent­fernen wir deinen Namen sowie alle anderen personenbezogenen Informationen von den Daten oder kombinieren sie mit den Daten anderer Personen auf eine Weise, wodurch diese Daten nicht mehr mit dir verknüpft sind.“ 670 Eine allgemeine Unterrichtung zu den eigenen Zwecken von Facebook befindet sich in den Datenverwendungsrichtlinien, im Dokument „Informationen, die wir über dich erhalten“ unter der Überschrift „Wie wir uns bereitgestellte Informationen verwenden“. Die Unterrichtung enthält Beispiele, wie personenbezogene Daten genutzt werden, um die Effektivität der Werbeanzeigen zu verbessern oder auf die Interessen des Empfängers auszurichten. Klare Informationen über konkrete Verarbeitungsvorgänge und die dabei verarbeiteten personenbezogenen Daten gibt es nicht. Die Erforderlichkeit der Speicherung von personenbezogenen Daten wird zudem weit gefasst: „Üblicherweise verbleiben die mit deinem Konto in Zusammenhang stehenden Daten bis zur Löschung deines Kontos bei uns. Für bestimmte

218

C. Gefährdungslagen der informationellen Selbstbestimmung 

digen Hervorhebungen gem. § 4a Abs. 1 S. 3 BDSG, sodass entsprechend auf der Basis dieser Sachlage abgegebene Einwilligungserklärungen als unwirksam bewertet worden sind.671 Die Einwilligung kann, abweichend vom Schriftformerfordernis gem. § 4a Abs. 1 S. 2 BDSG, nach der Maßgabe von § 13 Abs. 2 TMG elektronisch erklärt werden. Nach § 13 Abs. 2 TMG muss ein Diensteanbieter bei einer elektronisch erteilten Einwilligung gewährleisten, dass diese „bewusst und eindeutig erteilt“ wird (§ 13 Abs. 2 Nr. 1 TMG), protokolliert wird (§ 13 Abs. 2 Nr. 2 TMG), der Inhalt für den Nutzer jederzeit abrufbar ist (§ 13 Abs. 2 Nr. 3 TMG) und „mit Wirkung für die Zukunft“ jederzeit widerrufen werden kann (§ 13 Abs. 2 Nr. 4 TMG). Der Verweis auf diese Dokumente, die jeweils ihrerseits mit weiteren Informationen u. a. aus dem Hilfebereich verlinkt sind, erfolgt jedoch pauschal. An der Eindeutigkeit der Erteilung der Einwilligung gem. § 13 Abs. 2 Nr. 1 TMG kann daher gezweifelt werden.672 Informationen, die lediglich im Hilfebereich vermerkt werden, sind von der Einwilligung nicht umfasst, da sie nicht Bestandteil der Datenschutzerklärung sind.673 Die Verwertung von Nutzungsdaten zu Zwecken der Werbung und der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien ist gem. § 15 Abs. 3 TMG zulässig, wenn bestimmte Voraussetzungen erfüllt werden. Zu diesen zählt, dass der Nutzer dieser Datenverarbeitung nicht widersprochen hat. Über das ihm zustehende Widerspruchsrecht hat der Diensteanbieter gem. § 15 Abs. 3 S. 2 TMG zu unterrichten. Nach Auffassung des ULD ist Facebook dieser Pflicht nicht nachgekommen. Mit der Zusammenführung der Nutzungsdaten mit den bei Facebook über den Nutzer gespeicherten Profildaten verstößt Facebook im Übrigen gegen das Trennungsgebot gem. § 15 Abs. 3 TMG.674 Die Einbindung von Social Plugins, die personenbezogene Daten über jeden Nutzer erheben und verarbeiten können, wurde daher als unzulässig bewertet. Ohne jede Einwilligung oder gesetzlichen Erlaubnistatbestand erfolgt dabei die Datenverarbeitung von Nicht-Nutzern. Nach gegenwärtigem Meinungsstand sind daher

Daten­kategorien können wir dich gegebenenfalls auch über besondere Einbehaltungspraktiken für Daten informieren.“ Im Übrigen fehlt es an der Möglichkeit, eine ausdrückliche Einwilligung in die Verarbeitung von besonders sensiblen personenbezogenen Daten (§ 3 Abs. 9 BDSG), gem. § 4a Abs. 3 BDSG zu erteilen; vgl. dazu Facebook Inc., Datenverwendungsrichtlinien, „Informationen, die wir über dich erhalten“, a. u. http://www.facebook.com/about/privacy/ your-info. 671 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 22. 672 Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 22. 673 Piltz, CR 2011, 657 (658). 674 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook v. 19.08.2011, S. 23.

III. Sozialvernetzte Datenverarbeitung

219

Facebook-Social-Plugins mit dem geltenden Datenschutzrecht, sofern die Anwendbarkeit des deutschen Rechts wie hier bejaht wird, nicht vereinbar.675 (e) Eigene Stellungnahme Website-Betreiber stehen bei der Einbindung von Social Plugins vor einem Dilemma: Einerseits sind sie bestrebt, Facebook-Nutzern beliebte Interaktionsfunktionen anzubieten. Dies bringt ihnen zudem kostenlose Tell-a-friend-Werbung und ermöglicht den Rückgriff auf die Reichweitenanalysen von Facebook. Anderseits besteht große Rechtsunsicherheit zur Verantwortlichkeit und zum Unfang der Informationspflichten. Die Verwaltungsstreitsache um die Facebook-Fanpage zeigt deutlich, dass im Hinblick auf die Frage, wer unter welchen Umständen für eine Datenverarbeitung verantwortlich sein soll, sehr unterschiedlich gesehen werden kann. Es bleibt abzuwarten, wie das BVerwG in der Revision Stellung bezieht. (2) Intransparente Datenverarbeitung (a) Ubiquitäre Erhebung und Verarbeitung In Facebook werden nach Angaben der Datenschutzaktivisten „Europe-v-Face­ book.org“ mehr als 57 Kategorien von personenbezogenen Daten erhoben, ver­ arbeitet und genutzt.676 Diese Kategorien beschreiben überwiegend Daten, die von Nutzern in Facebook aktiv oder passiv preisgegeben werden, und geben detailliert Auskunft über die Persönlichkeit, die sozialen Beziehungen und die Interaktionen mit der Plattform oder mit anderen Nutzern. Gleichzeitig wird die Gesamtheit des Nutzungsverhaltens innerhalb und durch Social Plugins erhoben und verarbeitet. Über mobile Endgeräte, z. B. Smartphones oder Tablets, werden zusätzlich Lebens­gewohnheiten aus der realen Welt in Form von Check-ins und Geopositionsdaten digital abgebildet und verknüpft. Manche Kategorien referenzieren Nutzungsdaten, deren Verarbeitungsumfang und -zwecke mangels klarer Unterrichtung in den Datenverwendungsrichtlinien intransparent bleiben. So werden innerhalb des Sozialen Netzwerks bspw. Suchanfragen und -ergebnisse, die Interaktion mit Werbung, entfernte Markierungen oder entfernte Likes gespeichert.677 675 Dies gilt auch für öffentliche Stellen, vgl. BayLBfdD, a. u. http://www.datenschutz-bayern. de/0/soziale-netzwerke-plugins.html. 676 Europe-v-Facebook.org, Data Categories, 03.04.2012, a. u. http://europe-v-facebook.org/ fb_cat1.pdf. 677 Europe-v-Facebook.org, Data Categories, 03.04.2012, a. u. http://europe-v-facebook.org/ fb_cat1.pdf.

220

C. Gefährdungslagen der informationellen Selbstbestimmung 

Pokes („Anstupsen“) ist eine Funktion, bei der eine von Facebook definierte Nachricht versendet wird, die als Meldung angezeigt wird und nur die Botschaft übermittelt, „angestupst“ worden zu sein.678 Pokes sind personenbezogene Daten, da sie Einzelangaben über den Absender, den Empfänger und das Datum enthalten. Es handelt sich um Nutzungsdaten, die gem. § 15 Abs. 1 TMG Identifika­tionsmerkmale und Angaben zum Telemedium enthalten, die zur Inanspruchnahme dieser Funktion, nicht aber des gesamten Sozialen Netzwerks, erforderlich sind. Der Zweck dieser Datenverarbeitung entfällt, wenn ein Nutzer einen Poke mit einem Klick auf einen kleinen X-Button, der die Funktion „Entfernen“ verkörpern soll, löschen will. Facebook ist als verantwortliche Stelle gem. § 15 Abs. 8 S. 2 TMG dazu verpflichtet, die Daten unverzüglich zu löschen. Löschen ist gem. § 3 Abs. 4 Nr. 5 BDSG „das Unkenntlichmachen gespeicherter personenbezogener Daten.“ Tatsächlich werden Pokes jedoch nicht gelöscht, sondern nur versteckt.679 Facebook speichert alle mit einem Poke verbundenen personenbezogenen Daten weiterhin, selbst wenn der Nutzer diese Daten zur Löschung bestimmt hat.680 Die Funktion „Pokes“ ist in den Datenverwendungsrichtlinien nicht erwähnt, sodass die Zwecke und der Umfang der Datenverarbeitung intransparent sind.681 In Bezug auf die Speicherung von Pokes fehlt es daher an einer Unterrichtung über Art, Zweck und Umfang der Datenverarbeitung. Nach der Erteilung einer Löschung kann die Speicherung der Daten nicht mehr legitimiert werden. Dieselbe Problematik stellt sich bei der Löschung von Freundschaften, Nachrichten und Markierungen auf Fotos. In all diesen Fällen wird eine Unkenntlichmachung der Daten nicht vorgenommen. Im Fall von Freundschaften speichert Face­book diesen Vorgang als eigene Kategorie „Removed Friends“.682 Auch hier fehlt es an einer Rechtsgrundlage, die diese Speicherung ermöglicht. Die genannten Beispiele zeigen, dass bei Facebook nicht nur allgegenwärtig personenbezogene Nutzungsdaten erhoben werden, sondern auch, dass personenbezogene Daten über Handlungen erzeugt werden, die ein Entfernen oder Löschen von Daten zum Gegenstand haben. Facebook erfährt damit, mit wem ein Nutzer nicht mehr befreundet oder markiert sein will. 678 „Wenn du jemanden anstupst, erhält dieser auf seiner Startseite eine Mitteilung darüber. Das Facebook-Feature zum Anstupsen kann für unterschiedliche Zwecke verwendet werden. Zum Beispiel kannst du deine Freunde anstupsen, um ihnen Hallo zu sagen.“ Facebook Inc., Hilfebereich, a. u. http://www.facebook.com/help/pokes. 679 Dies geht aus einer Untersuchung von Europe-v-Facebook.org hervor, Europe-v-Face­book. org, Anzeige v. 28.08.2011, S. 2, a. u. http://europe-v-facebook.org/Complaint_01_Pokes.pdf. 680 Europe-v-Facebook.org, Anzeige v. 28.08.2011, S. 2, a. u. http://europe-v-facebook.org/ Complaint_01_Pokes.pdf. 681 So auch Europe-v-Facebook.org, Anzeige v. 28.08.2011, S. 2, a. u. http://europe-v-facebook.org/Complaint_01_Pokes.pdf. 682 Europe-v-Facebook.org, Anzeige v. 28.08.2011, S. 2, a. u. http://europe-v-facebook.org/ Complaint_14_RemovedFriends.pdf.

III. Sozialvernetzte Datenverarbeitung

221

(b) Gesichtserkennung Im Dezember 2010 wurde Facebook um die Funktion der „Gesichtserkennung“ erweitert. Anhand von Personenabbildungen, auf denen ein Betroffener von einem Nutzer namentlich markiert ist, werden softwarebasiert biometrische Merkmale identifiziert, extrahiert, in einer Datenbank mit Gesichtsmerkmalen gespeichert und dem Betroffenen zugeordnet. Unter biometrischen Daten werden biologische Eigenschaften, Verhaltensmuster, physiologische Charakteristika, Merkmale und wiederholbare Handlungen verstanden, die sowohl einzigartig und individuell als auch messbar sind.683 Es werden Abstände zwischen der Nase, den Augen und anderen Gesichtspartien aufgenommen.684 Mit der Bereitstellung eines Digitalbildes bei Facebook, wird automatisch der Abgleich mit vorhandenen biometrischen Daten vorgenommen.685 Im Fall einer Übereinstimmung von Gesichtsmerkmalen mit jenen eines Facebook-Mitglieds, mit dem der Nutzer befreundet ist, wird ein entsprechender Vorschlag zur namentlichen Markierung des Betroffenen unterbreitet. Unternehmensangaben zufolge dient die Gesichtserkennung allein der Erleichterung des sozialen Nutzungserlebnisses.686 Als datenschutzrechtlich relevante Vorgänge kommen das Beschaffen von biometrischen Daten (Erhebung gem. § 3 Abs. 3 BDSG) und die Auswertung und Erstellung von Markierungsvorschlägen für Dritte (Verarbeitung gem. § 3 Abs.  4 Nr. 3 BDSG) in Betracht. Biometrische Daten weisen einen Personenbezug auf, wenn sie aus (digitalen) Bildern gewonnen werden, die ihrerseits personenbezogene Daten sind. Elektronische Abbildungen, die das Gesicht des Betroffenen klar erkennen lassen und seine Identifikation erlauben, werden von der Art.-29-Datenschutzgruppe als personenbezogene Daten bewertet.687 Die Identifikation ist von einer Reihe von Parametern, etwa der Bildqualität, des Aufnahmewinkels oder der Aufnahmedistanz, abhängig.688 Abbildungen, die Ereignisse und andere Personen enthalten, können personenbezogene Daten von mehreren Betroffenen aufweisen oder auch als besonders schutzwürdig gem. § 3 Abs. 9 BDSG eingestuft werden, wenn bspw. Angaben über die ethnische Herkunft enthalten sind.689 Sofern Face 683

Art.-29-Datenschutzgruppe, Stellungnahme 04/2007, WP 136, S. 9. Facebook Inc., Hilfebereich, a. u. http://www.facebook.com/help/. 685 „Wenn du ein Album hochlädst, werden Fotos der gleichen Person automatisch in Gruppen zusammengefasst. Wir schlagen Namen von Freunden in einigen dieser Gruppen vor, um Zeit beim Markieren und Teilen von Fotos zu sparen. Diese Vorschläge werden durch Speichern verschiedener Daten zu Fotos deiner Freunde, auf denen du markiert bist und den Abgleich dieser Daten mit neuen von dir hochgeladenen Fotos, erstellt. Wir markieren deine Fotos nicht automatisch, wir empfehlen dir nur Freunde, die du vielleicht markieren möchtest.“ Facebook Inc., Hilfebereich, a. u. http://www.facebook.com/help/. 686 Facebook Inc., Hilfebereich, a. u. http://www.facebook.com/help/. 687 Art.-29-Datenschutzgruppe, Stellungnahme 02/2012, WP 192, S. 4; so auch Schaffland/ Wiltfang, § 3, Rn.  5; Dammann, in: Simitis, BDSG, § 3, Rn.  10; Maisch/Albrecht, juris AnwZert ITR 2/2010, Anm. 2. 688 Art.-29-Datenschutzgruppe, Stellungnahme 02/2012, WP 192, S. 4. 689 Art.-29-Datenschutzgruppe, Stellungnahme 02/2012, WP 192, S. 4. 684

222

C. Gefährdungslagen der informationellen Selbstbestimmung 

book in der Lage ist, anhand der biometrischen Daten eine Person zu identifizieren, handelt es sich um personenbezogene Daten. Die Zulässigkeit richtet sich danach, ob ein gesetzlicher Erlaubnistatbestand oder eine informierte Einwilligung gegeben ist. Deutsche Datenschutzgesetze enthalten keinen speziellen Tatbestand, der die Zulässigkeit der Gesichtserkennung speziell regelt. Einzig im bislang nicht beschlossenen Entwurf zum Beschäftigtendatenschutz ist mit § 32h BDSG-E unter dem amtlichen Titel „Biometrische Verfahren“ ein Tatbestand vorgesehen, der die biometrische Datenverarbeitung von Beschäftigten einschränkt.690 Der Tatbestand des § 6b BDSG zur Zulässigkeit der Videoüberwachung an öffentlich zugänglichen Orten ist im Internet nicht einschlägig. Biometrische Gesichtsaufnahmen werden bei Facebook ferner nicht zur Authentifikation verwendet, sodass es sich nicht um Merkmale zur Identifikation des Nutzers oder um sonstige Nutzungsdaten handelt, die zur Inanspruchnahme des Netzwerks gem. § 15 Abs. 1 TMG erforderlich wären. Im Hinblick auf Facebook als nicht öffentliche Stelle kann eine Gesichts­ erkennung nur gem. §§ 28, 29 BDSG legitimiert werden. § 28 Abs. 1 BDSG erlaubt die Datenverarbeitung, wenn sie zur Erfüllung eigener Geschäftszwecke dient. Die Erhebung und die Verarbeitung biometrischer Daten sind allerdings nicht erforderlich, um den Nutzungsvertrag zu erfüllen (§ 28 Abs. 1 Nr. 1 BDSG). Der Geschäftszweck von Facebook besteht in der Ermöglichung der Kontaktaufnahme, sozialen Kommunikation und Interaktion. Nicht oder nicht hauptsächlich dient ­Facebook der Vornahme der Gesichtserkennung oder der daraus resultierenden Nutzungsmöglichkeiten, sodass der Tatbestand nicht als Rechtfertigung herangezogen werden kann.691 Ferner verbietet es sich, die Gesichtserkennung als zusätzliche Dienstleistung über die Zustimmung zum Nutzungsvertrag zu legitimieren.692 Die Erhebung und Verarbeitung von biometrischen Daten sind bei Face­book weder in den Nutzungsbedingungen als AGB noch in den Datenverwendungsrichtlinien ausdrücklich erwähnt.693 Mangels berechtigter Interessen seitens Facebook, bspw. wenn die Gesichtserkennung zum Zweck der Altersverifikation eines Minderjährigen anhand eines (elektronischen) Ausweisdokuments erforder-

690

Dazu BT-Drs. 17/4230, S. 9. Art.-29-Datenschutzgruppe, Stellungnahme 3/2012, WP 193, S. 12. 692 Mit ausdrücklichem Hinweis auf Soziale Netzwerke, Art.-29-Datenschutzgruppe, Stellungnahme 3/2012, WP 193, S. 12. 693 Weder in den Allgemeinen Geschäftsbedingungen („Nutzungsbedingungen“) noch in den Datenverwendungsrichtlinien ist eine Klausel zur Erhebung und Verarbeitung von bio­ metrischen Daten noch der Begriff der Gesichtserkennung enthalten. In den Datenverwendungsrichtlinien findet sich lediglich ein abstrakter Hinweis zur Datenverarbeitung ohne Angaben zu Zwecken: „Wenn du Dinge wie Fotos oder Videos auf Facebook postest, erhalten wir gegebenenfalls auch zusätzliche, ergänzende Daten (oder Metadaten), etwa die Uhrzeit, das Datum und den Ort, an dem du das Foto oder Video aufgenommen hast.“ Facebook Inc., Datenverwendungsrichtlinien, a. u. http://www.facebook.com/full_data_use_policy. 691

III. Sozialvernetzte Datenverarbeitung

223

lich wäre, scheidet § 28 Abs. 1 Nr. 2 BDSG ebenso als Rechtsgrundlage aus.694 Bei Fotos, die von Nutzern in Facebook gespeichert werden, handelt es sich nicht um allgemein zugängliche Daten, es sei denn, der Nutzer hat diese als öffentlich sichtbar definiert. § 28 Abs. 1 Nr. 3 BDSG kommt daher nicht in Betracht.695 Erfolgen die Erhebung und Verarbeitung der biometrischen Daten nicht zu eigenen Geschäftszwecken, sondern zur Übermittlung an Dritte, ist nicht § 28 BDSG, sondern § 29 BDSG anzuwenden.696 Gem. § 29 Abs. 1 Nr. 1 BDSG sind die Erhebung, Speicherung, Veränderung und Nutzung zum Zweck der Übermittlung nur zulässig, wenn kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung, Veränderung oder Nutzung697 hat. Nach der Rechtsprechung des BGH ist der wertausfüllungsbedürftige Begriff des „schutzwürdigen Interesses“ anhand einer Abwägung des Persönlichkeitsrechts des Betroffenen, also seines Interesses an dem Schutz seiner Daten und des Stellenwerts, den die Offenlegung und Verwendung der Daten für ihn haben, mit den Interessen der Nutzer, für deren Zwecke die Speicherung erfolgt, unter Berücksichtigung der objektiven Werteordnung der Grundrechte zu bestimmen. Art, Inhalt und Aussagekraft der Daten sind den Aufgaben und Zwecken gegenüberzustellen, denen die Erhebung und Speicherung der Daten dienen.698 Bei der Erhebung und Verarbeitung von biometrischen Daten hat der Betroffene ein Interesse daran, seine Person vor der Speicherung von Persönlichkeitsprofilen zu schützen. Biometrische Daten können zur (ggf. sogar staatlichen) Identitätsfeststellung699 sowie zur Auswertung physiologischer und psychologischer Charakteristika herangezogen werden.700 Diese Daten, die im Einzelfall dem besonderen Schutz des § 3 Abs. 9 BDSG unterliegen können, liefern ferner Rückschlüsse über Lebensgewohnheiten und Aufenthaltsorte und können für eine Vielzahl an Zwecken verarbeitet und genutzt werden. Biometrische Daten machen Fotos zudem adressierbar und im Internet auffindbar. Die Weitergabe dieser Daten kann Suchmaschinen in die Lage versetzen, den Bezug zwischen einem beliebigen Bild, 694 Die Erhebung und Verarbeitung von biometrischen Daten sind gem. Art. 7 lit. f DSRL bzw. § 28 Abs. 1 Nr. 2 BDSG nur in Ausnahmefällen, bspw. zur Vermeidung oder Abwehr konkreter Gefahren, möglich, vgl. Art.-29-Datenschutzgruppe, Stellungnahme 3/2012, WP 193, S. 13. 695 Im Ergebnis auch Barnitzke, MMR-Aktuell 2011, 320076. 696 BGH, Urt. v. 23.06.2009 – VI ZR 196/08, NJW 2009, 2888 (2891); Ballhausen/Roggenkamp, K&R 2008, 407 (408). 697 Der Tatbestand der Nutzung ist aufgrund eines redaktionellen Versehens nicht ausdrücklich erwähnt, Gola/Schomerus, BDSG, § 29, Rn. 10. 698 BGH, Urt. v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505 (2506). 699 Die US-amerikanische Bundespolizei beabsichtigt eine biometrische Datenbank zur Gesichtserkennung zu schaffen, mit deren Hilfe die Identitätsfeststellung an öffentlichen Orten oder in Sozialen Netzwerken möglich wird, Lynch, EFF, Beitrag v. 02.08.2012, a. u. https:// www.eff.org/deeplinks/2012/07/fbis_facial_recognition_coming_state_near_you. 700 Art.-29-Datenschutzgruppe, Stellungnahme 3/2012, WP 193, S. 21 f.

224

C. Gefährdungslagen der informationellen Selbstbestimmung 

das bereits im Internet vorhanden ist oder von einem Nutzer für eine Personensuche hochgeladen wurde, und einer bestimmten Person herzustellen.701 Biometrische Daten, die an Dritte weitergegeben werden, können den Betroffenen daher auf Bildern im gesamten Internet oder in der realen Welt unter der Voraussetzung entsprechend leistungsfähiger Überwachungssysteme702 oder mobiler Endgeräte703 auffindbar machen. Angesichts Googles Forschungsvorhabens zur Marktreife von Datenbrillen, „Google Glass“, rücken bisher utopische Gedankenspiele immer näher, in denen betroffene Passanten unmittelbar anhand ihrer Facebook-Profile identifiziert werden könnten.704 Biometrische Daten, die die Wiedererkennung der Gesichtszüge einer bestimmten Person ermöglichen, haben für den Betroffenen einen besonders hohen Stellenwert. Diese Daten können das entscheidende Zusatzwissen bilden, um jede (all­ gemein zugängliche) Abbildung und die darin enthaltenen Kontextinformationen mit dem Betroffenen in Verbindung zu bringen. Biometrische Daten zu Gesichtszügen haben das Potenzial einen Betroffenen anhand von Bildern im Internet oder sonstigen elektronischen Medien aufzuspüren und einen Personenbezug herzustellen. Damit kann ein Brückenschlag bzw. eine Profilbildung zwischen der digitalen und der realen Welt gelingen.705 Bei Facebook dient die Gesichtserkennung nur der Erleichterung der Bereitstellung und Vernetzung von Bildern, die von Nutzern übermittelt werden. Wie, mit welcher Qualität und Auflösung, mit welcher Software und ggf. zu welchen weiteren Zwecken biometrische Daten erhoben und verarbeitet werden, ist bei Facebook nicht erläutert. In Anbetracht des hohen Stellenwerts, den die biometrischen Daten für den Betroffenen einnehmen, erscheint ihre Verarbeitung im Hinblick auf die Zwecke der erleichterten Handhabung sozialvernetzter Fotoalben nicht als erforderlich. Die Erhebung und Verarbeitung bergen erhebliche Risiken für die informationelle Selbstbestimmung. Biometrische Daten zum Gesichtsporträt des Betroffenen machen diesen auf allen Porträtbildern zu seiner Person identifizierbar, die über das Internet abgerufen werden können. Ferner drohen Beeinträchtigungen der Privatheit und der Selbstdarstellung des Grundrechtsträgers. Die damit einhergehenden Risiken für den Betroffenen stehen mit dem Informationsinteresse der Stelle nicht im Verhältnis.706 Mangels eines gesetzlichen Erlaubnistatbestands können die Erhebung und Verarbeitung biometrischer Daten nur über eine ausdrückliche Einwilligung 701

Art.-29-Datenschutzgruppe, Stellungnahme 2/2012, WP 192, S. 3. Art.-29-Datenschutzgruppe, Stellungnahme 3/2012, WP 193, S. 22. 703 Zu einem Forschungsvorhaben der Universität Manchester zur Gesichtserkennung mithilfe eines Smartphones, Viefhues, MMR-Aktuell 2010, 308792. 704 Einführend dazu Beuth, Zeit Online, Beitrag v. 11.03.2013, a. u. http://www.zeit.de/digital/ datenschutz/2013–03/google-glass-datenschutz. 705 Vgl. Art.-29-Datenschutzgruppe, Stellungnahme 3/2012, WP 193, S. 23. 706 So auch im Hinblick auf Art. 6 Abs. 1 lit. c DSRL, Europe-v-Facebook.org, Anzeige v. 18.08.2011, S. 2, a. u. http://europe-v-facebook.org/Complaint_09_Face_Recognition.pdf. 702

III. Sozialvernetzte Datenverarbeitung

225

des Betroffenen legitimiert werden.707 Problematisch ist, dass Facebook die Gesichtserkennung ohne ausdrückliche und informierte Einwilligung der Nutzer nachträglich gestartet hat.708 Die Datenverwendungsrichtlinien beinhalten keinen Hinweis auf diese Funktion und die von Facebook verfolgten Zwecke. Lediglich im Hilfebereich findet sich eine kurze Erläuterung. Informationen zur Speicherdauer und zu Zwecken der Datenverarbeitung, insbesondere nach der Deaktivierung der Funktion, sind nicht enthalten. Anstelle eines Opt-in-Verfahrens räumt Facebook lediglich die Möglichkeit einer Deaktivierung der Funktion ein. Die Integration der Gesichtserkennungsfunktion im Sozialen Netzwerk Facebook verstößt gegen § 4 BDSG, da weder ein gesetzlicher Tatbestand noch eine ausdrückliche und informierte Einwilligung des Betroffenen die Datenverarbeitung rechtfertigen können. Eine biometrische Datenverarbeitung zu Nichtmit­ gliedern ist ebenfalls unzulässig. Nach Auffassung der Art.-29-Datenschutzgruppe ist Facebook dazu verpflichtet, den Betroffenen als Facebook-Mitglied vor der Speicherung eines Bildes zu Art, Umfang und Zweck der Gesichtserkennung zu unterrichten. Facebook-Nutzern müsste ferner die Wahl für oder gegen die Erhebung und Verarbeitung biometrischer Daten aus ihren Bildern eingeräumt werden. Es werden auch Datenschutzeinstellungen gefordert, die den Nutzer befähigen, die Rechte derjenigen Dritten zu schützen, die auf den bereitgestellten Bildern ebenfalls abgebildet sind. Auf die Anordnung709 des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, in der Facebook zur rechtmäßigen Gestaltung der Gesichtserkennungsfunktion aufgefordert wurde, und des Audits710 der Irischen Datenschutzaufsichtsbehörde hat Facebook am 21.09.2012 eingelenkt. Die Erhebung und Verarbeitung biometrischer Daten europäischer Betroffener wurden beendet und die rechtswidrig erhobenen Daten wurden gelöscht. Die Verwaltungsanordnung wurde daher aufgehoben. Im Jahr 2014 wurde bekannt, dass Facebook mit dem biometrischen Erkennungssystem „DeepFace“ an einer neuen Software arbeitet, die Gesichter genauso zuverlässig erkennen können soll, wie ein Mensch. Dazu sollten 3D-Modelle aus Portraitbildern errechnet werden. Für Facebook ist die Gesichtserkennung daher noch nicht vom Tisch.

707

Düsseldorfer Kreis, Beschl. v. 08.12.2011, S. 1. Barnitzke, MMR-Aktuell 2011, 320076. 709 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung v. 21.09.2012. 710 Data Protection Commissioner, Facebook Ireland Ltd., Report of Re-Audit, 21.09.2012, S. 8, a. u. http://dataprotection.ie/documents/press/Facebook_Ireland_Audit_Review_Report_ 21_Sept_2012.pdf. 708

226

C. Gefährdungslagen der informationellen Selbstbestimmung 

(c) Apps von Dritten (aa) Datenschutzrechtliche Einordnung von Apps Unter „Apps“ werden Softwareanwendungen verstanden, die datenträgerlos711 über Onlineshops (sog. App-Stores712) verbreitet werden und die für die Anwendung auf mobilen Endgeräten wie Smartphones oder Tablets gestaltet sind. In Anlehnung an diesen Modebegriff werden auch Zusatzanwendungen und -dienste, die für Betriebssysteme713, für Browser714 oder in Sozialen Netzwerken715 an­ geboten werden, als Apps bezeichnet. Apps werden entgeltlich oder kostenlos angeboten und erweitern den Funktionsumfang von Endgeräten.716 Auch Facebook verfügt über einen internen App-Store (bei Facebook sog. AppZentrum), in dem Apps von dritten Diensteanbietern (sog. Third-Parties) zur Inbetriebnahme auf dem Webportal des Sozialen Netzwerks oder zum Download auf ein mobiles Endgerät angeboten werden.717 Als verantwortliche Stellen kommen Facebook und die Diensteanbieter von Apps in Betracht.718 Für die Eingrenzung der Verantwortung kommt es gem. § 3 Abs. 7 BDSG i. V. m. Art. 2 lit. d DSRL darauf an, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Facebook ist hierbei verantwortliche Stelle für die Datenverarbeitung im Rahmen der Bereitstellung und Abrechnung des App-Zentrums.719 Der Diensteanbieter greift zwar auf Integrationspunkte der Plattform720 und GraphAPI-Schnittstellen von Facebook zurück, um die App zu betreiben und Infor-

711

Vgl. Kremer, CR 2011, 769 (769). Ausführlich zu vertraglichen Beziehungen der Beteiligten, Kremer, CR 2011, 769 (769 f.). 713 Bspw. der sog. Windows Store für Apps für Microsoft Windows 8, vgl. Schulz, c’t, 1/2012, a. u. http://www.heise.de/ct/artikel/Fensterladen-1395129.html. 714 Z. B. Chrome Browser Apps, a. u. https://chrome.google.com/webstore. 715 Zum Datenschutz bei Apps in den Sozialen Netzwerkn der VZ-Netzwerke, Maisch, juris AnwZert ITR 23/2010, Anm. 3. 716 Vgl. Kremer, CR 2012, 438 (438). 717 Facebook Inc., App Center, www.facebook.com/appcenter; dazu Schneider, Telemedi­ cus, Beitrag v. 26.07.2012, a. u. http://www.telemedicus.info/article/2379-Das-neue-FacebookApp-Zentrum-und-der-Datenschutz.html. 718 Nach dem Territorialprinzip ist entscheidend, dass eine Stelle auf ein im Inland belegenes Mittel zurückgreift. Ein mobiles oder immobiles Endgerät ist ein solches Mittel, auf dem eine App installiert und die Erhebung und Verarbeitung von Daten vollständig oder teilweise erfolgen. Hat der Diensteanbieter einer App eine deutsche Niederlassung, kommt deutsches Recht zur Anwendung. Das gilt jedoch nicht, sofern er nur eine Niederlassung in einem anderen Mitgliedstaat im EU-/EWR-Raum hat, da hier nur das Recht dieses Mitgliedstaats anwendbar wäre. 719 Facebook erfasst u. a. das Nutzerverhalten in seinem App-Zentrum und wertet dies demographisch aus. Diese Daten werden Diensteanbietern in Facebook-Insights statistisch wiedergegeben, vgl. Facebook Inc., Getting Started  – App Center, a. u. https://developers.face book.com/docs/appcenter/. 720 Vertiefend Scheliga, Facebook-Anwendungen programmieren, S. 13. 712

III. Sozialvernetzte Datenverarbeitung

227

mationen über den Nutzer technisch erfassen und übermitteln zu können.721 Ob, wie und zu welchen Zwecken personenbezogene Daten, die Facebook weitergeben kann, erhoben und verarbeitet werden sollen, bestimmt der Diensteanbieter.722 Die Datenverarbeitung von App-Diensteanbietern hat Relevanz für die informationelle Selbstbestimmung, wenn personenbezogene Daten erhoben und ver­ arbeitet werden. App-Diensteanbieter, die Apps für mobile Endgeräte anbieten, erheben neben einer IP-Adresse häufig einen Unique Device Identifier (UDID). Wie bereits festgestellt, ist umstritten, ob eine IP-Adresse ein personenbezogenes Datum ist. Fraglich ist, wie die UDID zu bewerten ist. Die UDID ist eine Gerätenummer, die ein Mobiltelefon eindeutig zuordnen kann.723 UDID-Nummern sind zwar statische Identifier. Im Unterschied zu IPAdressen werden UDID jedoch nicht von Access-Providern derart zugeordnet und gespeichert, dass anhand einer UDID ein Eigentümer eines Endgeräts zweifelsfrei identifiziert werden könnte. Die Bestimmbarkeit einer Person anhand der UDID ist jedoch nicht ausgeschlossen.724 Für den Personenbezug von UDIDs kommt es entscheidend auf die Definition der Personenbeziehbarkeit an. So wird nach objektiver Betrachtungsweise der Personenbezug anzunehmen sein, da über die Lieferketten des Herstellers objektiv nachvollziehbar sein dürfte, wer welches Gerät gekauft hat. Nach der relativen Theorie kommt es auf die Mittel und Fähigkeiten der verantwortlichen Stelle an. Diese Stelle müsste zur Identifizierung des Betroffenen anhand der UDID die Lieferketten rekonstruieren und dazu einen erheblichen Aufwand investieren. Ob damit auch der tatsächliche Betroffene ermittelt werden kann, ist fragwürdig, da ein Endgerät auch mit einem Bargeschäft oder über Zwischenkäufer erworben werden kann. Eine UDID ist somit nicht als personenbezogenes Datum anzusehen.725 Etwas anderes gilt bei Diensteanbietern, die Anbieter von Apps und Hersteller von mobilen Endgeräten sind, wie bspw. die Firma Apple. Diese Diensteanbieter können eine UDID mit Bestandsdaten über den Nutzer zusammenführen und den Betroffenen ermitteln.726 Neben der UDID kommen weitere Daten in Frage, die von App-Diensteanbietern erhoben und verarbeitet werden. Die Graph-API-Schnittstelle öffnet die Daten­banken von Facebook für App-Diensteanbieter und erlaubt weitreichende Abfragen von personenbezogenen Daten des Betroffenen. Abfragen können z. B. den Zugriff auf Profildaten und Nutzungsdaten, wie bspw. „Likes“, Markierungen

721

Facebook Inc., Mobile Web App Tutorial, a. u. https://developers.facebook.com/docs/ mobile/web/build/#graph. 722 Kremer, CR 2012, 438 (439). 723 Zur Problematik von UDID-Nummern bei Apple iPhones, Haag, MMR-Aktuell 2011, 315048. 724 So werden auch MAC-Adressen, die Netzwerkkarten eindeutig identifizierbar machen, als personenbezogene Daten bewertet, vgl. Spies, MMR-Aktuell 2011, 318376. 725 Für den Personenbezug von UDID, Kremer, CR 2012, 438 (439). 726 Haag, MMR-Aktuell 2011, 315048.

228

C. Gefährdungslagen der informationellen Selbstbestimmung 

auf Fotos oder Aufenthaltsorte umfassen.727 App-Diensteanbieter erheben damit regelmäßig personenbezogene Daten.728 Die Erhebung und Verarbeitung von personenbezogenen Daten müssten zu­ lässig sein. Da Apps auch für Mobilfunkgeräte angeboten werden, könnte das BDSG hinter den spezialgesetzlichen Erlaubnistatbeständen gem. §§ 91 ff. TKG und §§ 11 ff. TMG zurücktreten.729 Der Anwendungsbereich von §§ 91 ff. TKG wäre eröffnet, wenn der Anbieter als Diensteanbieter gem. § 3 Nr.  6 TKG „geschäftsmäßig Telekommunikationsdienste erbringt“ oder daran mitwirkt. Telekommunikationsdienste sind gem. § 3 Nr.  24 TKG „in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen.“ Telekommunikationsgestützte Dienste sind „Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird“ (§ 3 Nr. 25 TKG). Bei Telekommunikationsdiensten steht die Übertragung von Signalen im Vordergrund, während Telemedien das Angebot von Inhalten bezeichnen.730 Eine App ist anhand ihrer Funktionen im Einzelfall zu beurteilen. Voice-overIP-Funktionen, die Vermittlung von Anrufen in das Festnetz oder aus dem Festnetz, die Zuteilung einer Rufnummer oder der Rückgriff auf eine eigene TK-In­ frastruktur machen Apps zu Telekommunikationsdiensten. Dies gilt auch für Apps, die sonstige Transportleistungen übernehmen, wie bspw. die Veröffentlichung oder Verbreitung von Medieninhalten in einem Sozialen Netzwerk (z. B. Facebook oder Instagram) oder die Veröffentlichung von Statusmeldungen oder Ortsangaben (sog. Check-ins).731 Für Apps, die nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk nach § 2 des Rundfunkstaatsvertrags sind, ist das TMG gem. § 1 Abs. 1 S. 1 TMG anwendbar. Apps mit Funktionen aus dem Bereich der Datendienste, Sozialen Netzwerke oder Bewertungsportale unterfallen somit dem TMG.732 Eine parallele Anwendbarkeit des TKG und TMG ergibt sich, wenn eine App mehrere unterschiedlich zu bewertende Funktionen aufweist.733 Dabei könnte an die Facebook-Messenger-App zu denken sein, über die Text- und Medieninhalte übermittelt, Daten aus dem Sozialen Netzwerk abgerufen und seit März 2013 auch Voice-over-IP-Telefonate innerhalb des Freundeskreises geführt werden können. 727

Ausführlich Scheliga, Facebook-Anwendungen programmieren, S. 140 ff. Ob und in welchem Umfang App-Diensteanbieter personenbezogene Daten über den Betroffenen erheben, bemisst sich nach dem Umfang der Abfragen über die Graph-API-Schnittstelle und nach den darüber hinaus, ggf. im Rahmen eines Setup-Vorgangs, erhobenen Daten. 729 Dazu vertiefend Kremer, CR 2012, 438 (440). 730 Kremer, CR 2012, 438 (440); Müller-Broich, TMG, § 1, Rn. 6. 731 Vgl. Müller-Broich, TMG, § 1, Rn. 3; Kremer, CR 2012, 438 (441). 732 Kremer, CR 2012, 438 (441). 733 Vgl. Kremer, CR 2012, 438 (441). 728

III. Sozialvernetzte Datenverarbeitung

229

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten können mit einer Einwilligung des Betroffenen oder mit einem gesetzlichen Erlaubnistatbestand aus dem TKG oder TMG und in Bezug auf Inhaltsdaten aus dem BDSG legitimiert werden.734 Transparenzdefizite lässt v. a. die Erteilung einer Einwilligung in die Datenverarbeitung erkennen. (bb) Zulässigkeit der Datenweitergabe an App-Diensteanbieter Die Datenverarbeitung von App-Diensteanbietern, die Apps über das FacebookApp-Zentrum anbieten, bedarf einer datenschutzrechtlichen Legitimation. Dies gilt insbesondere für den Abruf von personenbezogenen Daten über den Betroffenen, der über die Graph-API-Schnittstelle erfolgt, sobald ein Nutzer einem Nutzungsvertrag zugestimmt hat. Auf die Anforderung des Diensteanbieters werden Daten aus den Facebook-Datenbanken übertragen. Bei diesem Vorgang handelt es sich um eine Übermittlung, da bei Facebook gespeicherte personenbezogene Daten an einen Dritten weitergegeben oder zur Einsicht oder zum Abruf bereitgehalten werden (vgl. § 3 Abs. 4 Nr. 3 BDSG ). Diese Übermittlung müsste gesetzlich erlaubt sein. Lediglich § 15 Abs.  5 S.  1 und 2 TMG gestattet die Übermittlung von per­ sonenbezogenen Daten an einen Dritten zu Abrechnungszwecken, wenn dies erforderlich ist. Dies ist der Fall bei Apps, die die Entrichtung einer Lizenzgebühr voraussetzen oder weitere Nutzungsgebühren verlangen. Abrechnungszwecke sind nicht gegeben, wenn personenbezogene Daten des Betroffenen zum Zweck des Datawarehousings oder Direktmarketings verarbeitet werden sollen. Die Art der Daten, bspw. „Interessen von Freunden“, deutet bereits auf andere Verarbeitungszwecke hin. § 15 Abs. 5 S. 3 TMG erlaubt eine Übermittlung von anonymisierten Daten zu Marktforschungszwecken. Von Facebook beim Betroffenen direkt erhobene Bestands- und Nutzungsdaten können nach Maßgabe dieser Tatbestände nicht an einen externen Diensteanbieter übermittelt werden, es sei denn, sie werden entsprechend anonymisiert. Eine solche Weitergabe von Daten wird von Facebook z. B. an Werbepartner vorgenommen. An App-Diensteanbieter werden jedoch personenbezogene Daten über den Nutzer übermittelt, sodass § 15 Abs. 5 S. 3 TMG für diesen Vorgang nicht einschlägig ist. Die Übermittlung von Inhaltsdaten des Betroffenen könnte über § 29 Abs.  2 BDSG zum Zweck der Werbung, zur Tätigkeit von Auskunfteien oder zum Adresshandel erlaubt sein. Dazu hat der Empfänger sein berechtigtes Interesse an den Daten glaubhaft darzulegen und der Betroffene dürfte kein schutzwürdiges Interesse am Ausschluss der Weitergabe von personenbezogenen Daten an Dritte ha 734

Vertiefende Darstellung Kremer, CR 2012, 438 (443 ff.).

230

C. Gefährdungslagen der informationellen Selbstbestimmung 

ben. Das schutzwürdige Interesse ist in einer Abwägung des Persönlichkeitsrechts des Betroffenen mit den Interessen des App-Diensteanbieters abzuwägen.735 Hier kommt es entscheidend darauf an, welche Daten ein Drittanbieter im Einzelfall einfordert und welcher Stellenwert diesen zuzumessen ist. Für den Schutz der Privatheit des Betroffenen und gegen eine Preisgabe spricht, wenn umfangreiche Datenbestände zur Identität und zu den persönlichen Verhältnissen, bspw. Name, Wohnsitz, Geburtsdatum, Interessen oder Fotoalben, übermittelt werden sollen. Diese Daten machen den Betroffenen nicht nur über Facebook hinaus identifizierbar, sondern können auch besonders schutzwürdige Daten gem. § 3 Abs. 9 BDSG enthalten. Gegen eine Weitergabe von Daten würde auch sprechen, wenn diese Daten für die Nutzung der App, bspw. eine WetterberichtApp, nicht erforderlich sind oder der Umfang der Datenabfrage in Anbetracht des Nutzungsumfangs unverhältnismäßig erscheint. Der Schutz der Privatheit des Betroffenen dürfte ferner dann die Verarbeitungsinteressen des App-Diensteanbieters überwiegen, wenn es sich bei diesem um eine ausländische Stelle mit Sitz in einem Drittstaat ohne angemessenes Datenschutzniveau handelt. Aus den genannten Erwägungen kann die Interessenabwägung zugunsten des Betroffenen ausfallen, sodass auch § 29 Abs.  2 BDSG eine Datenübermittlung nicht rechtfertigen könnte. Kommt eine gesetzliche Erlaubnis der Datenübermittlung nicht in Frage, könnte diese auf eine Einwilligung des betroffenen Nutzers gestützt werden. Die Einwilligung richtet sich nach den Vorgaben von § 13 TMG, § 4a BDSG. Der Betroffene hat eine in Kenntnis der Sachlage bewusste und informierte Einwilligung zu treffen. Gem. § 13 Abs. 1 TMG ist der Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten und über die Verarbeitung der Daten in Drittstaaten zu unterrichten. Facebooks App-Zentrum ist eine Seite innerhalb der Facebook-Plattform und ist visuell wie ein Webshop aufgebaut. Über Listen oder ein Suchfeld erhält der Nutzer Angebote zu verschiedenen. Mit der Auswahl einer App wird diese in einer Vollansicht zu Details des Angebots angezeigt. Das Angebot enthält im zentralen Bildbereich Screenshots zur App und eine Beschreibung. Im oberen rechten Bildbereich befindet sich eine blaue Schaltfläche mit der Aufschrift „Spielen“.736 Unterhalb dieses Buttons wird in einigen Textzeilen in hellgrauer Schriftfarbe 735 Nach der Rechtsprechung des BGH ist der wertausfüllungsbedürftige Begriff des „schutzwürdigen Interesses“ anhand einer Abwägung des Persönlichkeitsrechts des Betroffenen, also seines Interesses an dem Schutz seiner Daten und des Stellenwerts, den die Offenlegung und Verwendung der Daten für ihn haben, mit den Interessen der Nutzer, für deren Zwecke die Speicherung erfolgt, unter Berücksichtigung der objektiven Wertordnung der Grundrechte zu bestimmen. Art, Inhalt und Aussagekraft der Daten sind den Aufgaben und Zwecken gegenüberzustellen, denen die Erhebung und Speicherung der Daten dienen, BGH, Urt. v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505 (2506). 736 Je nach Art der Anwendung ist der Button mit dem Text „Zur Anwendung“ oder „An Handy senden“ beschriftet.

III. Sozialvernetzte Datenverarbeitung

231

erläutert, welche personenbezogenen Daten des Nutzers an den App-Dienste­ anbieter übermittelt werden sollen. Der Umfang dieser Daten ist knapp formuliert, bspw. „Deine E-Mail-Adresse ([email protected])“ oder „Deine allgemeinen Informationen“. Von zentraler Bedeutung ist die Übermittlung der „allgemeinen Informationen“. In einem Mouse-over-Hinweisfeld, das sich hinter dem „[?]“ versteckt, wird erklärt, dass es sich dabei um Name, Profilbild, Geschlecht, Netzwerke, Nutzerkennnummer, Freundesliste und alle anderen Informationen handelt, die der Nutzer öffentlich gemacht hat. Ferner werden der App Rechte eingeräumt, im Namen des Betroffenen Statusmeldungen zu veröffentlichen, bspw. „Diese Anwendung darf in deinem Namen posten, einschließlich deinen Punktestand, eggs you collected und mehr.“ Dieses Recht kann nicht ausgeschlossen werden. Möglich ist nur, die Zugriffsrechte anderer Nutzer auf diese Meldungen zu beschränken, indem die Sichtbarkeit dieser Beiträge definiert werden kann. Hier stehen die üblichen Sichtbarkeitskategorien als Drop-down-Menü zur Verfügung.737 Es ist fraglich, ob diese Gestaltung von App-Angebotsseiten innerhalb des Facebook-App-Zentrums geeignet ist, den Nutzer hinreichend über Art, Umfang und Zwecke der Datenverarbeitung in Kenntnis zu setzen. Der Nutzer wird zunächst nur über pauschal zusammengefasste Datenkategorien informiert, die übermittelt werden sollen. Hinweise auf „Deine Spieleaktivität“ oder „Deine Daten, wenn du offline bist“738 sind zu unbestimmt, da der Nutzer nicht ohne Weiteres ermitteln kann, welche Daten davon betroffen sein können oder was damit gemeint ist. Teilweise soll der Nutzer einer umfassenden Weitergabe an Daten zustimmen, die nicht nur „allgemeine Informationen“, sondern auch Profil- und Nutzungsdaten, bspw. „Deine Profilinformationen: Geburtstag, Interessen und ‚Gefällt mir‘-Angaben“, beinhaltet.739 Problematisch ist, wenn zudem besonders schutzwürdige personenbezogene Daten weitergegeben werden sollen. Wird bspw. die Übermittlung von „Religiöse[n] Ansichten und politische[en] Einstellung[en]“740 verlangt, handelt es sich hierbei um sensible Daten, bei deren Datenverarbeitung gem. den §§ 4a Abs. 3, 3 Abs. 9 BDSG eine explizite, ausdrücklich auf diese Daten bezogene Einwilligung erforderlich ist. Durch die knappe Beschreibung der Art und des Umfangs der Daten wird suggeriert, dass die Datenverarbeitung des App-Diensteanbieters auf diese Datenka 737 Das Menü enthält die gegenwärtig weitgehenste Anzahl an Optionen (Stand: 13.05.2013): „Öffentlich“, „Freunde von Freunden“, „Freunde“, „Freunde ohne Bekannte“, „Nur ich“, „Benutzerdefiniert“ und Listen, wie z. B. „Enge Freunde“, oder individuell definierte Listen. 738 So z. B. bei der App „Spotify“ der Firma Spotify GmbH, a. u. https://www.facebook.com/ appcenter/get-spotify?fb_source=appcenter. 739 Bspw. bei der App „War Commander“ der Firma Kixeye, a. u. https://www.facebook. com/appcenter/warcommander?fb_source=appcenter. 740 „Deine Profilinformationen: Geburtstag, Heimatstadt, „Gefällt mir“-Angaben, Ort, Religiöse Ansichten und Politische Einstellung und Bisherige Arbeitgeber“, bspw. bei der App „Causes“ der Firma Causes.com, a. u. https://www.facebook.com/appcenter/causes?fb_ source=appcenter.

232

C. Gefährdungslagen der informationellen Selbstbestimmung 

tegorien beschränkt ist.741 App-Diensteanbieter erheben jedoch zumeist weit mehr personenbezogene Daten über den Betroffenen.742 Ferner werden die personenbezogenen Daten teilweise ohne nähere Einschränkungen vom App-Diensteanbieter an weitere Dritte weitergegeben.743 Eine Unterrichtung über die Zwecke der Datenverarbeitung erfolgt nicht auf der Angebotsseite, sondern lediglich in der damit verlinkten Datenschutzerklärung des Anbieters. Hier finden sich häufig unbestimmte Zweckerläuterungen, wonach personenbezogene Daten bspw. für eine „Vielzahl an Gründen“ ver­wendet werden.744 Mit einem Klick auf „Spielen“ oder „An Handy senden“ wird die Zustimmung zum Nutzungsvertrag an eine – nach den Umständen des Einzelfalls – weitgehende Weitergabe personenbezogener Daten gekoppelt. Die Einwilligung in die Datenübermittlung und in weitere Datenverarbeitungsvorgänge, z. B. dass die App im Namen des Nutzers Statusmeldungen veröffentlichen kann, wird von der Zustimmung als abgegeben vorausgesetzt.745 Es wird nicht darauf hingewiesen, die

741

Vgl. VZBV, Meldung v. 06.12.2012, a. u. http://www.surfer-haben-rechte.de/cps/rde/ xchg/digitalrechte/hs.xsl/75_2404.htm. 742 Bspw. IP-Adressen, MAC-Adressen und browser- und clientspezifische Daten (sog. Browserfingerprint), vgl. Kixeye, Non-US Privacy Policy, Stand: 01.04.2013: „When you use the Services, you transmit information, including personal data. The information you transmit includes information that is personally identifying on its own – for example, your name, address, email address, phone number or profile information, when you register. The information you transmit also includes information that on its own may not be personally iden­ tifying (for example if you access our Site and you do not register), but which we can link to your personally identifying information after you register. You send us this data in two ways. First, you send data actively, either directly or through your account and privacy settings on a social networking site like Facebook. Second, your computer automatically transmits information when you use the Services. The information you send automatically consists mostly of (a) technical information about your computer – including IP address, MAC address, operat­ ing system, browser type, referring and exit URLs, etc. and (b) Service usage information – including your interaction with the Site and the Services, games played, game scores, use of virtual currency, interaction with other users, etc. (collectively, „Automatically Collected Information”). We collect this Automatically Collected Information through server log files, cookies and pixel tags. A „cookie“ is a small piece of data sent from a website and stored in a user’s browser while the user is browsing a website. A „pixel tag“ (also known as a web beacon or clear GIF) is a tiny graphic image placed on a website or in an email that informs us whether you have taken certain action (e. g. visited a website, opened an email, etc.). For internal use, we can tie the Automatically Collected Information to your name and other identifying information, including a unique ID number that we assign to you. We may store such information in databases owned and maintained by affiliated or non-affiliated service providers.“ 743 Kixeye, Non-US Privacy Policy, Stand: 01.04.2013: „Service Providers: We provide information to affiliated and non-affiliated third parties for their use in performing services on our behalf, under agreements that protect the confidentiality and security of such information.“ 744 Bspw. Kixeye, Non-US Privacy Policy, Stand: 01.04.2013: „We use the information we collect, including personal data, for a variety of reasons, including to […] enable third party hosts of the Site or the Services“. 745 So auch VZBV, Meldung v. 06.12.2012, a. u. http://www.surfer-haben-rechte.de/cps/rde/ xchg/digitalrechte/hs.xsl/75_2404.htm.

III. Sozialvernetzte Datenverarbeitung

233

Datenschutzerklärung zu lesen, bevor die App angeklickt wird.746 Soweit die Unterrichtung Bestands- und Nutzungsdaten betrifft, ist diese gem. § 13 Abs. 1 S. 1 TMG in allgemein verständlicher Form zu halten. Daran fehlt es bereits, falls die Datenschutzerklärung nicht in deutscher Sprache abgefasst ist.747 In Anbetracht dieser Erwägungen fehlt es an einer hinreichenden Information des Nutzers über Art, Zwecke und Umfang der Datenverarbeitung. Die knappe Beschreibung der von der Weitergabe umfassten Datenkategorien ist nicht ausreichend, um den Betroffenen über die Sachlage in Kenntnis zu setzen. Verstöße gegen die Unterrichtungspflicht sind gem. § 16 Abs. 2 Nr. 2 TMG bußgeldbewehrt. Wie die Unterrichtung platziert werden muss, ist nicht in § 13 Abs. 1 TMG geregelt. Ein Link zur Datenschutzerklärung wird als ausreichend erachtet, soweit dieser Hinweis nicht versteckt, sondern sofort erkennbar ist.748 Problematisch ist hier die Art und Weise der visuellen Gestaltung des App-Zentrums. Die Seitengestaltung ist darauf gerichtet, den Nutzer möglichst schnell zur Bestätigung des Nutzungsvertrags zu führen, ohne ihn nachdrücklich auf die zu übermittelnden Daten und Verwendungszwecke aufmerksam zu machen.749 Im Gegensatz zur Vergangenheit informiert Facebook nun nicht mehr explizit in einem Pop-up-Fenster, dass eine App auf bestimmte Daten zugreifen will. Stattdessen werden die betreffenden Daten unterhalb der zentralen Aktivierungsschaltfläche in vereinfachten Kategorien zusammengefasst, die teilweise erst in einem Mouse-over-Feld näher bestimmt werden. Die Schriftfarbe Hellgrau suggeriert zudem, dass es sich um unbedeutende Angaben handeln dürfte. Auch bei der Wahl der Button-Bezeichnung wurde auf eine Warnfunktion verzichtet, die bspw. bei den Formulierungen „Erlauben“, „Genehmigen“ oder „Ich bin einverstanden“ klar zum Ausdruck kommen würde.750 Das App-Zentrum ist also lediglich an den Mindeststandards an Transparenz orientiert. Mangels hinreichender Unterrichtung fehlt es an einer wirksamen Einwilligung des Betroffenen.

746

Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 89. Heckmann, in: jurisPK-Internetrecht, Kap. 8, Rn. 202. 748 Heckmann, in: jurisPK-Internetrecht, Kap. 8, Rn. 203. 749 So auch Charkham, TechCrunch, Beitrag v. 25.08.2012, a. u. http://techcrunch.com/2012 /08/25/5-design-tricks-facebook-uses-to-affect-your-privacy-decisions/. 750 Werden Anwendungen nicht über das App-Zentrum aufgerufen, sondern bspw. über das Internet angeboten, wird über ein Popup-Fenster erfragt, ob sich die Anwendung mit Facebook verbinden soll und ob der „Zugriff“ auf bestimmte, einzeln aufgezählte Datenkategorien „zugelassen“ werden soll, Charkham, TechCrunch, Beitrag v. 25.08.2012, a. u. http:// techcrunch.com/2012/08/25/5-design-tricks-facebook-uses-to-affect-your-privacy-decisions/. 747

234

C. Gefährdungslagen der informationellen Selbstbestimmung 

(cc) Weitergabe von Daten der Freunde des Nutzers Diskussionswürdig ist ferner der Umgang mit personenbezogenen Daten von Freunden des Betroffenen, der eine App nutzt.751 In seinen Datenverwendungsrichtlinien stellt Facebook nunmehr klar, dass Anwendungen auch auf personenbezogene Daten der Freunde zugreifen. Diese Erhebung erfolgt stets bei personenbezogenen Daten, die bei Facebook als öffentlich sichtbar voreingestellt oder individuell so definiert sind. Die öffentliche Sichtbarkeit von Daten bildet den weitesten Kreis für Empfänger bzw. Stellen, die Daten abrufen können. Facebook erlaubt eine Bestimmung der Empfänger durch die Auswahl voreingestellter Empfängerkreise, bspw. „Bekannte“ oder „Enge Freunde“, oder räumt dem Nutzer ein, selbst Empfängerkreise zu definieren.752 Öffentlich sichtbar bedeutet, dass jedermann innerhalb und außerhalb des Sozialen Netzwerks (ggf. durch Suchmaschinen) als solche definierte personenbezogene Daten abrufen kann. Ob Daten öffentlich sichtbar sind, kann der Nutzer nur teilweise bestimmen. Mit der Registrierung eines Nutzerkontos erteilt der Nutzer seine Einwilligung in die Datenverwendungsrichtlinien, nach denen bestimmte personenbezogene Bestands- und Inhaltsdaten unabänderlich als öffentlich definiert sind. Zu diesen zählen der Name, das Profilbild, das Chronik-Titelbild, das Netzwerk, das Geschlecht, der Nutzername und die Nutzerkennnummer.753 Im Übrigen wird dem Nutzer in der Regel in den Datenschutzeinstellungen der je­ weiligen Objekte die Wahl überlassen, ob und welche Objekte (bspw. ein Fotoalbum) oder Funktionen (bspw. „Likes“) als öffentlich sichtbar bestimmt werden sollen.754 Eine Anwendung kann daher regelmäßig nicht nur auf die Daten des Nutzers zurückgreifen, sondern auch auf alle öffentlichen Informationen seiner Freunde. Indem der Nutzer die Einwilligung in die Verarbeitung seiner Daten erteilt, erlaubt er gleichzeitig die Übermittlung der öffentlichen Daten seiner Freunde. Innerhalb des App-Zentrums ist kein Hinweis auf eine so weitgehende Datenverarbeitung enthalten. Lediglich versteckt755 in den Datenverwendungsrichtlinien findet sich eine Erklärung.756 Dies überrascht, da die Gestaltung des App-Zentrums den Ein 751 Dazu Europe-v-Facebook.org, Anzeige v. 28.08.2011, S. 2, a. u. http://europe-v-facebook. org/Complaint_13_Applications.pdf. 752 Vertiefend Seidl/Beyvers, jurisAnwZert ITR 15/2011, Anm. 3. 753 Facebook Inc., Datenverwendungsrichtlinien, a. u. http://www.facebook.com/about/pri vacy/your-info. 754 Zu Ausnahmen Facebook Inc., Datenverwendungsrichtlinien, a. u. http://www.facebook. com/about/privacy/your-info. 755 So Europe-v-Facebook.org, Anzeige v. 28.08.2011, S. 2, a. u. http://europe-v-facebook. org/Complaint_13_Applications.pdf. 756 „Deine Freunde und die anderen Personen, mit denen du Informationen teilst, möchten deine Informationen vielfach mit Anwendungen teilen, um ihre Nutzererlebnisse inner­halb dieser Anwendungen persönlicher und sozialer zu gestalten. Beispiel: Einer deiner Freunde möchte eine Musik-Anwendung verwenden, mit der er sehen kann, welche Musik seine

III. Sozialvernetzte Datenverarbeitung

235

druck erweckt, die dort aufgeführten personenbezogenen Daten seien die einzigen Datenbestände, die übermittelt werden. Wer eine App nutzen will, muss auch Daten seiner Freunde preisgeben. Die Nutzung von Apps ist im Regelfall untrennbar an diese Datenverarbeitung gekoppelt und diese Verarbeitung kann nur unterbunden werden, wenn auf eine App über ihre Deaktivierung gänzlich verzichtet wird.757 Überraschend ist ferner, dass eine App seinen Nutzer dazu auffordern kann, personenbezogene Daten seiner Freunde preiszugeben, die diese als nicht öffentlich sichtbar definiert haben: „Falls du deine ‚Gefällt mir‘-Angaben jedoch nur für deine Freunde sichtbar gemacht hast, kann die Anwendung deinen Freund um Erlaubnis bitten, auf diese Informationen zugreifen zu dürfen.“758 Zur Vermeidung der Preisgabe von Daten durch Freunde räumt Facebook seinen Nutzern ein, dies durch eine organisatorische Maßnahme zu unterbinden. In den Datenschutz­ einstellungen ist dazu der Abschnitt „Werbeanzeigen, Anwendungen und Webseiten“ enthalten. Im Unterabschnitt „Wie Nutzer deine Informationen an Anwendungen weitergeben, die sie nutzen“ kann mittels Checkbuttons ausgewählt werden, welche Inhalte weitergegeben werden dürfen. Es wird kritisiert, dass die Einstellungen nicht mit dem App-Zentrum verlinkt und daher nicht intuitiv bedienbar sind.759 Facebook räumt App-Diensteanbietern außerdem die Möglichkeit ein, Funktionen des Nutzers zu bedienen. Der Nutzer ist gezwungen, seine Einwilligung auch dazu zu erteilen, da ihm die App sonst nicht zur Verfügung steht. Apps greifen häufig auf die Funktion zurück, Statusmeldungen im Namen des Nutzers zu veröffentlichen, um bspw. dessen Nutzungshandlungen in einem Spiel zu bewerben. Im App-Zentrum ist mittlerweile vorgesehen, dass der Nutzer die Empfängerkreise bestimmen kann.760 Ursprünglich sah die Datenschutzeinstellung nur die Optionen „Öffentlich“, „Freunde“ und „Benutzerdefiniert“ vor. Nunmehr hat Face­book auch die Option „Nur ich“ aus den benutzerdefinierten Einstellungen hervorgeholt und die vorhandenen Optionen ergänzt.761

Freunde hören. Damit die Anwendung besonders nützlich für ihn ist, möchte dein Freund der Anwendung seine Freundesliste übermitteln – wozu deine Nutzerkennnummer gehört – sodass die Anwendung weiß, welche seiner Freunde die Anwendung ebenfalls nutzen. Vielleicht möchte dein Freund der Anwendung zudem mitteilen, welche Musik dir auf Facebook gefällt. Wenn du diese Informationen öffentlich zugänglich gemacht hast, kann die Anwendung ebenso wie alle anderen Personen darauf zugreifen.“ vgl. Facebook Inc., Datenverwendungsrichtlinien, a. u. http://www.facebook.com/about/privacy/your-info-on-other. 757 Vgl. Europe-v-Facebook.org, Anzeige v. 28.08.2011, S. 2, a. u. http://europe-v-facebook. org/Complaint_13_Applications.pdf. 758 Facebook Inc., Datenverwendungsrichtlinien, a. u. http://www.facebook.com/about/pri vacy/your-info-on-other. 759 Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 90. 760 Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 90. 761 Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 90.

236

C. Gefährdungslagen der informationellen Selbstbestimmung 

(dd) Eigene Stellungnahme Das von Facebook betriebene App-Zentrum zeigt nicht nur deutlich, dass personenbezogene Daten in Sozialen Netzwerken allgegenwärtig erzeugt, erhoben, verarbeitet und genutzt werden. Personenbezogene Daten sind die unerschöpfliche Ressource für vielfältige Formen der Werbung, der Marktforschung und des Kontaktdatenhandels. Manche Anwendungen werden entgeltlich angeboten oder können zunächst kostenlos genutzt werden, wobei Erweiterungen entgeltliche Abonnements voraussetzen, die Nutzer langfristig binden sollen. Der Großteil der Apps, die bei Facebook angeboten werden, sind kleine Anwendungen mit begrenztem Dienstleistungsumfang. Der Vertrieb dieser Apps ist nicht auf die Gewinnerzielung gerichtet, sondern darauf, eine Leistung zu bilden, für die Nutzer als Gegenleistung in die (umfassende) Abrufbarkeit ihrer bei Facebook gespeicherten personenbezogenen Daten einwilligen. Die Art und Weise der visuellen Gestaltung des App-Zentrums unterstreicht diese Interessenlage. Mit einem Klick auf „Spielen“ oder „An Handy senden“ wird die Zustimmung zum Nutzungsvertrag an eine  – nach den Umständen des Einzelfalls  – weitgehende Weitergabe personenbezogener Daten gekoppelt. Eine hinreichende Unterrichtung über Art, Umfang und Zwecke der Datenverarbeitung erfolgt nicht, sodass eine entsprechend erteilte Einwilligung nicht den Anforderungen der § 12 TMG, § 4a BDSG gerecht wird.762 (d) Auskunft Gem. § 34 Abs. 1 BDSG ist Facebook als verantwortliche Stelle verpflichtet, dem Betroffenen auf Verlangen Auskunft zu erteilen. Die Auskunft umfasst die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und den Zweck der Speicherung. Soweit eine Auskunft dem Interesse der Stelle an der Wahrung eines Geschäftsgeheimnisses zu­ widerläuft, ist eine Interessenabwägung vorzunehmen (§ 34 Abs. 1 S. 4 BDSG). Das Auskunftsrecht ist unabdingbar763 und konkretisiert das Recht auf Trans­ parenz, auch bei der internen764 Datenverarbeitung der verantwortlichen Stelle.

762

Gegen diese mitunter wettbewerbswidrige Praxis richtete sich eine Klage des VZBV e. V., der das LG Berlin mit Urt. v. 28.10.2014  – 16 O 60/13 statt gab. Das LG entschied, dass deutsches Recht gem. Art. 4 Rom-II-VO anwendbar ist. Dem Kläger steht ein Anspruch auf Unterlassung gegen Facebook zu, Spiele derart zu präsentieren, dass der Verbraucher mit der Bestätigung des Buttons „Spiel spielen“ die Einwilligung dazu abgibt, dass der Spiele-Betreiber über Face­book personenbezogene Daten erhält und diese im Namen des Verbrauchers bei Face­book posten darf. 763 Gola/Schomerus, BDSG, § 34, Rn. 1. 764 Gola/Schomerus, BDSG, § 34, Rn. 2.

III. Sozialvernetzte Datenverarbeitung

237

Nach Auffassung des Düsseldorfer Kreises muss es eine einfache Möglichkeit für Betroffene geben, ihre Ansprüche auf Auskunft, Berichtigung und Löschung von Daten geltend zu machen. Die Angabe von Kontaktdaten an einer leicht auffindbaren Stelle innerhalb des Sozialen Netzwerks bildet die Grund­ voraussetzung.765 Für die Erteilung einer Auskunft ist gem. § 34 Abs.  6 BDSG die Textform vorgesehen. Bei entsprechenden Empfangsmöglichkeiten, z. B. einer E-Mail-Adresse, kann diese auch elektronisch erfolgen.766 In den Nutzungsbedingungen und den Datenverwendungsrichtlinien von Facebook ist weder eine Kontaktadresse eines Datenschutzbeauftragten noch ein Hinweis auf ein Auskunftsrecht enthalten. Unter „Kontoeinstellungen“ ist ein klein formatierter Link platziert, der zu einer Facebook-Seite führt, über die das „Persönliche Archiv“ und das „Erweiterte Archiv“ heruntergeladen werden können. Das sog. Aktivitätenprotokoll ist über das Nutzerprofil oder über die „Privatsphäre-Einstellungen“ zugänglich. Zunächst kann ein „Persönliches Archiv“ erstellt und heruntergeladen werden, in dem Daten zusammengestellt werden, die der Nutzer bei dem Sozialen Netzwerk gespeichert hat. Dieses ZIP-Archiv enthält insbesondere alle gegenwärtig auf dem Sozialen Netzwerk gespeicherten Fotos, Nachrichten und sonstigen Beiträge, die zur Dokumentation des eigenen Nutzungsverhaltens oder zum Providerwechsel von Interesse sein könnten. Weitergehende Informationen zum Nutzungsverhalten können über das „Erweiterte Archiv“ eingesehen werden. Im Unterschied zum „Persönlichen Archiv“, das über einen als grüne Schaltfläche „Mein Archiv aufbauen“ optisch hervorgehobenen Link heruntergeladen werden kann, befindet sich der Link zum „Erweiterten Archiv“ als Textlink zwischen weiteren Erläuterungen im unteren Bildbereich der Facebook-Seite. Die Gestaltung dieser Seite legt den Eindruck nahe, der Nutzer solle in erster Linie zum Download des weniger umfassenden „Persönlichen Archivs“ geleitet werden. Auf Hilfeseiten zum Thema „Zugang zu deinen FacebookInformationen – Wo finde ich meine Informationen?“ wird zwar auch das „Erweiterte Archiv“ erläutert. Es fällt jedoch auf, dass diese Erläuterungen keinen direkten Link zum Download eines solchen Archivs aufweisen. Stattdessen erhält der Nutzer einen Hinweis, wo er nach dem Link suchen kann: „Den Link zum Herunterladen deines erweiterten Archivs befindet sich auf der gleichen Seite, von der du deinen Informationen heruntergeladen hast.“767 Die elektronische Auskunft über personen­bezogene Daten, die im Rahmen des „Erweiterten Archivs“ bspw. Informationen zu aktiven Sitzungen768 765

Düsseldorfer Kreis, Beschl. v. 08.12.2011, S. 1. Gola/Schomerus, BDSG, § 34, Rn. 13. 767 Facebook Inc., Hilfe, a. u. https://www.facebook.com/help/405183566203254. 768 Umfasst sind „Alle gespeicherten aktiven Sitzungen einschließlich Datum, Uhrzeit, Gerät, IP-Adresse, Cookies und Browserinformationen.“ Facebook Inc., Hilfe, a. u. https://www. facebook.com/help/405183566203254. 766

238

C. Gefährdungslagen der informationellen Selbstbestimmung 

oder Themen von Werbeanzeigen769 enthält, ist also schwer auffindbar. Nicht zuletzt auch die Aufteilung in zwei „Archive“ lässt vermuten, dass Facebook nicht daran gelegen ist, in fairer und offener Weise über seine Datenverarbeitung zu informieren und entsprechend Auskunft zu erteilen. Das ZIP-Archiv des „Erweiterten Archivs“ beinhaltet 37 HTML-Dateien mit weitgehenden Informationen zu von Facebook definierten Verarbeitungskategorien.770 Es fällt auf, dass diese Dateien lediglich die rohen Datensätze, ohne nähere Erläuterung, in listenförmiger Darstellung enthalten. Eine Erklärung zu den Datensätzen ist lediglich im Facebook-Hilfebereich verfügbar. Der Download des „Persönlichen Archivs“ und des „Erweiterten Archivs“ erfolgt über eine SSL-gesicherte Verbindung und ist an eine erneute Authentifikation via E-Mail und Passworteingabe geknüpft, um die Echtheit der Identität des Betroffenen zu ­prüfen. Ein Aktivitätenprotokoll, das der Chronik zugeordnet ist, enthält Informationen über Nutzungshandlungen, bspw. „‚Gefällt mir‘-Angaben auf anderen Webseiten“, Beiträge, entfernte Freunde und getätigte Suchanfragen. Dieses „Protokoll“ kann zwar nicht heruntergeladen werden, ist aber manuell modifizierbar, sodass ein Betroffener nachträglich eine Aktivität, bspw. einen Klick auf einen LikeButton bei einem bestimmten Kontext, löschen oder die Sichtbarkeit eingrenzen kann. Mit dem Aktivitätenprotokoll bietet Facebook seinen Nutzern eine einfach auffindbare und leicht bedienbare Möglichkeit an, Kontrolle darüber zu erlangen, welche Beiträge der Nutzer in der Vergangenheit veröffentlicht hat und wer welche Zugriffsrechte auf die Medieninhalte hat. Diese Zugriffe können auch nachträglich eingeschränkt werden, sofern es sich um Inhalte handelt, die der Nutzer selbst auf der Plattform gespeichert hat. Gleiches gilt für Nutzungshandlungen, bspw. „Gefällt mir“-Angaben bei Inhalten anderer Nutzer, die nachträglich revidiert werden können. Markierungen können entfernt werden. Je nach Art der Aktivität kann ein Nutzer zudem bestimmen, ob und in welcher Weise die Informa 769

„Eine Liste der Themen, auf die hinsichtlich deiner angegebenen Vorlieben, Interessen und sonstigen Daten in deiner Chronik auf dich verwiesen wird.“ Facebook Inc., Hilfe, a. u. https://www.facebook.com/help/405183566203254. 770 Dazu zählen der Kontostatus-Verlauf, Nutzungsdaten zu Sitzungen („Alle gespeicherten aktiven Sitzungen, einschließlich Datum, Uhrzeit, Gerät, IP-Adresse erzeugen Cookies und Browser-Daten“), angeklickte Werbeanzeigen, Adressen („Eine Liste der Themen, für die du Zielgruppe sein könntest, basierend auf deinen „Gefällt mir“-Angaben, Interessen und anderen Daten in deiner Chronik.“), Alternativer Name, Anwendungen, Sichtbarkeit des Geburtstages, Informationen zur Facebook-Währung und Bankdaten, E-Mails, Gelöschte Freunde, Familienmitglieder, Freundschaftsanfragen, Neuigkeiten („Freunde, Anwendungen oder Seiten, die du in deinen Neuigkeiten verborgen hast.“), IP-Adressen, Sprache, Nutzungsdaten zur An- und Abmeldung, Namensänderungen, Netzwerke, Benachrichtigungseinstellungen, Seiten mit Administratorrechten, Ausstehende Freundschaftsanfragen, Telefonnummern, Metadaten Fotos („Alle mit deinen hochgeladenen Fotos übermittelten Metadaten.“), Gutscheine, Anstupser, Screen-Namen, Gesprochene Sprachen; vgl. Facebook Inc., Hilfebereich, a. u. https://www.facebook.com/help/326826564067688.

III. Sozialvernetzte Datenverarbeitung

239

tion in seiner Chronik, d. h. in seinem Nutzerprofil, angezeigt werden soll. Der Nutzer wird damit in die Lage versetzt, seine digitale Selbstdarstellung detailliert zu konfigurieren. Insgesamt ist festzuhalten, dass Facebook keine „Auskunft“ i. S. d. BDSG, sondern drei Formen der elektronischen Einsicht in seine Datenverarbeitung erlaubt. Die genannten „Archive“ und „Protokolle“ enthalten automatisch generierte Tabellen an Bestands-, Nutzungs- und Inhaltsdaten, die vom Nutzer auf Facebook preisgegeben worden sind. Über Nutzungsdaten, die bei der Bereitstellung des Telemediums entstanden sind, wie bspw. entfernte Markierungen auf Fotos, die andere Nutzer hochgeladen haben, Informationen zur Synchronisation mit (mobilen) Endgeräten, die Erzeugung von Freundschaftsvorschlägen, die Auswahl an Freunden, die im Chatfenster angezeigt werden und Informationen, die aus Interaktionen und der (Chat-)Kommunikation gewonnen werden, wird nur teilweise Auskunft gewährt.771 Der Download der Archive und das online zur Verfügung gestellte Aktivitätenprotokoll geben technisch-versierten Nutzern Einblicke in die komplexe Datenverarbeitung des Sozialen Netzwerks. Dennoch fehlt es an einer übersichtlichen, einfach verständlichen und vollständigen Auskunft, die ggf. optional weitere Erläuterungen zu Fachbegriffen und zur Bedeutung der Rohdaten enthält.772 Die Ausübung des Rechts auf Auskunft wird daher bei Facebook nur teilweise gewährt. c) Rechtsfragen der sozialen Entnetzung aa) Löschung von Daten Der Gesetzgeber hat die Löschung als Verarbeitungsschritt konzipiert, der ebenfalls dem Verbot mit Erlaubnisvorbehalt unterliegt, um eine Beeinträchtigung der Rechte des Betroffenen zu vermeiden.773 Sofern keine gesetzlichen, satzungsmäßigen oder vertraglichen Pflichten zur Aufbewahrung von Daten bestehen, die ein schutzwürdiges Interesse des Betroffenen an der Speicherung der Daten begründen könnten, sind in § 35 Abs. 2 BDSG Erlaubnistatbestände zur Löschung der Daten geregelt.774 Die Pflicht zur Löschung tritt insbesondere dann ein, wenn die Speicherung unzulässig oder ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Unter Löschen wird gem. § 3 Abs. 4 Nr. 5 BDSG das „Unkenntlichmachen gespeicherter personenbezogener Daten verstanden.“ Durch die 771 Detailliert s. a. Europe-v-Facebook.org, Anzeige v. 28.08.2011, S. 2, a. u. http://europev-facebook.org/Complaint_10-AccessRequest.pdf. 772 Gola/Schomerus, BDSG, § 34, Rn. 13. 773 Vgl. Gola/Schomerus, BDSG, § 35, Rn. 10. 774 Gola/Schomerus, BDSG, § 35, Rn. 10.

240

C. Gefährdungslagen der informationellen Selbstbestimmung 

Löschung wird die Verarbeitungsphase beendet, sodass die Information der verantwortlichen Stelle nicht mehr zur Verfügung steht. Facebook löscht keine personenbezogenen Daten, es sei denn, ein Nutzer entscheidet sich dazu, Informationen zu löschen. Ob und in welchen Fällen eine Löschung im Sinne einer. Unkenntlichmachung erfolgt, wird bei Facebook unterschiedlich umgesetzt. Informationen, bspw. Interessen oder Beziehungsangaben, innerhalb des Profils können über eine Bearbeitungsseite „entfernt“ werden. Diese Informationen werden endgültig gelöscht. „Aktivitäten“ werden über das Akivitätenprotokoll gesteuert. Hier entscheidet der Nutzer, ob eine datenschutzrechtlich relevante Handlung eines anderen Nutzers, bspw. eine Markierung auf einem Foto oder ein Check-in, zugelassen oder verworfen werden soll. Ob damit eine Löschung eintritt oder ob nur die Anzeige von Daten verborgen wird, ist unklar. Nutzungshandlungen, die in der Vergangenheit getätigt wurden, bspw. ein Klick auf einen Like-Button, können lediglich in ihrer Sichtbarkeit eingeschränkt werden, wenn der Nutzer die dazu erforderlichen Rechte hat. Im Einzelfall können bspw. Kommentare oder „Gefällt mir“-Angaben widerrufen werden – auch hier ist unklar, ob die personenbezogenen Daten gelöscht werden. Dies gilt erst recht für Nachrichten, die bloß „archiviert“ werden können. Aus dem „Erweiterten Archiv“ kann ferner entnommen werden, dass Face­book Informationen zu „Gelöschten Freunden“ speichert. Als problematisch erweist sich auch die Löschung von geteilten Inhalten, Kommentaren und Nachrichten, sofern der Nutzer sein Mitgliedskonto löscht. Geteilte Angaben, die sich mit personenbezogenen Daten Dritter überschneiden können, werden derzeit nicht gelöscht.775 „Wenn du ein Konto löschst, wird es dauerhaft von Facebook gelöscht. Normalerweise dauert es ungefähr einen Monat bis eine Kontolöschung vollzogen ist. Manche Daten sind jedoch noch bis zu 90 Tage in Sicherungskopien und Protokolldateien vorhanden. Du solltest dein Konto nur löschen, wenn du dir sicher bist, dass du es nicht mehr reaktivieren möchtest.“776 „Bestimmte Informationen sind erforderlich, um dir Dienste anzubieten. Deshalb löschen wir solche Informationen erst, nachdem du dein Konto gelöscht hast. Einige Dinge, die du auf Facebook machst, werden nicht in deinem Konto gespeichert, wie bspw. in einer Gruppe gepostete Beiträge oder das Senden einer Nachricht an jemanden (dein/e FreundIn kann eine von dir gesendete Nachricht eventuell sogar noch nach deiner Konto­löschung haben). Solche Informationen bleiben auch noch nach der Löschung deines Kontos erhalten.“777

775

Data Protection Commissioner, Irland, Report of Audit v. 21.12.2011, S. 116. Facebook Inc., Datenverwendungsrichtlinien, Löschen, Stand: 11.12.2012, a. u. https:// www.facebook.com/full_data_use_policy. 777 Facebook Inc., Datenverwendungsrichtlinien, Löschen, Stand: 11.12.2012, a. u. https:// www.facebook.com/full_data_use_policy. 776

III. Sozialvernetzte Datenverarbeitung

241

Ob und in welchem Umfang personenbezogene Daten bei Facebook gelöscht werden, kann nicht ohne Weiteres beurteilt werden. Facebook bietet keine Möglichkeit, die Löschung von Daten zu verifizieren. Den Datenverwendungsrichtlinien zufolge werden personenbezogene Daten in Multimediainhalten ohnehin nicht aktiv unkenntlich gemacht, bspw. durch eine Überschreibung der Angaben mit zufällig gewählten Zeichenketten, sondern werden bloß zum Überschreiben freigegeben.778 bb) Nutzerkonto im Gedenkzustand In vielen Sozialen Netzwerken kann ein Nutzerkonto nach dem Tod des Nutzers gelöscht oder in einen sog. Gedenkzustand versetzt werden, bei dem nicht die soziale Interaktion, sondern das Andenken an den Verstorbenen im Vordergrund steht.779 Bei Facebook wird der Gedenkzustand auf Antrag der Angehörigen eingerichtet.780 Die Verarbeitung von personenbezogenen Daten im Gedenkzustand ist keine datenschutzrechtlich relevante Handlung, da das Datenschutzrecht lediglich Betroffene als natürliche Personen gem. § 3 Abs. 1 BDSG schützt. Die personenbezogenen Daten des Verstorbenen können Dessen Daten können nur als Berufsgeheimnis gem. § 203 Abs. 4 StGB, als Sozialgeheimnis gem. § 35 Abs. 5 SGB I, als Statistik- oder als Steuergeheimnis oder nach anderen Spezialgesetzen geschützt sein.781 Unabhängig davon kann dem Verstorbenen postmortaler Persönlichkeitsschutz nach den von der Rechtsprechung entwickelten Grundsätzen zukommen. Die Verarbeitung von Daten Verstorbener in Sozialen Netzwerken ist daher datenschutzrechtlich unbedenklich.

778

„Wenn du IP-Inhalte löschst, werden sie auf eine Weise entfernt, die dem Leeren des Papierkorbs auf einem Computer gleichkommt. Allerdings sollte dir bewusst sein, dass entfernte Inhalte für eine angemessene Zeitspanne in Sicherheitskopien fortbestehen (die für andere jedoch nicht zugänglich sind)“, Facebook Inc., Datenverwendungsrichtlinien, a. u. http://www. facebook.com/about/privacy. 779 Khunkham, Welt.de, Beitrag v. 26.11.2012, a. u. http://www.welt.de/debatte/kolumnen/ der-onliner/article111515002/Was-mit-Facebook-Accounts-nach-dem-Tod-passiert.html. 780 „Wir können das Konto einer verstorbenen Person in den Gedenkzustand versetzen. Wenn wir ein Konto in den Gedenkzustand versetzen, bleibt die betreffende Chronik auf Face­ book bestehen; allerdings schränken wir den Zugriff und einige Funktionen ein. Du kannst die Chronik eines verstorbenen Nutzers hier melden: a. u. https://www.facebook.com/help/ contact.php?show_form=deceased. Wir können ein Konto auch schließen, wenn wir eine formelle Aufforderung erhalten, die bestimmte Kriterien erfüllt.“ Facebook Inc., Datenverwendungsrichtlinien, Konten im Gedenkzustand, Stand: 11.12.2012, a. u. https://www.facebook. com/full_data_use_policy. 781 Polenz, in: Kilian/Heussen, Computerrecht, Teil 13, IV, Rn. 59.

242

C. Gefährdungslagen der informationellen Selbstbestimmung 

6. Befund zur sozialvernetzten Datenverarbeitung Diese Arbeit hat eine Bandbreite an organisatorischen, technischen und rechtlichen Gefährdungslagen für den Schutz der informationellen Selbstbestimmung in Sozialen Netzwerken untersucht. Unter strategisch-organisatorischen Gesichtspunkten wurden Risiken wie die Plug-and-Play-Falle identifiziert. Facebook sieht Verarbeitungsschritte vor, um umfassende Mengen an personenbezogenen Daten über den Nutzer erheben und langfristig speichern zu können. Einmal erhobene Daten können von Facebook-Mitgliedern jedoch nicht ohne Weiteres „mitgenommen“ werden: Ein Export von personenbezogenen Daten aus Facebook ist nicht vorgesehen. Zwar ermöglicht das „Persönliche Archiv“ die Erstellung einer Datenübersicht, über die alle Bilddateien vereinfacht heruntergeladen werden können. Die Migration von Nutzerprofilen auf andere Anbieter von Sozialen Netzwerken ist weder technisch (durch standardisierte Schnittstellen oder Funktionen) möglich noch vertraglich vereinbart.  Gesetzliche Vorschriften zu einer Daten­ portabilität gibt es nicht. Faktisch droht hier, wie im Cloud Computing, ein Vendor-Lock-in, der die Entscheidungsbefugnis des Einzelnen, wie mit seinen Daten verfahren wird, beeinträchtigt. Zu den technischen Risiken zählt i. W. die Gefahr, dass personenbezogene Nutzerprofile kopiert und Profildaten rechtswidrig weitergegeben werden können. Personenbezogene Profildaten können zur Errichtung falscher Profile (Identitätsdiebstahl) verwendet werden, um mithilfe von Social-Engineering-Methoden Straftaten zu begehen. Technische Gefährdungslagen bilden zudem den Nähr­ boden für Angriffe auf die Portalauthentifikation und Malware-Angriffe, die bspw. durch Clickjacking innerhalb des Netzwerks zur Verbreitung von SpamMeldungen genutzt werden. Soziale Netzwerke sind daher Anwendungen, deren Benutzung erhebliche Gefahren für die Datensicherheit birgt. Bei Facebook wurden bisher nur teilweise Schutzmaßnahmen umgesetzt. Bei der Betrachtung datenschutzrechtlicher Risiken konzentriert sich diese Arbeit auf die Zulässigkeit der Verwendung von personenbezogenen Daten des Betroffenen durch die verantwortliche Stelle. Neben diesem Problemkreis wurde eine Bandbreite an datenschutzrechtlichen Einzelfragen beleuchtet, die z. T. mit erheblicher Rechtsunsicherheit belastet sind. Im Zuge dieser Untersuchungen wurden rechtliche Risiken identifiziert, die den Steuerungsverlust des Rechts auf informationelle Selbstbestimmung in virtuellen Umgebungen offenbaren und den Novellierungsbedarf des Datenschutzrechts veranschaulichen. Bei Facebook erfolgt die Datenverarbeitung in den USA. Zugriffe von Sicherheitsbehörden werden hier auf dieselben Rechtsgrundlagen wie bei legalen Zugriffen auf ausländische Cloud-Service-Provider gestützt. Erhebliche Rechtsunsicherheit weist die Frage nach der Anwendbarkeit des deutschen Rechts auf Soziale Netzwerke auf, deren Diensteanbieter einen Sitz in einem Drittstaat und eine Niederlassung in Irland als EU-Mitgliedstaat haben.

III. Sozialvernetzte Datenverarbeitung

243

Diese Konstellation trifft auf Facebook zu. Die Konzernmutter Facebook Inc. hat einen Sitz in den USA und mit der Facebook Ireland Ltd. eine Tochtergesellschaft mit Sitz in Dublin, Irland. Ob deutsches oder irisches Datenschutzrecht für den Umgang mit personenbezogenen Daten deutscher Nutzer zur Anwendung kommt, wird derzeit von deutschen Gerichten uneinheitlich beurteilt. Sollte die Argumentationslinie, dass allein die Facebook Ireland Ltd. die maßgebliche verantwortliche Stelle sei, zur herrschenden Meinung avancieren, stehen deutsche Gerichte vor dem Problem, die informationelle Selbstbestimmung nach irischem Recht beurteilen zu müssen. Mangels einer dem § 13 Abs. 6 S. 1 TMG vergleichbaren Regelung im irischen Recht dürfte dies die Zulässigkeit des „Klarnamenzwangs“ bei Facebook besiegeln. Für die Durchsetzung der Datenvermeidung durch das in § 13 Abs. 6 TMG vorgesehene Anonymitäts- bzw. Pseudonymitätsgebot verbliebe im Social Web kein Raum. Ohne Profilschutz durch Pseudonymität müsste der betroffene Nutzer, der Soziale Netzwerke nutzen will, hinnehmen, dass er diese ausschließlich unter Verwendung seines Klarnamens nutzen kann. Der „Klarnamenzwang“ ist nicht nur ein Eingriff in die informationelle Selbstbestimmung. Indem die Daten eines Profils und die darüber geführte Kommunikation stets einer bestimmten Person zugeordnet werden, kann eine Person unter erleichterten Bedingungen von Sicherheitsbehörden beobachtet werden.782 Rechtsunsicherheiten bestehen zudem bei der Frage, auf welche Datenkategorien welches Recht Anwendung findet. Hier wurde die grundlegende Streitfrage, ob Inhaltsdaten, die über Telemedien transportiert werden, dem TMG oder dem BDSG zuzuordnen sind anhand der sozialvernetzten Datenverarbeitung diskutiert. Beide Gesetze sind den Herausforderungen von komplexen Telemedien, wie Sozialen Netzwerken, nicht gewachsen, die ein Anwendungsspektrum erlauben, das das allgemein zugängliche Internet nahezu substituiert (Netz im Netz). Soziale Netzwerke sind geschlossene Systeme innerhalb des Internets und vereinen Online-Zeitungen, E-Mail-Dienste, Fotoalben, Chats, Instant Messenger, User-Generated-Content-Plattformen und das Seiten-Hosting auf einer Plattform. Dieser Komplexitätsgrad bei der Datenverarbeitung durch Telemedien wurde vom Gesetzgeber bisher nicht hinreichend berücksichtigt, wie die Schwierigkeiten der Einordnung von Profil- und Interaktionsdaten und von Inhaltsdaten belegen. Unabhängig davon, welcher Ansicht letztlich der Vorzug eingeräumt wird, wird deutlich, dass die sozialvernetzte Datenverarbeitung weit mehr Fragen aufwirft, als das TMG de lege lata zum hinreichenden Schutz der informationellen Selbstbestimmung beantworten kann. 782 Die Enthüllung des geheimen Spähprogramms „Prism“, das vom US-amerikanischen Nachrichtendienst National Security Agency (NSA) eingesetzt wird, hat gezeigt, dass Sicherheitsbehörden nach gegenwärtigem Kenntnisstand einen unmittelbaren Zugang auch zu Sozialen Netzwerken haben, um personenbezogene Daten und eine dem Fernmeldegeheimnis unterliegende Kommunikation abrufen bzw. aufzeichnen zu können, dazu Kremp/Lischka/Reißmann, Spiegel Online, Beitrag v. 07.06.2013, a. u. http://www.spiegel.de/netzwelt/netzpolitik/ projekt-prism-nsa-spioniert-weltweit-internet-nutzer-aus-a-904330.html.

244

C. Gefährdungslagen der informationellen Selbstbestimmung 

Dies gilt nicht zuletzt auch für die Problematik des Pseudonymitätsgebots gem. § 13 Abs.  6 S.  1 TMG und für den Problemkreis der minderjährigen Betroffenen als Nutzer. Der Schutz dieser Nutzergruppe ist datenschutzrechtlich kaum ausgestaltet. Ob Minderjährige eine wirksame Einwilligung abgeben können, wird nach der Einsichtsfähigkeit beurteilt. Soweit die Einwilligung als rechtsgeschäftliche Erklärung (nicht als Realhandlung) bewertet wird, finden die Vorschriften zum Schutz beschränkt Geschäftsfähiger gem. den §§ 106 ff. BGB Anwendung. Diese Vorschriften dienen in erster Linie dem Schutz vor belastenden Verbindlichkeiten, nicht vor dem Kontrollverlust der eigenen Daten und vor Gefahren für die eigene oder fremde Privatheit. Gerade diese Gefahren drohen in Sozialen Netzwerken, die häufig von Jugendlichen genutzt werden. So melden sich 79 % der Jugendlichen im Social Web mindestens einmal pro Woche an783. Die Plug-and-Play-Falle, die Minderjährige unfreiwillig zu Veranstaltern von sog. Facebook-Partys gemacht hat, zeigt, wie leicht Soziale Netzwerke zur Selbst­ gefährdung verleiten. Wie auch im bürgerlichen Recht ist der Gesetzgeber hier gefragt, den Datenumgang an die grundsätzlich geringere Einsichtsfähigkeit Minderjähriger anzupassen. In dieser Arbeit wurde ferner der Streitstand zur Zulässigkeit der Datenverarbeitung am Beispiel von Facebook zusammengefasst.784 Die Selbstbestimmung des Betroffenen beim Profilschutz ist begrenzt. Personenbezogene Daten, die innerhalb von Facebook „öffentlich“ sichtbar sind, sind der Datenherrschaft des Einzelnen entzogen. Diese Daten sind nun auch über eine Facebook-interne Suchmaschine, sog. Social Graph Search, explizit auffindbar.785 Schon jetzt können öffentliche Daten, wie Name, Profilbilder oder Kommentare, z. T. auch von Internet-Suchmaschinen erhoben werden. Die sozialvernetzte Datenverarbeitung bei Facebook beschränkt nicht nur die Selbstbestimmung, sondern missachtet z. T. auch den Grundsatz des Verbots mit Erlaubnisvorbehalt und das Gebot der Datenvermeidung. Dies zeigen die Fälle der Freundefinder-Funktion, bei der personenbezogene Daten auch über Nicht-Nutzer erhoben wurden, und des Like-Buttons. Beiden Fällen ist eine undurchsichtige Datenverarbeitung gemein (Intransparenz), die die Eingrenzung der Verantwortlichkeit erschwert. Ob der Nutzer mit der Ausführung dieser oder anderer Funktionen selbst zur verantwortlichen Stelle wird, ist bisher kaum erforscht. Deutlich wird auch hier, dass die Handlungsbeziehungen im Social Web kaum noch auf das im 783

Zur Nutzungshäufigkeit jugendlicher Internetnutzer ausführlich, Feierabend/Karg/Rathgeb, JIM-STUDIE 2012, S. 40. 784 Aufgrund der großen Anzahl an datenschutzrechtlich diskutierten Fragen beschränkte sich diese Arbeit auf eine Auswahl an Problemstellungen aus dem Zeitraum Januar 2009 bis Mai 2013. 785 Facebook Inc., Social Graph Search, a. u. https://www.facebook.com/about/graphsearch; Roth, allfacebook.de, Beitrag v. 08.08.2013, http://allfacebook.de/toll/graph-search-launch; Bagger, Heise.de, Beitrag v. 15.01.2013, a. u. http://www.heise.de/newsticker/meldung/Facebookdurchsucht-den-sozialen-Graphen-1784686.html.

III. Sozialvernetzte Datenverarbeitung

245

BDSG angelegte Rollenverständnis von der verantwortlichen Stelle, dem Betroffenen (der sich in einer ambivalenten Rolle befindet, da er diese Dienste nutzen will) und dem Dritten übertragbar sind. Wer personenbezogene Daten Dritter in Facebook öffentlich zugänglich macht, wäre nach dieser Konzeption eine verantwortliche Stelle, die dem Datenschutzrecht unterliegt. Nicht zuletzt im Hinblick auf minderjährige Nutzer ist diese Vorstellung realitätsfern und würde zu einer Ausuferung des Anwendungsbereichs des Datenschutzrechts führen. Am Beispiel einzelner Funktionen der biometrischen Datenverarbeitung und der Gestaltung des App-Zentrums wurden verschiedene Facetten beleuchtet, die für Nutzer besonders intransparent sind. Der Verzicht auf Erläuterungen zu Datenverarbeitungsvorgängen, wie bspw. bei der Gesichtserkennung, oder die gezielt undurchsichtige bzw. unhandliche Gestaltung von Datenschutzerklärungen bei AppAngebotsseiten erschwert die Ausübung der informationellen Selbstbestimmung. Nutzer können die Gefährdungslagen, bspw. die Datenübermittlung an einen unseriösen App-Diensteanbieter, der in einem Drittstaat belegen ist, kaum einschätzen. Intransparenz schmälert zudem das Vertrauen in Facebook, das als verantwortliche Stelle über die datenschutzkonforme oder -fördernde Gestaltung des App-Zentrums bestimmt. Die Auskunft über personenbezogene Daten wird bei Facebook zwar elektronisch eingeräumt. Sie wird jedoch künstlich in zwei Auskünfte mit unterschiedlichem Umfang aufgeteilt, wobei mit gestalterischen Mitteln Intransparenz erzeugt wird, wodurch der leichte Zugriff auf die erweiterte Auskunft erschwert wird. Neuerdings können Konten nach dem Tod des Nutzers auch in einen „Gedenk­zustand“ versetzt werden. Da die informationelle Selbstbestimmung mit dem Tod des Grundrechtsträgers endet, ist dieser datenschutzrechtlich nicht zu beanstanden. Neben den Vorfragen und der Nutzung von Sozialen Netzwerken hat diese Arbeit auch den Themenkomplex der Beendigung einer Mitgliedschaft betrachtet (hier sog. „Entnetzung“). Es handelt sich um einen Vorgang, der von verantwortlichen Stellen nicht gewollt ist. Die Löschung von personenbezogenen Daten und die Kündigung werden daher datenschutzwidrig erschwert. Insgesamt wurde gezeigt, dass die sozialvernetzte Datenverarbeitung eine Vielzahl an Fragestellungen und Rechtsunsicherheiten beinhaltet. In der überwiegenden Zahl der ausgewählten Problemkreise ist der Betroffene nicht hinreichend geschützt.

D. Schutz der informationellen Selbstbestimmung I. Empfehlungen zur Rechtsgestaltung 1. Gang der Untersuchung a) Datenschutz durch Recht und Technik Im Kapitel  C. wurden technische, organisatorische und rechtliche Gefährdungslagen klassifiziert, die den Schutz der informationellen Selbstbestimmung des Einzelnen beeinträchtigen können. Diesen Gefährdungslagen kann mit der Novellierung von Gesetzen und mit deren Anknüpfung an technische Maßnahmen begegnet werden. Da es technischen Maßnahmen und Empfehlungen an der Durchsetzbarkeit fehlt, erwächst diesen nur in Verbindung mit Gesetzen ein Ordnungsanspruch. Umgekehrt droht effektivem Rechtsschutz auf der Basis rein rechtlicher Lösungen, die ohne hinreichende Berücksichtigung der Umstände und des Technikstands geschaffen werden, der Verlust1 der Steuerungsmacht.2 Dies gilt im besonderen Maße in den modernen Netzwerken im Internet, die durch schnelllebige Interessenlagen, Rollenverteilungen und Beziehungen gekennzeichnet sind. Hinreichender Rechtsschutz erfordert Schutzregime, die „im Internet, nicht gegen das Internet“3 konzipiert sind, um die den virtuellen Umgebungen ohnehin immanenten Vollzugsverluste aufzufangen. Dem Gesetzgeber kommt die Aufgabe zu, Gestaltungsspielräume, Kriterien, Ziele und Anreize zu schaffen, um Hersteller und Anwender zu veranlassen, datenschutzfreundliche Technologien zu produzieren bzw. zu nutzen.4 Der Einsatz von datenschutzfreundlichen Technologien kann auf unterschiedlichen Wegen gefördert werden. Der Gesetzgeber kann den Rückgriff auf bestimmte Techno­ logien, Produkte oder Verfahren5 festlegen, indem verantwortliche Stellen z. B. 1 Dies belegt bspw. die Misserfolgsgeschichte des Gesetzes über Rahmenbedingungen für elektronische Signaturen (SigG). Qualifiziert elektronische Signaturen sollten als Schrift­ formäquivalent der formbedürftigen, elektronischen Kommunikation zum Durchbruch verhelfen. Dieses Angebot des Gesetzgebers hat in der Praxis aufgrund der vom SigG dazu vorgesehenen Verfahren und Anwendungen kaum Akzeptanz gefunden, Hertel, in: Staudinger, Buch 1, BGB, § 126a, Rn. 46; daran hat auch die Einführung des neuen Personalausweises nichts geändert, der optional eine Signatur enthalten kann. 2 Heckmann, K&R 2010, 770 (776); Hornung, ZD 2011, 51 (51). 3 Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 71. 4 Hornung, ZD 2011, 51 (52). 5 Im De-Mail-Gesetz ist bspw. explizit geregelt, welche Maßnahmen zur Authentifikation des Nutzers getroffen werden müssen. Konkrete Vorgaben an ein Verfahren und seine Technologien hat der Gesetzgeber auch im Signaturgesetz formuliert.

I. Empfehlungen zur Rechtsgestaltung

247

die Nutzung bestimmter datenschutzfreundlicher Technologien nachweisen müssen, wenn besonders schutzwürdige und/oder vertrauliche Daten über ein öffentliches Netz übermittelt werden.6 Es können aber auch Anreize geschaffen werden, datenschutzfreundliche Technologien zu implementieren. Mit Zertifizierungsverfahren und Gütesiegeln kann das Vertrauen der Nutzer in die Datensicherheit, die Akzeptanz einer Technologie, die Außendarstellung oder die wettbewerbliche Stellung einer Stelle verbessert werden. Denkbar sind auch Regelungen, die die Verwendung von datenschutzfreundlichen Technologien vorsehen. Die Mischung beider Ansätze wird als vorzugswürdig bewertet, da nach bisheriger Erfahrung und vor dem Hintergrund der technologischen Weiterentwicklung weder allein der verbindliche Einsatz bestimmter Technologien, noch allein das Vertrauen in die marktwirtschaftlich gesteuerte Selbstregulierung zielführend ist.7 Datenschutz durch Technik kann im positiven Recht verankert und in der Realität umgesetzt werden, wenn Regelungen verabschiedet werden, die den technischen Herausforderungen der vernetzten Kommunikation im Internet angepasst sind8 und die technologiespezifische Zielvorgaben, Anforderungen und Rechtsfolgen enthalten. Diese Arbeit hat im Kapitel C. gezeigt, dass sowohl im Bereich der weltweiten Datenverarbeitung, als auch der sozialen Vernetzung erhebliche Gefährdungs­ lagen für die informationelle Selbstbestimmung bestehen. Welche Verbesserungen der nationale Gesetzgeber bzw. der gemeinschaftsrechtliche Verordnungsgeber vornehmen könnte, um durch Recht und Technik das Schutzniveau des Be­ troffenen zu erhöhen und einen effektiven Datenschutz zu ermöglichen, wird im Kapitel D. mit Empfehlungen zur Rechtsgestaltung und zum Datenschutz durch Technik erörtert. Neben den Lösungsansätzen, die anhand von Rechtsprechung und Literatur entwickelt werden, greift diese Arbeit die Gesetzesentwürfe des Vorschlags der EU-Kommission zur EU-Datenschutz-Grundverordnung (DS-GVO-E) auf.9

6

Die Zulässigkeit der Übermittlung von Gesundheitsdaten könnte bspw. explizit von der Verwendung von asymmetrischer Verschlüsselung abhängig gemacht werden, dazu Hornung, ZD 2011, 51 (55). 7 Hornung, ZD 2011, 51 (55). 8 Zur Forderung nach einer der Technik angemessenen, rechtlichen Regulierung, Heckmann, K&R 2010, 770 (775 f.). 9 Der damit verbundenen, tiefgreifenden Veränderung des Datenschutzrechts ist es geschuldet, dass sich die Empfehlungen zur Rechtsgestaltung nunmehr an die Adresse des Verordnungsgebers und nicht mehr an den nationalen Gesetzgeber richten.

248

D. Schutz der informationellen Selbstbestimmung

b) DS-GVO-E als Prüfungsgegenstand Seit dem Jahr 2012 unternimmt die EU den Versuch, das europäische Datenschutzrecht durch Erlass der EU-Datenschutz-Grundverordnung zu vereinheitlichen und grundlegend zu modernisieren. Der Vorschlag der EU-DatenschutzGrundverordnung aus dem Jahr 2012 (hier abgekürzt als: DS-GVO-E) stützt sich auf die im Vertrag von Lissabon geregelte Rechtsgrundlage für den Erlass von Datenschutzvorschriften (Art.  16 AEUV).10 Hiernach kann der Schutz natürlicher Personen bei der Datenverarbeitung durch Mitgliedstaaten geregelt werden, soweit der Anwendungsbereich des Unionsrechts eröffnet ist.11 Erfasst sind auch Vorschriften für den freien Verkehr von personenbezogenen Daten, ganz gleich, ob sie von Mitgliedstaaten oder von nicht öffentlichen Stellen verarbeitet werden.12 Bei dem Vorschlag wurde das Regelungsinstrument der Verordnung – nicht der Richtlinie – gewählt. Aufgrund der unmittelbaren Anwendbarkeit der Verordnung gem. Art. 288 AEUV soll der Vereinheitlichung der Rechtsordnung, der Erhöhung der Rechtssicherheit, der Verbesserung der Durchsetzbarkeit des Datenschutzes innerhalb und außerhalb des EU-/EWR-Raums und der Stärkung des Binnenmarkts Rechnung getragen werden.13 Ergänzend enthält die Verordnung zahlreiche Ermächtigungen zum Erlass von delegierenden Rechtsakten, um die konkrete Ausgestaltung und Festlegung von Standards durch die EU-Kommission zu ermöglichen. Die Entscheidung für eine Verordnung hat neben der Vollharmonisierung erhebliche Auswirkungen, die weit über jene der DSRL hinausgehen. Verstöße gegen Datenschutzrecht müssten von deutschen Gerichten nach Maßgabe des DS-GVO-E, nicht mehr nach dem BDSG, den Landesdatenschutzgesetzen oder den bereichsspezifischen Gesetzen beurteilt werden.14 Eine zentrale Rolle würde nunmehr der EuGH bei der Auslegung des DS-GVO-E im Rahmen des Vorabentscheidungsverfahrens gem. Art. 267 Abs. 1 lit. b AEUV einnehmen. Im Geltungsbereich der Verordnung wäre die Entscheidungsbefugnis des BVerfG beschränkt.15 Dies wirkt sich unmittelbar auf die informationelle Selbstbestimmung des Einzelnen aus, da eine Verfassungs­beschwerde beim EuGH nicht möglich ist.16 Der DS-GVO-E würde einen Schlussstrich unter die deutsche Rechts­fortbildung zur informationellen Selbstbestimmung setzen und das Datenschutzrecht von der 10 Die EU-Kommission hat zudem einen Vorschlag einer „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“ veröffentlicht. 11 KOM(2012), 11 endg. v. 25.01.2012, S. 6. 12 KOM(2012), 11 endg. v. 25.01.2012, S. 6. 13 KOM(2012), 11 endg. v. 25.01.2012, S. 6. 14 Hornung, ZD 2012, 99 (100). 15 Hornung, ZD 2012, 99 (100). 16 Dazu auch Ehmann, jurisPR-ITR 4/2012, Anm. 2.

I. Empfehlungen zur Rechtsgestaltung

249

auf dem Volkszählungsurteil aufbauenden Grundrechtsdogmatik – mit Ausnahme von Gefahrenabwehr und Strafverfolgung – abkoppeln.17 Der Kompetenzverlust des BVerfG könnte den Verlust an Grundrechtsschutz bedeuten.18 Dieser These wird entgegengehalten, dass dem EuGH seine Rolle als Grundrechtswächter im Wege von Vorabkontrollen nicht von vornherein abgesprochen werden kann.19 Sicher ist, dass auch der Gestaltungsspielraum des nationalen Gesetzgebers eingeschränkt wird, da in dem DS-GVO-E nur wenige Öffnungsklauseln vorgesehen sind.20 Spielräume für mitgliedstaatliche Abweichungen können allerdings von essenzieller Bedeutung sein, um legislative Innovationen – gerade auch beim Datenschutz durch Technik  – überhaupt erst möglich zu machen.21 Selbst nationale Regelungen, die jenen in einer EU-Verordnung inhaltlich entsprechen oder diese wortgetreu wiederholen, sind nicht statthaft, sodass der DSGVO-E eine „scharfe Zensur für die Rechtsentwicklung (…) seit der Verabschiedung des ersten hessischen Datenschutzgesetzes am 30.09.1970“ darstellt.22 c) Fortschritt des Gesetzgebungsverfahrens Der Kommissionsvorschlag (DS-GVO-E), dem der sog. Kommissionsentwurf (hier bezeichnet als DS-GV-E[2011]) vorangegangen war, wurde nach langwierigen Debatten und über 3.000 Änderungsanträgen schließlich im Jahr 2013 vom Europäischen Parlament angenommen.23 Die Zusammenführung der Änderungsanträge und die Vermittlung zwischen den verschiedenen Lagern geht maßgeblich auf den Abgeordneten des Europäischen Parlaments und Berichterstatter des für den Vorschlags zuständigen Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE), Jan Philipp Albrecht, zurück. Der LIBE-Ausschuss hat hat am 21.10.2013 über das Verhandlungsmandat des Europäischen Parlaments zur Datenschutz-Grundverordnung mit einer Mehrheit von 49 Ja-Stimmen, 1 Gegenstimme und 3 Enthaltungen den ausgehandelten Text, den sog. LIBE-Entwurf, angenommen.24 17 Masing, SZ, Beitrag v. 09.01.2012; dem folgend Hornung, ZD 2012, 99 (100); s. a. Ehmann, jurisPR-ITR 4/2012, Anm. 2; vertiefend Masing, NJW 2012, 2305 (2310 f.). 18 Masing, SZ, Beitrag v. 09.01.2012. 19 Zur Vermeidung eines Grundrechtsverlusts könne diskutiert werden, ob in der Verordnung auf die Regulierung des nicht öffentlichen Bereichs der Datenverarbeitung verzichtet wird. Dies widerstrebe aber den Zielen der Verordnung, zu denen gerade die Vereinheit­ lichung des Datenschutzrechts in der Privatwirtschaft zählt, Gola, EuZW 2012, 332 (333). 20 Z. B. der (bisher nicht weiter verfolgte) Beschäftigtendatenschutz bliebe weiterhin dem nationalen Gesetzgeber überlassen; vertiefend Forst, NZA 2010, 1043 ff.; Thüsing, NZA 2011, 16 ff.; vgl. Gola, EuZW 2012, 332 (334). 21 Hornung, ZD 2011, 51 (56); Masing, NJW 2012, 2305 (2310 f.). 22 Ehmann, jurisPR-ITR 4/2012, Anm. 2. 23 ZD-Aktuell 2013, 03515. 24 Albrecht, Beitrag v. 12.09.2014, http://www.janalbrecht.eu/themen/datenschutz-und-netz politik/alles-wichtige-zur-datenschutzreform.html.

250

D. Schutz der informationellen Selbstbestimmung

Im Plenum des Europäischen Parlaments in Straßburg wurde am 12.03.2014 über die Annahme des LIBE-Entwurfs abgestimmt. Von 653 Abgeordneten wurden 621 Ja-Stimmen, 10 Gegenstimmen und 22 Enthaltungen abgegeben.25 Seit dieser Abstimmung ist das Parlament verhandlungsbereit. Für das Jahr 2015 wird eine Einigung mit dem Rat der Europäischen Union erwartet. Im Anschluss daran können die Trialog-Verhandlungen zwischen Europäischem Parlament, Rat und Europäischer Kommission beginnen. Seit 2014 gibt es neben der inoffiziellen, englischsprachigen konsolidierten Fassung auch eine von Carlo Piltz verfasste deutsche Version. Die sog. inoffizielle konsolidierte Fassung26 (hier als DS-GVO-E(2014) bezeichnet) ist das Ergebnis des Vergleichs des Vorschlags der DS-GVO-E vom 25.01.2012 mit dem LIBEEntwurf. In diesem Kapitel wird im Hinblick auf die im Kapitel C. identifizierten Gefährdungslagen und Rechtsfragen hin untersucht und bewertet, ob und wie eine Steigerung des Datenschutzniveaus erzielt werden kann. Aufgrund des Redaktionsschlusses im Oktober 2013 berücksichtigt diese Arbeit im Wesentlichen den Kommissionsvorschlag (DS-GVO-E). Auf gravierende Änderungen, wie die Streichung der Regelungen zur Datenportabilität und des Rechts auf „Vergessenwerden“ wird hingewiesen. 2. Weltweite Datenverarbeitung a) Regelung der Datenportabilität zum Schutz vor Vendor-Lock-in-Effekten aa) Problem Wenn sich ein IT-Outsourcing-Vorhaben für den Kunden als ineffizient oder zu teuer herausstellt oder aus anderen Gründen unter den vereinbarten Bedingungen nicht fortgeführt werden soll, kommen verschiedene Maßnahmen in Betracht. Denkbare Wege sind ein Anbieterwechsel27 oder die Rückführung der out­gesourcten Datenverarbeitung in die „Eigenregie“, sog. Insourcing oder ReSourcing.28 Die Überführung eines ausgelagerten Prozesses auf einen Drittanbieter oder das Insourcing kann erheblichen Aufwand bedeuten.29 Im ungünstigsten

25 Albrecht, Beitrag v. 12.09.2014, http://www.janalbrecht.eu/themen/datenschutz-und-netz politik/alles-wichtige-zur-datenschutzreform.html. 26 Carlo Piltz, a. u. http://www.delegedata.de/datenschutz-grundverordnung-konsolidiertefassung/. 27 Auch sog. Second Generation Outsourcing, Blöse/Pechardscheck, CR 2002, 785 (790). 28 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 86, Rn. 85. 29 Art.-29-Datenschutzgruppe, Stellungnahme 5/2012, WP 196, S. 16.

I. Empfehlungen zur Rechtsgestaltung

251

Fall hat der Outsourcing-Anbieter kein Interesse, den Kunden bei der Rückführung zu unterstützen.30 Kostenersparnisse verwandeln sich insbesondere beim Cloud Computing in eine hohe Abhängigkeit des Auftraggebers von der Mitwirkung des Auftragnehmers, um die Verfügbarkeit der Daten und Dienste sicherzustellen.31 Der deutsche Gesetzgeber hatte dieses Problem bisher nicht erkannt. Die Rückgabe der Daten wird in § 11 Abs. 2 Nr. 10 BDSG nur in Form der „Rückgabe von Datenträgern“ skizziert. Während die Herausgabe von „Datenträgern“ i. S. v. physischen Speichermedien im Eigentum des Auftraggebers regelmäßig unproblematisch ist, wurde dabei nicht bedacht, dass es sich bei dem sog. Exit-Management um einen technisch anspruchsvollen Vorgang handelt, der über die Rückgabe von Datenträgern hinaus ausführlicher Abreden bedarf. Die Vorschrift des § 11 Abs. 2 BDSG, der aufgrund des Katalogs auch eine Warnfunktion für den Auftraggeber zukommt, ist an dieser Stelle lückenhaft.32 In Fallgestaltungen, in denen personenbezogene Daten in anbieterspezifischen Datenbanken oder Anwendungen derart eingebunden sind, dass sie nicht ohne Weiteres kopiert und übermittelt werden können, ist der Auftraggeber auf die Unterstützung des Auftragnehmers angewiesen, um einen Vendor-Lock-in zu vermeiden.33 bb) Zivilrechtliche Lösungsansätze In der Planungsphase eines Outsourcing-Projekts hat der Outsourcing-Kunde die Möglichkeit, die Beendigungsphase im Rahmen der Vertragsgestaltung zu berücksichtigen. Die Beendigungsunterstützung, auch sog. Exit-Management34, sollte nicht davon abhängig gemacht werden, ob eine ordentliche oder außerordentliche Kündigung das Vorhaben beendet.35 Bei der Beendigungsunterstützung handelt es sich um Leistungen des Auftragnehmers, die der Outsourcing-Kunde von diesem bei Beendigung des Vertrags verlangen kann. Ob und in welcher Höhe diese Leistungen vergütet werden, sollte zur Vermeidung von Konflikten in der Be­ endigungsphase ebenfalls frühzeitig vereinbart werden.36 Gleiches gilt für die Prüfung, ob vertragliche oder ggf. gesetzliche Zurückbehaltungsrechte ausgeschlossen werden sollen.37 30

Bräutigam, in: Bräutigam, IT-Outsourcing, S. 957, Rn. 303; s. oben, S. 107. Bussche/Schelinski, in: Leupold/Glossner, Münchener Anwaltshandbuch ITR, Teil  1, Kap. C, Rn. 361. 32 Bräutigam, in: Bräutigam, IT-Outsourcing, S. 958, Rn. 303. 33 s. oben, S. 107. 34 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 458, Rn. 584. 35 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 459, Rn. 585. 36 Zur Vermeidung von Konflikten über die Verfügung der Beendigungsunterstützung kann auch ein unabhängiger Schiedsgutachter hinzugezogen werden, vgl. Bräutigam, in: Bräutigam, IT-Outsourcing, S. 959, Rn. 305. 37 BayLBfdD, Orientierungshilfe Auftragsdatenverarbeitung, S. 16. 31

252

D. Schutz der informationellen Selbstbestimmung

Das Exit-Management ist i. W. durch den sog. Know-how-Transfer und den sog. Asset-Transfer gekennzeichnet.38 Der Know-how-Transfer umfasst das Wissen über den Betrieb der IT-Prozesse und IT-Infrastrukturen und über unternehmenskritische Prozesse, das der Diensteanbieter im Rahmen des Outsourcing-Projekts erworben hat. Dieses Know-how muss zur Aufrechterhaltung und Weiterentwicklung der IT des Outsourcing-Kunden ausreichend dokumentiert und dem Kunden bzw. einem anderen Diensteanbieter übergeben werden.39 Je nach Komplexität des Outsourcing-Projekts kann der Übergang des Know-hows einen zeitlich begrenzten Parallelbetrieb erforderlich machen, um die Verfügbarkeit der Daten und Dienste zu gewährleisten.40 Konkret regelungsbedürftig sind die vorzunehmenden Migrationsschritte, die Dokumentation von Systemumgebungen, die Erstellung von Statistiken, die Auswertung der Betriebssituation, die Dokumentation der Prozesse, Verfahren und Technologien und eine Aufstellung über Nutzungsrechte, Schulungsmaßnahmen und den Parallelbetrieb.41 Der Asset-Transfer beinhaltet die Übergabe von Hard- und Software, den Mitarbeiterübergang gem. § 613a BGB und den für das Cloud Computing bedeutsamen Datentransfer. Daten, die dem Auftragnehmer zur Verarbeitung überlassen wurden, müssen in der Beendigungsphase in Form von weiterentwickelten Daten auf den Outsourcing-Kunden übertragen werden, sog. Re-Transformation.42 Bei der Vertragsgestaltung sollte vereinbart werden, dass die Daten in einem allgemeingültigen Format43 gespeichert werden und dem Umfang der gesetzlichen Aufbewahrungspflichten entsprechen.44 Ferner sollte geregelt werden, dass die Daten nach Vollendung der Re-Transformation beim Diensteanbieter gelöscht werden und dass dem Outsourcing-Kunden Prüfungsrechte beim Diensteanbieter eingeräumt werden, um die Umsetzung der Vereinbarung zu kontrollieren.45 Diese Vereinbarungen können mit einer Vertragsstrafe46 oder einer schriftlichen Bestätigung47 über die Löschung aller Daten abgesichert werden. Da die Beendigung eines Outsourcing-Projekts zahlreiche fachliche und finanzielle Risiken aufweisen kann, die für den Outsourcing-Kunden unternehmenskritisch sein können, ist die Durchführung einer Risikobetrachtung empfehlenswert.48 Im Fall der Insolvenz des Outsourcing-Anbieters oder seines Kunden beurteilt sich die Beendigung des Projekts nach dem Insolvenzrecht. 38

Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 459, Rn. 585. Vertiefend zum Know-how-Transfer, Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 458, Rn. 585. 40 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 459, Rn. 585. 41 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 459, Rn. 585. 42 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 462, Rn. 589. 43 Art.-29-Datenschutzgruppe, Stellungnahme 5/2012, WP 196, S. 16. 44 Bräutigam, in: Bräutigam, IT-Outsourcing, S. 960, Rn. 312. 45 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 462, Rn. 589. 46 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 463, Rn. 589. 47 Bräutigam, in: Bräutigam, IT-Outsourcing, S. 961, Rn. 312. 48 Söbbing, in: Söbbing, Handbuch IT-Outsourcing, S. 463, Rn. 589. 39

I. Empfehlungen zur Rechtsgestaltung

253

Sollten die Parteien keine Vereinbarungen zum Exit-Management getroffen haben, bleibt nur der Rückgriff auf die ergänzende Vertragsauslegung unter Berücksichtigung des Grundsatzes von Treu und Glauben nach § 242 BGB. Hier ist ein Anspruch des Auftraggebers auf Herausgabe der Daten anerkannt.49 Ein Herausgabeanspruch kann ferner auf den §§ 675 Abs. 1, 667 BGB gestützt werden, soweit auf die Auftragsdatenverarbeitung als Geschäftsbesorgung abgestellt wird.50 Der Auftragnehmer hat dem Auftraggeber hiernach alles herauszugeben, was er zur Ausführung des Auftrags erhält und was er aus der Geschäftsbesorgung erlangt hat. Die Zustimmung zur Datenübertragung des Auftragnehmers auf einen Dritten bei einem Anbieterwechsel ist in der Herausgabepflicht verankert.51 Dies gilt nicht nur für die Rohdaten, sondern auch für die eingegebenen Daten, selbst wenn Arbeitsergebnisse enthalten sind.52 Ansprüche auf eine weitere Mitwirkung des Auftragnehmers können nur teilweise aus der ergänzenden Vertragsauslegung abgeleitet werden, da hierbei auf den hypothetischen Willen beider Parteien abzustellen ist. Wurde die Regelung des Exit-Managements von einer Partei vergessen, kann dieser Vertragsgegenstand nicht im Wege der ergänzenden Vertragsauslegung nachgeholt werden.53 Ist das Exit-Management nicht geregelt, befindet sich der Auftraggeber in einer unsicheren Rechtslage.54 cc) Lösungsansatz des DS-GVO-E Werden personenbezogene Daten elektronisch in einem strukturierten gängigen55 elektronischen Format verarbeitet, hat die betroffene Person das Recht, von dem Verantwortlichen eine Kopie der verarbeiteten Daten in einem von ihr weiterverwendbaren strukturierten gängigen elektronischen Format zu verlangen. Adressat des Art. 18 Abs. 1 DS-GVO-E ist der Betroffene, nicht der Verantwortliche56 in einem Auftragsdatenverhältnis. Das Recht auf Datenübertragbarkeit gem. Art.  18 Abs.  1, Abs.  2 DS-GVO-E stärkt die Rechtsposition des Betroffenen gegenüber dem Verantwortlichen. Der Verantwortliche kann aus Art.  18 49 Schneider, Handbuch des EDV-Rechts, Teil M, Rn. 72; dem folgend Bräutigam, in: Bräutigam, IT-Outsourcing, S. 962, Rn. 314. 50 Bräutigam, in: Bräutigam, IT-Outsourcing, S. 962, Rn. 314. 51 OLG Köln, Beschl. v. 28.04.1997 – 12 W 19–97, NJW-RR 1998, 273 (273). 52 Vgl. BGH, Urt. v. 11.03.2004 – IX ZR 178/03, NJW-RR 2004, 1290 (1290). 53 Vgl. BGH, Urt. v. 17.02.1995 – V ZR 267/93, NJW-RR 1995, 853 (853). 54 Bräutigam, in: Bräutigam, IT-Outsourcing, S. 963, Rn. 314. 55 Der Bundesrat sieht eine Missbrauchsgefahr darin, die Datenportabilität davon abhängig zu machen, ob der Verantwortliche Daten in einem „gängigen“ Format verarbeitet, vgl. BRDrs. 52/1/12, S. 20. 56 Der Verordnungsgeber bezeichnet die verantwortliche Stelle als den „für die Verarbeitung Verantwortlichen“. Der Auftragnehmer einer Datenverarbeitung wird als „Auftragsverarbeiter“ bezeichnet und der Betroffene als „betroffene Person“. Für die Empfehlungen zur Rechtsgestaltung anhand des Vorschlags zur Datenschutz-Grundverordnung werden die in Art. 4 DS-GVO-E geregelten Begriffsbestimmungen verwendet.

254

D. Schutz der informationellen Selbstbestimmung

DS-GVO-E keinen Anspruch auf Datenportabilität gegenüber dem Auftragsverarbeiter herleiten. Im Unterschied zu den knappen Regelungen in Art. 17 DSRL hat der Verordnungsgeber der Auftragsverarbeitung mit Kapitel IV „Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter“ eine Vielzahl an Vorschriften zugeteilt. In den Art. 22 bis Art. 39 DS-GVO-E sind die Rechte und Pflichten der Verantwortlichen (Auftraggeber) und der Auftragsverarbeiter (Auftragnehmer) normiert. In dem DS-GVO-E wird nur scheinbar an dem Konzept der verteilten Verantwortung bzw. an der aus dem BDSG bekannten Privilegierung des Auftragsdatenverarbeiters festgehalten. Eine dem BDSG vergleichbar klare Trennung erfolgt jedoch nicht.57 Der Cloud-Kunde ist als Auftraggeber grundsätzlich gegenüber dem Betroffenen verantwortlich, während der Cloud-Service-Provider als Auftragsver­ arbeiter von dieser Verantwortung befreit ist.58 Die Privilegierung des Auftragsverarbeiters endet gem. Art. 26 Abs. 4 DS-GVO-E, wenn dieser personenbezogene Daten auf eine andere als im Vertrag vereinbarte Weise verarbeitet. Nach bisheriger Rechtslage stützt sich die Auftragsverarbeitung auf einen Vertrag zwischen den Parteien, der dem in Art. 17 Abs. 2, Abs. 3 DSRL bzw. § 11 Abs.  2 BDSG enthaltenen Anforderungskatalog entsprechen muss. Art.  26 DSGVO-E orientiert sich an § 11 BDSG und geht weit über Art. 17 DSRL hinaus. Im Anforderungskatalog wurde allerdings auf die Normierung einiger in § 11 Abs. 2 BDSG enthaltener Regelungsgegenstände verzichtet. Zu diesen zählen der Gegenstand und die Dauer des Auftrags (§ 11 Abs. 2 Nr. 1 BDSG), der Umfang, die Art und der Zweck der Verarbeitung, die Art der Daten und der Kreis der Betroffenen (§ 11 Abs. 2 Nr. 2 BDSG)59, die Berichtigung, Löschung und Sperrung von Daten (§ 11 Abs. 2 Nr. 4 BDSG) und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (§ 11 Abs. 2 Nr. 10 2. Hs. BDSG). Im Hinblick auf das Problem des Vendor-Lock-in enthält Art. 26 Abs. 2 lit. g DS-GVO-E die Pflicht zu vereinbaren, dass „nach Abschluss der Verarbeitung dem für die Verarbeitung Verantwortlichen sämtliche Ergebnisse ausgehändigt und die personenbezogenen Daten auf keine andere Weise weiterverarbeitet“ werden. Der Verordnungsentwurf geht damit erheblich über die im BDSG verankerte „Rückgabe von Datenträgern“ hinaus. Die in Art. 26 Abs. 2 lit. g DS-GVO-E vorgesehene Regelung stellt klar, dass sich das Recht auf „Aushändigung“ nicht auf Kopien der ursprünglich ausgelagerten Daten, sondern auf die Ergebnisse der Datenverarbeitung bezieht. Die Herausgabe ist nicht auf die Rohdaten begrenzt, sondern umfasst die Erzeugnisse, die der Auftragsverarbeiter geschaffen hat. Die Herausgabe der Daten wird damit im Kern konkreter geregelt als nach dem BDSG. Spielraum bleibt dagegen in Bezug auf die Unterstützungsleistungen, insbesondere im Kontext des Know-how-Transfers. Nach dem Wortlaut ist zudem nur die Heraus 57

GDD, Stellungnahme v. 25.01.2012, S. 12. Vgl. Hornung/Sädtler, CR 2012, 638 (642). 59 Vgl. GDD, Stellungnahme v. 25.01.2012, S. 12. 58

I. Empfehlungen zur Rechtsgestaltung

255

gabe an den Verantwortlichen erfasst. Eine Art. 18 Abs. 2 DS-GVO-E vergleichbare Regelung, die dem Interesse auf Überführung der Daten auf ein anderes System, bspw. im Wege eines Anbieterwechsels, Rechnung trägt, ist nicht vorgesehen.60 dd) Hinweis zum LIBE-Entwurf Im DS-GVO-E aus dem Jahr 2012 war mit Art. 18 Abs. 1 DS-GVO-E ein sog. Recht auf Datenübertragbarkeit vorgesehen. Im LIBE-Entwurf des Europäischen Parlaments wurde dieser Vorstoß gestrichen, sodass der Vorschlag in seiner inoffiziellen, konsolidierten Fassung keinen entsprechenden Lösungsansatz enthält. ee) Eigene Stellungnahme Der Vendor-Lock-in beschränkt nicht nur die Handlungs- bzw. die Berufs- und Eigentumsfreiheit des Auftraggebers, sondern wirkt sich auch auf die informationelle Selbstbestimmung des Betroffenen aus. Personenbezogene Daten können nicht „mitgenommen“ – nur gelöscht werden. Indem Art. 18 DS-GVO-E vom Europäischen Parlament nicht angenommen wurde, wird es weiterhin von der Bereitschaft der datenverarbeitenden Stelle abhängen, ob personenbezogene Daten exportiert werden können. Nachdem Datenexporte für verarbeitende Stellen keinen Mehrwert liefern, dürfte Datenportabilität außerhalb von Individualvereinbarungen ein Problem bleiben. b) Vorfragen des Cloud Computings aa) Anwendbarkeit des Rechts (1) Problem Bei der weltweiten Datenverarbeitung im Cloud Computing stellt sich häufig die Frage, ob europäisches bzw. deutsches Recht zur Anwendung kommt. Stellen, die keine Niederlassung im EU-/EWR-Raum haben, sind vom europäischen Datenschutzrecht erfasst, sofern sie zum Zweck der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreifen, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, 60 Vgl. Art. 18 Abs. 2 DS-GVO-E: „Hat die betroffene Person die personenbezogenen Daten zur Verfügung gestellt […], hat die betroffene Person das Recht, diese personenbezogenen Daten sowie etwaige sonstige von ihr zur Verfügung gestellte Informationen, die in einem automatisierten Verarbeitungssystem gespeichert sind, in einem gängigen elektronischen Format in ein anderes System zu überführen, ohne dabei von dem für die Verarbeitung Verantwortlichen, dem die personenbezogenen Daten entzogen werden, behindert zu werden.“

256

D. Schutz der informationellen Selbstbestimmung

dass diese Mittel nur zum Zweck der Durchfuhr verwendet werden (Art. 4 Abs. 1 lit. c DSRL). Der räumliche Anwendungsbereich wurde in § 1 Abs. 5 S. 2 BDSG mit einer entscheidenden Abweichung umgesetzt.61 Die dort verwendete Formulierung, nach der das BDSG Anwendung findet, wenn eine ausländische Stelle „personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt“, hat Rechts­ unsicherheit über den Anwendungsbereich ausgelöst.62 (2) Lösung de lege ferenda Grundsätzlich richtet sich der räumliche Anwendungsbereich des europäischen Datenschutzrechts nach dem Niederlassungsprinzip gem. Art.  4 Abs.  1 lit.  a DSRL, § 1 Abs. 5 S. 1 BDSG. Auch Art. 3 Abs. 1 DS-GVO-E geht vom Niederlassungsprinzip aus. Daneben erstreckt sich der räumliche Anwendungsbereich auch auf ausländische, nicht in der Gemeinschaft niedergelassene Verantwortliche und Auftragsverarbeiter. Dies gilt nur dann gem. Art. 3 Abs. 2 lit. a, lit. b DS-GVO-E, wenn die Datenverarbeitung dazu dient, Personen, die in der EU ansässig sind, Waren oder Dienstleistungen anzubieten oder wenn sie auf die Beobachtung des Verhaltens dieser Personen (auch sog. Tracking) gerichtet ist. Diese Regelungen sind – im Unterschied zur bisherigen Rechtslage – erkennbar auf die Gefährdungslagen des Internets zugeschnitten.63 Bemerkenswert ist zudem die ausdrückliche Erwähnung des Auftragsverarbeiters. Für entsprechende ausländische Cloud-Service-Provider kommt demnach europäisches Datenschutzrecht zur Anwendung, wenn ihre Dienste in der Union angeboten werden. Die Auslegung, wann ein Angebot „in“ der Union erfolgt, könnte mangels näherer Ausführungen in den Erwägungsgründen Schwierigkeiten bereiten.64 Hier könnte der im europäischen Verbraucherschutzrecht entwickelte Adressatengedanke65 herange 61

Hornung/Sädtler, CR 2012, 638 (640). s. oben, S. 119. 63 Härting, BB 2012, 459 (462). 64 Hornung, ZD 2012, 99 (102). 65 Zur Regelung kollisionsrechtlicher Fälle normierte die auf Art. 5 EVÜ beruhende Vorschrift des Art. 29 Abs. 1 Nr. 1 EGBGB die Möglichkeit der Rechtswahl bei grenzüberschreitenden Verbraucherverträgen. Diese Regelung war dem Schutz der Schwächeren (vertiefend zum Leitbild des Verbraucherschutzes im Internet, Lederer, NJOZ 2011, 1833 ff.) geschuldet, die als Verbraucher gegenüber professionellen Anbietern besonders schutzwürdig sind. Die Rechtswahl setzte zum Schutz des Verbrauchers voraus, dass das Recht des Staates, in dem er seinen gewöhnlichen Aufenthalt hat, zur Anwendung kommt, wenn „dem Vertragsabschluss ein ausdrückliches Angebot oder eine Werbung in diesem Staat vorausgegangen ist und wenn der Verbraucher in diesem Staat die zum Abschluss des Vertrages erforderlichen Rechtshandlungen vorgenommen hat.“ Diese Regelung wurde als Festschreibung des Adressatengedankens verstanden, durch den die extraterritoriale Geltung nicht in dem Maße ausgeweitet werde, wie es bei der Anknüpfung an den Ort des Nutzers der Fall wäre (vgl. Jotzo, MMR 2009, 232 (237)). Mit Inkrafttreten der sog. Rom-I-Verordnung (Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I)) sind das Übereinkommen von 62

I. Empfehlungen zur Rechtsgestaltung

257

zogen werden, bei dem die Ausrichtung einer Dienstleistung auf dem jeweiligen Markt berücksichtigt wird.66 Problematisch ist, dass die Regelung nur auf Zweipersonenverhältnisse im Bereich Unternehmer-Verbraucher (B2C) abzielt.67 Davon sind nur Cloud-Service-Provider erfasst, die natürlichen Personen als Endkunden Dienstleistungen anbieten. Art. 3 Abs. 2 DS-GVO-E kommt nicht bei ausländischen Cloud-Providern zur Anwendung, die europäischen Unternehmen Dienstleistungen bereitstellen.68 Dem DS-GVO-E unterfallen dann nur EU-Unternehmen als Verantwortliche, nicht der ausländische Cloud-Service-Provider.69 Nach Ansicht des Europäischen Datenschutzbeauftragten (EDPS) müsste Art. 3 Abs. 2 lit. a DS-GVO-E erweitert werden, sodass auch Dienstleistungen umfasst werden, die die Verarbeitung personenbezogener Daten von Betroffenen, die einen Wohnsitz in der EU haben, erforderlich machen.70 Alternativ könne klargestellt werden, dass nicht nur Angebote an natürliche Personen, sondern auch an juristische Personen in den Anwendungsbereich der Verordnung fallen.71 Der Sinn und Zweck von Art. 3 Abs. 2 DS-GVO-E besteht darin sicherzustellen, dass Betroffene bei der Datenverarbeitung durch ausländische Diensteanbieter „nicht ihres Schutzes beraubt werden“.72 Der alternative Tatbestand der Beobachtung einer Person gem. Art. 3 Abs. 2 lit. b DS-GVO-E, solle gem. Erwägungsgrund 21 des DS-GVO-E daran festgemacht werden, ob ihre Nutzungshandlungen im Internet technisch nachvollzogen und zu einem personenbezogenen Profil verdichtet werden, die die „Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“73 Die Beobachtung, die Nachverfolgung (sog. Tracking74) und die Analyse des Nutzerverhaltens dürften auf eine

Rom über das auf vertragliche Schuldverhältnisse anzuwendende Recht von 1980 (EVÜ) und somit u. a. Art. 29 EGBGB weggefallen. Das anzuwendende Recht bei grenzüberschreitenden Verbraucherverträgen ist nunmehr in Art. 6 Verordnung (EG) Nr. 593/2008 geregelt, Stög­müller, in: Leupold/Glossner, Münchener Anwaltshandbuch ITR, Teil 5, Rn. 247 ff. Bei der Bewertung der Frage, ob ein Angebot „in“ der Union gem. Art. 3 Abs. 2 lit. a, lit. b DSGVO-E angeboten wird, kann der Adressatengedanke zur Auslegung herangezogen werden, da Betroffene gegenüber ausländischen Providern gleichermaßen schutzwürdig sind. 66 Nach anderer Ansicht ist der Adressatengedanke nicht praktikabel, da sich das Cloud Computing v. a. an Unternehmen, nicht an Nutzer richte und daher entsprechende Cloud-Service-Modelle keine Rückschlüsse auf den (Verbraucher-)Markt zuließen, vgl. Spies, MMR 5/2009, XI. Abzulehnen sei ebenso nach Spies eine Berücksichtigung der Serverstandorte, die im Cloud Computing zu willkürlichen Ergebnissen führe. 67 Hornung/Sädtler, CR 2012, 638 (640). 68 Vgl. Hornung/Sädtler, CR 2012, 638 (640). 69 Hornung/Sädtler, CR 2012, 638 (640). 70 EDSB, Stellungnahme v. 16.11.2012, S. 11. 71 EDSB, Stellungnahme v. 16.11.2012, S. 12. 72 Vgl. Erwägungsgrund 20 Kommissionsvorschlag zur DS-GVO, KOM(2012) 11 endg. v. 25.01.2012, S. 23. 73 KOM(2012) 11 endg. v. 25.01.2012, S. 23. 74 Dazu Maisch, ITRB 2011, 13 ff.

258

D. Schutz der informationellen Selbstbestimmung

Vielzahl von Diensteanbietern, wie bspw. Soziale Netzwerke, zutreffen.75 Für das Cloud Computing dürfte dieser Tatbestand weniger Relevanz aufweisen, es sei denn, es handelt sich um einen Software-as-a-Service-Dienst, bei dem ein entsprechendes Nutzertracking vorgenommen wird. Für Fälle, in denen eine nicht in der EU niedergelassene Stelle personenbezogene Daten von Betroffenen außerhalb des Anwendungsbereichs von Art.  3 Abs. 2 DS-GVO-E verarbeitet, bspw. bei Geodatendiensten, die Bildaufnahmen von Straßenzügen und Gebäuden erstellen76, befürchtet der Bundesrat Schutzlücken.77 Er spricht sich dafür aus, jegliche Verarbeitung personenbezogener Daten unabhängig vom Sitz der verantwortlichen Stelle dem Geltungsbereich der DSGVO-E zu unterwerfen, wenn sie an einem Ort erfolgt, der einem Mitgliedstaat unterliegt.78 bb) Begrenzung des Personenbezugs von Daten (1) Problem Bevor Daten in die Cloud ausgelagert werden, ist festzustellen, ob Daten enthalten sind, die aufgrund ihres Personenbezugs dem Datenschutzrecht unterliegen. Problematisch ist dabei, dass die Definition des Personenbezugs von Daten zu den großen Streitfragen des Datenschutzrechts gehört und mit ihrer Auslegung über die Eröffnung des Anwendungsbereichs entschieden wird.79 (2) Lösungsansätze Das Konzept der Personenbeziehbarkeit, das die Möglichkeit einer Gefährdung durch Daten berücksichtigt, die über (bloß) „bestimmbare“ Personen verarbeitet werden, ist eine Innovation des deutschen Gesetzgebers, die bereits Eingang in die erste Fassung des BDSG von 1977 fand.80 Ursprünglich wurde die Bestimmbarkeit als Tatbestandsmerkmal des Personenbezugs mit der Befürchtung begründet, dass mithilfe zunehmender Verwendung von Computern eine Re-Individualisierung herbeigeführt werden könnte.81 Indem das BDSG die Bestimmbarkeit einer Per-

75

Hornung, ZD 2012, 99 (102). Vertiefend zur Problematik Caspar, DÖV 2009, 965 (965 ff.); Jahn/Striezel, K&R 2009, 75 (76 f.); Maisch/Albrecht, jurisAnwZert ITR 2/2010, Anm. 2. 77 BR-Drs. 52/1/12, S. 14. 78 BR-Drs. 52/1/12, S. 15. 79 s. oben, S. 69. So auch Hullen, jurisAnwZert ITR 13/2012, Anm. 2. 80 Schwartz, ZD 2011, 97 (97); vgl. zur DSRL a. Art.-29-Datenschutzgruppe, Stellungnahme 04/2007, WP 136, S. 5. 81 Schwartz, ZD 2011, 97 (97). 76

I. Empfehlungen zur Rechtsgestaltung

259

son für die Eröffnung des Anwendungsbereichs ausreichen lässt, wird der Schutz deutlich vorverlagert. Später wurde die Definition in einer erweiterten Fassung82 in die DSRL aufgenommen, die einen weiten Anwendungsbereich eröffnet.83 Erwägungsgrund 26 der Datenschutzrichtlinie stellt jedoch klar, dass für die Bestimmbarkeit nicht alle theoretisch denkbaren Mittel und Dritte zu berücksichtigen sind, sondern alle Mittel „die vernünftigerweise entweder von dem Verantwortlichen für die Ver­ arbeitung oder von einem Dritten eingesetzt werden können“, um die betreffende Person zu identifizieren.84 Die Richtlinie nähert sich der Eingrenzung der Bestimmbarkeit daher auf pragmatischem Weg.85 Die Personenbeziehbarkeit wird von einer Betrachtung des Aufwands zum Ertrag abhängig gemacht.86 Eine solche Bewertung ist auch zur Prüfung der Anonymisierung von Daten gem. § 3 Abs. 6 BDSG zu unternehmen. Hier stellt das Gesetz ausdrücklich auf eine Aufwandsanalyse ab.87 Ein Blick in das US-amerikanische Recht zeigt, dass auch andere Definitionen von „personenbezogenen Daten“ denkbar sind. Nach einer Vorschrift sind personenbezogene Daten „Informationen, die eine Person identifizieren“.88 Es handelt sich dabei um eine sehr weitgehende Definition, die alle Informationen umfasst, die irgendeinen Bezug zu einer Person aufweisen können. In anderen Gesetzen richtet sich der Personenbezug danach, ob „nicht öffentliche persönliche Informationen“ gegeben sind.89 Diese Legaldefinition vermeidet eine direkte Bestimmung des Begriffs und klammert nicht-personenbezogene, aggregierte Daten aus.90 Ein selektiver Ansatz wird bspw. im Children’s Online Privacy Protection Act of 1998 verfolgt. Dieses Gesetz bestimmt personenbezogene Daten anhand festgelegter Kategorien, wie bspw. Vor- und Nachname, Postadresse, Sozialversicherungsnummer oder Telefonnummer.91 Es ist fraglich, ob diese Modelle, übertragen auf das deutsche bzw. europäische Recht, das hier untersuchte Auslegungsproblem lösen könnten. Das erste Modell

82 Nach Art. 2 lit. a DSRL wird eine Person als bestimmbar angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. 83 Art.-29-Datenschutzgruppe, Stellungnahme 04/2007, WP 136, S. 4. 84 Richtlinie 95/46/EG, Erwägungsgrund 26. 85 Dammann, in: Simitis, BDSG, § 3, Rn. 24. 86 Vgl. Dammann, in: Simitis, BDSG, § 3, Rn. 24. 87 Vgl. Dammann, in: Simitis, BDSG, § 3, Rn. 24. 88 Schwartz, ZD 2011, 97 (98) mit Hinweis auf den Video Privacy Protection Act, 18 USC § 2710 (a) (3). 89 Schwartz, ZD 2011, 97 (98) mit Hinweis auf den Gramm-Leach-Bliley Act, 15 USC § 6809 (4) (A). 90 Schwartz, ZD 2011, 97 (98). 91 Schwartz, ZD 2011, 97 (98).

260

D. Schutz der informationellen Selbstbestimmung

enthält einen Zirkelschluss, der ebenso schwierig handhabbar sein dürfte.92 Die Definition von personenbezogenen Daten im Hinblick auf die Nicht-Öffentlichkeit ist mit der verfassungsrechtlich verankerten Garantie der informationellen Selbstbestimmung nicht vereinbar, da es auf die Zuordnung von Daten zu einer Sphäre der Persönlichkeit gerade nicht ankommt.93 Ferner ist offen, ob die Öffentlichkeit bzw. die Zugänglichkeit von Daten als Kriterium für die Bestimmbarkeit einer Person geeignet ist.94 Der selektive Ansatz eignet sich nur in Ausnahmefällen, da bereits die Zuordnung von Daten zu Kategorien aufwendige Einzelfallentscheidungen oder eine methodische Prüfung95 erfordert. Die tatbestandliche Beschränkung auf bestimmte Datenkategorien ist nur in bestimmten Fällen geboten. So verwendet das deutsche Recht diesen Ansatz gerade nicht bei der Eröffnung des Anwendungsbereichs des BDSG, sondern nur zur tatbestandlichen Eingrenzung von Pflichten. Die Vornahme der Datenverarbeitung unterliegt bspw. gem. § 4d Abs.  5 BDSG nicht grundsätzlich, sondern nur u. a. beim Vorliegen von besonders schutzwürdigen Daten gem. § 4d Abs. 5 Nr. 1 i. V. m. § 3 Abs. 9 BDSG der Vorabkontrolle. Gleiches gilt für die Melde- und Informationspflicht bei Datenschutzverletzungen gem. § 42a S. 1 BDSG, die auf bestimmte Datenkategorien, wie z. B. personen­ bezogene Daten zu Bank- und Kreditkartenkonten, beschränkt ist. Neben den Modellen aus dem US-amerikanischen Rechtskreis wird vorgeschlagen, die Bestimmbarkeit an der Wahrscheinlichkeit zu messen, ob die Identifizierung einer Person mit Erfolg durchgeführt werden könnte. Der Ansatz stützt sich auf die Annahme, dass Daten, die eine Person lediglich bestimmbar machen, ohne eine Identifikation möglich zu machen, ein „vermindertes Datenschutzrisiko“ bilden.96 Die Bestimmbarkeit wäre dann ausgeschlossen, wenn die Wahrscheinlichkeit der Bestimmung als so gering eingeschätzt wird, dass die Gefährdung der informationellen Selbstbestimmung praktisch vernachlässigt werden kann.97 Die Betrachtung unterschiedlicher Rechtsordnungen zeigt, dass grundsätzlich auch andere Begriffsdefinitionen angedacht werden können. Ein Gestaltungsspielraum ist jedoch nur in den Grenzen des Rechts auf informationelle Selbstbestimmung verfassungsrechtlich tragfähig.

92

Schwartz, ZD 2011, 97 (98). BVerfGE 27, 1 (6). 94 Schwartz, ZD 2011, 97 (98). 95 So Schwartz, ZD 2011, 97 (98). 96 Schwartz, ZD 2011, 97 (98). 97 Vgl. Schwartz, ZD 2011, 97 (98); Damann, in: Simitis, BDSG, § 3, Rn. 23. 93

I. Empfehlungen zur Rechtsgestaltung

261

(3) Lösung de lege ferenda Der Verordnungsgeber hält an der Konzeption des personenbezogenen Datums fest.98 Personenbezogene Daten sind im Vorschlag der DS-GVO vom Begriff der „betroffenen Person“ aus bestimmt. Art. 4 Abs. 1 DS-GVO-E bezeichnet eine „betroffene Person“ als eine „bestimmte natürliche Person oder eine solche natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa mittels Zuordnung zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.“ Die Definition von personenbezogenen Daten ist in Art. 4 DS-GVO-E nur geringfügig anders gefasst als bereits in Art. 2 lit. a DSRL.99 In der Literatur wird die Vorschrift des Art.  4 DS-GVO-E kritisiert. Die Formulierung „nach allgemeinem Ermessen aller Voraussicht“ schwanke undeutlich zwischen der absoluten und relativen Betrachtungsweise.100 Der Tatbestand, wonach die Zuordnung des Personenbezugs vom Verantwortlichen oder von „jede[r] sonstige[n] natürliche[n] oder juristische[n] Person“ vorgenommen werden kann, wird als Zugeständnis an die Vertreter der objektiven Theorie bewertet.101 Nahezu „alle erdenklichen Daten“ weisen demnach einen Personenbezug auf.102 Dem Datenschutzrecht unterliegen somit auch Anbieter von Telemedien, die lediglich dynamische IP-Adressen von Nutzern erheben und verarbeiten, ohne selbst in der Lage zu sein, die Identität des Nutzers – oder zumindest des Anschlussinhabers – in Erfahrung bringen zu können.103 Eine andere Ansicht vertritt die Art.-29-Datenschutzgruppe, die die Anlehnung des DS-GVO-E an die DSRL begrüßt, da die gegenwärtige Definition der DSRL hinreichend Kontinuität und Flexibilität in ihrer Anwendbarkeit auf Daten in unterschiedlichen Kontexten, wie bspw. in der pharmazeutischen Forschung oder bei IP-Adressen, erlaubt.104 In Art. 4 Abs. 1 und 2 DS-GVO-E seien lediglich die Kriterien der Definition neu angeordnet.105 In der Stellungnahme 08/2012 kommt die Art.-29-Datenschutzgruppe zu dem Schluss, dass die Begriffsdefinition ergänzt werden müsse. Denn natürliche Personen könnten auch als identifizierbar betrach 98

Karg, ZD 2012, 255 (255). Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 5. 100 So auch Härting, BB 2012, 459 (463). 101 GDD, Stellungnahme v. 25.01.2012, S. 6. 102 Hullen, jurisAnwZert ITR 13/2012, Anm. 2. 103 Vgl. Hullen, jurisAnwZert ITR 13/2012, Anm. 2. 104 Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 5; s. a. Art.-29-Datenschutzgruppe, Stellungnahme 04/2007, WP 136, S. 27 ff. 105 Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 5. 99

262

D. Schutz der informationellen Selbstbestimmung

tet werden, wenn sie innerhalb einer Gruppe von Personen als Einzel­personen von anderen unterschieden und folglich anders behandelt werden können.106 Es wird daher vorgeschlagen, den Erwägungsgrund 23 und Art.  4 DS-GVO-E entsprechend zu erweitern.107 Änderungsbedarf hat die Art.-29-Datenschutzgruppe ferner bei dem Erwägungsgrund 24 erkannt. Darin wird ausgeführt, dass bei der Inanspruchnahme von Online-Diensten dem Nutzer unter Umständen Online-Kennungen wie IPAdressen oder Cookie-Kennungen zugeordnet werden, die sein Gerät oder seine Software-Anwendungen bestimmbar machen. Dies könne Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Die Kritik des Gremiums richtet sich gegen den letzten Satz des Erwägungsgrundes. Hier heißt es, dass „Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.“ Diese Formulierung, die praxisrelevante Streitfälle anspricht108, widerspricht der Definition von Art. 4 Abs. 1 DS-GVO-E, nach der Kennnummern, Standortdaten und Online-Kennungen als Beispiele für Mittel genannt werden, die eine Zuordnung ermöglichen.109 Die Abweichung wird teilweise sogar als Hinweis auf die relative Betrachtungsweise verstanden, wonach der Personenbezug für jede Stelle einzeln festgestellt werden muss.110 Die Art.-29-Datenschutzgruppe befürchtet, dass der Erwägungsgrund 24 zu einer unangemessen restriktiven Beurteilung der Frage führen könnte, wann IPAdressen einen Personenbezug aufweisen.111 Es wird daran erinnert, dass personenbezogene Daten alle Daten sind, die einer bestimmbaren Person zugeordnet werden.112 In den Fällen, in denen IP-Adressen oder Cookies für den Zweck der Identifikation der Nutzer verarbeitet werden, soll angenommen werden, dass IPAdressen die Herstellung des Personenbezugs ermöglichen. Auf den Vorschlag der Art.-29-Datenschutzgruppe hin soll die Formulierung nunmehr den Schluss nahelegen, dass „Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente im Regelfall als personenbezogene Daten zu betrachten sind.“

106

Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 5. Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 5. 108 GDD, Stellungnahme v. 25.01.2012, S. 6. 109 Härting, BB 2012, 459 (463); GDD, Stellungnahme v. 25.01.2012, S. 6. 110 Nebel/Richter, ZD 2012, 407 (410). 111 Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 6. 112 Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 6. 107

I. Empfehlungen zur Rechtsgestaltung

263

cc) Modernisierung der Auftragsdatenverarbeitung (1) Problem Die Bedingungen der modernen Datenverarbeitung, insbesondere beim Cloud Computing, offenbaren die Schwächen der Auftragsdatenverarbeitung in ihrer gegenwärtigen, gesetzlichen Ausgestaltung. Dies gilt für § 11 BDSG und mehr noch für landesrechtliche Regelungen, soweit sie hinter dem Regelungsniveau des § 11 BDSG zurückbleiben und die Anforderungen an die Auftragsverarbeitung öffentlicher Stellen nur in Eckpunkten normieren. Das Modell, in dem der Auftraggeber als „Herr der Daten“ die uneingeschränkte Steuerungsmacht innehat, entspricht nicht mehr der Realität der heute üblichen, komplexen und grenzüberschreitenden Daten­verarbeitung, die mitunter von großen Unternehmen und Konzernen mit weltweit verstreuten Niederlassungen durchgeführt wird.113 (2) Lösungsansätze In Leitfäden und Musterverträgen tragen Aufsichtsbehörden dem Umstand Rechnung, dass § 11 BDSG wichtige Regelungsgegenstände unbeachtet lässt. Die Schwächen der Auftragsdatenverarbeitung können somit durch vertragsrechtliche Abreden über den Anforderungskatalog des § 11 Abs. 2 BDSG hinaus ausgeglichen werden. (3) Lösung de lege ferenda (a) Systematik In dem DS-GVO-E wird der Auftragsdatenverarbeitung ein eigenes Kapitel mit fünf Abschnitten gewidmet. Das aus Art. 17 DSRL und § 11 BDSG bekannte Konstrukt der verteilten Verantwortung mit einem Verantwortlichen als Auftraggeber auf der einen Seite und einem Auftragsverarbeiter als Auftragnehmer auf der anderen Seite wird in Grundzügen beibehalten. Bei Mehrpersonenverhältnissen im Cloud Computing wird es dabei bleiben, dass der Cloud-Service-Provider die Funktion des Auftragsverarbeiters gem. Art. 4 Abs. 6 DS-GVO-E einnimmt. Der Verantwortliche bleibt gegenüber dem Betroffenen in der Verantwortung. Es ist dem Auftragsverarbeiter weiterhin möglich, auf Unterauftragnehmer (auch aus Drittstaaten) zurückzugreifen, bspw. um für die Erfüllung seiner Leistungspflichten ergänzend IT-Infrastrukturen oder IT-Ressourcen anzumieten. Unterauftragsverhältnisse kennt Art. 17 DSRL nicht. Im Unterschied zu der im BDSG enthaltenen Regelung in § 11 Abs. 2 Nr. 6 BDSG ist die Zulässigkeit der Hinzuziehung 113

s. oben, S. 130.

264

D. Schutz der informationellen Selbstbestimmung

„weitere[r] Auftragnehmer“ nunmehr von der vorhergehenden Zustimmung des Verantwortlichen gem. Art. 26 Abs. 2 lit. d DS-GVO-E abhängig. (b) Pflichten des Verantwortlichen In Kapitel IV. werden mit Art. 22 DS-GVO-E zunächst die Pflichten des Verantwortlichen festgelegt. Der für die Verarbeitung Verantwortliche stellt gem. Art. 22 Abs. 1 DS-GVO-E durch geeignete Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit der Verordnung verarbeitet werden und er den Nachweis dafür erbringen kann. Welche Maßnahmen der Verantwortliche vorzunehmen hat, regelt Art. 22 Abs. 2 DS-GVO-E in einem nicht abschließenden Katalog. Jede Maßnahme entspricht einer der in den Art. 28 bis Art. 35 DS-GVO-E näher ausgestalteten Vorschriften, die auch an den Auftragsverarbeiter adressiert sind.114 Zu den Maßnahmen zählen die Dokumentation der Verarbeitungsvorgänge (Art. 28 DS-GVO-E), die Umsetzung der Vorkehrungen zur Datensicherheit (Art. 30 DS-GVO-E), die Durchführung einer Datenschutz-Folgenabschätzung (Art. 33 DS-GVO-E), die Umsetzung der Anforderungen in Bezug auf die vorherige Genehmigung oder Zurateziehen der Aufsichtsbehörde (Art. 34 DS-GVO-E) und die Benennung eines Datenschutzbeauftragten (Art. 35 DS-GVO-E). (c) Prüfungs- und Kontrollpflichten des Verantwortlichen Gem. Art. 22 Abs. 3 DS-GVO-E ist der Verantwortliche verpflichtet, „geeignete Verfahren zur Überprüfung der Wirksamkeit der in den Absätzen 1 und 2 genannten Maßnahmen“ einzusetzen. Dieser Pflicht unterliegt jeder Verantwortliche, unabhängig von der Größe der Stelle, der Schutzbedürftigkeit der Daten und den eingesetzten Verfahren.115 Die Reichweite dieser Kontrollpflicht geht über die in § 11 Abs. 2 S. 4 BDSG geregelte Pflicht hinaus, nach der sich der Auftraggeber „vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen“ hat. Nunmehr muss auch die Wirksamkeit der Strategien zur Einhaltung der Vorschriften des DS-GVO-E und insbesondere des Maßnahmenkatalogs des Art. 22 Abs. 2 DS-GVO-E einer Überprüfung standhalten. Bemerkenswert ist 114

Kritisch zum Verzicht einer klaren Aufgabenverteilung, GDD, Stellungnahme v. 25.01. 2012, S. 12. 115 Die Verpflichtung zur Durchführung eines Datenschutzaudits gem. Art. 22 Abs. 3 S. 1 DS-GVO-E wird als für kleine Stellen unverhältnismäßig und bürokratisch bewertet, insbesondere dann, wenn nur einfache Datenverarbeitungsprozesse, bspw. eine Vertragsabwicklung, gegenständlich sind, vgl. GDD, Stellungnahme v. 25.01.2012, S. 11; dieser Ansicht kann entgegengehalten werden, dass im Interesse eines höheren Datenschutzniveaus eine generelle Verpflichtung Klarheit schafft, zumal ein Datenschutzaudit bei einfachen Prozessen ebenso überschaubar und einfach durchzuführen sein dürfte.

I. Empfehlungen zur Rechtsgestaltung

265

auch, dass die Überprüfung von „unabhängigen internen oder externen Prüfern“ vorgenommen werden kann, wenn dies angemessen ist (Art. 22 Abs. 3 S. 2 DSGVO-E). Einer Auffassung nach solle Art. 22 Abs. 3 DS-GVO-E um den Hinweis ergänzt werden, dass auch ein Datenschutzbeauftragter als interner Prüfer in Betracht kommt.116 Zur Regelung der Einzelheiten zu Beurteilungskriterien und Anforderungen der Maßnahmen sowie zu Überprüfungs- und Auditverfahren ist die EU-Kommission im Rahmen delegierender Rechtsakte ermächtigt. (d) Datenschutz durch Technik Art.  23 Abs.  1 DS-GVO-E verpflichtet den Verantwortlichen zur Vornahme von technischen und organisatorischen Maßnahmen und Verfahren, durch die sichergestellt wird, dass die Datenverarbeitung den Anforderungen des DS-GVO-E entspricht und die Betroffenenrechte gewahrt werden. Die Maßnahmen und Verfahren haben „unter Berücksichtigung des Stands der Technik“ und der „Implementierungskosten“ zu erfolgen und sind im Zeitpunkt der Festlegung der Mittel zur Datenverarbeitung und zum Zeitpunkt der Inbetriebnahme einzuleiten. Nach Art. 23 Abs. 2 S. 1 DS-GVO-E müssen Verfahren zur Absicherung der Datenverarbeitung in Übereinstimmung mit den Grundsätzen der Zweckbindung, der Datensparsamkeit und der Erforderlichkeit eingesetzt werden. In Satz 2 sind erstmals datenschutzfreundliche Voreinstellungen verankert117, die allerdings nur von Art. 23 Abs. 3 DS-GVO-E im Kontext delegierender Rechtsakte der EU-Kommission als solche bezeichnet werden.118 Hier besteht ein erheblicher Präzisierungsbedarf unter ausdrücklicher Einbeziehung von Anonymisierungs- und Pseudo­ nymisierungsmaßnahmen nach dem Stand der Technik.119 Die Verfahren müssen gem. Art. 23 Abs. 2 S. 1 DS-GVO-E insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von Personen zugänglich gemacht werden. Art. 24 Abs. 4 DS-GVO-E ermächtigt die EU-Kommission zur Festlegung von „technischen Standards“ im Rahmen von Durchführungsrechtsakten. Diese Rechtsakte werden laufend zu überarbeiten sein, um der Entwicklung der Informationstechnologie Rechnung zu tragen.120 Der Verordnungsgeber verankert hier zwar „Privacy by Design“ normativ. Der Sache nach bleibe der Vorschlag jedoch hinter den Erwartungen zurück, da die Regelungen auf vage Formulierungen beschränkt bleiben.121 Ob im Rahmen von delegierenden Rechtsakten ein Katalog an technischen und organisatorischen

116

GDD, Stellungnahme v. 25.01.2012, S. 11. Hornung, ZD 2012, 99 (101). 118 Härting, BB 2012, 459 (465). 119 BR-Drs. 51/1/2012, S. 22. 120 Kritisch dazu GDD, Stellungnahme v. 25.01.2012, S. 11. 121 Hornung/Sädtler, CR 2012, 638 (644). 117

266

D. Schutz der informationellen Selbstbestimmung

Maßnahmen geregelt wird, der zumindest dem Regelungsniveau des § 9 BDSG und seiner Anlage entspricht, wird bezweifelt.122 Anstatt der bloßen Formulierung von Programmsätzen hat der Verordnungs­ geber vielmehr die Aufgabe, ein konkret ausgestaltetes Zugriffsregime unter Rückgriff auf Verschlüsselungstechnologien und Pseudonymisierungswerkzeuge zu schaffen, um die Rechtsgrundlagen für einen effektiven Datenschutz in der Cloud zu erhalten.123 (e) Gemeinsame Verantwortung Eine gemeinsame Verantwortung für die Datenverarbeitung regelt Art. 24 DSGVO-E für Fälle, in denen der Verantwortliche die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten gemeinsam mit anderen Personen festlegt. Bei gemeinsamer Verantwortung vereinbaren die Verantwortlichen, wer welche Aufgabe in Übereinstimmung mit dem DS-GVO-E übernimmt. Die gemeinsame Verantwortung ist auch eine Rechtsfolge von Verstößen gem. Art. 26 Abs. 4 DS-GVO-E. Unter welchen Voraussetzungen ferner eine gemeinsame Verantwortung herbeigeführt wird und ob die Vorschrift auf Konzerne und Unternehmensverbunde Anwendung findet, ist nicht geklärt.124 (f) Auftragsdatenverarbeitung in dem DS-GVO-E Die zentrale Vorschrift der Auftragsdatenverarbeitung in dem DS-GVO-E ist Art. 26. In Art. 26 Abs. 1 DS-GVO-E ist die Auswahl des Auftragsverarbeiters geregelt. In Absatz 2 ist ein nicht abschließender Katalog an Anforderungen enthalten, die im ADV-Vertrag vereinbart werden müssen. Der Mindestgehalt an Anforderungen bleibt jedoch hinter § 11 Abs. 2 BDSG zurück.125 Es fehle an einer wirksamen Kontrolle, insbesondere an der Einräumung eines Rechts auf Vor-OrtKontrolle.126 Gem. Art. 26 Abs. 3 DS-GVO-E unterliegen sowohl der Verantwortliche als auch der Auftragsverarbeiter Dokumentationspflichten. Werden personenbezogene Daten entgegen der festgelegten Art und Weise verarbeitet, hat dies eine gesetzliche Verantwortungsübernahme zur Folge, die gem. Art.  26 Abs.  4 DS-GVO-E eine gemeinsame Verantwortung mit dem Verantwortlichen begründet. In Art. 26 DS-GVO-E wird nicht klargestellt, ob mit einer Auftragsdatenverarbeitung notwendigerweise verbundene Weitergabe von personenbezogenen Daten mit dieser Vorschrift legitimiert ist oder ob ein weiterer Erlaubnistatbestand 122

Hornung/Sädtler, CR 2012, 638 (644). Vgl. Hornung/Sädtler, CR 2012, 638 (644). 124 GDD, Stellungnahme v. 25.01.2012, S. 11. 125 BR-Drs. 52/1/12, S. 22. 126 BR-Drs. 52/1/12, S. 22. 123

I. Empfehlungen zur Rechtsgestaltung

267

erfüllt sein muss.127 Kriterien und Anforderungen für die Verantwortlichkeiten, Pflichten und Aufgaben des Auftragsverarbeiters werden gem. Absatz 5 im Wege delegierender Rechtsakte der EU-Kommission detailliert geregelt. (g) Dokumentationspflicht Alle Verarbeitungsvorgänge, insbesondere Fristen für die Löschung, sind gem. Art.  28 DS-GVO-E vom Verantwortlichen und vom Auftragsverarbeiter zu dokumentieren. Von der Dokumentationspflicht ausgenommen sind gem. Art.  28 Abs. 4 DS-GVO-E Verantwortliche und Auftragsverarbeiter, die natürliche Personen sind, die „die personenbezogene Daten ohne eigenwirtschaftliches Interesse verarbeiten“, oder Unternehmen mit weniger als 250 Beschäftigten. Die Dokumentationspflicht substituiert die Meldepflichten gem. Art.  18 und Art.  19 DSRL.128 Nach Art.  29 DS-GVO-E sind der Verantwortliche, der Auftrags­ verarbeiter und etwaige Vertreter zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet. (h) Technische und organisatorische Maßnahmen Nach Art. 30 Abs. 1 DS-GVO-E ist es Aufgabe des Verantwortlichen und des Auftragsverarbeiter die Sicherheit der Datenverarbeitung zu gewährleisten. Es sind technisch-organisatorische Maßnahmen vorzunehmen, die dem Stand der Technik entsprechen und wirtschaftlich angemessen sind, um ein Schutzniveau zu erreichen, das „den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten“ gerecht wird. Zur Ermittlung der Risiken und zur Auswahl der zu treffenden Maßnahmen ist zunächst eine „Risikobewertung“ gem. Art. 30 Abs. 2 DS-GVO-E durchzuführen. Personenbezogene Daten sollen „vor unbeabsichtigter oder widerrechtlicher Zerstörung oder vor unbeabsichtigtem Verlust sowie zur Vermeidung jedweder unrechtmäßigen Verarbeitung, insbesondere jeder unbefugten Offenlegung, Verbreitung beziehungsweise Einsichtnahme oder Veränderung“ geschützt werden. Dieser Katalog an Schutzzielen erinnert teilweise an die in der Anlage zu § 9 BDSG genannte Verfügbarkeits-, Zugriffs- und Weitergabekontrolle. Auf eine konkretisierende Anlage zu den Schutzzielen, wie bspw. bei § 9 BDSG wurde verzichtet. Dies gilt auch für Satz 3 der Anlage, wonach „insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“ als Maßnahme zur Umsetzung der Schutzziele vorgeschlagen wird. Eine vergleichbare Regelung ist in Art.  30 DS-GVO-E nicht enthalten. Die Regulierung von 127

Vgl. dazu GDD, Stellungnahme v. 25.01.2012, S. 12. Härting, BB 2012, 459 (465).

128

268

D. Schutz der informationellen Selbstbestimmung

Standards kann mit Standards nach nationalem Recht in Konflikt geraten. Dies könnte nachteilige Auswirkungen auf bereits getätigte Investitionen zur Gewährleistung von IT-Compliance haben.129 (i) Data Breach Notification Eine Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen, die ursprünglich nach US-amerikanischem Vorbild Eingang in Art. 4 Abs. 3 und 4 DSRL für die elektronische Kommunikation und in § 42a BDSG gefunden hat130, wird nun in den Art. 31 und Art. 32 DS-GVO-E normiert. Im Unterschied zu § 42a BDSG ist Art. 31 DS-GVO-E nicht auf Datenschutzverletzungen bestimmter Datenkategorien, bspw. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, oder durch das Korrektiv der „schwerwiegende[n] Beeinträchtigungen“, die für die Rechte und Interessen des Betroffenen drohen, beschränkt, sondern erfasst alle Arten von Datenschutzverstößen. Eine Bagatellgrenze ist nicht vorgesehen.131 Obgleich es nach der Rechtsprechung des BVerfG ohnehin kein „belangloses Datum“ gibt, kann die Beschränkung auf bestimmte Risikokategorien sinnvoll sein, um die Meldepflicht auf wichtige Einzelfälle zu beschränken.132 Eine Meldungsflut könnte dagegen die Aufmerksamkeit des Betroffenen bei der Kenntnisnahme reduzieren und den Schutzzweck der Regelung langfristig gefährden.133 Diese Fassung des Art. 31 DS-GVO-E wird daher als zu weitreichend bewertet, da auch unbefugte Zugriffe innerhalb der datenverarbeitenden Stelle erfasst werden.134 Andererseits wird eine Transparenzsteigerung bewirkt, wenn die Aufsichtsbehörde gem. Art. 31 Abs. 1 DS-GVO, der Verantwortliche gem. Art. 31 Abs. 2 DS-GVO-E und der Betroffene nach Maßgabe des Art. 32 DS-GVO-E über einen Verstoß benachrichtigt wird.135 Eine Datenschutzverletzung hat zur Folge, dass ein Verantwortlicher die Aufsichtsbehörde gem. Art. 31 Abs. 3 DS-GVO-E unter Einhaltung der 24-Stunden-Frist136 benachrichtigen muss. Diese Frist wird aufgrund der Komplexität von Datenverarbeitungsanlagen als unzulänglich eingeschätzt.137 129

BR-Drs. 52/1/12, S. 23. In Teilen der Literatur wird angenommen, dass § 42a BDSG die verantwortliche Stelle zur Beibringung sie belastender Tatsachen verpflichtet. § 42a BDSG könnte daher verfassungswidrig sein. Dies würde auch auf Art. 31 DS-GVO-E zutreffen, dessen Vereinbarkeit mit der Verfassung allerdings einer Prüfung des BVerfG entzogen wäre, Kaufmann, ZD 2012, 358 (360). 131 Härting, BB 2012, 459 (465). 132 Kaufmann, ZD 2012, 358 (361). 133 Vgl. BR-Drs. 52/1/12, S. 23. 134 GDD, Stellungnahme v. 25.01.2012, S. 13; Kaufmann, ZD 2012, 358 (361). 135 Hornung/Sädtler, CR 2012, 638 (645). 136 Kritisch dazu Hornung/Sädtler, CR 2012, 638 (646); GDD, Stellungnahme v. 25.01.2012, S. 13. 137 Dies gilt insbesondere für Konzerne, vgl. Kaufmann, ZD 2012, 358 (361). 130

I. Empfehlungen zur Rechtsgestaltung

269

Der Auftragsverarbeiter „alarmiert und informiert“ den Verantwortlichen. Gem. Art. 31 Abs. 4 DS-GVO-E muss der gesamte Vorgang hinreichend dokumentiert werden. Erst nachdem die Aufsichtsbehörde über die Datenschutzverletzung informiert worden ist, wird geprüft, ob es einer Benachrichtigung des Betroffenen bedarf. Dies hängt von der Einschätzung der Wahrscheinlichkeit ab, dass „der Schutz der personenbezogenen Daten oder der Privatsphäre“ der betroffenen Person beeinträchtigt wird. Gem. Art. 32 Abs. 5 DS-GVO-E wird die EU-Kommission ermächtigt, die Kriterien und Anforderungen in Bezug auf die Umstände festzulegen, unter denen sich eine Verletzung negativ auf die Datensicherheit auswirken kann. Diese Kriterien und Anforderungen sind ausschlaggebend für die Beurteilung der Wahrscheinlichkeit. Zur Vermeidung von Rechtsunsicherheit sollten diese Faktoren in der Verordnung selbst konkretisiert werden.138 Eine Benachrichtigung des Betroffenen ist ausnahmsweise nicht erforderlich, wenn der Verantwortliche „zur Zufriedenheit“ der Aufsichtsbehörde nachgewiesen hat, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt hat (Art.  32 Abs.  3 DS-GVO-E). Die Vorschrift des Art.  32 Abs. 3 S. 2 DS-GVO-E zeigt an, wie weiter vorgegangen werden muss: „Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind“. An dieser Regelung wird bemängelt, dass eine Verschlüsselungspflicht ohne Rücksicht auf die Umstände des Einzelfalls festgelegt werde.139 Fraglich ist nicht nur die Verhältnismäßigkeit, sondern auch, weshalb der Verordnungsgeber nicht bereits im Rahmen des Art. 23 DS-GVO-E konkrete Regelungen zu Verschlüsselungsmaßnahmen, bspw. zum Schutz von Transportwegen oder von Authentifikationsvorgängen, aufgenommen hat. Zudem wird vorgeschlagen, anstatt dieser Regelung einen Anreiz für ein angemessenes Sicherheitsniveau zu schaffen, indem bei der Verwendung von Verschlüsselungsverfahren nach dem Stand der Technik eine Meldepflicht bei der Aufsichtsbehörde entfallen könnte.140 (j) Datenschutz-Folgenabschätzung Verantwortliche und Auftragsverarbeiter haben in den von Art. 33 Abs. 1 und Abs.  2 DS-GVO-E genannten Fällen eine Datenschutz-Folgenabschätzung vorzunehmen. Die Regelung ersetzt die Vorabkontrolle gem. Art.  20 DSRL bzw. § 4d Abs.  5 BDSG und stellt daher aus deutscher Sicht keine Innovation dar.141 138

Vgl. Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 30. Härting, BB 2012, 459 (465). 140 GDD, Stellungnahme v. 25.01.2012, S. 13. 141 Kaufmann, ZD 2012, 358 (361). 139

270

D. Schutz der informationellen Selbstbestimmung

Eine Datenschutz-Folgenabschätzung ist bei „Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen“, vom Verantwortlichen oder vom Auftragsverarbeiter durchzuführen. Welche Verarbeitungsvorgänge risikobehaftet sind, wird in Art. 33 Abs. 2 DS-GVO-E anhand ausführlicher Regelbeispiele, die eine Vielzahl an praxisrelevanten Fragen enthalten, näher bestimmt.142 Ob die Datenschutz-Folgenabschätzung dem Ziel der Kosten- und Bürokratieentlastung kleiner und mittelständischer Unternehmen nachkommt, wird bezweifelt.143 Im Ergebnis könnte sogar eine Vielzahl an Verarbeitungsvorgängen als risikobehaftet bewertet werden und eine Prüfung der Aufsichtsbehörde erforderlich machen.144 Für Cloud-Service-Provider enthält Art. 33 Abs. 2 lit. b DS-GVO-E relevante Beispiele mit besonderen Kategorien von Daten (vgl. Art. 9 Abs. 1 DS-GVO-E) aus dem medizinischen Gesundheits- und Forschungssektor. E-Health-Anbieter oder Diensteanbieter, die solche Daten „in großem Umfang“ oder für Diagnosesoftware oder sonstige Hilfsmittel zur Entscheidungshilfe („im Hinblick auf Maßnahmen oder Entscheidungen“) als Software-as-a-Service-Dienst anbieten, müssen die Risiken gem. Art. 33 Abs. 1 DS-GVO-E bewerten und ggf. die Meinung der Betroffenen einholen (Art. 33 Abs. 4 DS-GVO-E). Eine Datenschutz-Folgenabschätzung kann nach Maßgabe von Art. 34 DS-GVO-E eine vorherige Genehmigung oder das „Zurateziehen“ der zuständigen Aufsichtsbehörde erforderlich machen. (k) Zertifizierung Die Einführung von datenschutzspezifischen Zertifizierungsverfahren und Datenschutzsiegeln und -zeichen soll gem. Art.  39 DS-GVO-E von den Mitgliedstaaten und der EU-Kommission gefördert werden. Die EU-Kommission ist ermächtigt, dazu technische Standards festzulegen. Auch hier belässt es der Verordnungsgeber bei vagen Aussagen und Programmsätzen ohne Präzisierung von zertifizierenden Stellen, Zertifizierungsverfahren, Anforderungen und Rechtsfolgen.145 Für die Vertrauenswürdigkeit von Datenschutzzertifikaten und Gütesiegeln kommt es entscheidend auf die Kriterien und Anforderungen zu ihrer Vergabe an.146 Die Präzisierung dieser Voraussetzungen kann innerhalb des DSGVO-E, nach Auffassung der Art.-29-Datenschutzgruppe, kaum sinnvoll bewältigt

142 Die Datenschutz-Folgenabschätzung wird als sinnvolles neues Instrument bewertet, Hornung, ZD 2012, 99 (104). 143 Kaufmann, ZD 2012, 358 (361). 144 Kaufmann, ZD 2012, 358 (362). 145 Hornung, ZD 2012, 99 (103). 146 Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 36.

I. Empfehlungen zur Rechtsgestaltung

271

werden. Geeignet sei daher eine nähere Ausgestaltung in Form eines delegierenden Rechtsakts.147 (l) Haftung Bemerkenswert ist letztlich auch die Erweiterung der Haftung des Auftragsverarbeiters. Nach Art. 77 Abs. 1 DS-GVO-E hat „jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit der Verordnung nicht zu vereinbarenden Handlung ein Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“ Für das Mehrpersonenverhältnis normiert Art. 77 Abs. 2 DS-GVO-E eine gesamtschuldnerische Haftung. Eine Exkulpationsmöglichkeit ist im dritten Absatz vorgesehen: „Der Verantwortliche oder der Auftragsverarbeiter kann teilweise oder vollständig von dieser Haftung befreit werden, wenn er nachweist, dass ihm der Umstand, durch den der Schaden eingetreten ist, nicht zur Last gelegt werden kann.“ Cloud-Service-Provider haften demnach nicht nur im Innenverhältnis gegenüber dem Auftraggeber wie nach bisheriger Rechtslage, sondern auch gegenüber dem Betroffenen.148 (4) Eigene Stellungnahme Die in der Verordnung vorgeschlagene Neuregelung der Auftragsdatenverarbei­ tung verbessert das gesetzlich vorgeschriebene Datenschutzniveau erheblich im Vergleich zur DSRL. Es ist zweifelhaft, ob dies auch im Vergleich zum BDSG zutrifft. Die Verordnung nimmt zwar den Auftragsverarbeiter stärker in die Pflicht, indem er in nahezu allen Vorschriften als Normadressat neben den Verantwortlichen tritt. Aus der Sicht des deutschen Rechts neu ist der Verzicht auf einen ausdrücklich geregelten Erlaubnistatbestand bzw. die Privilegierung des Auftragnehmers. Die von § 11 BDSG bekannte Trennung der Verantwortungsbereiche wird damit aufgegeben. Als nachbesserungsbedürftig erscheint der Anforderungskatalog des Art.  26 Abs. 2 DS-GVO-E, der zwar über die DSRL hinausgeht, aber wichtige Vertragsgegenstände, die in § 11 Abs.  2 BDSG geregelt sind, und solche, die Aufsichts­ behörden nachdrücklich empfehlen, außer Acht lässt. Die Gestaltung des ADVVertrags spielt eine Schlüsselrolle für die effektive Umsetzung des Datenschutzrechts, insbesondere im Hinblick auf die Datensicherheit. Unter Berücksichtigung der gegenwärtigen Entwicklung des Cloud Computings ist zudem nicht ausgeschlossen, dass die Auftragsdatenverarbeitung in Zukunft zum Regelfall avan 147

Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 36. Hornung/Sädtler, CR 2012, 638 (643).

148

272

D. Schutz der informationellen Selbstbestimmung

ciert, während die Datenverarbeitung im Eigenbetrieb bei großen und mittelständischen Unternehmen zunehmend zur Ausnahme wird. Dieser grundlegenden Veränderung in der Datenverarbeitung muss in dem DS-GVO-E zukunftsweisend Rechnung getragen werden, um den Schutz des Betroffenen sicherzustellen. Die Anonymisierung und die Pseudonymisierung von Daten sind in dem DSGVO-E nicht vorgesehen. Diese Maßnahmen können jedoch einen wichtigen Beitrag zur Abschwächung der Eingriffsintensität der Datenverarbeitung leisten. Eine § 13 Abs. 6 S. 1 TMG vergleichbare Norm, die den Internetnutzern unter der Voraussetzung der Zumutbarkeit für den Diensteanbieter das Recht auf anonyme oder pseudonyme Nutzung von Telemedien einräumt, fehlt aber leider vollständig. Art. 23 DS-GVO-E (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) geht leider über einen Programmsatz nicht hinaus. Sollte der DSGVO-E unter diesen Umständen das deutsche Recht ersetzen, dürfte es zu einer Absenkung des Datenschutzniveaus für den Einzelnen kommen. Art. 30 DS-GVO-E erinnert an § 9 BDSG und in Teilen an die dazugehörige Anlage. Der effektive Schutz der informationellen Selbstbestimmung durch technisch-organisatorische Maßnahmen erfordert m. E. einen präzisen Anforderungskatalog im Verordnungstext. Die Regelungsdichte kann an die Anlage von § 9 BDSG angelehnt sein, wobei die Risiken der technischen Vernetzung in Form entsprechender Schutzmaßnahmen, bspw. Export-Schnittstellen zum Schutz vor Vendor-Lock-in oder der Rückgriff auf Verschlüsselungstechnologien, berücksichtigt werden müssten, um Rechtsunsicherheiten im Cloud Computing auszuräumen. dd) Internationale Auftragsdatenverarbeitung (1) Problem Problematisch ist die Regelung des § 3 Abs. 8 S. 3 BDSG, die einer Auftrags­ datenverarbeitung mit einer Stelle außerhalb der EU bzw. des EWR im Wege steht, selbst wenn diese über ein angemessenes Schutzniveau (§ 4b Abs. 2 S. 2, Abs. 3 BDSG) verfügt. § 3 Abs. 8 S. 3 BDSG steht im Widerspruch mit Art. 2 lit. f. DSRL und wird daher richtlinienkonform ausgelegt.149 (2) Lösung de lege ferenda In der DS-GVO-E ist keine mit § 3 Abs. 8 BDSG vergleichbare Begriffsdefinition enthalten, die Rechtsunsicherheiten im Hinblick auf den Anwendungsbereich

149

Dazu s. oben, S. 125.

I. Empfehlungen zur Rechtsgestaltung

273

der Auftragsdatenverarbeitung zur Folge hat. Eine Einschränkung auf das Inland, auf den Raum der EU oder den EWR ist weder in dem Begriff des Auftragsverarbeiters noch in dem des „Empfängers“ gem. Art. 4 Abs. 6 bzw. 7 DS-GVO-E enthalten. Mangels einer § 3 Abs. 8 S. 3 BDSG vergleichbaren Einschränkung, sind die Art. 22 ff. DS-GVO-E stets anwendbar.150 Zudem liegt eine § 11 BDSG vergleichbare Privilegierung der Auftragsdatenverarbeitung den Regelungen der Art. 22 ff. DS-GVO-E gerade nicht zugrunde. Die Verteilung der Aufgaben ist nicht hinreichend klar geregelt und auf eine strikte Trennung von Verantwortlichkeiten wurde darüber hinaus verzichtet. Ob eine Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter mit Sitz in einem Drittstaat zulässig ist, richtet sich allein nach Art. 40 DS-GVO-E. Die Übermittlung in ein Drittland ist danach grundsätzlich unzulässig, sofern nicht ein Erlaubnistatbestand der Art. 41 bis 44 DS-GVO-E erfüllt ist. Nicht nur mit dem Regelungsumfang, sondern insbesondere mit der ausdrücklichen Adressierung des Auftragsverarbeiters gehen Art. 40 ff. DS-GVO-E deutlich über die Art. 25 und 26 DSRL und die §§ 4b, 4c BDSG hinaus. Nach Art.  41 DS-GVO-E darf wie nach bisheriger Rechtslage die Übermittlung in ein Drittland erfolgen, wenn die EU-Kommission mit einem Angemessenheitsbeschluss festgestellt hat, dass es einen angemessenen Schutz bietet. Internationale Abkommen zwischen der EU und Drittländern über die Übermittlung von personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen Personen werden von der DS-GVO-E nicht berührt.151 Die Übermittlung von Daten auf der Rechtsgrundlage einer Safe-Harbor-Vereinbarung wird daher weiterhin zulässig sein.152 Besondere Relevanz für das grenzüberschreitende Cloud Computing könnte Art.  42 DS-GVO-E haben, wonach auch personenbezogene Daten an ein Drittland übermittelt werden dürfen, bei dem die Angemessenheit des Schutzniveaus (noch) nicht festgestellt worden ist.153 Art. 42 Abs. 1 DS-GVO-E erfordert dazu, dass der Verantwortliche oder der Auftragsverarbeiter „in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat“. Art. 42 Abs. 2 DS-GVO-E beschreibt Wege, um die geeigneten Garantien zu erlangen.

150

Nach anderer Ansicht hat der Verzicht auf eine § 3 Abs. 8 S. 3 BDSG vergleichbare Regelung zur Folge, dass die Weitergabe der Daten vom Verantwortlichen an den Auftragsverarbeiter eine Datenübermittlung darstelle, deren Zulässigkeit an den Erlaubnistatbeständen des Art. 6 DS-GVO-E zu bestimmen wäre. Die Datenverarbeitung in der Cloud würde dann davon abhängig gemacht werden müssen, ob sie zur Erfüllung eines Vertrags erforderlich ist, dazu Nebel/Richter, ZD 2012, 407 (411). 151 Erwägungsgrund 79, DS-GVO-E, KOM(2012), 11 endg., S. 34. 152 Nebel/Richter, ZD 2012, 407 (412). 153 Hornung/Sädtler, CR 2012, 638 (643).

274

D. Schutz der informationellen Selbstbestimmung

Möglich sind insbesondere verbindliche unternehmensinterne Vorschriften (sog. Binding Corporate Rules), die in Art. 43 DS-GVO-E konkretisiert werden.154 Diese bieten sich bspw. für Private Clouds an, die auf weltweit verteilten Rechenzentren betrieben werden.155 Ferner kann auf Standardvertragsklauseln zurückgegriffen werden, die die EU-Kommission oder eine Aufsichtsbehörde angenommen hat. Große Cloud-Service-Provider werden ihr Angebot an Private Clouds und Public Clouds wie bisher an Standardvertragsklauseln ausrichten, um in der EU wettbewerbsfähig zu sein.156 Schließlich wird die Möglichkeit eingeräumt, Vertragsklauseln zu verwenden, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Empfänger vereinbart und von einer Aufsichtsbehörde gemäß Art. 42 Abs. 4 DS-GVO-E genehmigt wurden. Ausnahmen von Art.  40 DS-GVO-E werden abschließend in Art.  44  DSGVO-E geregelt. Die Vorschrift beschreibt Sonderfälle, die Datenverarbeitungen nur in singulären, besonderen Ausnahmefällen legitimieren, wie bspw. beim Vorliegen einer informierten Einwilligung des Betroffenen, wenn die Übermittlung zur Erfüllung eines Vertrags oder eines Interesses erforderlich, aus „wichtigen Gründen des öffentlichen Interesses“ notwendig oder zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich ist. Cloud Computing kann nach überwiegender Auffassung nicht durch den § 28 Abs. 1 Nr. 1 BDSG entsprechenden Tatbestand legitimiert werden, wonach die Übermittlung zur Vertragserfüllung erforderlich ist, da im Regelfall eine weniger eingriffsintensive Art der Datenverarbeitung in Betracht kommt.157 ee) Zugriffsbefugnisse ausländischer Behörden auf die Cloud (1) Problem Cloud-Service-Provider mit einem (Haupt-)Sitz in einem Drittstaat sind häufig mit dem Problem der weitreichenden Eingriffsbefugnisse staatlicher Behörden konfrontiert. US-Behörden können die Herausgabe von Daten oder die Zustimmung zu Auskünften anordnen. Ausländisches Recht kann auf diese Weise das hohe Datenschutzniveau, das ein dem europäischen bzw. deutschen Recht unterliegender Diensteanbieter zu gewährleisten hat, aushebeln.158 154 Binding Corporate Rules dienen als Legitimationsgrundlage, sofern sie die Mindestanforderungen von Art. 43 DS-GVO-E erfüllen und von der Aufsichtsbehörde in einem Kohärenzverfahren genehmigt werden. Die unternehmensinternen Vorschriften entfalten nur Verbindlichkeit für alle Mitglieder der Unternehmensgruppe des Verantwortlichen oder des Auftragsverarbeiters. 155 Hornung/Sädtler, CR 2012, 638 (643). 156 Dies gilt bspw. für den SaaS-Dienst „Office 365“ von Microsoft Corp., a. u. http://www. microsoft.com/de-de/cloud/services/office365.aspx. 157 Vgl. Hornung/Sädtler, CR 2012, 638 (644). 158 s. oben, S. 141.

I. Empfehlungen zur Rechtsgestaltung

275

(2) Lösungsansatz des Entwurfs der DS-GVO(2011) Das Dilemma der konfligierenden Rechtsordnungen hatte die EU-Kommission erkannt und in einem Vorentwurf zur DS-GVO v. 29.11.2011 berücksichtigt. In Art. 42 DS-GVO-E(2011) war eine Regelung vorgesehen, die auf die Unterbindung ausländischer Zugriffe auf Auftraggeber und Auftragnehmer gerichtet ist. Nach Art.  42 Abs.  1 DS-GVO-E(2011) „werden Gerichtsentscheidungen und Anordnungen von Behörden aus Drittstaaten, die den Verantwortlichen oder Auftragsverarbeiter zur Preisgabe von personenbezogenen Daten verpflichten, weder anerkannt noch auf sonstige Weise durchsetzbar. Dies gilt unbeschadet eines geltenden Abkommens zur Zusammenarbeit oder einer internationalen Übereinkunft zwischen dem ersuchenden Drittstaat und der EU oder einem Mitgliedstaat“159. Für den Fall, dass ein Verantwortlicher oder ein Auftragsverarbeiter zur Übermittlung von Daten ersucht wird, statuiert Art. 42 Abs. 2 DS-GVO-E(2011) eine Pflicht, die Aufforderung unverzüglich der zuständigen Aufsichtsbehörde zu melden. Die Übermittlung ist von der Genehmigung der Aufsichtsbehörde abhängig. Die Aufsichtsbehörde prüft die Vereinbarkeit des Ersuchens mit der Verordnung gem. Art. 42 Abs. 3 DS-GVO-E(2011) und die Zulässigkeit der Freigabe. Die zuständige Aufsichtsbehörde hat das Ersuchen zudem der obersten nationalen Aufsichtsbehörde mitzuteilen (Art. 42 Abs. 4 DS-GVO-E(2011)). Art. 42 Abs. 4 S. 2 DS-GVO-E(2011) sieht Informationspflichten des Verantwortlichen und des Auftragsverarbeiters gegenüber dem Betroffenen vor. Dieser ist über das Ersuchen und die Genehmigung der Datenübermittlung der Aufsichtsbehörde zu unterrichten. Abschließend ermächtigt Absatz 5 der Vorschrift die EU-Kommission zu Durchführungsakten über die Standards bei der Erfüllung der Meldepflicht gegenüber der Aufsichtsbehörde und bei der Unterrichtung des Betroffenen. (3) Zivilrechtliche Lösungsansätze US-amerikanische Behörden haben keine allgemeinen, anlasslosen oder unbeschränkten Auskunftsrechte. Die rein theoretische Zugriffsmöglichkeit USamerikanischer Behörden oder anderer ausländischer Behörden auf Daten führt nicht dazu, dass die Vereinbarung eines Auftrags von vornherein unzulässig ist.160 Vielmehr können die Parteien in einem ADV-Vertrag vereinbaren, dass sich der Cloud-Service-Provider gegen entsprechende Anordnungen zur Wehr setzt. Tochtergesellschaften mit Konzernverbindungen zu einer US-amerikanischen Mutter 159 „No judgment of a court or tribunal and no decision of an administrative authority of a third country requiring a controller or processor to disclose personal data shall be recognized or be enforceable in any manner, without prejudice to a mutual assistance treaty or an international agreement in force between the requesting third country and the Union or a Member State.“ Entwurf zum Vorschlag der DS-GVO-E(2011) v. 29.11.2011. 160 Voigt/Klein, ZD 2013, 16 (19).

276

D. Schutz der informationellen Selbstbestimmung

gesellschaft können vertraglich verpflichtet werden, im Falle einer Anordnung deren Rechtmäßigkeit gerichtlich feststellen zu lassen und sich zu ihrer Verteidigung darauf zu berufen, dem BDSG (oder der DS-GVO) als sog. Blockadegesetz zu unterliegen, die eine Herausgabe von Daten ohne Rechtsgrund nicht gestattet.161 Zudem kann mit dem Cloud-Service-Provider eine Abrede zum Umgang mit personenbezogenen Daten getroffen werden. Personenbezogene Daten dürfen ausschließlich im Rahmen des Vertragsverhältnisses in mit deutschem Datenschutzrecht vereinbarender Weise verarbeitet werden. Denkbar wäre auch, eine kryptografische Absicherung von Daten vertraglich zu festzulegen. Ob eine entsprechende Verschlüsselung zum Erhalt der Vertraulichkeit von Daten von einem Diensteanbieter angeboten werden darf, bestimmt sich nach dem jeweiligen ausländischen Recht. Jedenfalls könnten die Parteien eine Vorgehensweise bei Herausgabeanordnungen von Behörden vereinbaren. In der Literatur wird die Vereinbarung von konkreten Unterrichtungspflichten des Diensteanbieters im Fall einer entsprechenden Kontaktaufnahme US-amerikanischer Behörden empfohlen.162 Eine solche Unterrichtungspflicht verfehlt allerdings ihren Zweck, wenn der Diensteanbieter, bspw. nach US-amerikanischem Recht, zur Geheimhaltung verpflichtet ist, wie dies bei National-Security-LetterAnordnungen möglich sein kann. Soweit sich der Diensteanbieter dazu bereit erklärt, können die getroffenen Abreden mit Vertragsstrafen oder daran angepassten Schadensersatzansprüchen abgesichert werden. (4) Hinweis zum LIBE-Entwurf Bei Art. 42 Abs. 1 DS-GVO-E(2011) handelt es sich um eine Vorschrift, die Datenzugriffe unterbinden und transparent machen sollte. Bei der Überarbeitung der Entwurfsfassung der DS-GVO zur Vorschlagsfassung wurde Art. 42 Abs. 1 DSGVO-E(2011) gestrichen. Der LIBE-Entwurf beinhaltet nun wieder diese Vorschrift als Art. 43a LIBE-Entwurf. c) Migration in die Cloud aa) Novellierung der „sorgfältigen Auswahl“ (1) Problem Die Auswahl des Cloud-Service-Providers, der als Auftragnehmer die Verarbeitung der Daten übernehmen soll, bildet einen wichtigen Meilenstein in der Pla 161

Dazu Voigt/Klein, ZD 2013, 16 (20). Voigt/Klein, ZD 2013, 16 (20).

162

I. Empfehlungen zur Rechtsgestaltung

277

nungsphase eines IT-Outsourcing-Vorhabens. Welche Anforderungen an eine sorgfältige Auswahlentscheidung zu stellen sind, die gem. § 11 Abs. 2 S. 1 BDSG der besonderen „Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen“ unterliegt, wird unterschiedlich beurteilt.163 (2) Lösungsansätze Das Datensicherheitskonzept und die Inaugenscheinnahme von dessen Umsetzung bilden die fundamentalen Auswahlkriterien nach Auffassung von Landesaufsichtsbehörden. Gütesiegel und Audits werden nur als Indiz für die Eignung des Auftragnehmers gewertet. Die Kosten des IT-Outsourcings sollten jedenfalls keinen für die Auswahl entscheidenden Faktor darstellen.164 (3) Lösung de lege ferenda Art. 26 DS-GVO-E bildet die an § 11 BDSG angelehnte, zentrale Vorschrift der Auftragsdatenverarbeitung. Gem. Art. 26 Abs. 1 DS-GVO-E richtet sich die Auswahl des Auftragnehmers danach, ob dieser „hinreichende Garantien dafür bietet, dass die betreffenden technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der] Verordnung erfolgt und dass der Schutz der Rechte der betroffenen Person durch geeignete technische Sicherheitsvorkehrungen und organisatorische Maßnahmen für die vorzunehmende Verarbeitung sichergestellt wird“. Weitergehende Anforderungen werden nicht an die Auswahl gestellt. Im Bezug auf die Ermächtigungsgrundlage zum Erlass delegierender Rechtsakte gem. Art. 26 Abs. 5 DS-GVO-E vertritt die Art.-29-Datenschutzgruppe die Ansicht, dass aufgrund der Einzelfallabhängigkeit der Auftragsdatenverarbeitung, insbesondere in Unternehmens­ gruppen, eine weitergehende Regulierung unnötig sei.165 (4) Eigene Stellungnahme Bei der Auswahlentscheidung orientiert sich die DS-GVO-E klar an § 11 Abs. 2 S. 1 BDSG und enthält keine weitergehende Konkretisierung. In der Praxis hat sich jedoch gezeigt, dass Unsicherheit darüber besteht, welche Sorgfaltsanforderungen an die Auswahlentscheidung zu stellen sind, insbesondere im Hinblick auf die Vorabprüfung des Datensicherheitskonzepts. Welche Garantien „hinreichend“ sind, dass die Maßnahmen zur Gewährleistung der Datensicherheit im Einklang 163

s. oben, S. 127. Vgl. BayLBfdD, Cloud Computing, S. 12. 165 Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 26. 164

278

D. Schutz der informationellen Selbstbestimmung

mit der Verordnung durchgeführt werden, ist nicht klar. Die Garantien gehen nicht so weit, dass eine Akkreditierung des Auftragsverarbeiters erforderlich ist, wie dies bspw. in § 17 De-Mail-G als Grundvoraussetzung für das Angebot von DeMail-Dienstleistungen statuiert ist. Der Verordnungsgeber könnte Art. 26 Abs. 1 DS-GVO-E um Regelbeispiele ergänzen, die eine sorgfältige Auswahl indizieren. Zertifikate, Datenschutz­audits oder Gutachten von unabhängigen Prüfern oder vertrauenswürdigen Stellen könnten Rechtsunsicherheiten beseitigen und mittelbar das Schutzniveau der Verordnung erhöhen. Alternativ könnte Art. 26 Abs. 5 DS-GVO-E um eine Ermächtigung der EU-Kommission zum Erlass einer Durchführungsbestimmung erweitert werden, in der Kriterien und Anforderungen an die Vornahme der sorgfältigen Auswahl und an die „hinreichende[n] Garantien“ präzisiert werden. Nach der Ansicht der Art.-29-Datenschutzgruppe sind die Bedingungen der Auftragsdatenverarbeitung, insbesondere in Unternehmensgruppen, derart einzelfallabhängig, dass es gerade keiner weiteren Gesetzgebung gem. Art.  26 Abs.  5 DS-GVO-E bedürfe.166 Dies dürfte für den hier vorgebrachten Vorschlag der Ergänzung von Art. 26 Abs. 5 DS-GVO-E entsprechend gelten. bb) Mindestanforderungen des Outsourcings in die Cloud (1) Problem Mit der Erweiterung des Anforderungskatalogs an die Auftragsdatenverarbeitung hatte der deutsche Gesetzgeber 2009 einen wichtigen Schritt unternommen. Während die Auftragsdatenverarbeitung in Art. 17 DSRL nur in Grundzügen geregelt ist, gibt § 11 Abs. 2 BDSG wichtige Leitlinien für die Vertragsgestaltung vor. Diese enthalten jedoch vielfach Tatbestände, die dem Komplexitätsgrad der Datenverarbeitung im Cloud Computing nicht gerecht werden.167 (2) Lösungsansätze Nicht erst im Hinblick auf Cloud-Computing-Szenarien, sondern bereits zur Absicherung des „klassischen IT-Outsourcings“ sind Aufsichtsbehörden und Berufsverbände dazu übergegangen, die Vereinbarung zusätzlicher Klauseln zu empfehlen, die nicht im Katalog von § 11 Abs. 2 BDSG genannt sind:168 Gem. § 11 Abs. 2 Nr. 1 BDSG ist der Vertragsgegenstand zu vereinbaren. Anstatt es bei einer kurzen Beschreibung des Vertragsgegenstandes zu belassen, wird 166

Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 26; s. oben, S. 130. Kroschwald/Wicker, CR 2012, 758 (762). 168 BayLBfdD, Orientierungshilfe Auftragsdatenverarbeitung, S. 13 ff. 167

I. Empfehlungen zur Rechtsgestaltung

279

empfohlen, eine Leistungsvereinbarung bzw. ein Service-Level-Agreement als Anlage beizufügen. Eine ausführliche Beschreibung der Leistungen kann Missverständnissen vorbeugen und erleichtert die Erfüllung des Vertrags sowie die Kontrolle der Leistungserbringung. Ferner regelungsbedürftig seien die Festlegung der Örtlichkeit der Datenverarbeitung, die Modalitäten einer vorzeitigen Kündigung, die System- und Benutzerdokumentation, die Aufbewahrungspflichten, die Gewährleistungsansprüche und die Haftung der Vertragsparteien. Zusätzlich regelungsbedürftig sind die Beschreibung der organisatorischen, räumlichen und personellen Maßnahmen zur Gewährleistung der Datensicherheit169, die Verpflichtung der Beschäftigten des Auftragnehmers zur Wahrung des Datengeheimnisses gem. § 5 BDSG und der Umgang mit personenbezogenen Daten sowie die Vernichtung von Datenträgern. Bei einer Auftragsdatenverarbeitung, die sensible Daten betrifft, sollte der Auftragnehmer vertraglich dazu verpflichtet werden, das Personal namentlich zu benennen, das von ihm im Rahmen der Verarbeitung dieser Daten eingesetzt wird. Ferner sollten Klauseln zum Schutz des Eigentums und der personenbezogenen Daten des Auftraggebers vor Fremdzugriffen (z. B. anlässlich einer Pfändung, Beschlagnahme, Zwangsvollstreckung oder Insolvenz des Auftragnehmers) aufgenommen werden.170 Diese Klauseln, die die Eigentumsrechte des Auftraggebers dokumentieren, seien mit einer Informationspflicht des Auftragnehmers zu verbinden, wonach dieser den Auftraggeber über bevorstehende Zugriffe Dritter in Kenntnis zu setzen hat. Abschließend ist die Einrede des Zurückbehaltungsrechts gem. § 273 BGB im Hinblick auf die verarbeiteten Daten und der dazugehörigen Datenträger vertraglich auszuschließen. Diese hier beschriebenen Erweiterungen werden zwar zur Kompensation der in Art. 6 BayDSG enthaltenen Regelungslücken171 empfohlen, die aber überwiegend mit den in § 11 Abs. 2 BDSG enthaltenen Lücken deckungsgleich sind und nicht öffentliche Stellen in gleicher Weise gefährden. (3) Lösung de lege ferenda Die Mindestanforderungen an die Begründung einer Auftragsdatenverarbeitung statuiert Art.  26 Abs.  2 DS-GVO-E. Die Vorschrift geht weit über die in Art. 17 DSRL enthaltenen Regelungen hinaus. Im Vergleich zu § 11 Abs. 2 BDSG 169 Es wird empfohlen, die Schutzmaßnahmen im Vertrag oder in einer Anlage detailliert aufzuführen, um die Kontrolle des Auftraggebers zu erleichtern. Ein solcher Katalog kann die Gestaltung des räumlich-technischen und organisatorischen Schutzes des Rechenzentrums, das Identitäts- und Berechtigungsmanagement, Notfallmaßnahmen und Maßnahmen zur Gewährleistung der Revisionsfähigkeit enthalten, vgl. BayLBfdD, Orientierungshilfe Auftragsdatenverarbeitung, S. 15. 170 BayLBfdD, Orientierungshilfe Auftragsdatenverarbeitung, S. 15. 171 Art. 6 Abs. 2 S. 3 BayDSG sieht lediglich vor, dass die Schriftform, die Datenerhebung, -verarbeitung oder -nutzung, die technisch-organisatorischen Sicherheitsmaßnahmen und etwaige Unterauftragsverhältnisse zu vereinbaren sind.

280

D. Schutz der informationellen Selbstbestimmung

sind deutliche Abweichungen erkennbar. Die Verordnung sieht einen Anforderungskatalog vor, der zwar Neuerung aufweist, aber in der Gesamtheit hinter dem BDSG zurückbleibt.172 Der Bundesrat empfiehlt, die Vorschrift dahingehend zu ändern, dass der Mindestgehalt der Vereinbarung um die Angabe von Gegenstand und Dauer des Auftrags sowie Umfang, Art und Zweck der vorgesehenen Verarbeitung, der Art der Daten und dem Kreises der Betroffenen ergänzt wird.173 Eine wirksame Kontrolle der Auftragsverarbeiter durch die verantwortliche Stelle könne nur umfassend erfolgen, sofern der verantwortlichen Stelle auch ein Kontrollrecht vor Ort eingeräumt werde und der Auftragsverarbeiter entsprechend zur Mitwirkung verpflichtet werde.174 (4) Eigene Stellungnahme Mit der Regelung von Mindestanforderungen für ADV-Verträge kann der Gesetzgeber – wie auch im AGB-Recht – Einfluss auf das Schutzniveau einer Datenverarbeitung nehmen. Um Klarheit über die geschuldeten Leistungen zu schaffen, wäre es ratsam, wie bereits im BDSG den Leistungsgegenstand zu vereinbaren. Mit einer nicht abschließenden Aufzählung könnte auf die Bedeutung einer differenzierten, ausführlichen Leistungsbeschreibung und der Gewährleistung hingewiesen werden. Zu den Innovationen von Art.  26 Abs.  2 DS-GVO-E gegenüber § 11 Abs. 2 BDSG zählt, dass die Hinzuziehung von Unterauftragnehmern von der Zustimmung der verantwortlichen Stelle abhängig sein soll. Diese Regelung verbessert die Steuerungsmacht des Auftraggebers. Auf eine Regelung zur Löschung von personenbezogenen Daten nach der Beendigung der Auftragsdatenverarbeitung wurde überraschenderweise verzichtet. Zutreffend ist zwar, dass die Redundanz der Datenverarbeitung gerade auch im Cloud Computing die effektive Löschung von Daten erschwert. Andererseits gehört die Löschung von Daten, jedenfalls nach deutscher Datenschutzdogmatik, zu den elementaren Betroffenenrechten, die der Verantwortliche auch gegenüber dem Auftragsverarbeiter geltend zu machen hat. Empfehlenswert wäre ferner eine Regelung, die den Auftragnehmer dazu verpflichtet, dem Auftraggeber ein leicht verständlich erläutertes Datenschutzkonzept zu übergeben, um diesem die Durchführung von Kontrollen zu erleichtern.

172

Vgl. Hornung/Sädtler, CR 2012, 638 (642). BR-Drs. 52/1/12, S. 22. 174 BR-Drs. 52/1/12, S. 22. 173

I. Empfehlungen zur Rechtsgestaltung

281

cc) Kontrollen durch vertrauenswürdige Stellen (1) Problem Verantwortliche Stellen sind gem. § 11 Abs. 2 S. 4 BDSG dazu verpflichtet, sich im Wege von Kontrollen sich vor Beginn und während der Datenverarbeitung davon zu überzeugen, dass der Auftragnehmer die im Datensicherheitskonzept vertraglich vereinbarten technischen und organisatorischen Maßnahmen einhält, um den Datenschutz zu gewährleisten. Die Komplexität der Datenverarbeitungsanlagen, insbesondere wenn die Datenverarbeitung über viele eigene Rechenzentren verteilt ist oder unter Zuhilfenahme von Unterauftragnehmern erfolgt, kann die (effektive) Umsetzung der Kontrollpflichten an Unmöglichkeit grenzen lassen. Hinzu kommen begrenzte Mittel, Kenntnisse und Fähigkeiten bei kleinen verantwortlichen Stellen. Diese Problematik verschärft sich im Hinblick auf komplexe Cloud-Computing-Szenarien, in denen eine Vor-Ort-Kontrolle nur mit erheblichem Aufwand möglich ist. Auf das Erfordernis der Kontrolle durch die verantwortliche Stelle könnte verzichtet werden, wenn auf hinreichende Audits oder Zertifizierungen durch Dritte zurückgegriffen werden könnte. Der Rückgriff auf Datenschutzaudits ist de lege lata nur als Programmsatz in § 9a BDSG erwähnt.175 (2) Lösungsansätze Mit dem Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften (hier: DS-AuditG-E) hat die Bundesregierung im Jahr 2009 den Versuch unternommen, Unternehmen einen „wirtschaftlichen Mehrwert“ zu ermöglichen, die Aufwendungen zur Schaffung eines Datenschutzniveaus getätigt haben, das über das gesetzlich vorgeschriebene Mindestmaß hinausgeht.176 Mit dem DS-AuditG-E sollte die in § 9a S. 1 BDSG verankerte Zertifizierung des Datenschutzniveaus durch unabhängige Gutachter näher gesetzlich ausgestaltet werden.177 Als Bindeglied zwischen Wirtschaftsförderung und Förderung des Datenschutzes war die Vergabe eines freiwilligen, aber gesetzlich geregelten Datenschutzauditsiegels vorgesehen.178 Der Entwurf regelt in § 1 DS-AuditG-E die Antragsberechtigung und die Prüfungsgegenstände eines Datenschutzaudits. Auf Antrag von nicht öffentlichen Stellen können entweder ihr Datenschutzkonzept oder die von ihnen angebote-

175

s. oben, S. 133. BT-Drs. 16/12011, S. 1. 177 Schantz, in: Wolff/Brink, BeckOK Datenschutzrecht, BDSG, § 9a, Rn. 2. 178 BT-Drs. 16/12011, S. 1. 176

282

D. Schutz der informationellen Selbstbestimmung

nen informationstechnischen Einrichtungen von einer zugelassenen Kontrollstelle überprüft werden. Ein Datenschutzauditsiegel wird nach Maßgabe von § 1 Nr. 1 bis 4 DS-AuditG-E vergeben, wenn folgende Anforderungen kumulativ gegeben sind: „Die Datenverarbeitung, für die das Datenschutzkonzept oder die informationstechnische Einrichtung vorgesehen ist, steht mit den Datenschutzvorschriften im Einklang, die für das Datenschutzkonzept oder die informationstechnische Einrichtung geltenden, vom Datenschutzauditausschuss gem. § 11 Abs.  1 DSAuditG-E erlassenen Richtlinien werden erfüllt und als Anbieter mit Sitz im Inland werden die Vorschriften des BDSG über die organisatorische Stellung des Beauftragten für den Datenschutz eingehalten.“ Diese Voraussetzungen müssen gem. § 1 Nr. 4 DS-AuditG-E nach Maßgabe von § 3 DS-AuditG-E kontrolliert werden. Hier sieht der Entwurfsgeber ein engmaschiges Kontrollregime vor. Art und Häufigkeit von Kontrollen richten sich nach dem Risiko von Verstößen gegen den DS-AuditG-E. Die Mindestanforderungen an die Kontrolle regelt § 3 DS-AuditG-E.179 Detailliert ausgestaltet sind die Vorschriften zur Zulassung von Kontrollstellen, zu den Ausbildungsanforderungen an das Personal der Stellen, zu den Pflichten der Kontrollstellen und der zuständigen Aufsichtsbehörde sowie zur Überwachung der Kontrollstellen. Der beim Bundesdatenschutzbeauftragten anzusiedelnde Daten­ schutzauditausschuss bildet das Dach der institutionellen Kontrollpyramide, der durch „Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit“ effektiv steuernd auf verantwortliche Stellen einwirken kann. Verstöße gegen das DS-AuditG-E sind mit Bußgeld- und Strafvorschriften abgesichert. Die Verabschiedung des Referentenentwurfs zum DS-AuditG wurde nach einer Welle an Kritik nicht mehr weiter verfolgt. Nur auf der Landesebene wurden Regelungen zur Durchführung von Datenschutzaudits umgesetzt.180 (3) Lösung de lege ferenda Der Verantwortliche ist gem. Art. 22 Abs. 3 DS-GVO-E verpflichtet, geeignete Verfahren zur Überprüfung der Wirksamkeit der in Art. 22 Abs. 1 DS-GVO-E genannten Maßnahmen einzusetzen. Dazu können interne oder externe Prüfer herangezogen werden, wenn dies angemessen ist. Zu diesen Maßnahmen zählen auch die vom Auftragsverarbeiter einzuhaltenden Datensicherheitsmaßnahmen gem. Art. 30 DS-GVO-E. 179 Kontrollen werden gem. § 3 DS-AuditG-E von gem. § 4 DS-AuditG-E zugelassenen Kontrollstellen unter Einbeziehung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit durchgeführt. Auf die erste Kontrolle folgt eine zweite Kontrolle nach Ablauf von 12 Monaten gem. § 3 S. 4 DS-AuditG-E. Sodann wird eine Stelle gem. § 3 S. 5 DS-AuditG-E alle 18 Monate kontrolliert. 180 Vertiefend Hornung, ZD 2011, 51 (53).

I. Empfehlungen zur Rechtsgestaltung

283

Art. 26 DS-GVO-E regelt die Pflichten des Verantwortlichen bei der Auswahl des Auftragsverarbeiters. Nach Art. 26 Abs. 1 1. Hs. DS-GVO-E hat der Verantwortliche dafür zu sorgen, dass die Datenverarbeitung mit der Verordnung vereinbar ist und entsprechende Schutzmaßnahmen getroffen werden. Der zweite Halbsatz von Art. 26 Abs. 1 DS-GVO-E statuiert in knappen Worten eine Kontrollpflicht des Verantwortlichen: „[…] zudem hat er dafür zu sorgen, dass diese Maßnahmen eingehalten werden.“ Die Vornahme einer Kontrolle ist ausdrücklich in Art. 26 Abs. 2 lit. h DS-GVO-E erwähnt. Der Vertrag oder Rechtsakt zur Vornahme einer Auftragsverarbeitung hat danach eine Klausel zu enthalten, wonach der Auftragsverarbeiter „dem für die Verarbeitung Verantwortlichen und der Aufsichtsbehörde alle erforderlichen Informationen für die Kontrolle der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt“. Die Kontrolle des Auftragsverarbeiters ist im Unterschied zum BDSG nur fragmentarisch in der DS-GVO-E verankert. Die nähere Ausgestaltung wird der EUKommission im Rahmen eines delegierenden Rechtsaktes gem. Art.  22 Abs.  4 DS-GVO-E überlassen. Auf dieser Ermächtigungsgrundlage sollen „[…] die Bedingungen für die in Absatz 3 genannten Überprüfungs- und Auditverfahren und die Kriterien für die in Absatz 3 angesprochene Angemessenheitsprüfung festzulegen und spezifische Maßnahmen für Kleinst-, Klein- und mittlere Unternehmen“ geprüft und festgelegt werden. (4) Eigene Stellungnahme Kontrollen stellen die Umsetzung der Vorschriften zum Schutz der informationellen Selbstbestimmung sicher. In dem DS-GVO-E sind keine Einzelheiten zu Prüfungsgegenständen und Modalitäten, insbesondere zu den Kontrollverfahren, den vertrauenswürdigen Stellen oder deren Akkreditierung und Personal geregelt, wie dies im Entwurf zum DS-AuditG vorgesehen ist. Zwar gibt es bereits eine Vielzahl an etablierten Zertifizierungen, die ein gewisses Niveau an IT-Sicherheit gewährleisten, wie bspw. ISO 27001, BSI IT-Grundschutz oder SAS70 II. Diese Verfahren werden üblicherweise auch im Cloud Computing eingesetzt. In der Wirtschaft haben sich zudem längst Prüfungsverfahren mit Gütesiegeln für Cloud-Service-Provider herausgebildet, die z. B. von Branchenverbänden vorangetrieben werden.181 Die Verfahren können geeignet sein, das Sicherheitsniveau der angebotenen Dienstleistungen zu verbessern. Den von Verbänden (satzungsrechtlich) erlassenen Kontrollverfahren mangelt es jedoch an gesetzlicher Legitimation, die für die Stiftung und Förderung von Vertrauen wesentlich ist. Zur Vermeidung von Rechtsunsicherheiten und damit korrespondierenden Hürden sollte die Kontrollpflicht des Verantwortlichen in der DS-GVO-E zumindest an das im BDSG bewährte Maß angepasst werden. Denk 181

Bspw. EuroCloud Star Audit SaaS, vgl. Giebichenstein/Weiss, DuD 2011, 338 ff.

284

D. Schutz der informationellen Selbstbestimmung

bar wäre auch eine Norm, die nach dem Vorbild der §§ 1, 3 DS-AuditG-E die Prüfungsgegenstände und die Art und Häufigkeit der Kontrollen ausdrücklich regelt und Öffnungsklauseln für delegierende Rechtsakte vorsieht. d) Migration aus der Cloud aa) Exit-Management Die Planung der Beendigungsphase eines IT-Outsourcings in die Cloud wirft im Hinblick auf die Re-Transformation von personenbezogenen Daten grundlegende organisatorische und technische Fragen auf, die in dieser Arbeit bereits im Kontext des Vendor-Lock-in-Effekts und der Datenportabilität untersucht wurden.182 bb) Löschung von Daten (1) Problem Nach gegenwärtiger Rechtslage zählt die Pflicht zur Löschung von Daten gem. § 11 Abs.  2 Nr.  10 BDSG zu den Regelungsgegenständen eines ADV-Vertrags. Welche Anforderungen an eine effektive Löschung zu richten sind, ist umstritten. Die Umsetzung der Löschungspflicht von Daten, die in verteilten, komplex verbundenen Systemen verarbeitet werden, grenzt im Cloud Computing an Unmöglichkeit. An dieser Stelle ist der Gesetzgeber gefragt, eine Lösung zu finden, die den Schutz der informationellen Selbstbestimmung des Betroffenen sicherstellt.183 (2) Lösung de lege ferenda Mit Art. 26 Abs. 2 lit. g DS-GVO-E distanziert sich der Verordnungsgeber nun von der Vereinbarung einer Löschungspflicht. An die Stelle einer Pflicht zur Löschung von personenbezogenen Daten, die der Auftragnehmer für die verantwortliche Stelle verarbeitet hat, tritt eine Unterlassungsvereinbarung.184 Unter welchen Voraussetzungen und mit welchen Verfahren eine Löschung von Daten effektiv umgesetzt werden kann, bildet keine datenschutzrechtlich relevante Frage mehr. Den bekannten technischen Schwierigkeiten bei der Umsetzung der Löschungspflicht wird somit normativ durch eine Verzichtserklärung auf die weitere Ver 182

s. oben, S. 250. s. oben, S. 150. 184 Art. 26 Abs. 2 lit. g DS-GVO-E sieht vor, dass „nach Abschluss der Verarbeitung dem für die Verarbeitung Verantwortlichen sämtliche Ergebnisse ausgehändigt und die personen­ bezogenen Daten auf keine andere Weise weiterverarbeitet“ werden dürfen, KOM(2012), 11 endg., S. 66. 183

I. Empfehlungen zur Rechtsgestaltung

285

arbeitung begegnet. Diese Vereinbarung wird gem. Art.  26 Abs.  4 DS-GVO-E abgesichert, indem der Auftragsverarbeiter über Art. 24 DS-GVO-E für die Datenverarbeitung mitverantwortlich wird, wenn er Daten weisungswidrig verarbeitet. Ein Verstoß gegen die Unterlassungserklärung hat zur Folge, dass der Auftragnehmer, als weiterer Verantwortlicher (sog. gemeinsame Verantwortung) neben den Auftraggeber als ohnehin Verantwortlichen hinzutritt. (3) Eigene Stellungnahme Die effektive Löschung von personenbezogenen Daten auf verteilten Systemen bereitet aufgrund der redundanten Datenverarbeitung Schwierigkeiten. Ob Daten tatsächlich gelöscht worden sind, ist nicht ohne Weiteres überprüfbar. Dies gilt insbesondere dann, wenn der Auftraggeber ein Verbraucher, der Auftragnehmer ein Cloud-Service-Provider ist. Mit der Aufgabe der Löschpflicht zugunsten einer lediglich normativen Unterlassungserklärung wird der Verordnungsgeber seinem Schutzauftrag nicht gerecht. Die Unterlassungserklärung ist zwar über eine Regelung zur gemeinsamen Verantwortung abgesichert. Diese Absicherung entfaltet jedoch kaum Schutz gegen Zugriffe ausländischer Behörden, konzerninterne Zugriffe, die Weiterverarbeitung der Daten durch Unterauftragnehmer oder Datenschutzverstöße. Die Unterlassungserklärung mit entsprechender Absicherung durch Haftungsregelungen kann sicherlich zur Erhöhung des Datenschutzniveaus beitragen. Diese Regelung widerspricht jedoch dem Grundsatz der Erforderlichkeit, der jegliche Speicherung auf Vorrat untersagt, dem Grundsatz der Datensparsamkeit, wonach Systeme so zu gestalten sind, dass so wenig personenbezogene Daten wie möglich verarbeitet werden, und dem Grundsatz der Datensicherheit, nach dem u. a. der unbefugte Umgang mit personenbezogenen Daten verhindert werden soll. Nach dem Grundsatz von Datenschutz durch Technik sollte die Löschpflicht zumindest von sensiblen Daten Eingang in den Katalog des Art. 26 Abs. 2 DS-GVO-E finden. Mit der Ermächtigung der EU-Kommission zum Erlass eines delegierenden Rechtsaktes könnten technische Bestimmungen zur Löschung von Daten nach dem Vorbild des BSI-Grundschutz-Katalogs getroffen werden.

286

D. Schutz der informationellen Selbstbestimmung

3. Sozialvernetzte Datenverarbeitung a) Schutz vor organisatorischen und technischen Risiken (Plug-and-Play-Falle) aa) Problem Die Nutzung von Sozialen Netzwerken und die Erstellung von Nutzerprofilen sind von Betroffenen gewollt.185 Ein Verzicht auf diese Dienste der Informationsgesellschaft kommt nur für wenige in Frage. Mit der Flut an Daten, die im Internet erhoben und verarbeitet werden, nimmt jedoch die Datenherrschaft des Einzelnen stetig ab.186 Soziale Netzwerke begünstigen Kontrollverluste, indem sie mit der sog. Plug-and-Play-Falle, Transparenzdefiziten und einer großen Dienstleisterabhängigkeit organisatorische Risiken aufweisen, die die informationelle Selbstbestimmung des Betroffenen beeinträchtigen können. Personenbezogene Daten können über einen sorglosen Datenumgang, über Nutzer, die unter falschen Identitäten auftreten („fremde Freunde“), oder über Drittdiensteanbieter unkontrolliert zum Abruf freigegeben werden. In dieser Arbeit wurden auch technische Schutzlücken bei der Portalauthentifikation durch Malware und durch Möglichkeiten der unberechtigten Weitergabe von Daten („Datendiebstahl“) innerhalb des Systems identifiziert, die zu einer Gefährdung der Datensicherheit beitragen können.187 bb) Lösungsansätze Im materiellen Recht werden der Grundsatz der Transparenz durch Unterrichtungs- und Informationspflichten und das Recht des Betroffenen auf Auskunft konkretisiert. Zwar stellt der Gesetzgeber die Erfüllung dieser Pflichten sicher, indem Normverstöße entweder die Rechtswidrigkeit der Datenverarbeitung zur Folge haben, den Tatbestand einer Ordnungswidrigkeit oder eines Straftatbestandes erfüllen oder die verantwortliche Stelle Informationspflichten gem. § 42a BDSG unterliegt. Insgesamt sind Unterrichtungs- und Informationspflichten im BDSG nur vereinzelt geregelt und das Auskunftsrecht nur in Grundzügen.188 Bei mobilen personenbezogenen Speichermedien hat der Gesetzgeber erkannt, dass transparente Einblicke in den Ablauf der Datenverarbeitung erforderlich sind,

185

Bull, NVwZ 2011, 257 (262). Heckmann, NJW 2012, 2631 (2633). 187 s. oben, S. 167. 188 Unterrichtungspflichten finden sich im BDSG bspw. bei der Direkterhebung gem. § 4 Abs. 3 BDSG oder bei der Werbeansprache gem. § 28 Abs. 4 S. 2 BDSG. Unter den Voraussetzungen des § 42a BDSG ist auch eine Informationspflicht geregelt. 186

I. Empfehlungen zur Rechtsgestaltung

287

um die informationelle Selbstbestimmung zu ermöglichen. Hintergrund der Regelung war die Einführung von Chipkarten (sog. Smartcards), die mit Mikroprozessoren, Speicher und Hardware eigenständige Verarbeitungsvorgänge vornehmen und in vielen Lebensbereichen zum Einsatz kommen können, wie bspw. bei Kreditkarten.189 Vor der Vornahme der ersten Speicherung soll der Betroffene über die Funktionalitäten informiert werden, um entscheiden zu können, ob er seine Daten dieser Informationstechnologie anvertrauen will.190 Die verantwortliche Stelle hat daher den Betroffenen gem. § 6c Abs. 1 Nr. 2 BDSG „in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten“ zu informieren. Hier hat der Gesetz­geber erstmals eine Informationspflicht eingeführt, die über die Infrastruktur einer Technologie aufklären soll, um dem verfassungsrechtlichen Schutzauftrag der informationellen Selbstbestimmung gerecht zu werden.191 In § 13 Abs. 1 S. 1 TMG findet sich eine transparenzfördernde192 Vorschrift, die allerdings auf die verständliche Form der Unterrichtung über Art, Umfang und Zwecke beschränkt ist. Selbst bei automatisierten Verfahren gem. § 13 Abs. 1 S. 2 TMG wird keine Erläuterung der Funktionsweise der Verarbeitungsvorgänge gefordert. Der Ansatz der Infrastrukturaufklärung ist hier nur geringfügig umgesetzt. Da Transparenz nicht nur die Grundvoraussetzung für die Ausübung der informationellen Selbstbestimmung darstellt, sondern auch die Akzeptanz und das Vertrauen in die Informationstechnik stärkt, wurde bereits früh gefordert, den Betroffenen durch die Offenlegung der technischen Strukturen einer Datenverarbeitung aktiv einzubinden.193 Wer geschäftsmäßig personenbezogene Daten automatisiert verarbeitet, soll daher verpflichtet sein, die Struktur der Datenverarbeitung in verständlicher Form zu veröffentlichen.194 Transparente Einblicke in „den logischen Aufbau der automatisierten Verarbeitung der [den Einzelnen] betreffenden Daten“ sieht bereits Art. 12 lit. a DSRL für eine Auskunft vor. Die Erfüllung des Auskunftsverlangens erfolgt jedoch in den Grenzen der Betriebs- und Geschäftsgeheimnisse, deren Gewährleistung in Art. 12 GG in der Berufsausübungsfreiheit verankert ist.195 Diese Einschränkung darf nicht so weit gehen, dass dem Betroffenen von vornherein die Information über die technischen Abläufe verwehrt wird.196 Datenschutzerklärungen könnten so gestaltet werden, dass nach dem Vorbild umweltrechtlicher Genehmigungsverfahren geheimnisschutzbedürftige Verfah 189

Scholz, in: Simitis, BDSG, § 6c, Rn. 2. Scholz, in: Simitis, BDSG, § 6c, Rn. 3. 191 Scholz, in: Simitis, BDSG, § 6c, Rn. 3. 192 Vgl. Müller-Broich, TMG, § 13, Rn. 1. 193 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S.  87; so auch Masing, NJW 2012, 2305 (2308 f.). 194 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 87. 195 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 88. 196 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 88. 190

288

D. Schutz der informationellen Selbstbestimmung

rensabläufe als solche gekennzeichnet und derart abstrakt umschrieben werden, dass der Betroffene eine hinreichende Kenntnis über die Mechanismen der Verarbeitung erlangt. Der Aufsichtsbehörde könnten die Geheimnisse in einem gesonderten Übertragungsvorgang vorgelegt werden, bspw. verkörpert in Dokumenten, die in einem verschlossenen Brief übergeben werden, sodass diese die Richtigkeit der Erklärung überprüfen kann.197 „Transparent müsste sein, was das System tun soll und was es wirklich tut, was es – auch über seine Schnittstellen mit anderen Systemen oder Menschen kommunizierend – tun kann und wie sich das System in der Zeit verändern kann.“198 Um zu erfahren, „was das System tun soll“, müssten der gesamte Schaltplan bzw. die Infrastruktur einer Plattform, der Quellcode einer Anwendung und die Datenbanken einschließlich der Hilfsmittel, Werkzeuge und Zugriffsberechtigungen  – zumindest für vertrauenswürdige Prüfstellen  – offen­ gelegt werden.199 Da nicht alle Betroffenen sich gleichermaßen vertieft und ausführlich informieren wollen, müssen Datenschutzerklärungen so gestaltet werden, dass der Leser nicht überfordert wird.200 Es wird daher vorgeschlagen, für bestimmte Verarbeitungsformen oder -zwecke, z. B. wenn schutzwürdige Daten verarbeitet werden, einen eigenen Erlaubnistatbestand zu regeln, der eine Offenlegung der technischen Abläufe, Strukturen, Quelltexte und Werkzeuge fordert.201 In diese Richtung zielt der Vorschlag, die bestehenden Unterrichtungspflichten im Hinblick auf die Herausforderungen der weltweit vernetzten Internetkommunikation anzupassen. Die Unterrichtung gem. § 13 Abs. 1 TMG (Datenschutz­ erklärung) müsse ebenso einfach auffindbar sein und sprachlich verständlich gefasst werden, wie dies die Impressumspflicht gem. § 5 TMG vorsieht.202 Die Zwecke, die Art und der Umfang der Datenverarbeitung sollten weiterhin die zentralen Bezugspunkte der Unterrichtung bilden, damit der Betroffene erfährt, welche Daten wofür verwendet werden.203 Für den Fall, dass die Stelle weitere Zwecke einführt, sollte eine explizite Informationspflicht geregelt werden.204 Auskunftsund Löschungsrechte sollten so gefasst werden, dass Daten auf das Ersuchen des Betroffenen hin gelöscht werden müssen, sofern nicht der Bestand und der Betrieb des Dienstes gefährdet werden.205 Transparente Einblicke in die technischen Abläufe könnten auch über ein separates Konto visualisiert werden, dass ebenso Dritten, ggf. zum Zweck der Dar 197

Vgl. Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 88. Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 88. 199 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 89. 200 Bull, NVwZ 2011, 257 (259). 201 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 89. 202 Härting, BB 2010, 839 (841). 203 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 193 f.; Härting, BB 2010, 839 (841). 204 Härting, BB 2010, 839 (841). 205 Härting, BB 2010, 839 (841). 198

I. Empfehlungen zur Rechtsgestaltung

289

legung und Beweisführung, eine Überprüfung der technischen Ausgestaltung erlaubt („Accountability“).206 TK-Diensteanbieter sollten zudem verpflichtet werden, die Rückverfolgbarkeit der Datenströme zu gewährleisten („Traceability“).207 Die Unterrichtung der verantwortlichen Stelle müsse ferner die Weitergabe von Informationen an Dritte beinhalten.208 Eine entsprechende Anzeigepflicht enthält bereits § 13 Abs. 5 TMG. Ferner sollte die Unterrichtung in der Datenschutzerklärung die Erhebung, Verarbeitung und Nutzung von Bewegungsprofilen durch Geodaten beinhalten.209 Auch die Datenverarbeitung zur Auswertung des Verhaltens des Betroffenen zur gezielten Werbeansprache des Betroffenen sollte unterrichtungspflichtig sein und der Betroffene sollte über die Person und die Kontaktdaten des Datenschutzbeauftragten in Kenntnis gesetzt werden.210 Die Stelle müsste ferner über die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit informieren, insbesondere im Hinblick darauf, welche Maßnahmen zum Schutz vor unbefugten oder missbräuchlichen Zugriffen Dritter vorgenommen werden und ob und in welchem Maße Verschlüsselungsverfahren zum Einsatz kommen.211 Diese Erklärungspflicht korrespondiert mit der Datensicherheitspflicht der Stelle gem. § 9 BDSG und § 13 Abs. 4 TMG und unterliegt ebenfalls den Grenzen der Geschäfts- und Betriebsgeheimnisse. Seit den Novellen im Jahr 2009 hat der deutsche Gesetzgeber keine weiteren Versuche unternommen, die Defizite der Datenschutzgesetze im Bezug auf eine transparente Datenverarbeitung auszuräumen. cc) Lösung de lege ferenda Im dritten Kapitel des DS-GVO-E widmet der Vorschlagsgeber der Trans­ parenz (und ihren Modalitäten) einen eigenen Abschnitt. Mit Art. 11 DS-GVO-E wird eine Verpflichtung zur Bereitstellung transparenter, leicht zugänglicher und verständlicher Informationen eingeführt. Die Formulierung ist an die Madrider Entschließung zu internationalen Standards zum Schutz der Privatsphäre angelehnt.212 Die Vorschrift bestimmt, dass der Verantwortliche „in Bezug auf die Verarbeitung personenbezogener Daten und die Ausübung der den betroffenen Personen zustehenden Rechte eine nachvollziehbare und für jedermann leicht zugängliche Strategie“ zu verfolgen hat. Damit soll dem Problem begegnet werden, dass Datenschutzerklärungen im Regelfall für Verbraucher unverständlich formuliert oder nicht ohne Weiteres auffindbar sind. In Art. 11 Abs. 2 DS-GVO-E ist ge­ 206

Schneider, AnwBl. 2011, 233 (239). Schneider, AnwBl. 2011, 233 (239). 208 Härting/Schneider, ZRP 2011, 233 (235). 209 Härting/Schneider, ZRP 2011, 233 (235). 210 Härting/Schneider, ZRP 2011, 233 (235). 211 Härting/Schneider, ZRP 2011, 233 (235). 212 KOM(2012), 11 endg., S. 9. 207

290

D. Schutz der informationellen Selbstbestimmung

regelt, dass die Informationen verständlich und adressatengerecht formuliert werden müssen.213 Grundlegende Informationspflichten sind in Art.  14 DS-GVO-E vorgesehen. Die Vorschrift basiert auf den Informationspflichten bei bzw. außerhalb der Direkterhebung gem. den Art. 10 und 11 DSRL. Die Verpflichtung nach Art. 14 DSGVO-E umfasst i. W. die bereits gängigen Aspekte, wie die Unterrichtung über die Identität des Verantwortlichen214, die Zwecke, Geschäftszwecke und Verarbei­ tungsbedingungen, die Betroffenenrechte, die Empfänger und sonstige Informationen, deren Angaben erforderlich sind, um eine Datenverarbeitung nach Treu und Glauben zu gewährleisten. Neue Regelungsgegenstände sind die Unterrichtung über die Speicherdauer, das Beschwerderecht, die Datenübermittlung in einen Drittstaat215 und über die Herkunft der Daten. Die Speicherdauer korrespondiert mit dem Recht auf Löschung gem. Art. 17 DS-GVO-E. Für den Fall, dass die Daten nicht beim Betroffenen erhoben werden, entfällt die Informationspflicht nach Maßgabe des Art. 14 Abs. 5 lit. b und c DS-GVO-E, wenn zur Unterrichtung unverhältnismäßiger Aufwand erforderlich wäre oder die Erhebung oder Weitergabe gesetzlich geregelt wäre. Diese Ausnahme ist auch in Art. 11 Abs. 2 DSRL enthalten. Art.  14 DS-GVO-E stützt sich überwiegend auf die Tatbestände der Art.  11 und 12 DSRL, die aus einer Zeit vor Beginn der Internetära stammen. Die Datenverarbeitung im Internet ist ubiquitär und allgegenwärtig. Wenn ununterbrochen personenbezogene Daten im Internet ausgetauscht werden, also erhoben, gespeichert, verändert, genutzt, übermittelt und gelöscht werden, ist zu prüfen, wie eine hinreichend konkrete Unterrichtung über die Empfänger, Speicherdauer und Datenübermittlung ins Ausland in der Praxis umgesetzt werden kann.216 Neben der konkreten Formulierung von Unterrichtungen, ist auch fraglich, in welcher Häufigkeit entsprechende Mitteilungen gemacht werden müssen. Mit Art. 14 DS-GVO-E wird eine Informationspflicht eingeführt, die stark dem Konzept der „Offline-Verarbeitung“ verhaftet und daher nicht internettauglich sei.217 Der adäquate Schutz von Rechten im Internet kann gerade nicht „gegen das Internet“ vollzogen werden.218

213 Gem. § 11 Abs. 2 DS-GVO-E sind „Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren, einfachen und adressatengerechten Sprache“ bereitzustellen. Dies gilt insbesondere dann, wenn an Kinder adressiert wird. 214 Neu ist lediglich, dass „Namen und die Kontaktdaten“ genannt werden müssen und dass dies nicht nur für den Verantwortlichen und dessen Stellvertreter, sondern zusätzlich für den Datenschutzbeauftragten gilt. 215 Eine vergleichbare Pflicht enthält auch § 13 Abs. 1 TMG für Telemediendiensteanbieter. 216 Kritisch zur Umsetzbarkeit der Verpflichtung bei Telemedien, Schneider/Härting, ZD 2012, 199 (201). 217 Schneider/Härting, ZD 2012, 199 (201). 218 Heckmann, K&R 2010, 770 (775).

I. Empfehlungen zur Rechtsgestaltung

291

Auf eine Informationspflicht, die konkrete Einblicke in die Art und Weise der technischen Vorgänge gibt, wurde verzichtet. Hier bleibt der DS-GVO-E deutlich hinter den Erwartungen an eine Neuregelung zurück, die der Komplexität der vernetzten Kommunikation und den daraus erwachsenden Herausforderungen für die Ausübung der informationellen Selbstbestimmung gerecht werden würde. Der stattdessen vorgenommene Rückgriff auf unbestimmte Rechtsbegriffe, wie der Grundsatz von Treu und Glauben, wird eher dazu führen, dass Verantwortliche weiterhin auf schwammige Erklärungen zurückgreifen.219 Unzulänglich sei auch, dass die Informationspflichten eine personenbezogene Datenverarbeitung voraussetzen und nicht bei (noch nicht personenbezogenen) Datenspuren, die beim Tracking bspw. durch Webanalysedienste, Zählcookies oder Social Plugins erhoben werden, zum Tragen kommen.220 Ferner werde nicht über Schutzmaßnahmen informiert, die ein Verantwortlicher gegen missbräuchliche Zugriffe Dritter unternimmt.221 dd) Eigene Stellungnahme Es ist begrüßenswert, dass Art.  11 DS-GVO-E die „Form der Verständlichkeit“ einführt, wonach Datenschutzerklärungen inhaltlich nachvollziehbar gestaltet werden sollen. Dies ist besonders in Bezug auf den Selbstbestimmungsschutz von Minderjährigen eine wichtige, in der Praxis sicherlich nicht leicht umsetzbare Aufgabe. Enttäuschend ist die Ausgestaltung der Informationspflichten gem. Art. 14 DSGVO-E, die zum Großteil den bestehenden Regelungen der DSRL entsprechen. Zu Recht führen Schneider und Härting aus, dass die Vorschrift die technische Realität des Internets und der dort üblichen und technisch bedingten Datenverarbeitung teilweise außer Acht lässt. Dies gilt insbesondere für den Verzicht auf eine Verpflichtung, wonach ein Diensteanbieter die Struktur der Datenverarbeitung und deren technische Vorgänge zu erläutern hat. Nutzer haben ein Interesse daran, wie eine Plattform technisch aufgebaut ist und wie personenbezogene Daten ausgewertet, bewertet und für Persönlichkeitsprofile verwendet werden. Wer als zukünftiger Nutzer eines Sozialen Netzwerks über die Erteilung seiner Einwilligung in die Datenverarbeitung zu entscheiden hat, müsste vor Beginn der (ersten) Nutzungshandlung ferner darüber in Kenntnis gesetzt werden, welche Maßnahmen zur Datensicherheit gem. Art. 30 DS-GVO-E ergriffen werden. Dazu zählen Informationen zu getroffenen Sicherheitsmechanismen, die gewährleisten, dass sich nur der Berechtigte einloggt.

219

Schneider/Härting, ZD 2012, 199 (201). Schneider/Härting, ZD 2012, 199 (201). 221 Schneider/Härting, ZD 2012, 199 (201). 220

292

D. Schutz der informationellen Selbstbestimmung

Informationsbedarf besteht zudem hinsichtlich des Rückgriffs auf Unterauftragnehmer und Empfänger, denen Daten zur Erfüllung eigener Geschäftszwecke übermittelt werden. Eine entsprechende Information wird bspw. bei Facebook vor Beginn einer App-Nutzung in einem Hinweisfeld mitgeteilt.222 Gerade dieses Beispiel zeigt aber auch, dass der adressatengerechten Informationsdarstellung mehr Gewicht eingeräumt werden müsste, als dies bisher durch Art. 11 DS-GVO-E geschieht. Technische Abläufe und Zusammenhänge müssten nicht nur für Kinder, sondern für alle Verbraucher einfach, klar und v. a. übersichtlich dargestellt und, bspw. durch verständliche Schaubilder oder Multimediainhalte, visualisiert werden. Dabei gilt es, den Umfang und die Bedeutung der Erklärungsinhalte so auszugestalten, dass ein Internetnutzer als Verbraucher nicht überfordert wird, bspw. durch die Formulierung einer Kerninformation mit der Möglichkeit, mit einem Klick auf „Mehr Informationen“ Hintergründe oder ausführlichere Informationen zu erhalten. Wünschenswert wäre zudem, wenn dem Nutzer zu jedem eingrenz­ baren Thema oder Informationsinhalt Darstellungen in Form von Fragen und Antworten (sog. FAQ) zur Verfügung gestellt werden oder über einen einfachen, leicht erreichbaren Weg die Kontaktaufnahme mit dem Datenschutzbeauftragten möglich gemacht wird. Nicht ausreichend ist, Kinder lediglich durch eine adressatengerechte Sprache besonders zu berücksichtigen. Sorgloses Verhalten im Umgang mit eigenen und fremden personenbezogenen Daten ist eine Gefahr, von der Unerfahrene und v. a. Kinder betroffen sind.223 Unterrichtungen sollten daher in adressatengerechter Sprache unmittelbar vor der ersten Ausführung einer Nutzungshandlung, bspw. der Annahme einer Freundschaftsanfrage oder der Speicherung eines Bildes, erfolgen, um jedenfalls nicht den Versuch der Vermittlung grundlegender Medienkompetenz ungenutzt zu lassen. Eine deutliche Warnung wäre bei bestimmten, besonders risikoreichen Nutzungshandlungen denkbar, bspw. der Ankündigung einer öffentlichen Veranstaltung oder der Einräumung öffentlicher Zugriffsrechte auf biografische Informationen (Adressen, Kontaktdaten, Abstammung und besonders schutzwürdige Daten).

222 So werden bei Facebook Nutzer mit einem kleinen Hinweis über die Art der zu übermittelnden Daten und die Zwecke der Datenverarbeitung eines App-Diensteanbieters informiert. Der Umfang und die Verständlichkeit dieser Mitteilungen sind verfasserabhängig. Auf die Bereitstellung einer vollständigen Datenschutzerklärung in deutscher Sprache wird häufig seitens der Diensteanbieter verzichtet. Dies schränkt die Möglichkeit des Betroffenen ein, sich eine transparente Entscheidungsgrundlage zu verschaffen. 223 Zur sog. Plug-and-Play-Falle, s. oben S. 167.

I. Empfehlungen zur Rechtsgestaltung

293

b) Vorfragen der datenschutzrechtlichen Risiken aa) Anwendbarkeit des deutschen Rechts (1) Problem Nicht nur im Kontext der weltweiten Datenverarbeitung, sondern auch bei Sozialen Netzwerken ist bisher umstritten, ob und in welchen Fällen europäisches bzw. deutsches Recht zur Anwendung kommt.224 (2) Lösung de lege ferenda Mit Art. 3 Abs. 2 lit. a, lit. b DS-GVO-E wird der räumliche Anwendungs­bereich erheblich erweitert. Der Geltungsanspruch des europäischen Datenschutzrechts umfasst auch ausländische, nicht in der EU ansässige verantwortliche Stellen, wenn die Datenverarbeitung dazu dient, in der Union ansässigen Personen Waren oder Dienstleistungen anzubieten, oder wenn sie der Beobachtung des Verhaltens dieser Personen dient. Ob eine Beobachtung des Verhaltens bzw. eine entsprechende Datenverarbeitung gegeben ist, soll danach bestimmt werden, ob „Datenverarbeitungstechniken“ zum Einsatz kommen. Diese Datenverarbeitungstechniken müssten Nutzungshandlungen von Personen nachvollziehbar machen und zur Bildung von Profilen herangezogen werden können, die die Grundlage für die die Person betreffenden Entscheidungen bilden oder zur Analyse oder Vorhersage ihrer persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten verwendet werden.225 Soziale Netzwerke, die Inhaltsdaten von Nutzern zu einer derartigen Analyse verarbeiten, bspw. um neue Freunde vorzuschlagen oder Werbemaßnahmen auf die Interessen des Nutzers zuzuschneiden, sind durch eine derartige Verarbeitungstätigkeit gekennzeichnet. Dies gilt auch für die von Facebook verwendeten Hilfsmittel wie den Like-Button.226 Der DS-GVO-E beseitigt damit Rechts­ unsicherheiten bei der Frage, ob europäisches Recht Anwendung findet. bb) Rechtsunsicherheit bei der Abgrenzung von Inhaltsdaten Bei der Verarbeitung von personenbezogenen Daten in einem Anbieter-NutzerVerhältnis gem. § 11 TMG tritt das BDSG hinter dem TMG zurück. In den §§ 14 und 15 TMG sind Erlaubnistatbestände für Bestands- bzw. Nutzungsdaten explizit geregelt. Ob Inhaltsdaten, die im Rahmen von § 11 TMG ausgetauscht werden,

224

Jotzo, MMR 2009, 232 (233); s. oben, S. 179. Erwägungsgrund 21 DS-GVO-E, Kom(2012), 11 endg., S. 23. 226 Vgl. Hornung, ZD 2012, 99 (102). 225

294

D. Schutz der informationellen Selbstbestimmung

den Nutzungsdaten zuzurechnen sind oder ob sich die Zulässigkeit ihrer Verarbeitung nach dem BDSG richtet, ist umstritten. Der DS-GVO-E normiert das Datenschutzrecht ganzheitlich. Die mit dem TMG und dem BDSG getroffene Differenzierung entfällt und somit auch die Abgrenzung der Inhaltsdaten von anderen Daten.227 cc) Klarstellung des § 13 Abs. 6 TMG zur anonymen oder pseudonymen Nutzung Es ist umstritten, ob Diensteanbieter gem. § 13 Abs. 6 S. 1 TMG dazu verpflichtet sind, dem Nutzer stets die Wahl zu überlassen, ob er ein Telemedium anonym oder pseudonym nutzen will. § 13 Abs. 6 S. 1 TMG korrespondiert mit dem Prinzip der Datensparsamkeit gem. § 3a BDSG und konkretisiert das verfassungsrechtlich garantierte Recht auf Anonymität. Der Anwendungsbereich des DS-GVO-E richtet sich wie bereits in der DSRL und im BDSG danach, ob personenbezogene Daten gegeben sind. Nach Erwägungsgrund 23 sollen die Grundsätze des Datenschutzes nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.228 Über diese Erwägung hinaus findet sich in dem DS-GVO-E kein ausdrücklicher Anknüpfungspunkt des Rechts auf Anonymität. Ob ein effektiver Datenschutz ohne die normative Verankerung von Anonymität und Pseudonymität gelingen kann, wird bezweifelt.229 Hier ist eine Absenkung des Datenschutzniveaus im Vergleich zum deutschen Recht zu befürchten. dd) Schutz von minderjährigen Nutzern (1) Problem Die gegenwärtige Rechtslage lässt den Schutz von minderjährigen Betroffenen unberücksichtigt. Anders als das Zivilrecht enthält das BDSG keine Altersgrenzen, die zur Beurteilung der für die Abgabe einer Einwilligung erforderlichen Einsichtsfähigkeit herangezogen werden können. Wie auch in anderen Lebenslagen kann im Datenschutzrecht angenommen werden, dass sich Kinder der Risiken und Folgen der Datenverarbeitung und der Selbstschutzmaßnahmen sowie der Ausübung der Betroffenenrechte weniger bewusst sein dürften.230

227

Nebel/Richter, ZD 2012, 407 (409). Erwägungsgrund 23 DS-GVO-E, KOM(2012), 11 endg., S. 23. 229 Hornung/Sädtler, CR 2012, 638 (644). 230 Erwägungsgrund 29 DS-GVO-E, KOM(2012), 11 endg., S. 24; s. oben, S. 194. 228

I. Empfehlungen zur Rechtsgestaltung

295

(2) Lösung de lege ferenda Der Verordnungsgeber hat die besondere Schutzwürdigkeit der personenbezogenen Daten von Minderjährigen und die Schwierigkeit der Bestimmung ihrer Einsichtsfähigkeit erkannt.231 Mit Art. 8 DS-GVO-E wird erstmals ein eigenständiger Erlaubnistatbestand für die Verarbeitung personenbezogener Daten eines Kindes eingeführt. Gem. Art. 8 Abs. 1 DS-GVO-E ist die Verarbeitung personenbezogener Daten eines Kindes bis zum vollendeten dreizehnten Lebensjahr nur rechtmäßig, wenn und soweit die Eltern oder der Vorbund des Kindes eingewilligt haben. Dies ändert nichts an daran, dass Kinder bis zum 18. Lebensjahr zivilrechtlich minderjährig sind, wie in Art. 8 Abs. 2 DS-GVO-E i. V. m. Art. 4 Abs. 18 DS-GVO-E klargestellt wird. Gem. Art.  8 Abs.  1 S.  2 DS-GVO-E hat der Verantwortliche „unter Berücksichtigung der vorhandenen Technologie angemessene Anstrengungen“ zu unternehmen, um die Einwilligung nachzuprüfen. Die EU-Kommission kann dazu Standardvorlagen gem. Art.  8 Abs.  4 DS-GVO-E in Durchführungsrechtsakten festlegen und wird in Absatz 3 zum Erlass von delegierenden Rechtsakten ermächtigt, um die Modalitäten und Anforderungen in Bezug auf die Art der Erlangung einer nachprüfbaren Einwilligung zu präzisieren.232 Die aus deutscher Sicht ungewöhnliche Altersgrenze richtet sich nach der UNKonvention über die Rechte des Kindes.233 Nach der Auffassung des Bundesrates ist die Altersgrenze von 13 Jahren zu niedrig und sollte mindestens bei 14 Jahren angesetzt werden.234 Der Bundesrat spricht sich zudem dafür aus, die altersbezogene Einwilligungsfähigkeit nicht nur für Dienste der Informationsgesellschaft, sondern für alle von der Verordnung erfassten Sachverhalte zu regeln oder zumindest klarzustellen, dass insoweit nationales Recht gilt.235 Ferner sei nicht eindeutig, ob der Einwilligungsvorbehalt bei jeder Datenverarbeitung gelten solle oder nur dann, wenn die Rechtfertigung von einer Einwilligung abhängig ist.236 Der besondere Schutz der personenbezogenen Daten von Kindern hat in dem DS-GVO-E vielfach Erwähnung gefunden. Art. 6 DS-GVO-E bildet den zentralen Erlaubnistatbestand für die Rechtmäßigkeit der Datenverarbeitung nach dem DS-GVO-E. Gem. Art. 6 Abs. 1 lit. f DS-GVO-E legitimiert die Wahrung der berechtigten Interessen des Verantwortlichen die Verarbeitung, wenn diese dazu erforderlich ist und kein Interesse des Betroffenen am Ausschluss der Verarbeitung 231

Erwägungsgrund 29 DS-GVO-E, KOM(2012), 11 endg., S. 24. Vgl. Erwägungsgrund 130 DS-GVO-E, KOM(2012), 11 endg., S.  43; nach Auffassung der Art.-29-Datenschutzgruppe besteht kein Bedarf für eine weitergehende Regulierung, vgl. Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 15. 233 Erwägungsgrund 29 DS-GVO-E, KOM(2012), 11 endg., S. 24. 234 BR-Drs. 52/1/12, S. 18. 235 BR-Drs. 52/1/12, S. 18. 236 BR-Drs. 52/1/12, S. 18. 232

296

D. Schutz der informationellen Selbstbestimmung

überwiegt, „insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“ Nach der Transparenzpflicht gem. Art. 11 Abs. 2 DS-GVO-E muss der Verantwortliche alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren, einfachen und adressatengerechten Sprache zur Verfügung stellen. Dies gilt besonders dann, wenn die Informationen an ein Kind gerichtet sind.237 In der Datenschutz-Folgenabschätzung wird gem. Art.  33 Abs.  2 lit.  d DSGVO-E auf die besonderen Gefährdungslagen für Kinder Bezug genommen. Risiken können insbesondere bei Verarbeitungsvorgängen bestehen, bei der Daten aus „umfangreichen Dateien“ über Kinder verarbeitet werden. Die Beschränkung auf „umfangreiche“ Dateien wird dabei als verfehlt bewertet.238 Die Förderungswürdigkeit der Medienkompetenz von Kindern ist in Art. 38 Abs. 1 lit. f DS-GVO-E verankert. Dies gilt auch für Aufsichtsbehörden, die die Öffentlichkeit über Datenschutzthemen und spezielle Schutzmaßnahmen für Kinder unterrichten sollen (Art. 52 Abs. 2 DS-GVO-E). Art.  20 DS-GVO-E regelt das Recht, nicht einer auf Profilbildung basierenden Maßnahme unterworfen zu werden. Erwägungsgrund 58 ist zu entnehmen, dass Kinder von dieser Datenverarbeitung generell auszunehmen sein sollten.239 Der Bundesrat kritisiert, dass diese Erwägung nicht Eingang in den Verordnungstext gefunden hat. Der Schutz der personenbezogenen Daten von Kindern mindestens dem Schutz besonderer Kategorien von personenbezogenen Daten gleich­ gestellt werden.240 (3) Eigene Stellungnahme Der DS-GVO-E stellt erstmals die personenbezogenen Daten von Kindern unter einen besonderen Schutz. Die Datenverarbeitung im Internet richtet sich nach einem speziellen Erlaubnistatbestand. Flankierend sind Kinder altersgerecht über die Datenverarbeitung zu informieren und die Verarbeitung ihrer Daten ist der Datenschutz-Folgenabschätzung unterworfen. Der Schutz von Kindern durch technische Maßnahmen wird jedoch nicht hinreichend berücksichtigt. Nach Art. 23 Abs.  1 DS-GVO-E hat der Verantwortliche wirtschaftlich angemessene technische und organisatorische Schutzmaßnahmen zu treffen, um den Anforderungen des DS-GVO-E gerecht zu werden. Hierbei ist auch dem besonderen Schutz von Kindern Rechnung zu tragen. Im Unterschied zu Art. 6, Art. 11, Art. 17 und Art.  33 DS-GVO-E ist der Schutz von Kindern nicht einmal deklaratorisch er-

237

Vgl. Erwägungsgrund 46 DS-GVO-E, KOM(2012), 11 endg., S. 28. BR-Drs. 52/1/12, S. 24. 239 Erwägungsgrund 58 DS-GVO-E, KOM(2012), 11 endg., S. 30. 240 BR-Drs. 52/1/12, S. 21. 238

I. Empfehlungen zur Rechtsgestaltung

297

wähnt. Dabei kommt datenschutzfreundlichen Voreinstellungen bei Kindern in Telemedien eine Schlüsselrolle zu.241 So könnten die Datenschutzeinstellungen in Sozialen Netzwerken bei 13- bis 18-Jährigen so voreingestellt sein, dass bestimmte Nutzungshandlungen ausgeschlossen oder eingeschränkt oder nur nach Kenntnisnahme einer altersgerechten Informationsmitteilung vorgenommen werden können. Kinder müssen vor Nutzungshandlungen bewahrt werden, die schwerwiegende Beeinträchtigungen ihrer Privatheit oder ihrer informationellen Selbstbestimmung zur Folge haben können und die aufgrund der technischen Komplexität und Redundanz der Datenverarbeitung im Internet nicht ohne Weiteres rechtlich und technisch reversibel sind. Zur Bestimmung datenschutzfreundlicher Voreinstellungen bedarf es einer Risikoanalyse unter Berücksichtigung der konkreten Nutzungsmöglichkeiten eines Sozialen Netzwerks und der daraus für Kinder erwachsenden Gefahren. Diesen Risiken kann in einem abgestuften Schutzkonzept Rechnung getragen werden, sodass besonders risikobehaftete Handlungen, wie die automatische Gesichtserkennung von Bildern, die Einräumung von öffentlichen Zugriffsrechten (auch für den quasi öffentlichen Kreis der „Freunde-von-Freunden“), die Angabe weitreichender Adress- und Kontaktdaten, zunächst deaktiviert sein könnten. Minderjährigen sollte ferner das Wahlrecht eingeräumt werden, in Anlehnung an § 13 Abs. 6 S. 1 TMG anonyme oder pseudonyme Nutzungshandlungen vollziehen zu können. Die Verantwortung des Diensteanbieters eines Sozialen Netzwerks erstreckt sich auch auf den Schutz vor der Übermittlung personenbezogener Daten an Unternehmen und Werbedienstleister. Mithilfe von technischen Maßnahmen könnte sichergestellt werden, dass ein Dritter, der Apps oder Spiele innerhalb des Soziale Netzwerk anbietet, von Kindern keine oder nur pseudonymisierte Daten erhält.242 Die soziale Interaktion müsste zudem datenschutzkonform gestaltet sein, sodass andere Nutzer den betroffenen Minderjährigen nicht ohne dessen Einwilligung mit Multimediainhalten verlinken können. Die Nutzung sozialer Interaktionshilfsmittel, wie z. B. die Erstellung von (öffentlichen) Veranstaltungen, die Bereitstellung von Multimediainhalten oder die Annahme von Freundschaftsanfragen von Personen, zu denen keine Beziehung über andere Personen abgeleitet werden kann, sollte mindestens in einem zu definierenden Zeitraum nach der Erstregistrierung von Unterrichtungen über mögliche Folgen, Schutzmaßnahmen und Rechte begleitet werden. Ein solches Schutzkonzept kann nicht nur den Da-

241 Nach der Auffassung des Bundesrates seien Diensteanbieter von Sozialen Netzwerken ohnehin zur Bereitstellung datenschutzfreundlicher Voreinstellungen auf „der höchsten Sicherheitsstufe“ zu verpflichten, vgl. BR-Drs. 52/1/12, S. 22. 242 Vertiefend dazu Assion, Telemedicus, Beitrag v. 01.04.2010, a. u. http://www.telemedicus. info/article/1691-Das-Zeitalter-des-Datenschutzes-keinesfalls-vorbei.html; Maisch, jurisAnw Zert ITR 23/2010, Anm. 3.

298

D. Schutz der informationellen Selbstbestimmung

tenschutz effektiv umsetzen, sondern auch die Medienkompetenz Minderjähriger im Umgang mit Social Media stärken. c) Zulässigkeit der Datenverarbeitung in Sozialen Netzwerken aa) Konzept der Einwilligung (1) Problem Die Einwilligung ist das „Scharnier des privaten Datenschutzrechts“.243 Im Unterschied zu einem gesetzlichen Erlaubnistatbestand gründet sich die Einwilligung auf eine freiwillige Entscheidung des Betroffenen. In der Einwilligung manifestiert sich der Wille des Betroffenen, sich auf einen „nicht völlig beherrschbaren Kommunikationsvorgang zwischen freien Personen einzulassen“.244 Der deutsche Gesetzgeber hat die Einwilligung als Instrument selbstbestimmter Willensausübung in § 4a BDSG geregelt. Tatsächlich ist im Regelfall der Abschluss des Nutzungsvertrags an die Abgabe einer Einwilligungserklärung gekoppelt. Wer nicht auf die Nutzung einer Dienstleistung verzichten will, hat in die Datenverarbeitung einzuwilligen. Die Vorstellung, dass der Einzelne jederzeit selbst bestimmen kann, wer was wann und wie über ihn weiß, ist wirklichkeitsfern (geworden).245 Gerade bspw. in Bewerbungsverfahren sieht sich ein Betroffener oftmals gezwungen, sogar zu Bluttests oder anderen medizinischen Untersuchungen seine Einwilligung zu erteilen, um nicht seine Erfolgschancen zu verringern.246 Ohne Einwilligung in die Datenverarbeitung steht ein Soziales Netzwerk nicht zur Verfügung. Zugriffe auf das geschlossene System sind nicht möglich.247 (2) Lösungsansätze Ein moderner Datenschutz benötigt daher die Neugestaltung der Einwilligungsvoraussetzungen. Dazu wird vorgeschlagen, die Anforderungen von der Aussagekraft der betreffenden Daten oder vom Umfang der Verwendungszwecke abhängig zu machen.248 Problematisch ist die Abgabe der Einwilligung in umfangreiche AGB. Seitenlange kleingedruckte oder in Großbuchstaben formatierte Erklärungen werden von Verbrauchern in aller Regel nicht zur Kenntnis genommen. Dies belegen zahlreiche Fälle aus dem E-Commerce-Recht, in denen den Verbrauchern, teilweise mit Schädigungsabsicht, die kostenlose Nutzung eines Dienstes 243

Masing, NJW 2012, 2305 (2307). Masing, NJW 2012, 2305 (2307). 245 Masing, NJW 2012, 2305 (2307). 246 Albrecht/Maisch, DSB 2010, 11 (18). 247 s. oben, S. 80. 248 Masing, NJW 2012, 2305 (2307). 244

I. Empfehlungen zur Rechtsgestaltung

299

suggeriert wurde und die Gegenleistungspflicht in den AGB versteckt wurde (sog. Abofallen). Zum Schutz der Betroffenen müssen verantwortliche Stellen dazu verpflichtet werden, die Datenverarbeitungsvorgänge transparent und leicht nachvollziehbar zu gestalten. Zusätzlich bedarf es einer strengen gesetzlichen Inhaltskontrolle.249 (3) Lösung de lege ferenda In den Begriffsbestimmungen des Art. 4 Abs. 8 DS-GVO-E wird die Einwilligung eines Betroffenen legaldefiniert als „jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte explizite Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Der Begriff der Einwilligung wird im Vergleich zur Vorgängervorschrift des Art. 2 lit. h DSRL verschärft, indem eine „explizite“ im Sinne einer ausdrücklichen Äußerung erforderlich ist.250 Eine Willensbekundung kann eine Erklärung oder eine sonstige eindeutige Handlung sein, wie nunmehr ergänzend klargestellt wurde. Flankierend regelt Art. 6 Abs. 1 lit. a DS-GVO-E, dass eine Datenverarbeitung nur dann von einer Einwilligung legitimiert werden kann, wenn der Betroffene diese „für einen oder mehrere genau festgelegte Zwecke“ abgegeben hat. Für die Frage, ob es künftig eine konkludente Einwilligung geben kann, bleibt kein Raum.251 Nach Art. 7 Abs. 1 DS-GVO-E trägt der Verantwortliche „die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat“. Eine schriftliche Einwilligung muss gem. Absatz 2 „äußerlich erkennbar“ vom Sachverhalt getrennt werden.252 Das Widerrufsrecht mit Wirkung für die Zukunft ist in Absatz 3 vorgesehen. Art. 7 Abs. 4 DS-GVO-E regelt, dass eine Einwilligung eine Datenverarbeitung nicht legitimiert, „wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht“. Ein solches Ungleichgewicht soll bereits in einem Arbeitsverhältnis anzunehmen sein.253 Der Verordnungsgeber intendiert, den Betroffenen vor scheinbar unfreiwilligen Einwilligungserklärungen zu schützen. Dieser paternalistische Ansatz führt jedoch zu einer „Entwertung der Einwilligung als Rechtsgrundlage“254, die zur 249

Masing, NJW 2012, 2305 (2309). Härting, BB 2012, 459 (463). 251 Vgl. BR-Drs. 52/1/12, S. 17. 252 „Schriftlich“ greife nach der Auffassung des Bundesrates zu kurz, da nur Texte in Schriftform gem. § 126 BGB, nicht in Textform umfasst seien, vgl. BR-Drs. 52/1/12, S. 17. 253 Erwägungsgrund 34 DS-GVO-E, KOM(2012), 11 endg., S. 25. 254 Härting, BB 2012, 459 (463). 250

300

D. Schutz der informationellen Selbstbestimmung

Folge hat, dass in verstärktem Umfang Einzelfallentscheidungen, bspw. im Rahmen von Art. 6 Abs. 1 lit. f DS-GVO-E, getroffen werden müssen, um die Datenverarbeitung zu rechtfertigen.255 Sofern der Betroffene und die verantwortliche Stelle nicht „auf Augenhöhe“ Rechtsgeschäfte eingehen sollten, wie dies in Verbraucher-Unternehmer-Konstellationen ein seltener Ausnahmefall sein dürfte, wird Art.  7 Abs.  4 DS-GVO-E erhebliche Rechtsunsicherheiten zur Folge haben.256 Denn in welchen Fällen ein erhebliches Ungleichgewicht besteht, ist nicht ohne Weiteres eindeutig, zumal Art. 7 DS-GVO-E keine Ermächtigung für delegierende Rechtsakte zur Ausgestaltung der Einzelfragen aufweist. Vieles spricht dafür, dass der Betroffene durch diese Einschränkung unangemessen bevormundet wird.257 Ob mit einer Einwilligung im Hinblick auf Art.  7 Abs.  4 DSGVO-E die weitreichende, „exhibitionistische“258 Datenpreisgabe und -verarbeitung im Rahmen von Sozialen Netzwerken legitimiert werden können, erscheint fragwürdig. bb) Der Nutzer als verantwortliche Stelle (1) Problem Die Grenzen der klassischen, verfassungsgerichtlich geprägten Rollenverteilung des Datenschutzrechts mit dem Betroffenen auf der einen Seite und der verantwortlichen Stelle auf der anderen Seite verschwimmen im Internet. Dies gilt in besonderem Maße für Telemedien, in denen selbst geschaffene Inhalte von Nutzern bereitgestellt werden oder Informationen mit Personenbezug ausgetauscht, verarbeitet oder gesammelt werden, wie bspw. in Sozialen Netzwerken.259 Nutzer, die personenbezogene Daten über andere Betroffene erheben, verarbeiten oder nutzen, nehmen dabei eine ambivalente Rolle ein.260 (2) Lösungsansätze Für Fälle, in denen eine eindeutige Zuordnung der Rollenverteilung faktisch ausgeschlossen ist, wird der Ansatz der kumulativen oder kollektiven Verantwortung diskutiert. Unter kumulativer Verantwortlichkeit wird die volle Verantwortlichkeit aller beteiligten Stellen für alle Daten und Phasen des Datenumgangs verstanden.261 Bei einer kollektiven Verantwortlichkeit nimmt man an, dass der 255

Schneider/Härting, ZD 2012, 199 (201). Ablehnend vgl. BR-Drs. 52/1/12, S. 17. 257 Schneider/Härting, ZD 2012, 199 (201). 258 Schneider/Härting, ZD 2012, 199 (201). 259 Vgl. Schneider, AnwBl. 2011, 233 (236). 260 s. oben, S. 201. 261 Jandt/Roßnagel, ZD 2011, 160 (161). 256

I. Empfehlungen zur Rechtsgestaltung

301

Datenumgang durch einen phasenweisen oder arbeitsteiligen Umgang mit Daten gekennzeichnet ist.262 Dieser Ansatz wurzelt in Art. 2 lit. d DSRL, wonach entscheidend ist, dass eine verantwortliche Stelle „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Datenverarbeitung entscheidet.263 Es wird davon ausgegangen, dass auch nach deutschem Recht eine kumulative Verantwortung möglich ist, die im Übrigen auch bei der gemeinsamen Datenverarbeitung von Verbunddateien angenommen wird.264 Die Anwendung dieses Ansatzes auf den Datenumgang in Sozialen Netzwerken ergibt, dass ein Nutzer für die Erhebung und Verarbeitung von personenbezogenen Daten Dritter verantwortlich wäre, soweit er über die Zwecke und Mittel entscheidet.265 Die Erhebung umfasst die Erfassung oder Digitalisierung von Informationen und die Herstellung des Personenbezugs. Die Verarbeitung schließt die Speicherung, die Löschung und insbesondere die Übermittlung und Sperrung der Daten ein. Durch die Verlinkung von Inhalten („Tagging“) und durch die Bestimmung der Zugriffsrechte in den Datenschutzeinstellungen bestimmt der Nutzer, zu welchen Zwecken personenbezogene Informationen gespeichert oder übermittelt werden und welchen Empfängerkreisen der Abruf gestattet wird. Der Diensteanbieter ist für alle Phasen der Datenverarbeitung verantwortlich, über deren Zwecke und Mittel er eine Entscheidung trifft. Faktisch beginnt sein Entscheidungsspielraum, sobald die Daten in seinen Herrschaftsbereich übertragen werden. Sofern die Stelle nicht den Umgang mit personenbezogenen Daten Dritter vertraglich untersagt, was in Sozialen Netzwerken kaum mit dem Geschäftszweck vereinbar wäre, ist der Einfluss der Stelle auf die Nutzung der Daten zur Bereitstellung der Plattform begrenzt. In Ermangelung einer Schnittmenge der Verantwortungsbereiche wird daher eine kollektive Verantwortung bejaht.266 An der Verantwortlichkeit des Nutzers in Sozialen Netzwerken fehlt es jedoch, wenn personenbezogene Daten gem. § 1 Abs. 2 Nr. 3 BDSG ausschließlich für persönliche und familiäre Tätigkeiten erhoben, verarbeitet und genutzt werden. Dieser restriktiv auszulegende Ausnahmetatbestand gründet sich auf eine Risikoeinschätzung des Richtliniengebers zum gleichlautenden Art. 3 Abs. 2 DSRL, die vor Beginn des Internetzeitalters getroffen wurde. Zur Eingrenzung dieser Ausnahme beim Datenumgang im Internet werden Indizien herangezogen, die gegen eine rein persönliche oder familiäre Tätigkeit sprechen. Zunächst wird bspw. auf den Zweck eines Sozialen Netzwerks abgestellt. Ist dieser weniger der privaten als der kommerziellen, beruflichen, politischen oder karitativen Kommunikation und Interaktion gewidmet, wird von einer gewerblichen 262

Jandt/Roßnagel, ZD 2011, 160 (161). Vgl. Jandt/Roßnagel, ZD 2011, 160 (161). 264 Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 3, Rn. 62; dem folgend Jandt/ Roßnagel, ZD 2011, 160 (161). 265 Jandt/Roßnagel, ZD 2011, 160 (161). 266 Jandt/Roßnagel, ZD 2011, 160 (161). 263

302

D. Schutz der informationellen Selbstbestimmung

Tätigkeit ausgegangen.267 Ausschlaggebend kann auch die Bestimmung der Zugriffsrechte zu gespeicherten Informationen sein. Sind Informationen bspw. öffentlich oder einem kaum überschaubaren Nutzerkreis zugänglich, wird dies als ein Indiz gewertet, das gegen eine persönliche oder familiäre Tätigkeit spricht.268 Ferner kann darauf abgestellt werden, in welchem Umfang Dritte die Informationen speichern, verändern oder um weitere personenbezogene Daten anreichern dürfen. Werden personenbezogene Daten von Familienangehörigen oder Freunden bspw. in Facebook veröffentlicht, dessen Geschäftszweck und Ausgestaltung auf eine überwiegend privat veranlasste Kommunikation schließen lässt, käme es entscheidend darauf an, wie der Nutzer diese Informationen vor der allgemeinen Zugänglichkeit bewahrt. (3) Lösung de lege ferenda Das Problem der kollektiven Verantwortlichkeit von Nutzern und Stellen bei Sozialen Netzwerken hat in dem DS-GVO-E keine ausdrückliche Entsprechung gefunden. Der aus der DSRL bekannte Ausnahmetatbestand für persönliche und familiäre Zwecke wird in dem DS-GVO-E als solcher in Art. 2 Abs. 2 lit. d DSGVO-E übernommen und mit einem weiteren Tatbestandsmerkmal zugespitzt: Die Verordnung findet keine Anwendung auf die Verarbeitung von personen­ bezogenen Daten durch natürliche Personen zu ausschließlich persönlichen oder familiären Zwecken ohne jede Gewinnerzielungsabsicht. Private Tätigkeiten mit Gewinnerzielungsabsicht, bspw. die Verarbeitung von Kundendateien bei Privatverkäufen im Internet, würden nunmehr vom Anwendungsbereich des DS-GVO-E erfasst werden.269 Der Bundesrat empfiehlt, den personalen Anwendungsbereich nicht von der Gewinnerzielungsabsicht, sondern von der Gewerbsmäßigkeit abhängig zu machen.270 d) Entnetzung aa) Daten- und Profilportabilität (1) Problem Soziale Netzwerke vereinen zunehmend unterschiedliche Kommunikationskanäle und bieten ihren Nutzern unbegrenzte Möglichkeiten, Daten zu speichern, zu verändern oder zu übermitteln. Es stellt sich daher die Frage, ob ein Nutzer vom 267

Jandt/Roßnagel, ZD 2011, 160 (162). Jandt/Roßnagel, ZD 2011, 160 (162). 269 BR-Drs. 52/1/12, S. 14. 270 BR-Drs. 52/1/12, S. 14. 268

I. Empfehlungen zur Rechtsgestaltung

303

Diensteanbieter verlangen kann, seine Daten so herauszugeben, dass er auf einfachem Wege mit seinem Profil zu einem anderen Anbieter eines Sozialen Netzwerks wechseln kann.271 (2) Lösung des DS-GVO-E Die Nutzung von Sozialen Netzwerken kann auf unterschiedlichen Wegen beendet werden. In vielen Fällen wird die aktive Benutzung aufgegeben, ohne dass der Nutzungsvertrag gekündigt wird. Zur endgültigen Aufgabe der Nutzung kündigt der Nutzer den Nutzungsvertrag und widerruft seine Einwilligung in die Datenverarbeitung. Damit entfällt die Legitimation zur Speicherung der Daten, was eine Löschungspflicht gem. § 35 Abs. 2 Nr. 1 BDSG zur Folge hat. Lediglich die Löschung, nicht die Herausgabe von personenbezogenen Daten, ist im deutschen Datenschutzrecht verankert. „Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneingeschränkten Herrschaft über ‚seine‘ Daten; […] Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann“.272 Das BVerfG hat dem Dispositionsrecht des Betroffenen eine unmissverständliche Absage erteilt. Nicht zuletzt im Hinblick auf die Gewährleistung anderer Kommunikationsgrundrechte ist der Betroffene bei der Disposition „seiner“ Daten beschränkt. Mit der Regelung des „Rechts auf Datenübertragbarkeit“ gem. Art.  18 DSGVO-E soll diese Rechtslage verändert werden: „Werden personenbezogene Daten elektronisch in einem strukturierten gängigen elektronischen Format verarbeitet, hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format zu verlangen“. Der 2. Absatz des Art. 18 DS-GVO-E trägt der im Social Web verbreiteten Konstellation der nutzergesteuerten Preisgabe von personenbezogenen Daten Rechnung: „Hat die betroffene Person die personenbezogenen Daten zur Verfügung gestellt und basiert die Verarbeitung auf einer Einwilligung oder einem Vertrag, hat die betroffene Person das Recht, diese personenbezogenen Daten sowie etwaige sonstige von ihr zur Verfügung gestellte Informationen, die in einem automatisierten Verarbeitungssystem gespeichert sind, in einem gängigen elektronischen Format in ein anderes System zu überführen, ohne dabei von dem für die Verarbeitung Verantwortlichen, dem die personenbezogenen Daten entzogen werden, behindert zu werden.“ In Art. 18 Abs. 3 DS-GVO-E ist bestimmt, dass die EU-Kommission die in Absatz 1 vorgesehenen „strukturierten gängigen elektronischen Formate“ durch technische Standards, Modalitäten und Verfahren für die 271 272

Zur technischen Gefährdungslage des Vendor-Lock-ins, s. oben, S. 107 . BVerfGE 65, 1 (41).

304

D. Schutz der informationellen Selbstbestimmung

Überführung der personenbezogenen Daten durch entsprechende Durchführungsrechtsakte festlegen kann. Die EU-Kommission zieht dazu den Europäischen Datenschutzausschuss hinzu, der ein Prüfverfahren gem. Art. 87 Abs. 2 DS-GVO-E durchführt. Mit Art. 18 DS-GVO-E sollen Daten faktisch leichter übertragbar werden, um Nutzern von Sozialen Netzwerken den Anbieterwechsel zu erleichtern.273 Härting kritisiert, die Regelung diene nicht dem Schutz der Privatsphäre, sondern dem Verbraucherschutz, wobei der Europäische Datenschutzausschuss als Regulierer in Stellung gebracht werde.274 Dieser Ausschuss könne das Marktgeschehen durch die Durchsetzung von Art. 18 DS-GVO-E maßgeblich beeinflussen.275 Dazu kann es erforderlich sein, Standards als verbindlich zu regeln und somit indirekt auf den Markt Einfluss zu nehmen. Dem Verbraucherschutz dürfte auch geschuldet sein, dass Art. 18 DS-GVO-E nicht auf die Informationen begrenzt ist, die der Betroffene selbst zur Verfügung gestellt hat. Es wird die Ansicht vertreten, die Vorschrift solle entsprechend beschränkt werden, um einen unangemessenen Eingriff in die Berufsfreiheit von Unternehmen zu vermeiden, der entsteht, wenn auch solche Daten herausgegeben werden müssen, die der Diensteanbieter z. B. zu Werbezwecken über den Betroffenen gespeichert hat.276 Ob Art. 18 DS-GVO-E die Datenübertragbarkeit im Übrigen durchsetzbar macht, hängt zudem entscheidend von der Ausgestaltung der Durchführungsrechtsakte ab.277 (3) Hinweis zum LIBE-Entschluss Die Vorschrift zur Datenportabilität wurde im LIBE-Entwurf gestrichen. bb) Recht auf Vergessenwerden (1) Problem Im Unterschied zum menschlichen Gehirn ist Vergessen bzw. das Löschen von Informationen bei Computern kein Mechanismus, der automatisch in Gang gesetzt wird. Was unter Menschen als „Untugend“ oder „zumindest als menschlicher Makel“ empfunden wird, muss der Informationstechnologie gezielt angewiesen werden.278 So verwundert es nicht, dass bei vernetzter Informationstechnologie, sei es 273

Härting, BB 2012, 459 (465). Härting, BB 2012, 459 (465). 275 Härting, BB 2012, 459 (465); vgl. a. Nebel/Richter, ZD 2012, 407 (413); GDD, Stellungnahme v. 25.01.2012, S. 10. 276 GDD, Stellungnahme v. 25.01.2012, S. 10. 277 Nebel/Richter, ZD 2012, 407 (413). 278 Nolte, ZRP 2011, 236 (236). 274

I. Empfehlungen zur Rechtsgestaltung

305

durch automatisierte Prozesse im Cloud Computing oder durch nutzergesteuerte Handlungen in Sozialen Netzwerken, Datensammlungen anwachsen, aus denen jede menschliche Handlung rekonstruierbar wird.279 Selbst wenn Informationen ursprünglich richtig und mit Wissen und Wollen des Betroffenen gespeichert und übermittelt worden sind, gibt es ein legitimes Interesse daran, diese Daten dauerhaft und effektiv aus dem Internet entfernen zu können.280 Dieses Interesse be­legen Fälle, in denen z. B. in Sozialen Netzwerken bereitgestellte Bilder eine Lehrerin als unzuverlässig erscheinen lassen und nach Bekanntwerden der Bilder ihre berufliche Laufbahn beenden.281 Suchergebnisse in einer Suchmaschine oder auto­ matisch generierte Suchvorschläge können sich auch rufschädigend und beeinträchtigend auf den Betroffenen auswirken.282 (2) Lösungsansätze Die vernetzte Informationstechnologie und Telemedien, die die Preisgabe von personenbezogenen Daten unter dem Deckmantel eines sozialen Nutzererlebnisses schaffen, z. B. Soziale Netzwerke, führen zu einer massiven und hochqualitativen Ansammlung von Daten über identifizierbare Personen. Es droht der Verlust der Spontanität und Unbefangenheit, wenn der Betroffene fürchten muss, dass seine „digitale Persönlichkeit“ vollständig recherchierbar und nachvollziehbar wird.283 Dem Einzelnen müssen Rechte eingeräumt werden, auf diese selbstoder fremdveranlasste Speicherung auf Vorrat Einfluss nehmen zu können, um so über seine Selbstdarstellung und den Grad der Öffentlichkeit seiner Person mitzuentscheiden.284 Die „Chance auf Vergessen“ gehört daher zu den Leitideen des Datenschutzes.285 Das Recht auf Vergessenwerden ist keine gesetzliche Innovation, sondern in seinen Grundzügen bereits in § 35 BDSG geregelt.286 Der Anspruch auf Löschung von personenbezogenen Daten zielt gem. § 35 Abs.  2 BDSG in erster Linie auf Fälle ab, in denen die personenbezogenen Daten unrichtig oder unvollständig sind oder deren Speicherung zur Zweckerfüllung nicht mehr erforderlich ist.

279

Masing, NJW 2012, 2305 (2307). Nolte, ZRP 2011, 236 (236). 281 Nolte, ZRP 2011, 236 (236). 282 Bspw. im Fall der Autocomplete-Funktion von Google, Bamberger, in: Bamberger/Roth, BeckOK, BGB, § 12, Rn. 139. 283 Vgl. Masing, NJW 2012, 2305 (2308). 284 Vgl. Masing, NJW 2012, 2305 (2308). 285 Masing, NJW 2012, 2305 (2308). 286 Weiterführend zum Problemkreis des „Vergessens im Internet“, vgl. a. Mayer-Schöneberger, Delete – die Tugend des Vergessens in digitalen Zeiten, S. 1 ff.; es müsste eigentlich Vergessenzuwerden heißen – dieser hat sich in Anlehnung an den englischen Begriff nicht durchgesetzt – the right to be forgotten. 280

306

D. Schutz der informationellen Selbstbestimmung

Um die Löschungspflichten für ein Recht auf Vergessenwerden fruchtbar zu machen, wird vorgeschlagen, § 35 BDSG um eine Informationspflicht zu ergänzen. Die verantwortliche Stelle solle verpflichtet werden, dem Betroffenen die gesetzlich ohnehin zu unternehmende Überprüfung der Erforderlichkeit der weiteren Speicherung seiner Daten mitzuteilen und ihn um eine entsprechende Weisung zu bitten.287 Für das Recht auf Vergessenwerden könne auch auf § 35 Abs. 5 BDSG zurückgegriffen werden. Diese Vorschrift untersagt die Datenverarbeitung, sofern der Betroffene widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Datenverarbeitung überwiegt. Hier wird ein Widerspruchsrecht normiert, das auch dann besteht, wenn die Daten ursprünglich richtig und rechtmäßig gespeichert wurden. Die h. L. legt zwar enge Maßstäbe an die Annahme einer „besonderen persönlichen Situation“ an. Eine solche Situation könne einem Betroffenen jedoch nicht abgesprochen werden, wenn er Daten, die ein Dritter über ihn im Internet, bspw. in einem Sozialen Netzwerk, verbreitet hat, entfernen will.288 Im Hinblick auf den Zeitablauf sei nur ausnahmsweise damit zu rechnen, dass dieses Begehren mit der Informations- und Meinungsfreiheit Dritter in Konflikt steht, sodass im Zweifelsfall dem Datenschutz der Vorrang einzuräumen sei.289 Offen ist, ob § 35 BDSG die verantwortliche Stelle auch dazu verpflichtet, die Löschung der Datenkopien und Querverweise auf fremden Datenverarbeitungsanlagen, bspw. bei Webhostern oder im Cache von Suchmaschinen, zu veranlassen. § 35 Abs. 7 BDSG verpflichtet die Stelle nur dazu, andere Stellen über die vorzunehmende Löschung wegen der Unzulässigkeit der Speicherung zu verständigen, an die diese Daten übermittelt worden sind. Diese Mitteilung setzt gem. § 35 Abs. 7 2. Hs. BDSG voraus, dass diese Verständigung keinen unverhältnismäßigen Aufwand erfordert und keine schutzwürdigen Interessen des Betroffenen entgegenstehen. Die größte Herausforderung bei der Regulierung eines Rechts auf Vergessenwerden besteht allerdings darin, dieses durch geeignete technische Maßnahmen durchzusetzen. Eine lediglich regulatorische Lösung kann keine effektive Absicherung gewährleisten.290 Zu den Kernfragen zählt, wie einer Person ermöglicht werden kann, personenbezogene Daten, die über sie gespeichert sind, zu identifizieren und zu lokalisieren. Ferner müsste die Nachverfolgung aller Kopien des ursprünglichen Datums möglich sein. In einem weiteren Schritt sollte überprüfbar sein, ob eine Person als Betroffener berechtigt ist, die Löschung eines Datums zu verlangen. Die Entfernung oder Löschung des Datums oder aller daraus abgelei 287

Nolte, ZRP 2011, 236 (238). Nolte, ZRP 2011, 236 (239). 289 Nolte, ZRP 2011, 236 (239). 290 Federrath/Fuchs/Herrmann et al., DuD 2011, 403 (403). 288

I. Empfehlungen zur Rechtsgestaltung

307

teten Kopien müsste effektiv durchführbar sein, wenn ein Betroffener von seinem Recht auf Vergessenwerden Gebrauch macht.291 Aus technischer Sicht sollte die befristete Speicherung plattform- und formatunabhängig sein, damit Informationen in jedem Multimediaformat auf jedem Browser und Betriebssystem geschützt werden können.292 Die Technologie sollte ferner betreiberunabhängig zur Verfügung gestellt werden und einen effektiven Schutz bieten.293 Der in diesem Kontext verwendete, politisch geprägte Begriff des „digitalen Radiergummis“ ist irreführend, da er eine allein nachträglich wirkende Entfernung von Daten suggeriert. Das Recht auf Vergessenwerden soll nicht allein repressiv schützen, indem es einen Anspruch auf die Beseitigung von Daten und Querverweisen einräumt. Vielmehr solle die Speicherung von Daten von vornherein befristet erfolgen, sodass personenbezogene Daten nach Ablauf ihres „Verfallsdatums“ rechtlich nicht mehr verarbeitet oder genutzt werden dürfen und dies technisch abgesichert ist.294 (3) Lösungsansatz der DS-GVO-E Die Bemühungen der EU-Kommission, das Recht auf Vergessenwerden gesetzlich zu verankern, haben sich in der neun Absätze enthaltenden Vorschrift des Art. 17 DS-GVO-E niedergeschlagen. Nach zahlreichen Änderungsanträgen und einem Kritiksturm wurde diese Vorschrift nicht in den LIBE-Entwurf übernommen und wird hier nur skizziert, um den Kommissionsentwurf (DS-GVO-E) hier vollständig darzustellen: Gem. Art. 17 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von denen sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, speziell wenn es sich um personenbezogene Daten handelt, die die betroffene Person im Kindesalter öffentlich gemacht hat. Nicht zuletzt die Hervorhebung der Datenpreisgabe eines Betroffenen „im Kindesalter“ lässt erkennen, dass die Vorschrift auf die Rechtsverhältnisse in Sozialen Netzwerken und Online-Diensten abzielt, die v. a. von Verbrauchern genutzt werden.295 Ob sich der Schutz von Kindern und Jugendlichen durch Art. 17

291 Vertiefend zu den technischen Herausforderungen des Rechts auf Vergessenwerden, ENISA, The right to be forgotten, http://www.enisa.europa.eu/activities/identity-and-trust/ library/deliverables/the-right-to-be-forgotten, S. 8. 292 Federrath/Fuchs/Herrmann et al., DuD 2011, 403 (403). 293 Federrath/Fuchs/Herrmann et al., DuD 2011, 403 (403 f.). 294 Federrath/Fuchs/Herrmann et al., DuD 2011, 403 (403); Nolte, ZRP 2011, 236 (237). 295 Gstrein, ZD 2012, 424 (425).

308

D. Schutz der informationellen Selbstbestimmung

DS-GVO-E verbessert, wird bezweifelt.296 Der Schutz von Kindern ist hier nur deklaratorisch genannt. Art.  17 DS-GVO-E enthält darüber hinaus keine weitergehenden Regelungen, die den Schutz von Kindern effektiver ausgestalten würden. Das Recht auf Vergessenwerden besteht gem. Art. 17 Abs. 1 S. 1 DS-GVO-E nur dann, wenn einer der Gründe des Katalogs zutrifft: „Die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a DS-GVO-E stützte, oder die Speicherfrist, für die die Einwilligung gegeben wurde, ist abgelaufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten. Die betroffene Person legt gemäß Art. 19 DS-GVO-E Widerspruch gegen die Verarbeitung ein. Die Verarbeitung der Daten ist aus anderen Gründen nicht mit der Verordnung vereinbar.“ Die verantwortliche Stelle ist gem. Art. 17 Abs. 1 DS-GVO-E nur bei Vorliegen eines Löschungsgrundes zur Vornahme der Löschung verpflichtet. Art. 17 Abs. 1 lit. a DS-GVO-E gestattet die Löschung, wenn der Speicherzweck entfallen ist, ohne dass zwischen eigenen Zwecken oder dem Zweck der Übermittlung (vgl. § 35 Abs. 2 Nr. 3, Nr. 4 BDSG) differenziert wird. Die Aufnahme der Speicherfrist in den Tatbestand des Art. 17 Abs. 1 DS-GVO-E korrespondiert mit der Pflicht der verantwortlichen Stelle gem. Art. 17 Abs. 7 DS-GVO-E, Vorkehrungen zu treffen, dass die Fristen zur Löschung und die regelmäßige Überprüfung der Notwendigkeit der Speicherung sichergestellt sind. Eine Verpflichtung gem. Art. 17 Abs. 1 lit. b DS-GVO-E setzt voraus, dass die Einwilligung widerrufen wurde oder die Speicherfrist abgelaufen ist und keine andere Rechtsgrundlage die Datenverarbeitung legitimiert.297 Im Unterschied zu § 35 Abs. 2 Nr. 1 BDSG wird damit deutlicher geregelt, wann eine Speicherung unzulässig wird bzw. die Daten gelöscht werden müssen. Art. 17 Abs. 1 lit. c DS-GVO-E verpflichtet zur Löschung, wenn der Betroffene bei der Datenverarbeitung widerspricht. Der Widerspruch ist gem. Art.  19 DSGVO-E in zwei Alternativen möglich. Der Widerspruch ist statthaft, wenn sich der Betroffene in einer „besonderen Situation“ befindet und eine Interessenabwägung ergibt, dass die Stelle keine zwingenden, schutzwürdigen Verarbeitungsgründe nachweisen kann, die die schutzwürdigen Interessen oder Grundrechte des Betroffenen überwiegen. Ein Widerspruchsrecht ohne weitere Anforderungen normiert Art. 19 Abs. 2 DS-GVO-E bei einer Datenverarbeitung zum Zweck der Direktwerbung. An dieser Stelle wird kritisiert, dass es der Betroffene weitestgehend in der Hand habe, rechtmäßig gespeicherte personenbezogene Daten löschen zu lassen,

296

Nebel/Richter, ZD 2012, 407 (413); a. A. vgl. Reding, ZD 2012, 195 (198). Dazu Knabe, in: Knabe/Albrecht, OK DS-GVO-E, Art. 17, Rn. 1.

297

I. Empfehlungen zur Rechtsgestaltung

309

ohne dass es auf eine Begründung oder eine Abwägung mit den Interessen der verantwortlichen Stelle an der Datenverarbeitung ankommt.298 Art.  17 Abs.  2 DS-GVO-E begegnet den Durchsetzungsdefiziten des Datenschutzrechts im Internet. Gerade bei der vernetzten Datenverarbeitung im World Wide Web werden personenbezogene Daten nach ihrer Veröffentlichung im Regelfall grenzenlos indexiert, kopiert, an anderen Stellen wiedergegeben oder in sonstiger Weise weitergegeben. Es liegt in der Natur des Internets, dass Daten nicht ohne Weiteres „zurückgeholt“ oder „eingefangen“ werden können. Dieses Risiko soll Art. 17 Abs. 2 DS-GVO-E kompensieren. Die Vorschrift statuiert eine Informationspflicht der verantwortlichen Stelle gegenüber Dritten: „Hat der […]Verantwortliche die personenbezogenen Daten öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er [sich] verantwortlich zeichnet, alle vertretbaren Schritte, auch technischer Art, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt.“ Die verantwortliche Stelle hat nicht nur dafür zu sorgen, dass personenbezogene Daten des Betroffenen auf den eigenen Systemen gelöscht werden (Art. 17 Abs. 1 DS-GVO-E), sondern auch, dass die weitere Verbreitung der Daten bei Dritten eingedämmt wird (Art. 17 Abs. 2 DS-GVO-E). Der 2. Absatz der Vorschrift stellt dazu keine gesteigerten Anforderungen an das Tätigwerden des Verantwortlichen, sondern belässt es bei einer Informationspflicht der Stelle.299 Zentral ist, dass es sich um Daten handelt, die die Stelle veröffentlicht hat, welche für diese Veröffentlichung auch verantwortlich ist.300 Der Betreiber eines Nachrichtenportals bspw. müsste auf einen Suchmaschinendiensteanbieter einwirken und ihn dazu veranlassen, dass die Informationen aus dessen Cache entfernt werden.301 Bei der Preisgabe von Daten in einem Sozialen Netzwerk ist der Diensteanbieter insoweit in der Pflicht, wie er für die Veröffentlichung der personenbezogenen Daten des Betroffenen verantwortlich ist. Eine solche Verantwortung dürfte für personenbezogene Daten anzunehmen sein, die nach dem Willen des Diensteanbieters innerhalb des Portals stets öffentlich sichtbar sind. Bei Facebook sind das z. B. der Name des Profilinhabers, das Profil- und Chronikbild. An der Verantwortung des Diensteanbieters für die Veröffentlichung fehlt es, wenn personenbezogene Daten erst durch die Handlung des Nutzers veröffentlicht wurden. Eine solche 298

Härting, BB 2012, 459 (464); dem folgend Knabe, in: Knabe/Albrecht, OK DS-GVO-E, Art. 17, Rn. 1. 299 Hornung/Sädtler, ZD 2012, 638 (641); vgl. a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 20.3. 300 Da beim Cloud Computing, von Einzelfällen im Bereich von Software-as-a-Service abgesehen, keine Daten veröffentlicht werden, ergeben sich hierzu keine Besonderheiten, Hornung/Sädtler, ZD 2012, 638 (641); kritisch zur Reichweite des Art. 17 Abs. 2 DS-GVO-E, Nebel/Richter, ZD 2012, 407 (413). 301 Gstrein, ZD 2012, 424 (425).

310

D. Schutz der informationellen Selbstbestimmung

Veröffentlichung ist auch bei weitläufigen Personengruppen, bspw. „Freunde-vonFreunden“ bei Facebook, anzunehmen. Ist der Diensteanbieter für eine Veröffentlichung verantwortlich, hat er (nur) „vertretbare Schritte“ technischer und organisatorischer Art zu unternehmen, um sich mit Dritten über die Löschung zu verständigen. Offen ist, welcher Aufwand an Kosten und Zeit maßgeblich sein soll und, ob der Aufwand in Anbetracht der Gesamtheit der Fälle, der Schutzbedürftigkeit der Daten oder der Größe des Unternehmens bewertet werden soll.302 Es wird angenommen, dass die verantwortliche Stelle ihre Pflicht hinreichend erfüllt hat, wenn sie den Dritten benachrichtigt hat.303 Ob der Zugang beweisbar sein muss, ist offen. Ungewiss bleibt auch, welche Rechtsfolgen die Benachrichtigung für den Dritten hat.304 Es wird ferner kritisiert, dass in Art. 17 DS-GVO-E auf hinreichend konkrete Anforderungen zur Technikgestaltung und zum Konzept der Anonymisierung verzichtet wurde.305 Dies gilt insbesondere im Bezug auf die praktische Umsetzung der Informationspflicht aus Art. 17 Abs. 2 DS-GVO-E in Hinblick auf die Löschung von Links und sonstigen Verweisen.306 Gem. Art. 17 Abs. 3 DS-GVO-E ist eine unverzügliche Löschung durchzuführen, sofern nicht eine Prüfung ergibt, dass eine Speicherung als Ausübung der Meinungsfreiheit, aus öffentlichem Interesse an der öffentlichen Gesundheit, zu historischen, statistischen Zwecken oder zur wissenschaftlichen Forschung oder aufgrund national geregelter Aufbewahrungspflichten erforderlich ist. Nach Maßgabe des Regelungskatalogs des Art. 17 Abs. 4 DS-GVO-E tritt ausnahmsweise eine Sperrung an die Stelle der Löschung. Die Tatbestände werden in Absatz 5 und Absatz 6 konkretisiert. Eine sonstige weitere Verarbeitung der zu löschenden Daten verbietet Art. 17 Abs. 8 DS-GVO-E. (4) Hinweis zum LIBE-Entwurf Die Bemühungen der EU-Kommission, das Recht auf Vergessenwerden gesetzlich zu verankern, hatten sich in der neun Absätze enthaltenden Vorschrift des Art. 17 DS-GVO-E niedergeschlagen. Gem. Art. 17 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von denen sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, speziell wenn es

302

Gstrein, ZD 2012, 424 (425). Gstrein, ZD 2012, 424 (425); Hornung, ZD 2012, 99 (103); kritisch Härting, BB 2012, 459 (464). 304 Gstrein, ZD 2012, 424 (425). 305 Nebel/Richter, ZD 2012, 407 (413); Art.-29-Datenschutzgruppe, Stellungnahme 08/2012, WP 199, S. 22. 306 Gstrein, ZD 2012, 424 (425). 303

I. Empfehlungen zur Rechtsgestaltung

311

sich um personenbezogene Daten handelt, die die betroffene Person im Kindes­ alter öffentlich gemacht hat. Mit der Annahme des sog. LIBE-Entwurfs wurde das Recht auf Vergessenwerden gelöscht. 4. Befund zur Rechtsgestaltung Mit dem DS-GVO-E steht das deutsche Datenschutzrecht vor einem Umbruch. Sollte der DS-GVO-E bzw. der LIBE-Entwurf tatsächlich verabschiedet werden, ist das Ende der deutschen Rechtsfortbildung zur informationellen Selbstbestimmung im nicht-öffentlichen Bereich durch das BVerfG besiegelt. Mit dieser Verordnung wird der Gestaltungsspielraum des deutschen Gesetzgebers, von Öffnungsklauseln abgesehen, eingeschränkt. Ob dies zu einer Reduktion des Datenschutzniveaus führen wird, wie von einigen Literaturstimmen befürchtet, bleibt abzuwarten. Dabei darf nicht vergessen werden, dass der deutsche Gesetzgeber lange Zeit versäumt hat, wichtige Datenschutzfragen hinreichend zu regeln, wie die gescheiterten Entwürfe zum DS-AuditG und zum Arbeitnehmerdatenschutz­ gesetz belegen. Im Unterkapitel „Empfehlungen zur Rechtsgestaltung“ wurde in dieser Arbeit skizziert, wie den im Kapitel C. identifizierten Fragestellungen rechtlich begegnet werden kann. Anhand ausgewählter Gefährdungslagen der technischen und funktionalen Vernetzung wurden Lösungsansätze diskutiert. Von zentraler Bedeutung war die Klärung der Frage, ob und in welcher Weise der DS-GVO-E Vorschriften enthält, die der dringend notwendigen Modernisierung des Datenschutzrechts Rechnung tragen und einen Beitrag zur Verbesserung des Schutzniveaus leisten. Grundsätzlich lässt sich festhalten, dass der DS-GVO-E systematisch auf der DSRL aufbaut und an die deutsche Datenschutzdogmatik angelehnt ist. Bedauerlich ist, dass mit dem LIBE-Entwurf307 einer Regelung zur Herstellung von Datenportabilität eine Absage erteilt wurde. Dieser noch im DS-GVO-E enthaltene Lösungsvorschlag korrespondierte mit der Gefahr des Vendor-Lock-ins und sollte Nutzern das Recht einräumen, personenbezogene Daten in Form von standardisierten Kopien exportieren zu können. Die Datenportabilität hätte nicht nur die Effektivität der Selbstbestimmung in automatisierten Datenverarbeitungssystemen gestärkt. Da es für viele Dienste, wie bspw. Cloud-Services oder Soziale Netzwerke, keine Alternativen aus der „Offline-Welt“ gibt, kann informationelle Selbstbestimmung auch bedeuten, dass sich der Betroffene für die Kündigung eines Dienstes und die Übermittlung seiner Daten zu einem anderen Dienst entscheidet. Ohne spezielle Regelungen hierzu wird es dabei bleiben, dass ein solcher „Umzug“ von Daten nur mit Zustimmung der verantwortlichen Stelle möglich sein wird. 307

Zum Gesetzgebungsverfahren, s. oben, S. 248.

312

D. Schutz der informationellen Selbstbestimmung

Neben effektiven Neuregelungen enthält der DS-GVO-E leider auch Vorschriften, die keine Verbesserung des Datenschutzniveaus mit sich bringen oder sogar eine Reduktion befürchten lassen. Zugriffe von ausländischen Sicherheitsbehörden auf Clouds oder Soziale Netzwerke werden, nicht zuletzt anlässlich der Enthüllungen zu Zugriffen des USNachrichtendienstes NSA mit der Software „Prism“, öffentlichkeitswirksam diskutiert. Der Schutz vor diesen Zugriffen ist unzureichend. Eine Vorschrift zum Schutz vor Gerichtsentscheidungen und Anordnungen von Behörden aus Drittstaaten, die sich an europäische verantwortliche Stellen richten, Daten herauszugeben, wurde im Zuge des Gesetzgebungsverfahrens für den Vorschlag (DS-GVO-E) zunächst gestrichen und nun im LIBE-Entwurf308 mit Art. 43a LIBE-Entwurf wieder aufgenommen. Rechtsschutz gegen technische Zugriffe auf Internetknotenpunkte innerhalb der EU oder auf Clouds sind nicht Gegenstand dieser Vorschrift. So dürfte die Rechtsunsicherheit bei der Personenbeziehbarkeit von Daten auch bei der Neuregelung bestehen bleiben. Teilen der Literatur zufolge tendiert der Verordnungsgeber zur Theorie des absoluten Personenbezugs, sodass der DSGVO-E mit einem weitgehenden Anwendungsbereich ausgestattet wäre. Eine klarstellende Formulierung, aus der die im deutschen Recht (noch) herrschende Theorie der Relativität des Personenbezugs hervorgeht, wäre wünschenswert gewesen. Unsicherheit wird auch bei der ambivalenten Rolle des Einzelnen als Nutzer (i. S. v. „Konsument“ und Veranlasser) und als Betroffener der Datenverarbeitung verbleiben. Der Verordnungsgeber lässt die Rechtsprechung des EuGH zur restriktiven Auslegung des Ausnahmetatbestands bei der Datenverarbeitung zu persönlichen und familiären Zwecken außer Acht. Auch hier wäre eine Klarstellung begrüßenswert gewesen. Der für das Cloud Computing entscheidende Regelungskomplex zur Auftragsdatenverarbeitung ist erkennbar an das BDSG angelehnt. Der DS-GVO-E widmet ihm eine Vielzahl an Vorschriften, die allerdings im Vergleich zum BDSG hinter den Erwartungen an eine (auch cloudspezifische) Modernisierung zurückbleiben. Zwar sind neben der Auftragsdatenverarbeitung auch Vorschriften zur Data Breach Notification, zur Zertifizierung und zur erweiterten Haftung vorgesehen. Im Übrigen bleibt die Auftragsdatenverarbeitung der Vorstellung vom klassischen IT-Outsourcing verhaftet. Das im Cloud Computing viel diskutierte Problem, dass der Auftraggeber nur scheinbar, aber nicht mehr tatsächlich der „Herr“ der Datenverarbeitung ist, wird nicht gelöst. Die Regelungen zur sorgfältigen Auswahl des Auftragsverarbeiters und zum Vertragsinhalt bleiben hinter dem Schutzniveau des deutschen Rechts zurück. Die Vorschrift zum Datenschutz durch Technik, die gerade im Hinblick auf verschlüsselte Cloud-Dienste einen hohen Stellenwert bei der Datensicherheit einnimmt, verankert zwar das Gebot der datenschutzfreundlichen Voreinstellungen (Privacy by Default). Im Übrigen bleibt es jedoch bei einem Pro 308

s. oben, S. 248.

I. Empfehlungen zur Rechtsgestaltung

313

grammsatz, der darüber hinaus auf das Anonymitäts- bzw. Pseudonymitätsgebot verzichtet – eine § 13 Abs. 6 S. 1 TMG vergleichbare Schutznorm findet sich in dem DS-GVO-E nicht. Dies ist besonders im Hinblick auf den Datenschutz durch Technik bzw. den Ausschluss des Personenbezugs durch Verschlüsselungsmaßnahmen im Cloud Computing bedauernswert. Gleiches gilt für die in der Exit-Phase eines IT-Outsourcings relevante Löschungspflicht von Daten. Diese Anforderung muss im ADV-Vertrag gem. Art. 26 Abs. 2 DS-GVO-E, im Unterschied zu § 11 Abs. 2 Nr. 10 BDSG, nicht geregelt werden. Mit der Aufgabe der Löschpflicht zugunsten einer lediglich vertraglich vereinbarten Unterlassungserklärung wird der Verordnungsgeber seinem Schutzauftrag nicht gerecht, da diese Erklärungen – anders als die tatsächliche Vernichtung von Daten – keinen Schutz gegen Zugriffe ausländischer Behörden oder konzerninterner Stellen bieten. Zu den Anforderungen an ein zeitgemäßes Datenschutzmanagement enthält der DS-GVO-E in der gegenwärtigen Vorschlagsfassung überwiegend nur Programmsätze, Ermächtigungen oder Durchführungsrechtsakte. Neben Privacy by Default und Privacy by Design bedarf es der gesetzlichen Verankerung weiterer Hilfestellungen des Betroffenen. Dieser muss ferner zum Umgang mit der Informationstechnologie (Privacy by Assistance) bei transparenter Darstellung der Datenverarbeitungsvorgänge (Privacy by Transparency) befähigt werden. In Sozialen Netzwerken werden umfangreiche Profile mit personenbezogenen Daten aufgebaut und gepflegt. Nutzer haben in der Regel ein Interesse daran, diese digitalen Persönlichkeiten im Falle eines Wechsels des Diensteanbieters strukturiert auf die Plattform eines anderen übertragen zu können. Die Entscheidungsfreiheit über die Preisgabe und Verwendung von personenbezogenen Daten ist beeinträchtigt, wenn der Betroffene keine Möglichkeit hat, die personenbezogenen Daten im Ergebniszustand der Datenverarbeitung extrahieren zu können. Die Migration allein der Rohdaten ist nur ausreichend, wenn Daten bspw. in einem Storage-as-aService wie Dropbox oder TeamDrive309 nur gelagert wurden. Etwas anderes gilt dann, wenn durch Daten(-profile) neue Werte geschaffen wurden, bspw. ein Fotoalbum, das Fotos enthält, die vom Nutzer mit Kommentaren oder Georeferenzdaten versehen wurden und an deren Export der Nutzer ein Interesse hat. Zu begrüßen sind ferner Neuregelungen zur Anwendung des Datenschutzrechts. Die Regelungen sind erkennbar auf die gegenwärtigen Gefährdungslagen des Internets zugeschnitten. So ist bspw. die Ausforschung von Nutzern auf Telemedien (Tracking) tatbestandlich ausdrücklich erwähnt. Ferner entfällt der im Social Web thematisierte Streit zur Einordnung der Inhaltsdaten, da mit dem DS-GVO-E die Aufsplitterung des Datenschutzrechts in ein telemedienspezifisches und ein subsidiäres Datenschutzgesetz aufgegeben wird.

309

TeamDrive, a. u. http://www.teamdrive.com/de/.

314

D. Schutz der informationellen Selbstbestimmung

Grundsätzlich begrüßenswert ist, dass der Verordnungsgeber auch den Minderjährigenschutz thematisiert. Über vereinzelte Programmsätze und Gebote hinaus ist der Minderjährigenschutz jedoch leider nur bedingt belastbar. Gerade in Sozialen Netzwerken können sich zahlreiche Gefährdungslagen zum Nachteil von Minderjährigen realisieren, die schwerwiegende Persönlichkeitsverletzungen zur Folge haben können. Minderjährige Nutzer können dabei durch das Handeln Dritter oder durch Selbstgefährdung zu Opfern werden. Dies wird durch Anreize, bspw. in Facebook, verstärkt, die einen sorglosen Datenumgang fördern.310 Aufgrund der auf Vernetzung basierten Datenverarbeitungsstruktur der Netzwerke und des Internets sind diese Eingriffe zumeist irreversibel. Der DS-GVO-E müsste besondere Zulässigkeitsvoraussetzungen, Informationspflichten und spezielle Vorgaben zum Datenschutz durch Technik für Minderjährige vorsehen, die aufgrund ihrer altersbedingten Unerfahrenheit – wie auch im bürgerlichen Recht – besonders schutzbedürftig sind. Das Recht auf Vergessenwerden wurde im DS-GVO-E als interessante Neuheit bewertet, bei der sich gleichzeitig massive technische und organisatorische Umsetzungsschwierigkeiten aufdrängten. Wie auch das Recht auf Datenportabilität wurde das Recht auf Vergessenwerden im LIBE-Entwurf311 gelöscht. Nur wenige Bestandteile der vorherigen Regelung zum „Vergessenwerden“ sind im Recht auf Löschung erhalten geblieben.

II. Empfehlungen zum Datenschutz durch Technikgestaltung 1. Weltweite Datenverarbeitung a) Selbstbestimmung Dem Datenschutzrecht liegt das Verbot der Datenverarbeitung mit Erlaubnisvorbehalt zugrunde. Dieses Prinzip wird von dem DS-GVO-E fortgesetzt. Auch bei der Ausgestaltung von Anwendungen, Plattformen und Infrastrukturen unter Nutzung von Cloud Computing muss berücksichtigt werden, dass jede Phase der Datenverarbeitung gesetzlich oder durch die Einwilligung des Betroffenen legitimiert sein muss. Soweit keine gesetzlichen Erlaubnistatbestände einschlägig sind oder keine wirksame Einwilligung des Betroffenen gegeben ist, handelt es sich um eine rechtswidrige Datenverarbeitung. Eine rechtswidrige Verarbeitung von Daten erfüllt Straftatbestände und Vorschriften zu Ordnungswidrigkeiten und kann die zivilrechtliche Haftung der verantwortlichen Stelle auf Schadensersatz begründen. Zur Gewährleistung der Selbstbestimmung werden die Präferenzen, Vorstellungen und Entscheidungen des Betroffenen in den Mittelpunkt der Konzeption 310

Zur sog. Plug-and-Play-Falle, s. oben, S. 167 ff. s. oben, S. 248.

311

II. Empfehlungen zum Datenschutz durch Technikgestaltung

315

und Ausgestaltung von Systemen gestellt312 und mit organisatorischen und technischen Maßnahmen umgesetzt: Bei der Erhebung von Bestandsdaten sollte klar gekennzeichnet sein, welche Daten zum Vertragsschluss erforderlich sind und welche Daten auf freiwilliger Basis erhoben werden. Da die Selbstbestimmung nur vom Berechtigten wirksam ausgeübt werden kann, ist es die Pflicht der verantwortlichen Stelle, die Echtheit der Identität des Handelnden sicherzustellen. Die Erteilung der Einwilligung des Betroffenen macht ein sog. Einwilligungsmanagement313 erforderlich.314 Eine Verwaltung der nutzerseitig abgegebenen Einwilligung dient der verantwortlichen Stelle dazu, erkennen zu können, ob und in welchem Umfang Datenverarbeitungsvorgänge rechtmäßig sind. Ferner kann die verantwortliche Stelle bemessen, ob eine technische Fortentwicklung oder ein neuer Verarbeitungsschritt von einer erteilten Einwilligungserklärung legitimiert wird oder ob eine neue Einwilligung eingefordert werden muss. Nutzungsverträge, die über lange Zeiträume bestehen, bergen auch für den Betroffenen die Gefahr, den Überblick darüber zu verlieren, welche Verarbeitungszwecke und -vorgänge er gestattet hat. Das Einwilligungsmanagement sollte folglich auch dem Betroffenen zugänglich sein. Bestenfalls wird es nicht nur der Unterrichtung des Betroffenen über erteilte Einwilligungserklärungen gerecht, sondern ermöglicht mit wenigen Mausklicks auch die Erteilung oder den Widerruf von Einwilligungen für bestimmte Zusatzdienste, z. B. die gemeinsame Nutzung einer SaaS-Anwendung in der Cloud oder für bestimmte Verarbeitungsvorgänge, bspw. der Rückgriff auf einen bestimmten Unterauftragnehmer.315 Dem Betroffenen müsste es ferner möglich sein, Daten in der Cloud zu löschen. Die Datenverarbeitung ist so zu gestalten, dass die Unkenntlichmachung von personenbezogenen Daten in allen verteilten Systemen effektiv umgesetzt wird. Mit der Löschung von Daten kontrolliert der Betroffene den Umfang der Daten­ verarbeitung. Bei (weltweit) verteilter Datenverarbeitung sollte dem Betroffenen ferner die Wahl der Verarbeitungs- und Speicherregion eingeräumt werden, soweit eine geografische Abgrenzung technisch und mit vertretbarem Aufwand umsetzbar ist. Damit könnte zumindest organisatorisch vermieden werden, dass Daten in unsicheren Drittstaaten verarbeitet werden, ohne dass sich staatliche Zugriffe auf die Cloud ausschließen lassen.316 Insbesondere im Modell der Private Cloud könnte dem Be 312

Vgl. Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 330. Zu den Leitlinien des Smart Privacy Managements, Heckmann, K&R 2011, 1 ff. 314 Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 331. 315 So auch Schnabel unter dem Begriff „Consent Management“, Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 332. 316 Diese Maßnahme bietet Schutz gegen Datenschutzverletzungen bei unzuverlässigen Diensteanbietern oder Unterauftragnehmern, nicht jedoch gegen Zugriffe ausländischer (Sicher­heits-)Behörden in einem Drittstaat. Dieser Schutz kann erst recht nicht gewährleistet 313

316

D. Schutz der informationellen Selbstbestimmung

troffenen die Wahl überlassen werden, ob (bestimmte, ggf. besonders schutzbedürftige) Daten in fremden oder eigenen Servern verarbeitet werden sollen. Zum Schutz vor Vendor-Lock-ins317 sollte der Betroffene ferner in die Lage versetzt werden, Datenbanken oder Datensätze über allgemein anerkannte Schnittstellen aus der Cloud exportieren zu können. b) Transparenz Unter Transparenz wird verstanden, dass die Umstände der Verarbeitung von Daten zur Kenntnis genommen werden.318 Auf Transparenz in der Datenverarbeitung kommt es im Rechtsverhältnis der verantwortlichen Stelle mit dem Auftragsverarbeiter an, bspw. bei der sorgfältigen Auswahl des Diensteanbieters. Ist der Betroffene nicht gleichzeitig die verantwortliche Stelle, bedarf es transparenter Einblicke dann, wenn er eine informierte Entscheidung zur Einwilligung in die Datenverarbeitung treffen muss. Beim Cloud Computing bleiben die näheren Umstände, Verfahren und Akteure im Verborgenen. Die Datenverarbeitung ist nicht ohne Weiteres nachvollziehbar. Transparenz ist nicht nur die Kernvoraussetzung für das Vertrauen in die Datensicherheit, sondern bildet die Erkenntnisgrundlage des informationellen Handelns.319 Um eine hinreichend informierte Entscheidung treffen zu können, hat der Cloud-Service-Provider den Betroffenen in drei Schritten vor der Erteilung seiner Einwilligung zu informieren. Zunächst muss der Betroffene die technischen Grundlagen des gewählten Bereitstellungsmodells verstehen können. Die Cloud darf für ihn keine „Black Box“ bleiben.320 Indem die verantwortliche Stelle Infrastrukturen, Standorte, den Quellcode und Schnittstellen offenlegt, kann Transparenz geschaffen werden. Die Verständlichkeit dieser Informationen muss auf unterschiedliche Empfängerhorizonte abgestimmt sein. Unterrichtungen für Verbraucher können die wesentlichen Informationen zusammenfassen, sofern detaillierte Dokumentationen für technisch versierte Nutzer abrufbar sind. Diese Unterrichtung kann dem Betroffenen in verkörperten Dokumenten zugehen oder über eine Website zugänglich gemacht werden, auf der alle zentralen Datenschutzfragen und Informationen gebündelt werden.321 werden, wenn der Cloud-Service-Provider seinen Hauptsitz in dem entsprechenden Drittstaat hat. 317 Zum Begriff, s. oben, S. 107. 318 Hansen, in: Roßnagel, Handbuch Datenschutzrecht, S. 311. 319 Hansen, in: Roßnagel, Handbuch Datenschutzrecht, S. 312. 320 Zur Gefährdungslage der fehlenden Transparenz im Cloud Computing, s. oben, S. 126. 321 So z. B. das Microsoft Inc. „Trustcenter“, das für das Office-Paket bereitgestellt wurde: www.trustcenter.office365.de.

II. Empfehlungen zum Datenschutz durch Technikgestaltung

317

Nachdem sich der Begriff Cloud Computing zunehmend zu einer Gattungsbezeichnung für vielschichtige und mannigfaltig umsetzbare Dienstleistungen entwickelt hat, muss die Darstellung neben allgemeinen Grundlagen auch ein Modell desjenigen Bereitstellungsmodells enthalten, das für den Betroffenen im Hinblick auf die von ihm gewählte Dienstleistung relevant ist. Schaubilder können bspw. mit entsprechenden Vertiefungshinweisen versehen werden, die mit einem Klick lesbar expandiert werden. In einem weiteren Schritt sollte dem Betroffenen adressatengerecht vermittelt werden, wie das Datensicherheitskonzept konzeptionell gestaltet und in Grundzügen umgesetzt ist. In Konstellationen, in denen die verantwortliche Stelle auf Unterauftragnehmer zurückgreift, können sich hieraus neue Gefährdungslagen für den Schutz von personenbezogenen Daten ergeben. Das gilt insbesondere für den Fall, wenn die Stellen in einem Drittstaat außerhalb der EU oder des EWR belegen sind und für den Drittstaat kein angemessenes Datenschutzniveau festgestellt wurde.322 Die verantwortliche Stelle muss dem Betroffenen anschaulich und nachvollziehbar erläutern, wer welche Daten im Auftrag weiterverarbeitet oder an welche übrigen Empfänger Daten übermittelt werden. Anhand einer Weltkarte könnten in anschaulicher Weise in Verbindungen (Durchleitungen, Weitergaben, Einzelabrufe etc.) der verantwortlichen Stelle zu Unterauftragnehmern und Empfängern visualisiert werden, sodass der Betroffene auf einen Blick die Identität und den Standort dieser Datenverarbeiter erkennen kann. Mit vertiefenden Hinweisen kann der Betroffene über die Funktion der jeweiligen Stelle, die Art, den Zweck oder den Inhalt der übermittelten Daten, den Übermittlungstatbestand, das Vorhandensein einer Verpflichtungserklärung gem. § 5 BDSG oder einer Erklärung nach dem Safe-Harbor-Abkommen und über das Datensicherheitskonzept unterrichtet werden. Es muss sichergestellt sein, dass diese Unterrichtungen fortlaufend mit der technischen Entwicklung der konkreten Dienstleistung Schritt halten und für den Betroffenen leicht zugänglich bleiben. c) Datenschutz durch Technik Der Betrieb einer sicheren Cloud, die den Anforderungen der Datenschutz­ gesetze gerecht wird, setzt eine umfassende und nachhaltige Planung, Implementierung und Fortführung von technischen und organisatorischen Schutzmaßnahmen voraus. Zu den wesentlichen cloudspezifischen Bausteinen zählen die Absicherung der Betriebsumgebung (Sicherheitsarchitektur) und die Gewährleistung einer datenschutzkonformen und sicheren Datenverarbeitung (Datensicherheit). Datenschutz durch Technik wird auch durch den Einsatz datenschutzgerechter und datenschutzfördernder Verfahren und Technologien (sog.

322

Zur Gefährdungslage, s. oben, S. 141 ff.

318

D. Schutz der informationellen Selbstbestimmung

Privacy Enhancing Technologies) bewirkt.323 Zu diesen zählen kryptografische Verschlüsselungsverfahren. aa) Sicherheitsarchitektur der Cloud Eine sichere Cloud setzt zunächst den Betrieb von Servern in einem Rechenzentrum voraus, dessen physische Sicherheit sichergestellt ist. Rechenzentren sind mit Natureinflüssen, menschlichen Handlungen und anderen Störungen unterschiedlichen Bedrohungen ausgesetzt, sodass vielschichtige Schutzmaßnahmen (bspw. Zutritts- und Zugriffskontrolle, gesicherte Fenster und Türen, geschultes Personal, Notstromaggregate etc.) kombiniert werden müssen, um die physische Sicherheit herzustellen.324 Die Anforderungen an die physische Sicherheit und an den sicheren Systembetrieb sollten in einem Datensicherheitskonzept zusammengefasst werden. Zu den allgemeinen Kernthemen des Datensicherheitskonzepts zählen die Zutritts- und Zugriffskontrolle, das Notfallmanagement (Incident Response and Management), die System- und Netzwerk-Sicherungskopien, die Durchführung von Sicherheitstests und Verschlüsselungsverfahren sowie die fortlaufende Systemüberwachung (Monitoring).325 Ein cloudspezifischer Sicherheitsaspekt ist z. B. die cloud-weite Synchronisation mit derselben Quelle einer Systemzeit.326 Insbesondere bei über mehrere Zeitzonen hinweg verteilter Datenverarbeitung ist es von großer Bedeutung, dass die Dokumentation (Logfiles, Timestamps etc.) einheitlich und nachvollziehbar geführt wird. Unterschiedliche Systemzeiten können zudem Fehler bei den vernetzt kommunizierenden Computern verursachen. Ein Schlüsselelement der Sicherheitsarchitektur bildet das Identitätsmanagement. Beim Betrieb der Cloud muss der Schutz der Datensicherheitstrias, der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, garantiert sein. Ferner bedarf es Maßnahmen, die die in der Cloud gespeicherten Daten vor unberechtigten Zugriffen des eigenen Personals, aber auch der Nutzer oder sonstiger Dritter schützen.327 Dazu sind die Identitäten der Berechtigten über Registrierungsverfahren oder Identitätsprovider zu ermitteln und die sog. Credentials (Benutzername und Passwort) beim Zugriff auf die Cloud durch geeignete Verfahren, bspw. durch das Single-Sign-On-Verfahren328, zu überprüfen.329 Eine verifizierte Identität kann im Rahmen des Zugriffsmanagements mit granular definierten Zugriffsrechten auf Datenbanken, Anwendun 323

Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, S. 17. Winkler, Securing the Cloud, S. 92. 325 Winkler, Securing the Cloud, S. 93 f. 326 Bspw. mithilfe des Network Time Protocols (NTP), Winkler, Securing the Cloud, S. 94. 327 Winkler, Securing the Cloud, S. 95; Laue/Stiemerling, DuD 2010, 692 (692). 328 Laue/Stiemerling, DuD 2010, 692 (696). 329 Dazu auch im Kontext einer Private Cloud, Münch/Doubrava/Essoh, DuD 2011, 322 (327). 324

II. Empfehlungen zum Datenschutz durch Technikgestaltung

319

gen oder Funktionen ausgestattet werden.330 Werden Identitäten aufgegeben oder wiederverwendet, muss ein Zugriff auf die alten gespeicherten Daten des ehemals Berechtigten ausgeschlossen sein.331 Beim Zugriffsmanagement sind die Rollen und Aufgaben klar zu definieren, insbesondere dass die Beschäftigten des Cloud-Service-Providers grundsätzlich nur eingeschränkten Zugriff auf die Daten der Cloud-Kunden haben.332 Erforderliche Zugriffe auf die VM des Kunden oder auf Speichergeräte müssen auf bestimmte Vorgänge oder Ausnahmefälle beschränkt sein, die sich aus dem Datensicherheitskonzept oder den vereinbarten Service Level Agreements ergeben.333 Regelungsbedürftig ist auch der Umgang mit Zugriffskonten, bspw. das Verbot der gemeinsamen Nutzung von Credentials oder die Sicherung von Remote-Zugriffen, indem überprüft wird, ob eine dafür freigeschaltete IP-Adresse verwendet wird, sog. IP-Whitelisting.334 Im Datensicherheitskonzept muss zudem die Auditierung der Systeme und Netzwerke festgelegt sein. Das Audit umfasst alle Betriebssysteme, Infrastruktu­ udits, ren und Netzwerkkomponenten.335 VM sind nur insoweit Gegenstand von A wie dies vertraglich vereinbart ist. Neben Audits müssen die Modalitäten der Systemüberwachung, insbesondere im Hinblick auf die automatische Erkennung von Sicherheitsverstößen, Malware oder Viren, Systemanomalien und Angriffen, vorgesehen sein.336 Das damit korrespondierende Notfallmanagement muss Wege aufzeigen, wie mit diesen Vorfällen umgegangen wird und wie sie zuverlässig eingedämmt und beseitigt werden können. Zur Prävention von Sicherheitsvorfällen sind auch die Durchführung von Sicherheitstests und die Prüfung von Verwundbarkeiten zu berücksichtigen. Kontrollsysteme zur sicheren Isolation von Ressourcen und Mandanten können die Implementierung von vollständig getrennten Netzwerken und virtuellen Netzwerken und die cloudspezifische Konfiguration von Middleware, Systemkomponenten und VM erforderlich machen.337 Da die Technologien, die beim Cloud Computing zum Einsatz kommen, der technischen Weiterentwicklung unterliegen, müssen die Sicherheitsarchitektur und das Datensicherheitskonzept angepasst werden. Neben der Sicherheitsarchitektur ist für die sichere Cloud auch die Datensicherheit in der Cloud entscheidend.

330 Laue/Stiemerling, DuD 2010, 692 (692); zur Vermeidung von Insider-Angriffen auf die Cloud, vgl. Marnau/Schirmer/Schlehan et al., DuD 2011, 333 (334). 331 Winkler, Securing the Cloud, S. 95. 332 Münch/Doubrava/Essoh, DuD 2011, 322 (327). 333 Winkler, Securing the Cloud, S. 96. 334 Winkler, Securing the Cloud, S. 96. 335 Winkler, Securing the Cloud, S. 97. 336 Winkler, Securing the Cloud, S. 98 f. 337 Marnau/Schirmer/Schlehan et al., DuD 2011, 333 (334); ausführlich dazu Winkler, Secur­ ing the Cloud, S. 104 ff.; vgl. Münch/Doubrava/Essoh, DuD 2011, 322 (327).

320

D. Schutz der informationellen Selbstbestimmung

bb) Anonymität durch Verschlüsselung Anonymisieren gem. § 3 Abs.  6 BDSG bedeutet, dass personenbezogene Daten derart modifiziert werden, dass die enthaltenen Informationen „nicht mehr oder nur mit unverhältnismäßigem Aufwand an Zeit, Kosten oder Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können.“ Die Auf­hebung oder Erschwerung der Personenbeziehbarkeit von Daten durch Anonymisierung kann beim datenschutzrechtlichen Dilemma des Cloud Computings Abhilfe schaffen, wenn entsprechende Technologien, z. B. kryptografische Verfahren, zur Verfügung stehen.338 Personenbezogene Daten, die z. B. in einer Public Cloud verarbeitet oder gespeichert werden sollen, können durch Verschlüsselungsverfahren derart modifiziert werden, dass der Personenbezug entfällt.339 Konkret könnten z. B. Backups von personenbezogenen Datenmengen eines Unternehmens in einem Storage-as-a-Service abgelegt werden – sind diese Daten hinreichend sicher verschlüsselt, wäre dem Diensteanbieter jegliche Kenntnisnahme versagt.340 Die Kontrolle über die Preisgabe der Daten verbliebe allein beim Cloud-Kunden.341 Es handelt sich sodann um Sachdaten, deren Verarbeitung nicht datenschutzrechtlich legitimiert werden muss.342 Die Nichtanwendbarkeit des Datenschutzrechts hätte nicht nur eine Reduktion der zu treffenden Schutzmaßnahmen zur Folge, sondern würde auch die bisher nicht hinreichend sicher lösbare Problematik der Datenübermittlung in (un­ sichere) Drittstaaten umschiffen.343 Ob der Anwendungsbereich des BDSG (oder der DS-GVO-E) bei anonymisierten Daten eröffnet ist344, richtet sich nach der Grundsatzfrage, welcher Maßstab an die Personenbeziehbarkeit von Daten anzulehnen ist. Nach der in Deutschland derzeit überwiegend vertretenen Theorie der Relativität des Personenbezugs von Daten wäre es für die Annahme hinreichend anonymisierter Daten ausreichend, wenn diese für die verantwortliche Stelle trotz der ihr zur Verfügung stehenden Kenntnisse und Mittel nicht identifizierbar sind.345 Auf europäischer Ebene ist allerdings die weite, objektive Beurteilung der Personenbeziehbarkeit von Daten im Vordringen.346 Eine Verschlüsselung von Daten nach relativer Betrachtungsweise ist geeignet, die Anwendbarkeit des Daten 338

Kroschwald/Wicker, CR 2012, 758 (764). Vgl. Spies, MMR-Aktuell 2011, 313727. 340 Stiemerling/Hartung, CR 2012, 60 (62). 341 Stiemerling/Hartung, CR 2012, 60 (62). 342 Heidrich/Wegener, MMR 2010, 803 (807); Stiemerling/Hartung, CR 2012, 60 (62). 343 Die dabei unter normalen Umständen erforderlichen EU-Standardverträge oder ggf. eine Safe-Harbor-Erklärung wären sodann nicht mehr nötig, vgl. Stiemerling/Hartung, CR 2012, 60 (62); Spies, MMR-Aktuell 2011, 313727. 344 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 73. 345 Stiemerling/Hartung, CR 2012, 60 (63). 346 Stiemerling/Hartung, CR 2012, 60 (63). 339

II. Empfehlungen zum Datenschutz durch Technikgestaltung

321

schutzrechts bei einer verantwortlichen Stelle auszuschließen, die selbst nicht in der Lage ist, die Verschlüsselung aufzuheben. Bei objektiver Betrachtung, gerade im Hinblick auf die europäischen Bestrebungen zur Harmonisierung des Datenschutzrechts, stellt sich die Lage keineswegs so klar dar. Es wird angenommen, dass eine Verschlüsselung nicht den Anforderungen der europäischen Datenschutzbehörden an den sicheren Ausschluss der Personenbeziehbarkeit gerecht werden dürfte.347 Da aber die Bestimmung zum Begriff der personenbezogenen Daten in Art. 4 Abs. 1 DS-GVO-E keine grundlegende Neuerungen im Vergleich zur DSRL und keine gewinnbringende Klarstellung liefert, ob die Personen­ beziehbarkeit von Daten relativ oder objektiv zu beurteilen ist, bleibt zumindest Raum für die Annahme einer Anonymisierung, die das Datenschutzrecht wirksam ausschließt. Die Verschlüsselung und das Schlüsselmanagement zählen den technischen Hilfsmitteln, um eine Anonymisierung von personenbezogenen Daten in der Cloud herbeizuführen.348 Nach dem Stand der Technik gilt dies in erster Linie für Daten, die in der Cloud gespeichert werden349 oder über gesicherte Transportwege übermittelt werden (Transportverschlüsselung). Den informationstechnischen Durchbruch dürfte ein viel diskutierter mathematischer Forschungsansatz liefern, der im Unterschied zu bisherigen Methoden nicht darauf beschränkt ist, lediglich Transportkanäle oder gespeicherte Backups absichern zu können, sondern der die Verarbeitung von verschlüsselten Daten ermöglicht, ohne dass es einer Entschlüsselung bedarf, um Daten im Klartext350 einzulesen (sog. homomorphe Verschlüsselung). (1) Verschlüsselungsverfahren In einem kryptografischen System wird definiert, wie Klartexte in Kryptotexte übersetzt (verschlüsselt) und wieder zurücktransformiert (entschlüsselt) werden.351 Die Kryptografie dient der Geheimhaltung des in der Nachricht codierten Kommunikationsinhalts gegenüber Dritten (Angreifern).352 Zur Verschlüsselung von personenbezogenen Daten stehen grundsätzlich mit symmetrischen und asymmetrischen Verfahren zwei Klassen an kryptografischen Verfahren zur Verfügung.353 Die Verfahren unterscheiden sich u. a. in ihrem Maß an Sicherheit und der Geschwindigkeit bei ihrer Berechnung (Performance). Sym 347

Stiemerling/Hartung, CR 2012, 60 (64). Winkler, Securing the Cloud, S. 96. 349 Sog. Data at rest, Winkler, Securing the Cloud, S. 96. 350 Datenverarbeitende Anlagen sind darauf angewiesen, Daten im Klartext zu verarbeiten, vgl. Stiemerling/Hartung, CR 2012, 60 (61). 351 Eckert, IT-Sicherheit, S. 285. 352 Eckert, IT-Sicherheit, S. 285. 353 Eckert, IT-Sicherheit, S. 288. 348

322

D. Schutz der informationellen Selbstbestimmung

metrische und asymmetrische kryptografische Verfahren verschlüsseln Daten auf Kommunikationswegen und auf Speichermedien. Bei der symmetrischen Verschlüsselung ist die Verwendung eines Ver- und Entschlüsselungsschlüssels charakteristisch, wobei der Schlüssel identisch oder leicht ableitbar ist.354 In einem solchen System verwenden zwei Kommunikationspartner den gleichen, geheimen Schlüssel, um eine vertrauliche Kommunikation herstellen zu können.355 Der Schlüssel muss dazu vorab ausgetauscht werden. Bekannte symmetrische Verschlüsselungsverfahren sind z. B. Data Encryption Standard356 (DES) und dessen Nachfolger Advanced Encryption Standard357 (AES). Die US-Regierung hat AES zum Schutz vertraulicher Verschlusssachen zugelassen.358 AES kommt ferner zur Verschlüsselung von Wireless LAN, IPsec, PGP und (vermutlich) bei Skype zum Einsatz.359 Der Vorteil dieses Verfahrens besteht in der hohen Performance der Ver- und Entschlüsselung.360 Das Sicherheitsniveau der vertraulichen Kommunikation steht und fällt allerdings mit der sicheren Aufbewahrung, Verwaltung und Übermittlung des gemeinsamen Schlüssels, der regelmäßig nicht sicher übertragen werden kann. Bei asymmetrischen kryptografischen Verfahren wird von einem Kommunikationspartner ein Schlüsselpaar verwendet. Jedes Schlüsselpaar besteht aus einem öffentlichen Schlüssel, der bspw. in öffentlich zugänglichen Datenbanken oder auf einer Website gespeichert ist, und einem geheimen Schlüssel. Ein Klartext wird vom Absender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und vom Empfänger mit seinem geheimen Schlüssel entschlüsselt.361 Im Unterschied zum symmetrischen Verfahren muss kein geheimer Schlüssel ausgetauscht werden. Die Authentizität des öffentlichen Schlüssels, also die Echtheit der Zuordnung zum Absender, wird durch Zertifikate sichergestellt.362 Das Sicherheitsmerkmal der asymmetrischen Verschlüsselung besteht darin, dass aus der Kenntnis des öffentlichen Schlüssels der zugehörige private Schlüssel nicht effizient berechnet werden kann (sog. Einweg-Funktionen).363 Eine asymmetrische 354

Vertiefend Eckert, IT-Sicherheit, S. 288. Übersichtlich zur Funktionsweise, Koch, CR 1997, 106 (107 f.). 356 Der Data Encryption Standard (DES) bildet den Vorgänger des AES und kommt seit 1998 nicht mehr zum Einsatz, vgl. Eckert, IT-Sicherheit, S. 315. 357 Der Advanced Encryption Standard (AES) wurde vom National Institute of Standards and Technology (NIST) bekanntgegeben und wird auch als Rijndael-Algorithmus bezeichnet, vgl. zur Entstehungsgeschichte Jamil, The Rijndael algorithm, Potentials, IEEE 2004, Vol. 23. 358 Eckert, IT-Sicherheit, S. 326; zu einem Meet-in-the-Middle-Angriff auf AES, Bogdanov/ Khovratovich/Rechberger, Biclique Cryptanalysis of the Full AES, 2011, a. u. http://research. microsoft.com/en-us/projects/cryptanalysis/aesbc.pdf. 359 Eckert, IT-Sicherheit, S. 327. 360 Brunst, Anonymität im Internet, S. 173. 361 Eckert, IT-Sicherheit, S. 328. 362 Zur sog. Public-Key-Infrastruktur, Eckert, IT-Sicherheit, S. 395 ff. 363 Eckert, IT-Sicherheit, S.  328 f.; der sog. Einwegfunktion liegt ein zahlentheoretisches Problem zugrunde, wonach sich die sog. diskrete Exponentialfunktion leicht i. S. d. Komplexitätstheorie leicht berechnen lasse. Der diskrete Logarithmus sei allerdings praktisch unmög 355

II. Empfehlungen zum Datenschutz durch Technikgestaltung

323

Verschlüsselung kommt bspw. in Form des sog. RSA-Verfahrens in SSL-fähigen WWW-Browsern vor und wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) verwendet.364 Über asymmetrisch verschlüsselte Webverbindungen können Sender und Empfänger einer Nachricht vertraulich kommunizieren, wenn sie sich (technisch) auf ein Verfahren geeinigt haben. Im Internet ist dazu das Hypertext Transfer Protokoll (HTTP) mit der Erweiterung des Transport Layer Security365 (TLS) weit verbreitet (sog. Hypertext Transfer Protokoll Secure). Eine TLS-verschlüsselte Verbindung kann im Browser anhand des „https://“ in einer URL, anhand eines Schlosssymbols im Browserrahmen oder anhand einer farblich hervorgehobenen Adressleiste des Browsers erkannt werden.366 Bei einer TLS-verschlüsselten Verbindung wird zunächst eine asymmetrisch verschlüsselte Verbindung aufgebaut und ein symmetrischer Schlüssel erzeugt und zwischen den Parteien ausgetauscht. Im Anschluss daran werden alle Daten, die über diese Verbindung übertragen werden, verschlüsselt.367 Eine TLS-verschlüsselte Verbindung kostet IT-Ressourcen und ist daher in der Regel nur dann verfügbar, wenn Transaktionsdaten, bspw. die Kreditkarteninformationen oder Log-in-Daten bei elektronischen Kommunikationsmitteln368, übertragen werden sollen. Die Verfahren AES und RSA eignen sich zur Absicherung von Punkt-zu-PunktVerbindungen. Im Bereich des Cloud Computings können diese Verfahren zur Absicherung eines Portals eingesetzt werden, um z. B. einen Log-in-Vorgang oder die Übertragung kleiner Datenmengen abzusichern. Mit einer asymmetrischen Verschlüsselung können u. a. die Vertraulichkeit, Integrität und Authentizität der Kommunikation mit der Cloud gewährleistet werden.369

lich zu berechnen, sofern die eingesetzten Zahlen groß genug sind (bspw. eine binäre Länge von 1024 bis 2048 Bit). Auf dieser Basis wurde der sog. Diffie-Hellmann-Schlüsselaustausch entwickelt, bei dem der öffentliche Schlüssel nicht geheim übermittelt werden muss, vertiefend Schwenk, Sicherheit und Kryptografie im Internet, S. 14. 364 Eckert, IT-Sicherheit, S. 331. 365 Transport Layer Security (TLS) und Secure Sockets Layer (SSL) stehen begrifflich miteinander in Beziehung. TLS ist eine Weiterentwicklung von SSL, wobei der Begriffsänderung lediglich eine Klarstellungsfunktion zukommt. Bereits 1999 wurde SSL in TLS umbenannt, Ziegler, Netzwerkangriffe, S. 125. 366 Request for Comment 2818. 367 Brunst, Anonymität im Internet, S. 174. 368 Die TLS-Verschlüsselung kommt zumeist bei der Absicherung von E-Mail-Konten und stets beim E-Postbrief der Deutschen Post AG zur Anwendung, Viola, eGovernment Computing, Beitrag v. 19.07.2010, a. u. http://www.egovernment-computing.de/kommunikation/ articles/273861/. Im Rahmen der De-Mail ist der Provider gem. § 4 Abs. 1 De-Mail-G dazu verpflichtet, eine sichere Anmeldung unter Verwendung von „zwei geeignete[n] und voneinander unabhängige[n] Sicherungsmittel[n]“ zu gewährleisten, vgl. Roßnagel, NJW 2011, 1473 (1475). 369 Brenner/Wiebelitz/Voigt et al., Secret Program Execution in the Cloud Applying Homomorphic Encryption, 114 (117).

324

D. Schutz der informationellen Selbstbestimmung

Innerhalb der Cloud werden die Daten jedoch unverschlüsselt gespeichert und verarbeitet. Eine Verschlüsselung von personenbezogenen Daten wird bei kleinen Datenmengen in Gestalt von „https://“ oder bei großen Datenmengen über ein Virtual Private Network (VPN) sichergestellt. Während der Speicherung und Verarbeitung könnten nicht nur die Beschäftigten des Cloud-Anbieters, sondern auch Dritte, bspw. im Wege von Seitenkanalangriffen370, in der Lage sein, diese Daten zu erheben und weiterzugeben. Diese Verschlüsselungsarten sind daher nur geeignet, bestimmte Übertragungswege abzusichern und somit die Datensicherheit teilweise zu erhöhen. Zum Ausschluss des Datenschutzrechts durch Anonymisierung sind diese Verfahren nicht tauglich. Im Kern muss der Cloud-Kunde, der keine Kenntnis über den Ort der Datenverarbeitung und über ggf. vorhandene Sicherheitslücken hat, auf die Rechtmäßigkeit und Sicherheit der Datenverarbeitung und die Einhaltung der Benachrichtigungspflichten vertrauen.371 Abhilfe verspricht der Forschungsansatz der homomorphen Verschlüsselung. (2) Anonymisierung durch homomorphe Verschlüsselung Ein Homomorphismus beschreibt in der Mathematik eine strukturerhaltende Abbildung zwischen zwei algebraischen Strukturen.372 Dabei wird eine algebraische Struktur A in eine zweite algebraische Struktur B gleichwertig transformiert.373 Mit der Anwendung des Homomorphismus auf Verschlüsselungsverfahren gelingt es, die gleiche mathematische Operation bei einem unverschlüsselten und einem verschlüsselten Text mit dem gleichen Ergebnis vorzunehmen. Bestimmte Formen der homomorphen Verschlüsselung erlauben nur die Multiplikation als Operation und führen nach einer Vielzahl von Anwendungen zu Un­ genauigkeiten, sog. Rauschen.374 Dieses Verfahren wird als teilweise homomorphe Verschlüsselung (somewhat homomorphic schemes) bezeichnet, die auch im RSA zur Anwendung kommt.

370

Vertiefend zu Seitenkanalangriffen, s. oben, S. 111 ff. Die Vertrauenswürdigkeit des Cloud-Anbieters und das weitergehende Vertrauen, das der Cloud-Anwender aufbringt, sind nichtsdestoweniger ausschlaggebende Faktoren für den Erfolg des IT-Outsourcings auf der Basis von Cloud Computing Konzepten, vgl. Heckmann in: jurisPK-Internetrecht, Kap. 9, Rn. 684 f.; Heckmann, K&R 2010, 1 (6); Heckmann, Der Bayerische Bürgermeister 9/2011, 302 (303). 372 „A homomorphism is a structure-preserving transformation between two sets, where an operation on two members in the first set is preserved in the second set on the corresponding members.“ Brenner/Wiebelitz/Voigt et al., Secret Program Execution in the Cloud Applying Homomorphic Encryption, S. 114 (115). 373 Zum Homomorphismus, Ehrig/Mahr/Cornelius et. al., Mathematisch-strukturelle Grundlagen der Informatik, S. 137 ff. 374 Dieses Rauschen (engl. „noise”) sind Zeichen oder Zahlen, die durch eine Multiplikation entstehen und mit jeder Operation stetig zunehmen. Sobald das Rauschen bestimmte mathematische Grenzen übersteigt, können Krypotexte nicht mehr entschlüsselt werden. 371

II. Empfehlungen zum Datenschutz durch Technikgestaltung

325

Bis zum Jahr 2009 bestand die Herausforderung darin, einen Algorithmus zu finden, der eine vollhomomorphe Verschlüsselung (fully homomorphic schemes) ermöglicht. Die Existenz von vollhomomorphen Verschlüsselungsverfahren wurde erstmals von Rivest, Adleman und Dertouzos vermutet, die das asymmetrische kryptografische Verfahren RSA im Jahr 1978 veröffentlichten.375 Der wissenschaftliche Durchbruch gelang Gentry, der ein vollhomomorphes Verschlüsselungsverfahren mit seiner Dissertation veröffentlichte. Unter einer vollhomomorphen Verschlüsselung wird ein Verfahren verstanden, bei dem mit einer Kombination von homomorphen Operationen jeder mögliche Verarbeitungsvorgang (Multiplikation und Addition) einer berechenbaren Funktion durchgeführt werden kann, ohne dass der Kryptotext dazu entschlüsselt werden muss. Wenn der Kryptotext, der das Ergebnis der Operation bildet, entschlüsselt wird, kommt dasselbe Ergebnis heraus, wie wenn diese Operation mit unverschlüsseltem Klartext vorgenommen worden wäre.376 Die Schlüsselentdeckung von Gentry besteht in der Erfindung eines Verfahrens377, bei dem das nach jeder Operation entstandene Rauschen eliminiert wird und damit unbegrenzt viele Operationen durchgeführt und später wieder entschlüsselt werden können. Bei einer vollhomomorphen Verschlüsselung gibt es daher nicht die Gefahr, dass eine Entschlüsselung durch fehlerhaft hinzugefügte Parameter (Rauschen) zu einem späteren Zeitpunkt unmöglich wird. Einer vollhomomorphen Verschlüsselung wird daher das Potenzial zugemessen, die Datensicherheit grundlegend zu verändern. Cloud-Service-Provider könnten ihren Kunden einen vollständigen Vertraulichkeitsschutz ihrer Daten anbieten. Dieser Schutz würde sich nicht nur auf den Kommunikationsweg, sondern auch auf die Datenverarbeitung in der Cloud erstrecken. Auf den (virtuellen) Servern der Cloud-Service-Provider können personenbezogene Daten der Cloud-Kunden bzw. von Betroffenen voll verschlüsselt verarbeitet werden, ohne dass sie umgeschlüsselt werden müssen. Weder die Beschäftigten des Cloud-Service-Providers, Unterauftragnehmer oder sonstige Dritte können die Daten entschlüsseln. Da diese Daten nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft entschlüsselt werden können, handelt es sich dabei für die verantwortliche Stelle um Daten ohne Personenbezug, die nicht dem Anwendungsbereich des BDSG unterliegen.

375

Rivest, Adleman und Dertouzos stellten klar, dass ein vollhomomorphes Verschlüsselungsverfahren bzw. nach ihrer Diktion ein Datenschutz-Homomorphismus (engl. „privacy homomorphism“), der mit großen Zahlenmengen arbeiten kann und praxistauglich ist, erst noch gefunden werden müsse, vgl. Rivest/Adleman/Dertouzos, On data banks and privacy homomorphism, 169 (177). 376 Rivest/Adleman/Dertouzos, On data banks and privacy homomorphism, 169 (177). 377 Gentry bezeichnet das Verfahren als „Recypt“-Algorithmus, der auf der Basis von teilweise homomorpher Verschlüsselung arbeitet, vgl. Gentry, A Fully Homomorphic Encryption Scheme, S. 2.

326

D. Schutz der informationellen Selbstbestimmung

Gentrys Ansatz der vollhomomorphen Verschlüsselung wird derzeit als Forschungsansatz bewertet, da er neben revolutionären Vorteilen auch erhebliche Nachteile mit sich bringt. Als problematisch erweist sich bisher insbesondere die Performance, in der die Ver- und Entschlüsselung verarbeitet werden können. Im laufenden Prozess hat sich die vollhomomorphe  – im Gegensatz zur teilweise homomorphen378  – Verschlüsselung bisher als (zu) langsam herausgestellt, um große Datenmengen zeitnah zu verarbeiten.379 Hinzu kommt die Erwägung, dass voll verschlüsselte Clouds rechtmäßigen staatlichen Informationseingriffen entzogen sind.380 In der Gesamtschau handelt es sich bei der (voll-)homomorphen Verschlüsselung nach heutigem Stand der Technik (noch) nicht um eine Maßnahme, mit der sich die Gefährdungslagen für die informationelle Selbstbestimmung in der Cloud restlos beseitigen ließen. Als Minus zur Vollverschlüsselung des Datenverkehrs sind jedoch Anwendungsszenarien denkbar, in denen die homomorphe Verschlüsselung datenschutzfördernd zur Absicherung bestimmter Anwendungen oder von elektronischer Kommunikation zum Einsatz kommen kann. (3) Einsatzszenarien von homomorpher Verschlüsselung im Cloud Computing So könnte eine (voll-)homomorphe Verschlüsselung in einem futuristischen Szenario aus dem Bereich eHealth den Schutz von sensiblen Gesundheitsdaten absichern.381 Zum Beispiel könnten Gesundheitsdaten eines Patienten in einer Private Cloud verschlüsselt von Gesundheitsversorgern (z. B. Krankenhäusern oder Ärzten) zusammengeführt werden. Die Zugriffsberechtigungen (Lese- und Schreibberechtigungen, Suchanfragen etc.) werden vom Patienten über ein Schlüsselverfahren erteilt. Die (voll-)homomorphe Verschlüsselung ermöglicht eine fortlaufende, allgegenwärtige Datenverarbeitung unter Verwendung gegenwärtig vom Patienten direkt erhobener medizinischer Werte. Diese ubiquitäre, verschlüsselte Datenverarbeitung soll vernetzte Geräte ohne Unterbrechung mit Informationen,

378 Die teilweise homomorphe Verschlüsselung bietet gegenüber der vollhomomorphen Verschlüsselung den Vorteil, dass sie schneller verarbeitet werden kann, vgl. Lauter/Naehrig/ Vaikuntanathan, Can Homomorphic Encryption be Practical? Beitrag v. 06.05.2011, a. u. http://research.microsoft.com/apps/pubs/default.aspx?id=148825. 379 Eine sog. Blockverschlüsselung wie z. B. AES ist typischerweise 100 Mal schneller als eine RSA-Verschlüsselung und 2000 Mal schneller als eine RSA-Entschlüsselung mit einer Geschwindigkeit von 60 MB/s auf einer durchschnittlichen Plattform, Fontaine/Galand, A Survey of Homomorphic Encryption for Nonspecialists, S. 2. 380 Vgl. Morrill, CloudAve, Beitrag v. 10.08.2011, a. u. http://www.cloudave.com/14257/ homomorphic-encryption-for-cloud-computing/. 381 Vgl. Lauter/Naehrig/Vaikuntanathan, Can Homomorphic Encryption be Practical?, Beitrag v. 06.05.2011, a. u. http://research.microsoft.com/apps/pubs/default.aspx?id=148825.

II. Empfehlungen zum Datenschutz durch Technikgestaltung

327

Analysen und Empfehlungen versorgen, um zum Wohl des Patienten einen Krankheitsverlauf besser einschätzen zu können. Ein weiteres Einsatzszenario ist im Bereich von Social-Media-Marketing denkbar.382 Ein Werbeunternehmen, z. B. ein Kosmetik-Hersteller, benötigt Kontextinformationen über seine potenziellen Kunden, um die Werbung zielgruppenspezifisch zu gestalten. Kontextinformationen können bspw. Daten zum Aufenthaltsort und zum Nutzungs- oder Kommunikationsverhalten sein. Die Zukunft des Mobile Computings könnte so aussehen, dass Mobiltelefone fortlaufend Fotografien oder Videos von Objekten oder Menschen, die für den Nutzer interessant sind – bspw. weil er sie in Facebook geteilt oder „gelikt“ hat – in eine Cloud des Mobilfunkanbieters hochladen und verarbeiten. In diese Richtung zielt bereits die von Google im Jahr 2013 vorgestellte Datenbrille „Google Glass“. Zum Schutz der informationellen Selbstbestimmung des Betroffenen könnten diese Daten (voll-)homomorph verschlüsselt übermittelt und verarbeitet werden. Alle über ihn in der Cloud des Mobilfunkbetreibers zur Verfügung stehenden personenbezogenen Daten werden voll verschlüsselt an den Werbedienstleister zur weiteren Analyse und Verarbeitung übermittelt. Auf den Servern des Werbeunternehmens werden verschlüsselte Daten weiterverarbeitet und anhand einer Funktion wird entschieden, welche verschlüsselte Werbung an den Betroffenen gesendet wird. Der Betroffene kann die Werbung entschlüsseln. Diese Konstellation hat den Vorteil, dass der Werbeunternehmer alle Kontextdaten ohne deren inhaltliche Kenntnisnahme verarbeiten und seine Werbung schalten kann und die informationelle Selbstbestimmung des Betroffenen unberührt bleibt, da keine personenbezogenen Daten weitergegeben werden. (4) Eigene Stellungnahme Die Verschlüsselung von elektronischer Kommunikation gehört zu den datenschutzfördernden Maßnahmen, die den lediglich normativen Schutz der informationellen Selbstbestimmung unterstützen. Symmetrische und asymmetrische Verschlüsselungsverfahren schaffen ein Schutzschild gegen Angreifer aus dem Internet, gegen die die Geltendmachung von Unterlassungs- oder Schadensersatzansprüchen wenig Erfolg versprechend ist. Die voll verschlüsselte Cloud unter Verwendung von vollhomomorpher Verschlüsselung ist ein vielversprechender Ansatz, die Datensicherheit zu verbessern oder datenschutzrechtliche Probleme durch den Ausschluss des Personenbezugs zu vermeiden.

382 Ähnlich vgl. Lauter/Naehrig/Vaikuntanathan, Can Homomorphic Encryption be Practical?, Beitrag v. 06.05.2011, a. u. http://research.microsoft.com/apps/pubs/default.aspx?id=148825.

328

D. Schutz der informationellen Selbstbestimmung

2. Sozialvernetzte Datenverarbeitung a) Selbstbestimmung Mit der Registrierung eines Nutzerkontos unternimmt der Betroffene die ersten datenschutzrechtlich relevanten Schritte in einem Sozialen Netzwerk. Die Ausübung seiner informationellen Selbstbestimmung gipfelt jedoch nicht in der Abgabe seiner Einwilligung in die Datenverarbeitung. Welche Profil- und Inhaltsdaten in einem Sozialen Netzwerk gespeichert werden, ist in der Phase der Erstkonfiguration eines Kontos der Entscheidung des Betroffenen überlassen. Die verantwortliche Stelle hält dazu formularmäßige Eingabefelder und Strukturen bereit. Mit dem Beginn der sozialen Interaktion, bspw. der Annahme von Freundschaften, der Zuordnung von Medieninhalten zu Profilinhabern („Tagging“) oder der Nutzung von eingebetteten Kommunikationsdiensten, wächst der Schutzbedarf des Betroffenen. Es muss dem Nutzer möglich sein, innerhalb eines Sozialen Netzwerks selbst bestimmen zu können, welchen Empfängern welche personenbezogene Daten übermittelt werden. Der Einzelne muss seine „digitale Identität“ kontrollieren können.383 Dazu sind Anwendungen oder Konfigurationsmöglichkeiten nötig, die ein „Identity Management System“ verwirklichen, mit dessen Hilfe der Nutzer in unterschiedlichen „virtuellen Handlungszusammenhängen“ unterschiedlich in Erscheinung treten kann.384 Während Datenschutzeinstellungen zu Beginn der sozialen Vernetzung in den jeweiligen Diensten nicht oder nur rudimentär implementiert waren, ermöglichen heute die meisten Sozialen Netzwerke eine individuelle Konfiguration von Zugriffsrechten und Empfängerkreisen. Um den Herausforderungen gerecht zu werden, die sich der effektiven Ausübung der informationellen Selbstbestimmung im Internet stellen, sollten die Datenschutz­ einstellungen diesen Zielvorgaben entsprechen: Es bedarf eines sinnvoll auf die Datenverarbeitung abgestimmten, effektiven Einwilligungsmanagements.385 Welche Einwilligungen in welche Datenverarbeitungen erteilt worden sind und welche Rechtsfolgen der Widerruf der Einwilligung hat, könnte dem Nutzer anhand eines Baumdiagramms visualisiert werden. Dies schafft zudem Transparenz. Der Betroffene sollte bestimmen können, wer aus dem Kreis der anderen Nutzer welche Informationen über ihn in Erfahrung bringen kann. Das Soziale Netzwerk könnte voreingestellte Empfängerkreise, bspw. eine öffentliche, soziale oder zweckgebundene und eine private Sphären anbieten, um die Zuordnung zu erleichtern. Diese Kreise sollten um individuell definierbare Kreise, bspw. „Familien­ angehörige“ und „Enge Freunde“, erweiterbar sein können. Alle Informationsfelder 383

Heckmann, K&R 2010, 770 (776). Heckmann, K&R 2010, 770 (776). 385 Dies fordert auch Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 72. 384

II. Empfehlungen zum Datenschutz durch Technikgestaltung

329

eines Profils sollten individuell konfigurierbar sein und nicht, wie teilweise bei Facebook, strengen Restriktionen nach dem „Alles-oder-Nichts-Prinzip“ unterliegen. Datenschutzeinstellungen sollten stets leicht auffindbar, nachvollziehbar, zuverlässig umsetzbar, transparent und nachprüfbar sein. Zur Kontrolle der Datenschutzeinstellungen könnten, wie bspw. bei Facebook bereits implementiert, Funktionen vorgesehen werden, die das eigene Profil oder bestimmte Informationen aus der Sicht eines Dritten anzeigen lassen. Dieser objektive Empfängerhorizont sollte vom Betroffenen frei wählbar sein. Hilfreich, nicht zuletzt zur Schaffung von Transparenz, wäre auch die Möglichkeit, eigene Informationen aus der Sicht der verantwortlichen Stelle oder eines sonstigen Empfängers dastellen zu lassen. Zum Schutz von Kindern sollten besondere Default-Einstellungen eingerichtet sein, die es ihnen – bspw. geordnet nach bestimmten Altersgruppen – unmöglich machen, besonders risikoreiche Nutzungshandlungen zu unternehmen, oder die diese bspw. mit einer entsprechenden Visualisierung nachvollziehbar und altersgerecht warnen. Dazu gehören z. B. der Aufruf zu öffentlichen Veranstaltungen oder die Preisgabe von (privaten) personenbezogenen Informationen für die Öffentlichkeit oder einen unüberschaubaren Personenkreis (bspw. „Freunde-vonFreunden“). Um die unberechtigte Preisgabe von Informationen über Dritte zu erschweren, könnten Funktionen zur Verlinkung von Inhalten mit anderen Profilinhabern stets unter Einwilligungsvorbehalt gestellt werden. Soll bspw. eine Person auf einem Bild oder über ein Mobiltelefon an einem Ort (sog. Check-ins) markiert werden, so wird die Verlinkung erst dann umgesetzt und visualisiert, wenn der Markierte seine Einwilligung erteilt hat. Dies sollte insbesondere für Minderjährige gelten. Eine weitergehende Unkenntlichmachung von Gesichtsbildern, bspw. durch sog. Blurring, ist jedoch unverhältnismäßig aufwendig und erfordert zudem die Erhebung und Verarbeitung biometrischer Gesichtsdaten von Betroffenen. Im Rahmen der Bestands- und Inhaltsdaten sollte auf die Verarbeitung von besonders sensiblen Daten verzichtet werden. Informationen, die einen zumindest mittleren Schutzbedarf aufweisen, dies wäre im Rahmen einer Datenschutz-Folgenabschätzung zu bemessen, sollten nur für den kleinstmöglichen Personenkreis sichtbar sein, bspw. Adress- und Kontaktdaten, um Kinder vor Missbrauch zu schützen. Soziale Netzwerke könnten z. B. auf Eingabefelder zu Religion und politischen Parteien von vornherein verzichten. b) Transparenz Bei der funktionalen Vernetzung beschränkt sich das Transparenzgebot nicht auf die Erläuterung der technischen Strukturen und der Zusammenhänge der Datenverarbeitungsanlagen. Der Betroffene muss vor Beginn der Nutzung (§ 13 Abs.  1 TMG) anhand leicht zugänglicher und einfach verständlicher Informa-

330

D. Schutz der informationellen Selbstbestimmung

tionen in die Lage versetzt werden, die technische und funktionale Ebene des Sozialen Netzwerks verstehen zu können.386 Ohne entsprechende Informationen ist es dem Betroffenen unmöglich, das Sicherheitsniveau des Sozialen Netzwerks beurteilen zu können, um eine hinreichend informierte Einwilligung zu erteilen.387 Neben den technischen Grundlagen der Sozialen Netzwerke bedarf es also auch leicht zugänglicher und verständlicher Informationen über Art, Umfang und Zwecke der Datenverarbeitung auf der Anwendungsebene. Diese lassen sich thematisch nach Stellen bzw. Akteuren differenzieren. In erster Linie muss Klarheit über die Datenverarbeitung des Diensteanbieters hergestellt werden. Anhand von Netzdiagrammen, Zeitstrahlen, Mindmap-Visualisierungen oder Iconsets könnten Erhebungs-, Speicherungs-, Weiterverarbeitungs-, Übermittlungs- oder Abrufphasen erläutert werden. Transparenz im Verhältnis des Betroffenen zur verantwortlichen Stelle ist allein schon deshalb erforderlich, um den Plug-and-Play-Fallen entgegenzuwirken und die Datenschutz- und Selbstschutzkompetenz des Betroffenen zu stärken.388 Ergänzend kann Transparenz über die Erteilung einer Auskunft bewirkt werden. Die Auskunft müsste elektronisch abrufbar sein und eine leicht verständliche, ggf. kommentierte Zusammenstellung an Daten enthalten, die die verantwortliche Stelle über den Betroffenen gespeichert hat. In einer entsprechenden Zusammenstellung müssten die gespeicherten Daten sowie Art, Umfang und Zwecke der Datenverabeitung vollständig dargestellt und so aufbereitet werden, dass der Betroffene leicht nachvollziehen kann, wie mit Daten umgegangen wird. Zum Schutz der informationellen Selbstbestimmung ist ferner (mehr) Transparenz bei der Übermittlung von Daten an andere Nutzer erforderlich. Bei Facebook wurde der Versuch unternommen, anhand eines sog. Aktivitätenprotokolls nachvollziehbar zu machen, welche Nutzungshandlungen vorgenommen wurden. Das Aktivitätenprotokoll erlaubt ferner, die Sichtbarkeit der Inhalte zu überprüfen und zu bestimmen, ob diese in der Chronik angezeigt werden sollen. Dieses Aktivitätenprotokoll visualisiert dem Betroffenen auf einfache Weise, welche datenschutzrechtlich relevanten Nutzungshandlungen er vorgenommen hat. Der Betroffene müsste aber in einer entsprechenden Darstellung nicht nur die Nutzungshandlungen überprüfen, sondern auch erkennen können, welche Daten er zu welchem Zeitpunkt preisgegeben hat und welche datenschutzrechtlich relevanten Handlungen damit in Verbindung stehen, bspw. ob ein hochgeladenes Bild von anderen betrachtet, geteilt, empfohlen oder verlinkt wurde. Um in Erfahrung zu bringen, für wen welche Informationen über den Betroffenen sichtbar sind, wurde bei Facebook die Datenschutz-Funktion „Anzeigen aus der Sicht von …“ eingeführt, die dem Betroffenen ermöglicht, sein Profil aus Sicht 386

Vgl. Düsseldorfer Kreis, Beschl. v. 08.12.2011, S. 1. Vgl. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rn. 72. 388 Zur Gefährdungslage, s. oben, S. 167. 387

II. Empfehlungen zum Datenschutz durch Technikgestaltung

331

einer bestimmten Person zu betrachten.389 Diese Funktion schafft Transparenz und erleichtert die individuelle Anpassung der Datenschutzeinstellungen im Hinblick auf Empfängerkreise. Anstatt nur Einblicke zu liefern, sollte diese Funktion um eine Anwendungsebene mit Datenschutzeinstellungen erweitert werden. Diese Anwendungsebene könnte einfache, intuitiv bedienbare Konfigurationsmöglichkeiten enthalten, die den Schutz der informationellen Selbstbestimmung ohne weitere Zwischenschritte verbessern. Schließlich müsste auch Klarheit darüber bestehen, welche Daten zu welchen Zwecken und in welchem Umfang an andere Stellen, bspw. App-Diensteanbieter oder Werbedienstleister, übermittelt werden. Eine Funktion, die den an eine andere Stelle übermittelten Datenbestand über den Betroffenen wie „Anzeigen aus der Sicht von …“ visualisiert, könnte hilfreich sein. Sternförmige Diagramme oder Mindmaps können den Datenfluss zwischen den jeweiligen Parteien oder Orten, aber auch die erforderlichen oder erteilten Zugriffsrechte verdeutlichen. Einen im Ergebnis interessanten Ansatz verfolgt der Diensteanbieter Secure. me. Hier werden Web- oder Facebook-Apps auf ihre Anforderungen an die Zugriffsrechte analysiert und in Form eines Prüfungsberichts leicht verständlich erklärt.390 Dieser Ansatz könnte für die Datenschutzeinstellungen und das AppZentrum von Sozialen Netzwerken fruchtbar gemacht werden, wobei dem Nutzer zugleich der Widerruf seiner Einwilligung möglich sein sollte. Transparente Erläuterungen sind zudem auch in Bezug auf die Funktionsweise von Datenschutzeinstellungen und die bewussten Einschränkungen seitens der verantwortlichen Stelle erforderlich, bspw. dass Profilnamen bei Facebook stets öffentlich sichtbar sein müssen. Das Identitätsmanagement, das die Abrufbarkeit von Daten über Empfängerkreise, wie bspw. „Enge Freunde“, regelt, sollte hinreichend erläutert werden. Dies ist nicht nur ein Gebot der Fairness des Dienste­ anbieters, sondern kann als eine für die Vertrauensbildung wertvolle Maßnahme bewertet werden. c) Datenschutz durch Technik aa) Sichere Authentifikation Die Authentifikation bei Internetportalen erfolgt im Regelfall über die Eingabe von Benutzername und Passwort. Diese Daten werden mit jenen, die vorab bei der Registrierung eines Nutzerkontos vereinbart wurden, abgeglichen. Zum Schutz der Vertraulichkeit der Authentifikationsdaten kann der Übertragungskanal bspw. über eine SSL-Verschlüsselung abgesichert werden.391 389

Bager/Braun, c’t, 5/12, a. u. http://heise.de/-1427648. Secure.me, a. u. https://apps.secure.me/. 391 Zu den Verschlüsselungsverfahren, s. oben, S. 321. 390

332

D. Schutz der informationellen Selbstbestimmung

Neben passwortbasierten Authentifikationsverfahren sind weitere Verfahren denkbar. Anstelle von Passwörtern oder PIN könnte das Anmeldeverfahren davon abhängig gemacht werden, dass der Nutzer visuelle Inhalte richtig zuordnet. In der Vergangenheit kam bei Facebook ein Verfahren zum Einsatz, bei dem der Betroffene einer zufälligen Auswahl an Profilbildern einiger seiner Freunde den jeweiligen Namen zuordnen musste. Auf diese Authentifikation griff Facebook dann zurück, wenn das Intrusion-Detection-System einen unberechtigten Kontozugriff vermutete. Problematisch ist hier, dass die Zuordnung von Namen zu Profilbildern für den Betroffenen (zu) schwierig sein kann, um ein geeignetes Verfahren zu sein. Das gilt gerade dann, wenn der Nutzer seine Freunde nicht (gut genug) erkennt, diese ggf. häufig ihr Profilbild wechseln oder tatsächlich kein Gesicht abgebildet ist. Ferner könnte selbst die auf den Betroffenen anhand dessen Freundesliste individualisierte und zufällige Auswahl an Profilbildern auch von einem Dritten zugeordnet werden, der die Freunde persönlich kennt oder über entsprechende Kenntnisse verfügt. Authentifikationsmaßnahmen, bei denen Profilbildern von Freunden deren richtige Namen zugeordnet werden müssen, versprechen daher kein geeignetes Sicherheitsniveau, das die Eingabe eines Geheimnisses ersetzen könnte. Etwas anderes gilt dann, wenn die Authentifikation über eine vorab vereinbarte Anordnung von Bildern erfolgt. Hier werden dem Nutzer ggf. individuell hochgeladene Bilder oder Symbole angezeigt, die dieser per Mausklick in die richtige Anordnung bringen muss – dieser Ansatz verspricht eine Erhöhung der IT-Sicherheit, da es für Dritte schwierig ist, die richtige Kombination zu erraten.

bb) Schutz vor rechtswidriger Vervielfältigung von Bildern Alle elektronisch gespeicherten Daten, die in einem Nutzerprofil lesbar, sichtbar oder sonst abrufbar sind, können automatisiert (durch sog. Bots oder Suchmaschinen-Crawler) oder manuell erhoben, gespeichert, kopiert und weitergegeben werden. Dem Betroffenen droht nicht nur der Verlust der Kontrolle über seine informationelle Selbstbestimmung. Je nach dem, welche Informationsinhalte durch Datenschutzverletzungen betroffen sind, können nachhaltige oder intensive Eingriffe in die Intim- oder Privatsphäre des Betroffenen möglich sein. Nicht ausgeschlossen ist ferner, dass vollständige Kopien eines Facebook-Profils innerhalb des Netzwerks oder in anderen Sozialen Netzwerken erstellt und genutzt werden. Solche Fake-Profile können zur sozialen Manipulation von Personen ausgenutzt werden, die auf die Echtheit der Identität des Kommunikationspartners vertrauen (Social Engineering). Zur Vervielfältigung von Daten bieten sich dem Handelnden verschiedene Möglichkeiten. In HTML-Webseiten eingebettete Objekte, wie bspw. Bilder, sind im Regelfall per Mausklick auswähl- und speicherbar. Alle für den Handelnden sichtbare Medieninhalte können über die Funktion des Bildschirmdrucks als statische

II. Empfehlungen zum Datenschutz durch Technikgestaltung

333

Abbildungen zwischengespeichert werden. Darüber hinaus können sichtbare Inhalte einer Webseite mit anderen Medien, bspw. einer Digitalkamera, erhoben und gespeichert werden. Zum Schutz der Vertraulichkeit von Fotos könnten diese auch im Wege einer zusätzlichen technischen Lösung als verschwommen bzw. unscharf dargestellt werden. Diese Vorgehensweise ist bereits aus dem Straßenpanoramadienst Google Street View bekannt. Im Zuge der Erfassung von Straßenrundumansichten durch Aufnahmefahrzeuge wurden zahllose natürliche Personen abgebildet, deren Gesichter teilweise so gut erkennbar sind, dass der Personenbezug ihrer Abbildungen diskussionswürdig ist.392 Mit einem als sog. Blurring bekannt gewordenen, überwiegend automatisierten Verfahren hat Google Gesichtsabbildungen auf diesen Aufnahmen identifiziert und diese optisch mit einem Unschärfe-Filter derart modifiziert, dass sie nicht mehr erkennbar sind. Einen vergleichbaren Schutz bietet eine App der Firma McAfee. Fotografien, die bei Facebook gespeichert sind, sollen mit einem ähnlichen Verfahren verändert werden können. Nur Nutzer, die ebenfalls diese App installiert haben und denen der Betroffene die Zugriffsrechte auf seine Bilder erteilt hat, können diese wahrnehmen.393 cc) Schutz vor Identitätsdiebstahl (1) Session-Management Zum Schutz vor Identitätsdiebstahl kann ein Soziales Netzwerk die Sessions visualisieren, die sich anhand von Cookies, IP-Adressen, Einwahlorten und Informationen zum Browser Fingerprint eingrenzen lassen. Unter der Rubrik „Sicherheit“ ermöglicht Facebook, die aktiven oder bereits abgeschlossenen Sessions einzusehen und ggf. zu beenden. Sessions, die von unbekannten Geräten oder Einwahlorten vorgenommen werden, können Indizien für unberechtigte Zugriffe Dritter auf ein Nutzerkonto liefern. Die von Facebook bereitgestellte Übersicht enthält kaum Informationen über die Sessions und keine Hinweise, welche weiteren Maßnahmen zum Selbstschutz vorgenommen werden können. Darüber hinaus könnte ein Nutzer in regelmäßigen Abständen an eine Erneuerung seines Passworts erinnert werden. Das Session-Management gibt dem Nutzer Basisinformationen über mögliche Fremdzugriffe auf sein Profil. Darüber hinausgehend erhält der Nutzer keine Empfehlungen, wie er sich vor Zugriffen Dritter besser schützen kann. Das Session-Management müsste hier weiter ausgebaut werden, um tatsächliche rechts-

392

Maisch/Albrecht, jurisAnwZert ITR 2/2010, Anm. 2. Sebayang, Golem.de, Beitrag v. 12.09.2012, a. u. http://www.golem.de/news/social-protec tion-mcafee-sichert-facebook-bilder-mit-virtuellem-kondom-1209–94519.html. 393

334

D. Schutz der informationellen Selbstbestimmung

widrige Angriffe identifizieren und ausschließen zu können. Datenschutzfördernd wäre ferner eine automatische Überwachung der Sessions seitens der verantwortlichen Stelle. Sollte die Stelle Angriffe Dritter, bspw. anhand von IP-Geodatentracking, feststellen, sollte der Nutzer auf einem anderen Kanal als über die Plattform, bspw. per SMS oder E-Mail, kontaktiert und zur Vornahme entsprechender Selbstschutzmaßnahmen aufgefordert werden. (2) Sicherheitsfragen und Benachrichtigungen Facebook räumt seinen Nutzern ein, durch optionale Sicherheitsmaßnahmen das Schutzniveau der Authentifizierung zu erhöhen. Durch die Voreinstellung einer Sicherheitsfrage, einer Anmeldebenachrichtigung und einer Anmeldebestätigung kann der Nutzer die Zugriffe auf sein Mitgliedskonto weiter einschränken. Unberechtigte Zugriffsversuche werden über das Session-Management offen­ gelegt und versetzen den Nutzer in die Lage, weitere Schutzmaßnahmen, bspw. ein neues, längeres Passwort etc., zu wählen oder unverschlüsselte Übertragungswege zu vermeiden. Anstelle von Sicherheitsfragen könnte dem Nutzer die Auswahl „vertrauenswürdiger Freunde“ eingeräumt werden, die im Fall eines vergessenen Passworts von der Stelle kontaktiert werden. Diesen „Trusted Friends“ werden Zugangscodes übermittelt, die der Nutzer bei diesen auf anderen Wegen in Erfahrung bringen muss und zur Freischaltung des Mitgliedskontos verifizieren muss.394 (3) Notfallmanagement und Data Breach Notification Ferner sollte dem Nutzer eine Art Alarm-Button zur Verfügung stehen, mit dem er den Diensteanbieter auf schnellem und einfachem Wege über unberechtigte Zugriffe auf sein Konto in Kenntnis setzen kann, um Zugriffe auf das Konto zu sperren. Im Rahmen eines Notfallmanagements müsste der Diensteanbieter die Identität des Nutzers, bspw. über eine vorab gespeicherte Mobiltelefonnummer, verifizieren können, um ihn neue Anmeldedaten generieren zu lassen. Zum Schutz der informationellen Selbstbestimmung der Freunde des Betroffenen könnte ein Notfallsystem die letzten Zugriffe, die über das Nutzerkonto des Betroffenen auf andere Nutzerprofile (mit ggf. nur für den Nutzer sichtbaren Daten) erfolgt sind, ermitteln und diese den Betroffenen automatisch oder mit einer individualisier­ baren Nachricht über mögliche Datenschutzverletzungen zusenden. Gleiches gilt für die Zugriffe auf die Profildaten des Betroffenen, der im Wege eines Notfallmanagement-Systems über unberechtigte Zugriffe auf Profildaten in 394 Dazu Murphy, Mashable.com, Beitrag v. 02.05.2013, a. u. http://mashable.com/2013/05/ 02/facebook-trusted-contacts/.

II. Empfehlungen zum Datenschutz durch Technikgestaltung

335

Kenntnis gesetzt werden sollte. Um einen effektiven Datenschutz zu gewährleisten, sollte diese Benachrichtigung selbst dann erfolgen, wenn die Tatbestandsschwelle des § 42a BDSG noch nicht erreicht ist. Entsprechende Data Breach Notifications verpflichten den Diensteanbieter dazu, den Eingriff und eventuell zu treffende Schutzmaßnahmen zu ermitteln, und sie geben dem Betroffenen transparente Einblicke, welche technisch-organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit vorgenommen werden. Ein derartiges Notfallmanagement kann eine Maßnahme sein, die das Vertrauen der Nutzer in die Zuverlässigkeit des Diensteanbieters bewahrt oder erhöht. Dieses Notfallmanagement könnte ferner automatisiert und nach zu vereinbarenden Standards mit der jeweils zuständigen Aufsichtsbehörde abgestimmt werden, die ebenfalls über eine Datenschutzverletzung benachrichtigt werden könnte. dd) Daten-Lifecycle Die EU-Kommission hatte mit dem „Recht auf Vergessenwerden“ im DSGVO-E den Anstoß gegeben, den Umgang mit personenbezogenen Daten langfristig zu begrenzen. Die Regelungen zum „Recht auf Vergessenwerden“ wurden zwar nicht in den LIBE-Entwurf395 übernommen. Aus technischer Sicht ist es dennoch lohnend, eine Implementierung automatischer Löschungsvorgänge in Er­wägung zu ziehen. Der Begriff „Vergessenwerden“ suggeriert, dass die Löschung von Daten nicht vom Tätigwerden des Betroffenen abhängt, sondern dass sich die Löschung automatisch durch Zeitablauf, nach der Erfüllung eines Zwecks oder aus einem sonstigen Grund vollzieht. Das „Vergessen“ könnte organisatorisch-strategisch durch entsprechende Speicherfristen seitens des Diensteanbieters oder des Nutzers festgelegt werden. Letzterer könnte bspw. ein Fotoalbum bei Facebook so konfigurieren, dass Fotos, deren Speicherdatum länger als ein Jahr zurückliegt, automatisch gelöscht werden. Technisch-organisatorische Maßnahmen zur Umsetzung des Rechts auf Vergessenwerden können sich an dem Konzept des Smart Privacy Managements zur Schaffung einer rechtssicheren Technikgestaltung orientieren, ohne die ein effektiver Datenschutz nicht möglich ist.396 Eine verantwortliche Stelle müsste zunächst sicherstellen, dass personenbezogene Daten zeitlich befristet und zweckgebunden gespeichert werden. Dies entspricht ohnehin dem Zweckbindungsgrundsatz, wonach personenbezogene Daten mit der Erfüllung des Zwecks zu löschen sind, sofern nicht vertragliche oder gesetzliche Aufbewahrungsfristen entgegenstehen. Datenverarbeitungsanlagen sind so zu gestalten, dass die wesentlichen Prinzipien des Datenschutzrechts in technische Abläufe und Funktionen integriert werden (Privacy by Design). Speicherfristen, die vom Diensteanbieter festgelegt werden, sollten zum Schutz der infor 395 396

s. oben, S. 248. Heckmann, K&R 2011, 1 (6); Heckmann, in: jurisPK-Internetrecht, Kap. 9, Rn. 73.

336

D. Schutz der informationellen Selbstbestimmung

mationellen Selbstbestimmung datenschutzfreundlich voreingestellt sein (Privacy by Default). Zumindest als eine Vorstufe zur Löschung könnten bspw. Beiträge in der Chronik eines Facebook-Nutzers nach Ablauf von 12 Monaten nur noch für eine dazu bestimmten, engen Gruppe an Personen (z. B. „Enge Freunde“) sichtbar sein. Zum Schutz von minderjährigen Nutzern sollten Voreinstellungen restriktiver definiert werden (Art. 17 DS-GVO-E) oder Benachrichtigungsmodi enthalten, die den Nutzer nachdrücklich daran erinnern, bestimmte ältere Inhalte zur Löschung freizugeben. Werden bspw. innerhalb des Sozialen Netzwerks keine oder nur eine geringe Anzahl an Zugriffen auf ein Fotoalbum mit personenbezogenen Daten registriert, könnte dieses Verzeichnis von der Stelle zur Löschung vorgeschlagen werden. Der Nutzer bräuchte eine entsprechende Aufforderung mit nur einem Klick zu bestätigen. Im Rahmen eines Daten-Lifecycle-Managements ist der Nutzer ferner in transparenter Weise über die Funktionsweise der Speicherfristen, die festgelegten und individuell bestimmbaren Zeiträume und die Art und Weise der sicheren Löschung zu unterrichten (Privacy by Transparency). Es genügt nicht, den Nutzer bei der Konfiguration der Speicherfristen sich selbst zu überlassen. Vielmehr ist dieser durch FAQs oder Hilfeseiten zu begleiten (Privacy by Assistance). Es sollte ferner die Möglichkeit geben, Speicherfristen abzustimmen oder zu erstellen (Privacy by Adjustment). Dies kann objektübergreifend unter einer Rubrik „Smart Privacy Management“ innerhalb der Seiten zu den Datenschutzeinstellungen oder objektspezifisch gestaltet werden. Das Soziale Netzwerk könnte dem Nutzer ermöglichen, für eigens geschaffene oder gespeicherte Medieninhalte Regeln zu erstellen, wie mit Daten umgegangen werden soll. Ein Foto, das ein Nutzer in Facebook gespeichert hat, könnte von ihm mit einer nur für ihn sichtbaren Markierung versehen werden, bspw. „Party-Foto“. Im Rahmen des Daten-Lifecycle-Managements könnte eine Speicherfrist für dieses bestimmte Foto bestimmt werden oder eine Regel für Fotos mit der Markierung „Party-Foto“ erstellt werden, wie Facebook mit diesen Inhalten verfahren soll. Es könnte festgelegt werden, dass alle Fotos 30 Tage nach dem Erstellungsdatum gelöscht werden sollen. Die Löschung soll aber nicht ohne erneutes Ersuchen einer Einwilligung des Nutzers erfolgen. Das Smart Privacy Management innerhalb von Facebook könnte objektübergreifend in das bestehende sog. Aktivitätenprotokoll397 integriert werden. Hier müsste lediglich neben den vorhandenen Konfigurations-Buttons zu den Datenschutzeinstellungen und den Chronikdarstellungsoptionen ein weiterer Button zur Konfiguration der Speicherfristen implementiert werden.

397

Zum Aktivitätenprotokoll, s. oben, S. 236.

II. Empfehlungen zum Datenschutz durch Technikgestaltung

337

3. Befund zur Technikgestaltung Adäquater Rechtsschutz bei der informationellen Selbstbestimmung kann nur durch eine sichere Technikgestaltung erzielt werden. Die weltweite Daten­ verarbeitung erfordert eine Stärkung der Selbstbestimmung des Cloud-Kunden als Auftraggeber bzw. Betroffener durch transparente Einblicke in die technischen Abläufe und Strukturen und eine hinreichende Umsetzung der Leitlinien von Datenschutz durch Technik. Im Cloud Computing richtet sich der Fokus auf die Verschlüsselung der Datenverarbeitung, die nach gegenwärtiger Rechtslage unter Berücksichtigung der im Einzelfall verwendeten kryptografischen Methoden zu einem Ausschluss des Personenbezugs von Daten führt. Auf verschlüsselte bzw. anonymisierte personenbezogene Daten findet das Datenschutzrecht keine Anwendung. Einen besonders vielversprechenden Forschungsansatz aus der Informatik bildet die sog. homomorphe Verschlüsselung, die die Verarbeitung von Daten ohne Umschlüsselung möglich macht. Die homomorphe Verschlüsselung ermöglicht eine echte, uneingeschränkte Ende-zu-Ende-Verschlüsselung und könnte Cloud-Dienste tatsächlich vertraulich machen, selbst wenn Daten in einer Public Cloud verarbeitet werden. Bei homomorpher Verschlüsselung handelt es sich folglich um das fehlende Puzzle-Teil, das zu einer Evolution der Rechtssicherheit in verteilten Systemen führen könnte. Der sicheren und vertraulichen Public Cloud würde dann nichts mehr im Wege stehen, sofern die Sicherheit der Schlüssel gewährleistet ist. Die sichere Ende-zu-Ende-Verschlüsselung dürfte auch hinreichenden Schutz gegen staatliche Zugriffe auf die Cloud bieten. Auch in der funktionalen Vernetzung bildet die Stärkung der Selbstbestimmung den zentralen Anknüpfungspunkt für Empfehlungen zu Privacy by Design. Es bedarf der Umsetzung eines hinreichenden Identity Managements, um die Entscheidungsfreiheit des Einzelnen zu stärken. Dazu zählen insbesondere eine einfach verständliche, intuitiv bedienbare Konfiguration von Datenschutzeinstellungen und eine Möglichkeit, deren Wirksamkeit zu überprüfen. Als Beispiel kann hier eine Funktion genannt werden, die das eigene Nutzerprofil aus der subjektiven Sicht einer anderen Person und des Diensteanbieters anzeigbar macht. Soziale Netzwerke sind komplexe Anwendungen, deren Gefährdungslagen durch datenschutzfördernde Voreinstellungen, insbesondere für Minderjährige, abgefedert werden müssen. In gleicher Weise wie im Cloud Computing droht der (nachhaltige und eingriffsintensive) Verlust der Datenherrschaft des Betroffenen, wenn er mangels Transparenz die Datenverarbeitung nicht verstehen und deren Risiken nicht abschätzen kann. Datenschutzerklärungen von unzumutbarer Länge schaffen keine Abhilfe – im Gegenteil, mit einfach verständlichen, ggf. durch entsprechende Icon-Sets (also grafischen Symbolen) leichter wahrnehmbaren Erklärungen, Unterrichtungen anhand von audiovisuellen Medien (kurzen Filmclips) oder der Möglichkeit, mit

338

D. Schutz der informationellen Selbstbestimmung

einem Ansprechpartner Kontakt aufzunehmen, könnte ein Beitrag geleistet werden, den Betroffenen effektiv zu informieren. Unter dem Aspekt von Datenschutz durch Technik wurden Maßnahmen zur Verbesserung der Portalsicherheit und zum Schutz vor rechtswidrigen Vervielfältigungen und Identitätsdiebstahl untersucht. Dabei wurde u. a. festgestellt, dass ein Rückgriff auf andere Authentifikationsmittel, bspw. die Zuordnung von Bildern wie bei einem Memory-Spiel anstatt der Eingabe von Passwörtern, einen erheblichen Zuwachs an Datensicherheit bedeuten kann. Soziale Netzwerke, die aufgrund ihrer Datenflut für „Identitätsdiebe“ besonders profitabel sind, müssen durch ein Session-Management, Sicherheitsfragen und Notfallmanagement besonders abgesichert werden. Abschließend wurde anhand von konkreten Beispielen skizziert, wie sich Daten-Lifecycles in Facebook umsetzen ließen – selbst wenn das „Recht auf Vergessenwerden“ aus dem LIBE-Entwurf gestrichen worden ist.

E. Zusammenfassung I. Untersuchungsergebnisse 1. Kapitel „B. Rechtsrahmen des Datenschutzrechts de lege lata“ Das Recht auf informationelle Selbstbestimmung ist der Grundpfeiler des Datenschutzrechts. Das Freiheitsrecht bewahrt den Grundrechtsträger davor, die Herrschaft über seine personenbezogenen Daten zu verlieren. Nach der Vorstellung des BVerfG soll der Einzelne die Fäden in Händen halten, ob, in welchem Umfang und zu welchen Zwecken ein Datenumgang außerhalb gesetzlicher Rechtfertigungstatbestände erfolgen darf.1 Informationelle Selbstbestimmung ist damit die Freiheit, ohne Angst vor unkontrollierbarem Wissen über die eigene Person, Vorurteilen oder Überwachung leben zu können. Neben der Dogmatik des Datenschutzrechts wurde im Kapitel B. auch dargelegt, wie das IT-Grundrecht als weitere Ausprägung des allgemeinen Persönlichkeitsrechts neben der informationellen Selbstbestimmung eingegliedert wurde, ohne auf diese Einfluss zu nehmen. Das IT-Grundrecht soll Schutzlücken der informationellen Selbstbestimmung und anderer Freiheitsrechte als Abwehrrecht gegen staatliche Ausforschung der IT-Geräte eines Grundrechtsträgers ausfüllen. Insgesamt wurde in Kapitel  B. gezeigt, dass der Schutz der informationellen Selbstbestimmung nach (noch) gegenwärtiger Rechtslage auf verfassungs- und materiell-rechtlich solidem Fundament steht.2 2. Kapitel „C. Gefährdungslagen der informationellen Selbstbestimmung“ Was außerhalb der elektronischen Datenverarbeitung leicht fällt, z. B. private personenbezogene Daten nicht bedenkenlos öffentlich zur Schau zu stellen oder zu wissen, wo welche Informationen abgelegt werden, ist im Internet nicht mehr ohne Weiteres möglich. Ausgehend von der Bestandsaufnahme des Kapitels B. zu den Rechtsgrundlagen hat diese Arbeit im Kapitel C. netzwerktypische Gefährdungslagen für den Schutz der informationellen Selbstbestimmung untersucht. Es war dabei der Natur des Datenschutzrechts als Technikrecht geschuldet, die Untersu 1

s. oben, S. 60. s. oben, S. 93.

2

340

E. Zusammenfassung

chung nicht auf Rechtsfragen zu beschränken, sondern auch technische und organisatorische Risiken in die Untersuchung einzubeziehen. Bei der Betrachtung von Netzwerken aus technischer Sicht, der hier sog. weltweiten Datenverarbeitung, hat sich herausgestellt, dass organisatorische Risiken wie z. B.: die Datenabhängigkeit, der Verlust der Steuerungsgewalt und In­ transparenz in der Cloud die informationelle Selbstbestimmung eines betroffenen Nutzers erheblich beeinträchtigen können. Auch die Fallstricke der Clouds, von der Erschöpfung von IT-Ressourcen bis hin zu Verwundbarkeiten der virtuellen Leistungspools, belegen, dass ohne ein hohes Niveau an Datensicherheit die informationelle Selbstbestimmung am seidenen Faden hängt. Anhand konkreter Angriffsszenarien wurde veranschaulicht, dass der Umstand, dass Daten cloudbasiert verarbeitet werden, nicht per se mit einem Zugewinn an Datensicherheit gleichgesetzt werden kann.3 Im Gegenteil ist erforderlich bei Cloud-Diensten besondere technische und organisatorische Schutzmaßnahmen zu treffen, die über allgemeine Sicherheitsvorgaben bei Rechenzentren hinausgehen.4 Der Unterabschnitt „Datenschutzrechtliche Fragen“ hat Probleme beleuchtet, die sich bei der Anwendung des Datenschutzrechts de lege lata in Bezug auf die personenbezogene Datenverarbeitung in Cloud-Diensten ergeben. Diese Arbeit systematisiert diese nach dem Ablauf eines IT-Outsourcing-Vorhabens, bei dem personenbezogene Daten oder entsprechende von einem lokalen Standort an einen Cloud-Service-Provider migriert werden sollen. Unter den „Vorfragen einer Migration in die Cloud“ wurde festgestellt, dass das Konzept der Auftragsdatenverarbeitung (§ 11 BDSG) grundsätzlich auf Cloud Computing nach hier vertretener Definition5 angewendet werden. Ein Rückgriff auf die Funktionsübertragung, die die Anwendung der strengeren und in zudem schwer handhabbaren Erlaubnistatbestände (§ 27 ff. BDSG) erfordert, ist nur erforderlich, wenn ein Auftrag nicht den Mindestvoraussetzungen des § 11 BDSG genügt. Nach hier vertretener Ansicht ist die Schriftform des Auftrags nur eine Soll-Vorschrift, die Beweis- und Dokumentationszwecken dient. Die übrigen, den Vertragsinhalt zum Schutz des Betroffenen näher ausgestaltenden Mindestvorgaben sind dagegen obligatorisch zu erfüllen – obgleich dies bei manchen Vorgaben im Cloud Compting z. B. aufgrund der dynamischen Allokation der Daten auf z. T. unbestimmbare Unterauftragnehmer, kaum umsetzbar ist. Auch im Hinblick auf die Vorgaben zur Datensicherheit gem. der Anlage zu § 9 BDSG hinkt das deutsche Datenschutzrecht den Anforderungen an angemessenes Datenschutzniveau in cloudbasierten Netzwerken hinterher. Nicht zuletzt bei der „Rückgabe von Datenträgern“ ist der Reformbedarf evident.6

3

s. oben, S. 117. s. oben, S. 107. 5 s. oben, S. 97. 6 s. oben, S. 152. 4

I. Untersuchungsergebnisse 

341

Die „sozialvernetzte Datenverarbeitung“ wird in dieser Arbeit mit dem Fokus auf den Umgang von personenbezogenen Daten durch die verantwortliche Stelle und durch Nutzer in einem Sozialen Netzwerk beschrieben. Da Soziale Netzwerke z. T. auch auf cloudbasierte Infrastructure-as-a-Service-Diensteanbieter zurückgreifen, um bspw. mit den stetig wachsenden Datenmengen (Big Data) umzugehen, weisen die Gefährdungslagen im Vergleich mit jenen, die bei der weltweiten Datenverarbeitung ermittelt wurden, große Schnittmengen auf. Das Augenmerk wurde daher auf die Gefährdungslagen gelegt, die sich aus der Nutzung von Sozialen Netzwerken ergeben. Unter den organisatorischen Risiken ist die hier als Plug-and-Play-Falle bezeichnete Gefahr hervorzuheben, die darin besteht, dass Soziale Netzwerke ihren Nutzern Anreize setzen, immer mehr Daten von sich und anderen Betroffenen preiszugeben. Durch intransparente Anwendungsbefehle und die bewusst herbeigeführte Fehlvorstellung der Flüchtigkeit von Beiträgen werden Nutzer zudem ganz erheblichen Haftungsrisiken ausgesetzt, die sich in der realen Welt materialisieren. Dies wurde hier anhand der sog. „Facebook-Parties“, „Identitätsdiebstahl“ und „Cybermobbing“ gezeigt. Wie im Cloud Computing gilt auch bei Sozialen Netzwerken, dass die Gewährleistung der Datensicherheit – z. B. anhand von Angriffen auf OpenID-Authentifikationsverfahren – den Schutzschild der informationellen Selbstbestimmung bildet, der vom Diensteanbieter aktiv ins Feld geführt werden muss.7 Bei den „Datenschutzrechtlichen Fragen“ der sozialvernetzten Datenverarbeitung wurde die Problematik geschildert, ob deutsches Datenschutzrecht auf Facebook anwendbar ist. Nach vereinzelten Entscheidungen v. a. der Verwaltungsgerichte Schleswig-Holstein tendiert die Rechtsprechung dazu, die irische Niederlassung als verantwortliche Stelle für die Datenverarbeitung in Europa zu bewerten. Eine höchstgerichtliche Entscheidung liegt bisher nicht vor. Im Rahmen der Zulässigkeit der Datenverarbeitung in Sozialen Netzwerken wurden mit Registrierungs-, Kommunikations- und Profil- und Interaktionsdaten Datenkategorien klassifiziert und bewertet. Nach der hier vertretenen Ansicht wird mit der Vertragsbedingung, die einen Facebook-Auftritt nur unter dem echten Vor- und Nachnamen gestattet (sog. Klarnamenzwang), gegen § 13 Abs. 6 TMG verstoßen. Die Untersuchung hat zudem ergeben, dass minderjährige Nutzer in Facebook nur unzureichend unterrichtet und geschützt sind. Zudem findet eine effektive Alterskontrolle nicht statt. Bei dem Like-Button von Facebook handelt es ferner um eine datenschutzrechtliche problematische Anwendung, deren Zulässigkeit in der Literatur und von Aufsichtsbehörden überwiegend abgelehnt, von der Rechtsprechung allerdings bejaht wurde. Zu den Datenschutzrisiken zählt ferner, dass personenbezogene Daten bei Facebook intransparent verarbeitet werden, wie bspw. bei der Gesichtserkennung, der Weitergabe von Daten an Drittdienstleister und der 7

s. oben, S. 167.

342

E. Zusammenfassung

Speicherung von zahllosen Merkmalen („Removed Friends“) über das Nutzerverhalten einer Person. Die Auskunft über die Datenverarbeitung wird bei Facebook zwar mittlerweile technisch gewährleistet. Auch hier zeigen sich Probleme, diese automatische Auskunft überhaupt erst abzurufen und darin enthaltene Informationen mit Erkenntnisgewinn aufzunehmen. Da diese Untersuchung von Facebook nur eine Momentaufnahme sein konnte, sind mittlerweile manche der hier diskutierten Risiken durch eine Veränderung der Facebook-Plattform beseitigt worden. Grundlegende Fallstricke, wie die Intransparenz bei der Datenverarbeitung, seitenlange Datenschutzerklärungen und die Justierung der „Datenschutzeinstellungen“, sind noch immer vorhanden.8 3. Kapitel „D. Schutz der informationellen Selbstbestimmung“ Im Kapitel D. wurden anhand einer Auswahl der im Kapitel C. identifizierten Gefährdungslagen, Empfehlungen für den Gesetzgeber9 und Empfehlungen für datenverarbeitende Stellen zur Technikgestaltung10 beschrieben. Die Darstellung legislativer Empfehlungen hat sich an den Diskussionsständen, Ansätzen und mit besonderer Gewichtung an dem Kommissionsvorschlag zur Datenschutz-Grundverordnung (DS-GVO-E) aus dem Jahr 2012 orientiert. Für das Problem der mangelnden Datenportabilität beim IT-Outsourcing enthielt der DS-GVO-E eine vielversprechende Regelung, die allerdings nicht in den späteren LIBE-Entwurf des Europäischen Parlaments übernommen wurde. Die Anwendbarkeit des europäischen Datenschutzrechts wird mit dem DS-GVO-E verändert. Der räumliche Anwendungsbereich soll unabhängig vom Ort der Datenverarbeitung gelten. Neben dem Niederlassungsprinzip und dem Angebot von Waren oder Dienstleistungen kann bei der Anwendbarkeit auch darauf abgestellt werden, ob eine Datenverarbeitung zur Überwachung von betroffenen Personen dient. Damit ist das europäische Recht auch auf Stellen anwendbar, die versteckt oder in intransparenter Weise das Nutzungsverhalten von Betroffenen verfolgen und daraus Rückschlüsse ziehen. Mit dem DS-GVO-E bzw. LIBE-Entwurf wurde nach hier vertretener Ansicht die Chance vertan, die unbestimmte Reichweite des Personenbezugs von Daten einzuschränken. Mit einer klarstellenden Regelung hätten verschlüsselte Daten – unter bestimmten, kryptografisch zu definierenden Voraussetzungen – dem Anwendungsbereich der Datenschutz-Grundverordnung entzogen werden können. Im LIBE-Entwurf wurden verschlüsselte Daten stattdessen in den Begriffsbestimmungen von Art. 4 Abs. 2a ausdrücklich den personenbezogenen Daten zugerechnet.

8

s. oben, S. 242. s. oben, S. 311. 10 s. oben, S. 337. 9

I. Untersuchungsergebnisse 

343

Konzeptionell entspricht die Auftragsdatenverarbeitung des DS-GVO-E der bisherigen Gesetzeslage im BDSG. Unterschiede betreffen v. a. die Mindestvertragsinhalte, Zertifizierungen und die gemeinsame Verantwortung des Auftraggebers und des Auftragnehmers für die Datenverarbeitung. Nach Art.  24 LIBE-Entwurf ist Aufgabenverteilung in Bezug auf Funktionen und Beziehungen vertraglich zu vereinbaren. Der Betroffene hat einen Anspruch auf Einsichtnahme in diesen Vertrag. Für den Fall von Unklarheiten ist eine gesamtschuldnerische Haftung vorgesehen. Zum Schutz vor Zugriffen auf die Cloud durch ausländische Behörden wurde mit Art. 43a eine Regelung in den LIBE-Entwurf wieder aufgenommen, was eine Folge der Enthüllungen von Edward Snowden sein dürfte. Urteile und Anordnungen aus Drittstaaten zur Übermittlung und Weitergabe von Daten werden in der EU demnach unbeschadet internationaler Abkommen nicht anerkannt und nicht vollstreckt. Insgesamt bringt die EU-Datenschutzreform damit einige Neuerungen, die auch den Rechtsschutz im Cloud Computing verbessern dürfen. Viele Teilfragen bleiben jedoch ungelöst.11 Anhand des DS-GVO-E können auch Empfehlungen zur Verbesserung des Datenschutzes in Sozialen Netzwerken benannt werden. Transparenz in der Datenverarbeitung kann erreicht werden, indem eine verantwortliche Stelle zur Unterrichtung des Betroffenen bzw. Nutzers verpflichtet wird. Dazu wurden insbesondere in den LIBE-Entwurf neuartige Informationspflichten aufgenommen, die auch eine Visualisierung von Datenverarbeitungsvorgängen mittels sog. Piktogramme vorsehen. Der Schutz von Kindern wird mit dem DS-GVO-E verbessert, indem spezielle Maßnahmen zur Unterrichtung und zur Datenverarbeitung vorgenommen werden müssen. De lege ferenda trägt die verantwortliche Stelle die Beweislast für die Erteilung der Einwilligung. Der Widerruf soll genau so leicht möglich gemacht werden, wie die Einwilligung. Die im DS-GVO-E sehr umstrittene Regelung zum Recht auf „Vergessen(zu)werden“ hat keinen Eingang in den LIBEEntwurf gefunden und dürfte sich damit endgültig erledigt haben.12 Abschließend wurden im Kapitel D. II. Gestaltungsempfehlungen skizziert, wie durch technisch-organisatorische Maßnahmen ein zeitgemäßer, adäquater und effektiver Datenschutz geschaffen werden kann. Die Stärkung der Selbstbestimmung, die Verbesserung der Transparenz und der datenschutzfördernden Technologien (Datenschutz durch Technik) bilden die zentralen Leitlinien. Wie in dieser Arbeit erläutert wurde, steht und fällt der Erfolg von Cloud Computing in erster Linie mit der Vertraulichkeit der darin verarbeiteten personenbezogenen Daten. Ein hohes Datenschutzniveau könnte durch die hier dargestellte homomorphe Verschlüsselungsmethode erreicht werden. Mit diesem Verschlüsselungsverfahren könnte bei Erreichen der Marktreife ein Niveau an Datensicherheit erzielt werden, das die netzwerkbasierte Datenverarbeitung effektiv absichert. Verschlüsselte Daten bleiben jedoch nach dem LIBE-Entwurf trotzdem personenbezogene Daten, sodass 11 12

s. oben, S. 311. s. oben, S. 311.

344

E. Zusammenfassung

sich unternehmerseitig keine Anreize erkennen lassen, aufwendige Verschlüsselungsmaßnahmen anzubieten. Transparentere Dienste, datenschutzfördernde, minderjährigengerechte Voreinstellungen von Programmeinstellungen und eine mit einem Daten-Lifecycle-Management erweiterte Kontrolle, z. B. der Einführung eines automatischen Verfallsdatums für Daten in Facebook, werden zu einer Erhöhung der Datensicherheit innerhalb von Sozialen Netzwerken führen.13

II. Schlussbemerkung „The age of privacy is over“ – diesen Satz hat Mark Zuckerberg tatsächlich niemals gesagt.14 Stattdessen erklärte Mark Zuckerberg im Jahr 2009: „What people want isn’t complete privacy. It isn’t that they want secrecy. It’s that they want control over what they share and what they don’t.“15 Sicherlich ist der Umgang mit Netzwerken zum unverzichtbaren Bestandteil der gesellschaftlichen Kommunikation geworden. Weltweit und universal. Seien es Cloud-Services oder Soziale Netzwerke. Nutzer wollen ihre Daten auch immer verfügbar halten, über alles immer informiert sein und jede Anwendung überall ausführen können – „Big Data“ ist Alltag. Auch in Sozialen Netzwerken: Erlebnisse sind anscheinend dann etwas wert, wenn sie online „gelikt“ und geteilt werden können – allerdings nur, und das gilt auch für die Datenschutzeinstellungen der meisten Facebook-Mitglieder, soweit die Nutzer bestimmen können, wer auf welche personenbezogenen Daten zugreifen kann. Diese Dissertation hat gezeigt, dass die „Kontrolle über die eigenen Daten“, wie es Zuckerberg nennt, also die informationelle Selbstbestimmung in diesen Netzwerken bisher noch nicht ausreichend gewährleistet ist. Es wurde auch gezeigt, welche Gefährdungslagen vorhanden sind und welche Lösungskonzepte in Betracht kommen. Diese Arbeit versteht sich nicht nur als Plädoyer für ein angemessenes Daten­ sicherheits- und Datenschutzniveau in Netzwerken, sondern auch als ein Beitrag zu dem Diskurs über die Neugestaltung des europäischen Datenschutzrechts. Das Zeitalter der informationellen Selbstbestimmung ist nicht zu Ende. Im Gegenteil: Mit Blick auf das laufende Gesetzgebungsverfahren zur EU-Datenschutz-Grundverordnung lässt sich vielmehr eines konstatieren: Es hat gerade erst­ begonnen!

13

s. oben, S. 337. s. oben, S. 7, 154. 15 Zimmer, The Washington Post, Beitrag v. 03.02.2014, http://www.washingtonpost.com/ lifestyle/style/mark-zuckerbergs-theory-of-privacy/2014/02/03/2c1d780a-8cea-11e3-95dd-36 ff657a4dae_story.html. 14

Literaturverzeichnis Albers, Marion: Informationelle Selbstbestimmung, 1. Aufl., Baden-Baden 2005. Albrecht, Florian: Anonyme oder pseudonyme Nutzung sozialer Netzwerke? – Ein Beitrag zu § 13 Abs. 6 Satz 1 TMG, jurisAnwZert ITR 1/2011, Anm. 2. – Entscheidungsanmerkung zu VG Münster, 1. Kammer, Urt. v. 21.08.2009, Az. 1 K 1403/08, jurisPR-ITR 9/2010, Anm. 2. Albrecht, Florian/Dienst, Sebastian: Fach- und Sachkunde der Beauftragten für den Datenschutz, Praktische Hinweise zu § 4f BDSG, JurPC Web-Dok. 19/2011, Abs. 1–36, http:// www.jurpc.de/aufsatz/20110019.htm. Albrecht, Florian/Maisch, Michael Marc: Datenschutz in sozialen Netzwerken – Wenn das Leben der Anderen tabu ist, Legal Tribune Online, 05.07.2011, http://www.lto.de/de/html/ nachrichten/3661/datenschutz_in_sozialen_netzwerken_wenn_das_leben_der_anderen_ tabu_ist/. – Bluttests und Verhaltensanalysen bei Bewerbern, DSB 3/2010, S. 11–18. Albrecht, Jan Philipp: Alles Wichtige zur Datenschutzreform, Beitrag v. 12.09.2014, http:// www.janalbrecht.eu/themen/datenschutz-und-netzpolitik/alles-wichtige-zur-datenschutz reform.html. Allfacebook.de: Nutzerzahlen: http://allfacebook.de/userdata/, Stand: August 2013. Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (AK Technik und Medien): Orientierungshilfe – Cloud Computing, 26.09.2011, http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf. Armbrust, Michael/Fox, Armando/Griffith, Rean/Joseph, Anthony D./Katz, Randy H./Konwinski, Andrew/Lee, Gunho/Patterson, David A./Rabkin, Ariel/Stoica, Ion/Zaharia, Matei: Above the Clouds: A Berkeley View of Cloud, Computing, 10.02.2009, www.eecs.berkeley. edu/Pubs/TechRpts/2009/EECS-2009–28.pdf. Arning, Marian/Forgó, Nikolaus/Krügel, Tina: Datenschutzrechtliche Aspekte der Forschung mit genetischen Daten, DuD 2006, S. 700–705. Art.-29-Datenschutzgruppe: Stellungnahme 02/2013 providing guidance on obtaining consent for cookies, WP 208 v. 02.10.2013, http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/files/2013/wp208_en.pdf. – Stellungnahme 08/2012 mit weiteren Beiträgen zur Diskussion der Datenschutzreform, WP 199 v. 05.10.2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2012/wp199_de.pdf. – Stellungnahme 05/2012 zu Cloud Computing, WP 196 v. 01.07.2012, http://ec.europa. eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/ wp196_en.pdf.

346

Literaturverzeichnis

– Stellungnahme 03/2012 zu den Entwicklungen bei biometrischen Technologien, WP 193 v. 27.04.2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp193_en.pdf. – Stellungnahme 02/2012 zur Gesichtserkennung bei Online- und Mobilfunkdiensten, WP 192 v. 22.03.2012, http://www.cnpd.public.lu/de/publications/groupe-art29/wp192_de.pdf. – Stellungnahme 11/2011 zum Niveau des Schutzes personenbezogener Daten in Neuseeland, WP 182 v. 04.04.2011, http://ec.europa.eu/justice/data-protection/article-29/documen tation/opinion-recommendation/files/2011/wp182_de.pdf#h2–16. – Stellungnahme 08/2010 zum anwendbaren Recht, WP 179 v. 16.12.2010, http://ec.europa. eu/justice/policies/privacy/docs/wpdocs/2010/wp179_de.pdf. – Stellungnahme 02/2010 zur Werbung auf Basis von Behavioural Targeting, WP 171 v. 22.06.2010, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_de.pdf. – Stellungnahme 01/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 v. 16.02.2010, http://ec.europa.eu/justice/policies/privacy/docs/ wpdocs/2010/wp169_de.pdf. – Stellungnahme 05/2009 zur Nutzung sozialer Online-Netzwerke, WP 163 v. 12.06.2009, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_de.pdf. – Stellungnahme 01/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, WP 148, v. 04.04.2008, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_ de.pdf. – Stellungnahme 04/2007 zum Begriff „personenbezogene Daten“, WP 136 v. 20.06.2007, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_de.pdf. – Stellungnahme „Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer, Mögliche Ansätze für eine Bewertung der Angemessenheit“, WP 4 v. 26.06.1997, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1997/wp4_de.pdf. Assion, Anja: „Das Zeitalter des Datenschutzes keinesfalls vorbei”, Telemedicus, Beitrag v. 01.04.2010, http://www.telemedicus.info/article/1691-Das-Zeitalter-des-Datenschutzes-keines falls-vorbei.html. Auger, Robert: The Cross-Site Request Forgery (CSRF/XSRF) FAQ, cgisecurity.com, Beitrag v. 28.04.2010, http://www.cgisecurity.com/csrf-faq.html. Bachfeld, Daniel: Clickjacking für soziale Netze: Likejacking, Heise Security, Beitrag v. 02.06.2010, http://www.heise.de/security/meldung/Clickjacking-fuer-soziale-Netze-Like jacking-1014234.html. Badura, Peter: In: Maunz, Roman/Dürig, Günter (Begr.), Grundgesetz, 60. Lfg, Oktober, München 2010. Bager, Jo/Braun, Herbert: FAQ: Facebook-Chronik, c’t, Ausgabe 05/2012, http://heise.de/-14 27648. Bagger, Jo: Facebook durchsucht den sozialen Graphen, Heise.de, Beitrag v. 15.01.2013, http:// www.heise.de/newsticker/meldung/Facebook-durchsucht-den-sozialen-Graphen-1784686. html.

Literaturverzeichnis

347

Baldus, Paulheinz/Jescheck, Hans-Heinrich/Jähnke, Burkhard/Laufhütte, Heinrich Wilhelm (Hrsg.): Leipziger Kommentar, Strafgesetzbuch, 11. Aufl., Berlin 2003. Ballhausen, Miriam/Roggenkamp, Jan Dirk: Personenbezogene Bewertungsplattformen, K&R 2008, S. 403–410. Bamberger, Heinz Georg/Roth, Herbert (Hrsg.): Beck’scher Online-Kommentar BGB (BeckOK), Edition 25, München 2012. Bär, Wolfgang: Strafrechtliche Kontrolle in Datennetzen, MMR 1998, S. 463–468. Barnitzke, Benno: Rechtliche Rahmenbedingungen des Cloud Computing, Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, 1. Aufl. 2014. – Microsoft: Zugriff auf personenbezogene Daten in EU-Cloud auf Grund US PATRIOT Act möglich, MMR-Aktuell 2011, 321103. – Automatische Gesichtserkennung auf Facebook  – nomen est omen, MMR-Aktuell 2011, 320076. Bauer, Stephan: Personalisierte Werbung auf Social Community-Websites, Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und Nutzungsprofilen, MMR 2008, S. 435–438. Baum, Bertram: Umweltschutz und Schutz personenbezogener Daten, CR 1993, 162–170. Bäumler, Helmut: In: Bäumler, Helmut/v. Mutius, Albert, Anonymität im Internet, 1. Aufl., Braunschweig 2003. Bayerischer Landesbeauftragte für den Datenschutz (BayLBfdD): Orientierungshilfe Auftragsdatenverarbeitung, München, 24.02.2011, http://www.datenschutz-bayern.de/technik/ orient/oh_auftragsdatenverarbeitung.pdf. – Orientierungshilfe Cloud Computing, 2011, http://www.datenschutz-bayern.de/technik/ orient/oh_cloud.pdf. BBC: News Corp in $ 580m internet buy, Beitrag v. 19.07.2005, http://news.bbc.co.uk/2/hi/ business/4695495.stm. Beaumont, Claudine: Facebook Places: What it is and how it works, The Telegraph, Beitrag v. 19.08.2010, http://www.telegraph.co.uk/technology/facebook/7953676/Facebook-PlacesWhat-it-is-and-how-it-works.html. – Bill Gates’s dream: A computer in every home, The Telegraph, Beitrag v. 27.06.2008, http:// www.telegraph.co.uk/technology/3357701/Bill-Gatess-dream-A-computer-in-every-home. html. Beck-Aktuell: EU-Umfrage: Kinder nutzen immer früher soziale Netzwerke ohne die Gefahren zu kennen, Beitrag v. 19.04.2011, becklink 1012463. – Sicherungsunterbringung und „Internet-Pranger“ als Alternativen zur Sicherungsverwahrung weiter umstritten, Meldung v. 11.08.2010, becklink 1003706. Becker, Philipp/Nikolaeva, Julia: Das Dilemma der Cloud-Anbieter zwischen US PATRIOT Act und BDSG. Zur Unmöglichkeit rechtskonformer Datenübermittlung für gleichzeitig in USA und Deutschland operierende Cloud-Anbieter, CR 2012, S. 170–176.

348

Literaturverzeichnis

Beer, Kristina: Facebook-Lücke erlaubte unbemerkte Webcam-Aufnahmen, Heise.de, Beitrag v. 03.01.2012, http://heise.de/-1776339. Benda, Ernst: Das Recht auf informationelle Selbstbestimmung und die Rechtsprechung des Bundesverfassungsgerichts zum Datenschutz, DuD 1984, S. 86–90. Bender, Gunnar: In: Kilian, Thomas/Hass, Berthold H./Walsh, Gianfranco, Grundlagen des Web 2.0, Berlin 2008. Bernet, Marcel: Social Media in der Medienarbeit, Online-PR im Zeitalter von Google, Facebook und Co, 1. Aufl., Wiesbaden 2010. Bertermann, Nikolaus: In: Heidrich, Joerg/Forgó, Nikolaus/Feldmann, Thorsten, Heise OnlineRecht, Losebl. 2. Lfg. 2010, Hannover. Besler, Dora v./Wüstefeld, Barbara: Law Dictionary, Fachwörterbuch der angloamerikanischen Rechtssprache, 4. Aufl., Berlin/New York 1986. Beuth, Patrick: Die dunkle Seite von Google Glass, Zeit Online, Beitrag v. 11.03.2013, http:// www.zeit.de/digital/datenschutz/2013–03/google-glass-datenschutz. – Die Gründer von Diaspora ziehen sich zurück, Zeit Online, Beitrag v. 28.08.2012, http:// www.zeit.de/digital/internet/2012–08/diaspora-community-kontrolle. Bigo, Didier/Boulet, Gertjan/Bowden, Caspar/Carrera, Sergio/Jeandesboz, Julien/Scherrer, Amandine: Fighting cyber crime and protecting privacy in the cloud, 2012, http://www.euro parl.europa.eu/committees/en/studiesdownload.html?languageDocument=EN&file=79050. Blochinger, Sabine: „Quick Freeze“ statt Vorratsdatenspeicherung?, MMR-Aktuell 2010, 303975. Blöse, Jochen/Pechardscheck, Stefan: Die rechtliche Absicherung von IT-Outsourcing-Projekten – Risikooptimale Durchführung von Auslagerungsmaßnahmen im IT-Bereich, CR 2002, S. 785–791. Bogdanov, Andrey/Khovratovich, Dmitry/Rechberger, Christian: Biclique Cryptanalysis of the Full AES, 2011, http://research.microsoft.com/en-us/projects/cryptanalysis/aesbc.pdf. Böken, Arnd: PATRIOT ACT, Wie gefährlich das Cloud Computing ist, Handelsblatt, Beitrag v. 13.07.2011, http://www.handelsblatt.com/technologie/it-tk/it-internet/patriot-act-wie-ge faehrlich-das-cloud-computing-ist/4386484.html. Bongers, Frank: Entscheidungsanmerkung zu EuGH, Urt. v. 24.11.2011, Az. C-468/10, C-469/ 10, GWR 2012, S. 45–46. Boos, Carina/Kroschwald, Steffen/Wicker, Magda: Datenschutz bei Cloud Computing zwischen TKG, TMG und BDSG, Datenkategorien bei der Nutzung von Cloud-Diensten, ZD 2013, 205–209. Borges, Georg/Schwenk, Jörg/Stuckenberg, Carl-Friedrich/Wegener, Christoph: Identitätsdiebstahl und Identitätsmissbrauch im Internet, Rechtliche und technische Aspekte, 1. Aufl., Heidelberg 2011. Borking, John J.: Einsatz datenschutzfreundlicher Technologien in der Praxis, DuD 1998, S. 636–640.

Literaturverzeichnis

349

Boshmaf, Yazan/Muslukhov, Ildar/Beznosov, Konstantin/Ripeanu, Matei: The Social Network: When Bots Socialize for Fame and Money, ACSAC 2011, Orlando, USA 05.–09.12.2011, http://lersse-dl.ece.ubc.ca/record/264/files/ACSAC_2011.pdf?version=1. Boyd, Danah/Ellison, Nicole B.: Social network sites: Definition, history, and scholarship, Journal of Computer-Mediated Communication, Volume 13, 2007, S. 210–230, http://www. danah.org/papers/JCMCIntro.pdf. Boyd, Danah/Hargittai, Eszter: Facebook Privacy Settings: Who Cares?, First Monday,­ Volume  15, Nr.  8, 02.08.2010, http://www.uic.edu/htbin/cgiwrap/bin/ojs/index.php/fm/ article/view/3086/2589. Braun, Bastian/Gemein, Patrick/Höfling, Benedikt/Maisch, Michael Marc/Seidl, Alexander: Angriffe auf OpenID und ihre strafrechtliche Bewertung, DuD 2012, S. 502–509. Braun, Frank/Albrecht, Florian: Entscheidungsanmerkung zu OVG NRW, 16.  Senat, Urt. v. 08.05.2009, Az. 16 A 3375/07, jurisPR-ITR 21/2009, Anm. 4. Braun, Frank/Roggenkamp, Jan Dirk: Ozapftis – (Un)Zulässigkeit von „Staatstrojanern“, K&R 2011, S. 681–686. Bräutigam, Peter: Teil 13, Vertragsgestaltung, in: – (Hrsg.), IT-Outsourcing, 2. Aufl., Berlin 2009, S. 817–1084. Breiter, Gerd: In: Kircher, Herbert, IT, Technologien, Lösungen, Innovationen, S.  78–100, Heidel­berg 2007. Brenner, Michael/Wiebelitz, Jan/Voigt, Gabriele v./Smith, Matthew: Secret Program Execution in the Cloud Applying, Homomorphic Encryption, 5th IEEE International Conference on Digital Ecosystems and Technologies (IEEE DEST 2011), S. 114–119. Brennscheidt, Kristin: Cloud Computing und Datenschutz, 1. Aufl., Baden-Baden 2013 Britz, Gabriele: Freie Entfaltung durch Selbstdarstellung, 1. Aufl., Tübingen 2007. Brodkin, Jon: Loss of customer data spurs closure of online storage service ‚The Linkup‘, Networkworld.com, Beitrag v. 11.08.2008, http://www.networkworld.com/news/2008/081108-linkup-failure.html?page=1. Brosch, Christopher: Die Umsetzung der Cookie-Richtlinie, jurisAnwZert ITR 16/2011, Anm. 2. Brosch, Christopher/Hennrich, Thorsten: Der Personenbezug von IP-Adressen bei IPv6, juris AnwZert ITR 21/2011, Anm. 2. Brunst, Phillip W.: Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen: Zum Spannungsfeld zwischen einem Recht auf Anonymität bei der elektronischen Kommunikation und den Möglichkeiten zur Identifizierung und Strafverfolgung, 1. Aufl., Berlin 2009. Buchner, Benedikt: Informationelle Selbstbestimmung im Privatrecht, 1. Aufl., Tübingen 2006. Buck, Christian: Smart Home per Smartphone, Technology Review, Beitrag v. 30.05.2012, http://heise.de/-1584056. Bull, Hans Peter: Informationelle Selbstbestimmung – Vision oder Illusion? Datenschutz im Spannungsverhältnis von Freiheit und Sicherheit, 2. Aufl., Tübingen 2011.

350

Literaturverzeichnis

– Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, S. ­257–262. Bundesamt für Sicherheit in der Informationstechnik (BSI): Sicherheitsempfehlungen für Cloud Computing Anbieter, Eckpunktepapier, Bonn 2011, https://www.bsi.bund.de/DE/ Themen/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html. – IT-Grundschutzkataloge, Netze, B 4.4 VPN, https://www.bsi.bund.de/ContentBSI/grund schutz/kataloge/baust/b04/b04004.html. Bundesrat: Empfehlungen der Ausschüsse zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), 30.03.2012, BR-Drs. 51/1/12; BR-Drs. 52/1/12. – Gesetzesantrag des Landes Hessen, Entwurf eines Gesetzes zur Änderung des Telemediengesetzes (TMG), BR-Drs. 156/2011. Bundesregierung: Zu Informationen, dass das Mobiltelefon der Bundeskanzlerin möglicherweise durch amerikanische Dienste überwacht wird, Pressemitteilung Nr.  348/2013 v. 23.10.2013, http://www.bundeskanzlerin.de/Content/DE/Pressemitteilungen/BPA/2013/10 /2013–10–23-merkel-handyueberwachung.html. Bundestag: Entwurf eines Gesetzes zur Änderung des Telemediengesetzes (TMG), BT-Drs. 17/ 8454. – Entwurf eines Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste (Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz – ElGVG), BT-Drs. 16/3078. – Entwurf eines Gesetzes zur Änderung des Telemediengesetzes (TMG), BT-Drs. 17/6765. – Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, BT-Drs. 17/4230. – Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften, BT-Drs. 16/12011. – Entwurf eines Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Gesetz  – IuKDG), BTDrs. 13/7385. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM): Cloud Computing – Evolution in der Technik, Revolution im Business, 2009, http:// www.bitkom.org/files/documents/BITKOM-Leitfaden-CloudComputing_Web.pdf. Burnham, Kristin/Pütter, Christiane: Die 5 Führungsprinzipien des Facebook-CIO, CIO.de, Beitrag v. 15.07.2011, http://www.cio.de/strategien/2277578/index3.html. Bussche, Axel Freiher v.d./Schelinski, Tobias: Teil 1, IT-Vertragsgestaltung, in: Leupold, Andreas/Glossner, Silke (Hrsg.), Münchener Anwaltshandbuch IT-Recht, München 2011. Carr, Nicolas: The Big Switch, Rewiring the world form Edison to Google, 1. Aufl., W. W. Norton & Company, Inc., New York, USA, 2008. Caspar, Johannes: Geoinformationen und Datenschutz am Beispiel des Internetdienstes ­Google Street View, DÖV 2009, 965–973.

Literaturverzeichnis

351

Cavazza, Fred: An overview of the social media ecosystem, Welcome to the 21st Century, Beitrag v. 12.03.2012, http://www.forbes.com/sites/fredcavazza/2012/03/12/an-overview-ofthe-social-media-ecosystem/. Celestine, Avinash: Cloud computing: How tech giants like Google, Facebook, Amazon store the world’s data, The Economic Times, Beitrag v. 27.05.2012, http://articles.economictimes. indiatimes.com/2012-05-27/news/31860969_1_instagram-largest-online-retailer-users. Charkham, Avi: 5 Design Tricks Facebook Uses To Affect Your Privacy Decisions, Techcrunch, Beitrag v. 25.08.2012, http://techcrunch.com/2012/08/25/5-design-tricks-facebook-uses-toaffect-your-privacy-decisions/. Cihlar, Frank P.: Coming to America: the extraterritorial reach of US judicial process, Journal of Financial Crime, 2009, S. 115–124. Clark, Christopher/Fraser, Keir/Hand, Steven/Hansen, Jacob Gorm/Jul, Eric/Limpach, Christian/Pratt, Ian/Warfield, Andrew: Live migration of virtual machines, NSDI 2005, Proceed­ ings of the 2nd conference on Symposium on Networked Systems Design & Implementation – Volume 2. Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing, 2009, https://cloudsecurityalliance.org/csaguide.pdf. Coelln, Christian v.: Entscheidungsanmerkung zu OLG Frankfurt, 11.  Zivilsenat, Urt. v. 22.05.2007, Az. 11 U 71/06, jurisPR-ITR 8/2007, Anm. 3. Computerwoche: Sun kauft deutschen Desktop-Virtualisierer innotek, Beitrag v. 13.02.2008, http://www.computerwoche.de/a/sun-kauft-deutschen-desktop-virtualisierer-innotek, 1855688. Danwitz, Thomas v.: B. II., Rechtsetzung und Rechtsangleichung, in: Dauses, Manfred A. (Hrsg.), EU-Wirtschaftsrecht, 32. Lfg. April, München 2013. Data Protection Commissioner: Facebook Ireland Ltd., Report of Re-Audit, 21.09.2012, http:// dataprotection.ie/documents/press/Facebook_Ireland_Audit_Review_Report_21_Sept_ 2012.pdf. – Facebook Ireland Ltd., Report of Audit, 21.12.2011, http://dataprotection.ie/documents/face book%20report/final%20report/report.pdf. Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo (Hrsg.): Bundesdatenschutzgesetz, 3. Aufl., Frankfurt am Main 2010. De Levita, David: Der Begriff der Identität, 1. Aufl., Berlin 1971. Degenhart, Christoph: Das allgemeine Persönlichkeitsrecht, Art. 2 I i. V. m. Art. 1 I GG, JuS 1992, S. 361–368. – Die allgemeine Handlungsfreiheit des Art. 2 I GG, JuS 1990, S. 161–169. Der Bayerische Landesbeauftragte für den Datenschutz (BayLBfdD): Orientierungshilfe Auftragsdatenverarbeitung, München 24.02.2011. Der Bayerische Landesbeauftragte für den Datenschutz (BayLBfdD): Social Plugins auf Webseiten bayerischer öffentlicher Stellen (einschließlich Stellen nach Art. 2 Abs. 2 BayDSG), http://www.datenschutz-bayern.de/0/soziale-netzwerke-plugins.html.

352

Literaturverzeichnis

– Datenschutzrechtliche Grundlagen bei Auftragsdatenverarbeitung/Outsourcing in der öffent­ lichen Verwaltung, Stand: Oktober 2008, http://www.bfdi.bund.de/SharedDocs/Publikationen/ Arbeitshilfen/AuftragsdatenverarbeitungOutsourcing.pdf;jsessionid=254EE31115FAD08F4 EE85759365215B0.1_cid134?__blob=publicationFile. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI): Anordnung v. 21.09.2012, http://www.datenschutz-hamburg.de/uploads/media/Anordnung_gegen_ Facebook_2012–09–21.pdf. Deussen, Peter/Strick, Linda/Peters, Johannes: Cloud-Computing für die öffentliche Verwaltung, ISPRAT-Studie November 2010, http://www.cloud.fraunhofer.de/Images/ISPRAT_ cloud_studie_vorabversion_20101129_tcm421–76759.pdf. Dewanto, Lofi: Autorisierungsdienste mit OAuth, Heise, Beitrag v. 03.11.2009, http://www. heise.de/developer/artikel/Autorisierungsdienste-mit-OAuth-845382.html. Dreier, Horst (Hrsg.): Grundgesetz, Kommentar, 2. Aufl., Tübingen 2010. Dropbox Inc.: Datenschutzerklärung, https://www.dropbox.com/privacy#privacy. Ducklin, Paul: Sophos Australia Facebook ID probe 2009, Sophos.com, Beitrag v. 06.12.2009, http://nakedsecurity.sophos.com/2009/12/06/facebook-id-probe-2009/. Düsseldorfer Kreis: Datenschutz in sozialen Netzwerken, Beschluss der obersten Aufsichts­ behörden für den Datenschutz im nicht öffentlichen Bereich, 08.12.2011. – Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 28./29.09.2011. – Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 24./25.11.2010. – Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen, Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich v. 28./29.04.2010. – Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 26./27.11.2009. Ebersbach, Anja/Glaser, Markus/Heigl, Richard: Social Web, 1. Aufl., Konstanz 2008. Eckert, Claudia: IT-Sicherheit, Konzepte – Verfahren – Protokolle, 7. Aufl., München 2012. – IT-Sicherheit: Konzepte – Verfahren – Protokolle, 6. Aufl., München 2009. Eckert, Jens: Entscheidungsanmerkung zu LG Berlin, Urt. v. 06.09.2007, Az. 23 S 3/07, K&R 2007, S. 602–604. Ehmann, Eugen: Das „Datenschutz-Paket“ der Europäischen Kommission – Beginn einer Zeitenwende im europäischen Datenschutz?, jurisPR-ITR 04/2012, Anm. 2. – Strafbare Fernwartung in der Arztpraxis, CR 1991, S. 293–296. Ehmann, Eugen/Helfrich, Marcus: EG-Datenschutzrichtlinie Kurzkommentar, 1. Aufl., Köln 1999. Ehrig, Hartmut/Mahr, Bernd/Große-Rhode, Martin/Cornelius, Felix: Mathematisch-strukturelle Grundlagen der Informatik, 2. Aufl., Berlin 2001.

Literaturverzeichnis

353

Electronic Frontier Foundation (EFF): National Security Letters, https://www.eff.org/issues/ national-security-letters. Engels, Thomas: Datenschutz in der Cloud – ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, S. 548–551. Epping, Volker/Hillgruber, Christian (Hrsg.): Grundgesetz Kommentar, 1.  Aufl., München 2009. Erd, Rainer: Auftragsdatenverarbeitung in sicheren Drittstaaten, DuD 2011, S. 275–278. – Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ 2011, S. 20–22. – Zehn Jahre Safe Harbor Abkommen – kein Grund zum Feiern, K&R 2010, S. 624–627. – Soziale Netzwerke und Datenschutz – am Beispiel von Facebook, in: Taeger, Jürgen (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht 1. Aufl., Edewecht 2010, S. 253–266. Ernst, Stefan: Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, S. 1917–1919. Euro Cloud Deutschland_eco e. V.: Euro Cloud Deutschland_eco e. V., Leitfaden Cloud Computing, Köln 2010, http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-daten schutz-compliance/. Europäische Agentur für Netz-und Informationssicherheit (ENISA): The right to be forgotten – between expectations and practice, 2011, http://www.enisa.europa.eu/activities/identityand-trust/library/deliverables/the-right-to-be-forgotten. – Benefits, risks and recommendations for information security, 2011, http://www.enisa. europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-govern mental-clouds. Europäischer Datenschutzbeauftragte (EDSB): Stellungnahme zur Mitteilung der Kommission über „die Freisetzung des Cloud-Computing-Potenzials in Europa“ (sog. Cloud Strategie), 16.11.2012. European Advertising Standards Alliance: Best Practice Recommendation on Online Behavi­ oural Advertising, http://www.easa-alliance.org/page.aspx/386. Europe-v-Facebook.org: Data Categories, Anzeige v. 03.04.2012, http://europe-v-facebook. org/fb_cat1.pdf. – Anstupsen, Anzeige v. 28.08.2011, S. 2, http://europe-v-facebook.org/Complaint_01_Pokes. pdf. – Gelöschte Freunde, Anzeige v. 28.08.2011, S. 2, http://europe-v-facebook.org/Complaint_ 14_RemovedFriends.pdf. – Zugangsanfrage, Anzeige v. 28.08.2011, http://europe-v-facebook.org/Complaint_10-Access Request.pdf. – Anzeige v. 28.08.2011, http://europe-v-facebook.org/Complaint_13_Applications.pdf. – Gesichtserkennung, Anzeige v. 18.08.2011, S. 2, http://europe-v-facebook.org/Complaint_ 09_Face_Recognition.pdf.

354

Literaturverzeichnis

– Complaint against Facebook Ireland Ltd. – 02 “Shadow Profiles”, Anzeige v. 18.08.2011, http://www.europe-v-facebook.org/Compalint_02_Shadow_Profiles.pdf. Facebook Inc.: Werberichtlinien, https://www.facebook.com/ad_guidelines.php. – Hilfebereich, https://www.facebook.com/help. – Facebook-Handy, https://www.facebook.com/mobile/. – Datenverwendungsrichtlinien, https://www.facebook.com/about/privacy/. – Nutzungsbedingungen, Stand: 08.06.2012, http://www.facebook.com/terms/provisions/ger man/index.php. – Hilfebereich, Social Plugins, http://www.facebook.com/help/social-plugins. – Facebook Developers, Like-Button, http://developers.facebook.com/docs/reference/plugins/ like. – Facebook Developers, Getting Started – App Center, https://developers.facebook.com/docs/ appcenter/. – Facebook Developers, Mobile Web App Tutorial, https://developers.facebook.com/docs/ mobile/web/build/#graph. – Facebook Developers, Social Plugins, http://developers.facebook.com/docs/plugins/. – Stellungnahme v. 16.09.2011, https://www.datenschutzzentrum.de/facebook/kommunikation/ 20110916_Facebook_deutsch.pdf. – App Center, www.facebook.com/appcenter. – Datenverwendungsrichtlinien, So funktionieren Werbung und gesponserte Meldungen, a. u. https://www.facebook.com/about/privacy/advertising. – Freundefinder, https://www.facebook.com/find-friends/. – Datenverwendungsrichtlinien, https://www.facebook.com/full_data_use_policy. FAZ: Obama will das Ausspähen Verbündeter verbieten, Beitrag v. 29.10.2013, http://www. faz.net/aktuell/politik/abhoeraffaere-obama-will-das-ausspaehen-verbuendeter-verbieten12638514.html. Feddern, Boi: Verbraucherschützer klagen gegen Facebooks App-Zentrum, Heise.de, Beitrag v. 09.12.2012, http://heise.de/-1764733. Federrath, Hannes/Fuchs, Karl-Peter/Herrmann, Dominik/Maier, Daniel/Scheuer, Florian/ Wagner, Kai: Grenzen des „digitalen Radiergummis“, DuD 2011, S. 403–407. Feierabend, Sabine/Karg, Ulrike/Rathgeb, Thomas: JIM-STUDIE 2012, Jugend, Information, (Multi-)Media, Basisstudie zum Medienumgang 12- bis 19-Jähriger in Deutschland, http:// www.mpfs.de/fileadmin/JIM-pdf12/JIM2012_Endversion.pdf, Stuttgart 2012. Feldmann, Thorsten: Entscheidungsanmerkung zu BVerfG, Kammer­beschluss v. 18.02.2010, Az. 1 BvR 2477/08, jurisPR-ITR 11/2010, Anm. 4. Fischer, Sebastian: USA und EU in der Spähaffäre: Jetzt regiert das Misstrauen, Spiegel Online, Beitrag v. 25.10.2013, http://www.spiegel.de/politik/ausland/merkel-handy-usa-undeu-verlieren-in-spaehaffaere-vertrauen-a-929921.html.

Literaturverzeichnis

355

Fischer, Thomas/Schwarz, Otto Georg/Dreher, Eduard/Tröndle, Herbert: Strafgesetzbuch: StGB und Nebengesetze, 58. Aufl., München 2011. Fontaine, Caroline/Galand, Fabien: A Survey of Homomorphic Encryption for Nonspecialists, EURASIP Journal of Information Security, Heidelberg 2007. Forgó, Nikolaus/Krügel, Tina: Der Personenbezug von Geodaten, Cui bono, wenn alles bestimmbar ist?, MMR 2010, S. 17–23. Forst, Gerrit: Der Regierungsentwurf zur Regelung des Beschäftigtendatenschutzes, NZA 2010, S. 1043–1048. Fuchs, Christian: Facebook, Web 2.0 und ökonomische Überwachung, DuD 2010, S. 453–458. Funke, Michael/Wittmann, Jörn: Cloud Computing – ein klassischer Fall der Auftragsdaten­ verarbeitung? Anforderungen an die verantwortliche Stelle, ZD 2013, 221–228. Gabriel, Ulrich/Cornels, Lars C.: Webtracking und Datenschutz – ein „hidden problem“, MMR 11/2008, S. XIV. Garnter Inc.: Gartner Outlines Five Cloud Computing Trends That Will Affect Cloud Strategy Through 2015, Pressemitteilung v. 02.04.2012, http://www.gartner.com/it/page.jsp? id=1971515. Gehlhaar, Daniel: Der Kündigungsschutz des betrieblichen Datenschutzbeauftragten, NZA 2010, S. 373–377. Gentry, Craig: A Fully Homomorphic Encryption Scheme, 1. Ed., Cambridge, United Kingdom, 2011. Genz, Alexander: Datenschutz in Europa und den USA, 1. Aufl., Wiesbaden 2004. Geppert, Martin (Hrsg.): Beck’scher TKG-Kommentar, 3. Aufl., München 2006. Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD): Stellungnahme zum Vorschlag für eine EU-Datenschutz-Grundverordnung (DS-GVO-E) v. 25.01.2012 (KOM(2012) 11 endgültig) hinsichtlich der Auswirkungen auf die Privatwirtschaft. Geuer, Ermano: Mehr Datenschutz beim Surfen, Legal Tribune Online (LTO), Beitrag v. 11.06.2012, http://www.lto.de/recht/hintergruende/h/umsetzung-der-cookie-richtlinie-mehrdatenschutz-beim-surfen/. – Der Cookie-Guide der britischen internationalen Handelskammer, jurisAnwZert ITR 15/2012, Anm. 3. Giebichenstein, Rüdiger: Chancen und Risiken beim Einsatz von Cloud Computing in der Rechnungslegung, BB 2011, S. 2218–2224. Giebichenstein, Rüdiger/Weiss, Andreas: Zertifizierte Cloud durch das EuroCloud Star Audit, DuD 2011, S. 338–342. Global Recruting Roundtable.com: Global Recruting Roundtable.com, http://www.global recruitingroundtable.com/2011/03/28/worlds-largest-social-networking-sites-2011/#.UBU is6Pf0Xh. Gola, Peter: Beschäftigtendatenschutz und EU-Datenschutz-Grundverordnung, EuZW 2012, S. 332–337.

356

Literaturverzeichnis

Gola, Peter/Klug, Christoph: Die Entwicklung des Datenschutzrechts in den Jahren 2010/2011, NJW 2011, S. 2484–2491 Gola, Peter/Schomerus, Rudolf: Bundesdatenschutzgesetz Kommentar, 10.  Aufl., München 2011. Gomille, Christian: Prangerwirkung und Manipulationsgefahr bei Bewertungsforen im Internet, ZUM 2009, S. 815–824. Google Inc.: Google Apps Engine, https://developers.google.com. Göpel, Ralph: Praxishandbuch VMware vSphere 4, 1. Aufl., Köln 2010. Grabitz, Eberhard/Hilf, Meinhard: Das Recht der Europäischen Union, Bd.  I, EUV/EGV, 40. Lfg., München 2009. Grapentin, Sabine: Haftung und anwendbares Recht im internationalen Datenverkehr, CR 2011, S. 102–107. Greer, Damion: Safe Harbor – ein bewährter Rechtsrahmen, RDV 2011, 267–273. Gstrein, Oskar Josef: Die umfassende Verfügungsbefugnis über die eigenen Daten. Das „Recht auf Vergessenwerden“ über seine konkrete Umsetzbarkeit, ZD 2012, S. 424–428. Haag, Nils: iPhone: Apps übermitteln unbemerkt vertrauliche Daten, MMR-Aktuell 2011, 315048. Hamann, Götz/Rohwetter, Marcus: Vier Sheriffs zensieren die Welt, Zeit Online, Beitrag v. 06.08.2012, http://www.zeit.de/2012/32/Zensur-Apple-Facebook-Amazon-Google. Hansen, Marit: Vertraulichkeit und Integrität von Daten und IT-Systemen im Cloud-Zeitalter, DuD 2012, S. 407–412. – Informationen bei Datenschutzvorfällen: Ja, bitte!, DANA 2009, S. 105–107. – In: Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht, 1. Aufl., München 2003. Härting, Niko: NSA und BND: Rechtsgrundlagen, Gemeinsamkeiten, Unterschiede, Beitrag v. 26.07.2013, http://www.cr-online.de/blog/2013/07/26/nsa-und-bnd-rechtsgrundlagengemeinsamkeiten-unterschiede/. – Starke Behörden schwaches Recht – der neue EU-Datenschutzentwurf, BB 2012, S. 459–466. – Datenschutz zwischen Transparenz und Einwilligung, CR 2011, S. 169–175. – Öffentlichkeitsarbeit einer Landesbehörde, CR 2011, 585–588. – Datenschutz im Internet – Gesetzgeberischer Handlungsbedarf, BB 2010, S. 839–844. Härting, Niko/Schätzle, Daniel: Rechtsverletzungen in Social Networks, ITRB 2010, S. 39–42. Härting, Niko/Schneider, Jochen: Das Dilemma der Netzpolitik, ZRP 2011, S. 233–236. Hartung, Jürgen: Datenschutz und Verschwiegenheit bei Auslagerungen durch Versicherungsunternehmen, VersR 2012, S. 400–410. Heckmann, Dirk: Persönlichkeitsschutz im Internet, Anonymität der IT-Nutzung und permanente Datenverknüpfung als Herausforderungen für Ehrschutz und Profilschutz, NJW 2012, S. 2631–2635.

Literaturverzeichnis

357

– Hass-Tweets vom Stammtisch, The European, Beitrag v. 22.05.2012, http://www.theeuropean. de/dirk-heckmann/11145-juristische-betrachtung-des-shitstorms. – Polizeirecht, in: Becker, Ulrich/Heckmann, Dirk/Kempen, Bernhard/Manssen, Gerrit (Hrsg.), Öffentliches Recht in Bayern, Verfassungsrecht, Kommunalrecht, Polizei- und Sicherheitsrecht, Öffentliches Baurecht, 5. Aufl., München 2011. – Smart Life – Smart Privacy Management, K&R 2011, S. 1–5. – (Hrsg.): jurisPK-Internetrecht, 3. Aufl., Saarbrücken 2011. – Die „kommunale Cloud“: vertrauenswürdig und verantwortungsbewusst, Der Bayerische Bürgermeister 9/2011, S. 302–304. – Vertrauen in virtuellen Räumen?, K&R 2010, S. 1–7. – „Fog Computing: IT auf gut Glück nutzen?“, goverment2020.de, Beitrag v. 26.04.2010, http://www.government2020.de/blog/?p=46. – Cloud Computing in der öffentlichen Verwaltung? Rechtliche Grenzen für eine Lockerung staatlicher Datenherrschaft, in: Hill, Hermann/Schliesky, Utz (Hrsg.), Innovationen im und durch Recht, 1. Aufl., Baden-Baden 2010, S. 97–111. – Anonymität als Dilemma, Deutsches Institut für Vertrauen und Sicherheit im Internet (DIVSI), https://www.divsi.de/anonymitaet-als-dilemma. – Öffentliche Privatheit – Der Schutz der Schwächeren im Internet, K&R 2010, S. 770–777. – Identitäts- oder Konsumschutz im Internet? Das Grundrecht auf freie Entfaltung der digitalen Persönlichkeit, vorgänge Nr. 184, 2008, S. 20–29. – Das Recht der Schwächeren im Internet, Legal Tribune Online, Beitrag v. 27.04.2010, http://www.lto.de/recht/hintergruende/h/digitales-dilemma-das-recht-der-schwaecheren-iminternet/. – In: Heckmannn, Dirk (Hrsg.), Modernisierung von Justiz und Verwaltung – Gedenkschrift für Ferdinand O. Kopp, Stuttgart 2007. Heckmann, Dirk/Seidl, Alexander/Maisch, Michael Marc: Adäquates Sicherheitsniveau bei der elektronischen Kommunikation, 1. Aufl., Stuttgart 2012. Heghmanns, Michael/Niehaus, Holger: Outsourcing im Versicherungswesen und der Gehilfenbegriff des § 203 III 2 StGB, NStZ 2008, S. 57–62. Heibey, Hanns-Wilhelm: In: Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht, 1. Aufl., München 2003. Heidrich, Joerg/Wegener, Christoph: Sichere Datenwolken; Cloud Computing und Datenschutz, MMR 2010, S. 803–807. Heil, Helmut: Privacy Policies, Binding Corporate Rules (BCR) und verbindliche Unternehmensregelungen, DuD 2009, S. 228–230. – In: Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht, 1. Aufl., München 2003. Heinemeyer, Dennis: Wegfall des Klarnamenzwangs im sozialen Netzwerk Google-Plus, MMR-Aktuell 2011, 324834.

358

Literaturverzeichnis

Helfrich, Marcus: Teil  16.1, in: Hoeren, Thomas/Sieber, Ulrich (Hrsg.), Multimedia-Recht, Lfg. 26, August, München 2010. Hennrich, Thorsten: Compliance in Clouds. Datenschutz und Datensicherheit in Datenwolken, CR 2011, S. 546–552. Hennrich, Thorsten/Maisch, Michael Marc: Cloud Computing und Safe Harbor: Wolken über dem sicheren Hafen?, jurisAnwZert ITR 15/2011, S. Anm. 2. Hertel, Christian: J. von Staudingers Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen, Online-Ausgabe, Berlin 2012. Herzog, Roman/Scholz, Ruppert/Herdegen, Matthias/Klein, Hans (Hrsg.): In: Maunz, Roman/ Dürig, Günter (Begr.), Grundgesetz, 60. Lfg, Oktober, München 2010. Himmelsbach, Gero: Entscheidungsanmerkung zu BGH, Urt. v. 13.11.2012, Az. VI ZR330/11, K&R 2013, S. 82–84. Hipp, Dietmar: Informant Snowden: „Er ist ein Glücksfall für die Gesellschaft“, Spiegel Online, Beitrag v. 12.07.2013, http://www.spiegel.de/netzwelt/netzpolitik/fachmann-fuer-internetrechtschlaegt-klagen-gegen-prism-vor-a-910619.html. Hoeren, Thomas: Was ist das „Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme“?, MMR 2008, S. 365–366. Hohmann-Dennhardt, Christine: Freiräume – Zum Schutz der Privatheit, NJW 2006, S. 545–549. Holznagel, Bernd/Schumacher, Pascal: Auswirkungen des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme auf RFID-Chips, MMR 2009, S. 3–8. Hömig, Dieter (Hrsg.): Grundgesetz für die Bundesrepublik Deutschland, 8.  Aufl., Baden-­ Baden 2007. Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa? Licht und Schatten im Kommissionsentwurf v. 25.01.2012, ZD 2012, S. 99–106. – Datenschutz durch Technik in Europa – Die Reform der Richtlinie als Chance für ein modernes Datenschutzrecht, ZD 2011, S. 51–56. – Informationen über „Datenpannen“ – Neue Pflichten für datenverarbeitende Unternehmen, NJW 2010, S. 1841–1845. – Der Personenbezug biometrischer Daten, DuD 2004, S. 429–431. Hornung, Gerrit/Sädtler, Stephan: Europas Wolken – Die Auswirkungen des Entwurfs für eine Datenschutz-Grundverordnung auf das Cloud Computing, CR 2012, S. 638–645. Hubmann, Heinrich: Das Persönlichkeitsrecht, 2. Aufl., Böhlau 1967. Hullen, Nils: Entwurf der EU-Kommission für eine EU-Datenschutz-Grundverordnung (DSGVO-E), jurisAnwZert ITR 13/2012, Anm. 2. Huth, Felix: Google Analytics – Die datenschutzrechtlichen Bedenken bleiben, jurisAnwZert ITR 12/2011, Anm. 2. IBM Corp.: x-Force 2010 Mid-Year Trend and Risk Report, Aug. 2010, http://public.dhe.ibm. com/common/ssi/ecm/en/wgl03003usen/WGL03003USEN.PDF.

Literaturverzeichnis

359

Jahn, David/Striezel, Julia: Google Street View is watching you, K&R 2009, S. 753–758. Jamil, Tariq: The Rijndael algorithm, Potentials, IEEE 2004, Ausgabe 23. Jandt, Silke: Das neue TMG – Nachbesserungsbedarf für den Datenschutz im Mehrpersonenverhältnis, MMR 2006, S. 652–656. Jandt, Silke/Roßnagel, Alexander: Social Networks für Kinder und Jugendliche. Besteht ein ausreichender Datenschutz?, MMR 2011, S. 637–642. – Datenschutz in Social Networks. Kollektive Verantwortlichkeit für die Datenverarbeitung, ZD 2011, S. 160–166. Jandt, Silke/Roßnagel, Alexander/Volland, Bernd: Datenschutz für Smart Meter. Spezifische Neuregelungen im EnWG, ZD 2011, S. 99–103. Jansen, Wayne: Cloud Hooks: Security and Privacy in Cloud Computing, System Sciences (HICSS), 2011, 44th Hawaii International. Jarass, Hans: Das allgemeine Persönlichkeitsrecht im Grundgesetz, NJW 1989, S. 857–862. – Charta der Grundrechte der Europäischen Union unter Einbeziehung der vom EuGH entwickelten Grundrechte und der Grundrechtsregelungen der Verträge, 1. Aufl., München 2010. Jenewein, Andrea: Datenschutzbeauftragter warnt vor „Spotted“-Seiten, Stuttgarter-Nachrich­ ten, Beitrag v. 30.01.2013, http://www.stuttgarter-nachrichten.de/inhalt.trend-im-internetdatenschutzbeauftragter-warnt-vor-spotted-seiten.f5ab906b-1a66-496b-9299-3c200b984 bd4.html. Joecks, Wolfgang/Miebach, Klaus (Hrsg.): Münchener Kommentar zum StGB, Bd. 3, 2. Aufl., München 2012. Jotzo, Florian: Der Schutz personenbezogener Daten in der Cloud, 1. Aufl., Baden-Baden 2013. – Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, S. 232–237. Karg, Moritz: Entscheidungsanmerkung zu VG Schleswig, Beschl. v. 14.02.2013, Az.  8  B 60/12, ZD 2013, S. 245–248. – Die Rechtsfigur des personenbezogenen Datums. Ein Anarchronismus des Datenschutzes?, ZD 2012, S. 255–260. Karg, Moritz/Fahl, Constantin: Rechtsgrundlagen für den Datenschutz in sozialen Netz­werken, K&R 2011, S. 453–458. Karg, Moritz/Thomsen, Sven: Tracking und Analyse durch Facebook. Das Ende der Unschuld, DuD 2012, S. 729–736. Kaufmann, Noogie: Meldepflichten und Datenschutz-Folgenabschätzung, Kodifizierung neuer Pflichten in der EU-Datenschutz-Grundverordnung, ZD 2012, S. 358–362. Khosla, Nina: The Social Network Paradox, TechCrunch, Beitrag v. 28.08.2011, http://techcrunch. com/2011/08/28/the-social-network-paradox/. Khunkham, Kritsanarat: Was mit Facebook-Accounts nach dem Tod passiert, Welt.de, Beitrag v. 26.11.2012, http://www.welt.de/debatte/kolumnen/der-onliner/article111515002/Was-mitFacebook-Accounts-nach-dem-Tod-passiert.html.

360

Literaturverzeichnis

Kirkpatrick, David: The Facebook effect, the inside story of the company that is connection the world, 1. Ed., New York, USA 2010. Kirkpatrick, Marshall: Facebook’s Zuckerberg Says The Age of Privacy is Over, ReadWrite Web, Beitrag v. 09.01.2010, http://www.readwriteweb.com/archives/facebooks_zuckerberg_ says_the_age_of_privacy_is_ov.php. Kirsch, Christian: US-Behörden dürfen auf europäische Cloud-Daten zugreifen, Heise.de, Beitrag v. 30.06.2011, http://www.heise.de/newsticker/meldung/US-Behoerden-duerfen-aufeuropaeische-Cloud-Daten-zugreifen-1270455.html. Klas, Benedikt/Bauer, Carina: Facebook-Partys: Haftung des Einladenden, K&R 2011, S. 533–537. Klinger, Markus: Verdecktes Online-Marketing im Web 2.0 und UWG, jurisAnwZert ITR 19/2008, Anm. 4. Knabe, Axel/Albrecht, Florian: Online-Kommentar zum Entwurf einer Datenschutz-Grund­ verordnung, http://www.ds-grundverordnung.de/. Kneidinger, Bernadette: Facebook und Co. Eine soziologische Analyse von Interaktionsformen in Online Social Networks, 1. Aufl., Wiesbaden 2010. Knierim, Antonie: Kumulation von Datensammlungen auf Vorrat, ZD 2011, S. 17–23. Knopp, Michael: Datenschutzherausforderung Webtracking, DuD 2010, S. 783–786. Koch, Alexander: Grundrecht auf Verschlüsselung, CR 1997, S. 106–110. Kollmann, Tobias: E-Business: Grundlagen elektronischer Geschäftsprozesse in der Net Economy, 4. Aufl., Wiesbaden 2011. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Pressemitteilung v. 24.07.2013, https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen236.c.9283.de. Kramer, Philipp/Meints, Martin: Teil 16.5, in: Hoeren, Thomas/Sieber, Ulrich (Hrsg.), Multimedia-Recht, Lfg. 19 März, München 2008. Kranig, Thomas/Peintinger, Stefan: Selbstregulierung im Datenschutzrecht, Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DS-GVO, ZD 2014, 3–9. Kremer, Sascha: Datenschutz bei Entwicklung und Nutzung von Apps für Smart Devices, CR 2012, S. 438–446. – Vertragsgestaltung bei Entwicklung und Vertrieb von Apps für mobile Endgeräte, CR 2011, S. 769–776. Kremp, Matthias/Lischka, Konrad/Reißmann, Ole: Projekt Prism: US-Geheimdienst späht weltweit Internetnutzer aus, Spiegel Online, Beitrag v. 07.06.2013, http://www.spiegel.de/netz welt/netzpolitik/projekt-prism-nsa-spioniert-weltweit-internet-nutzer-aus-a-904330.html. Krieg, Henning: Comic-Bilder als Profilbild auf Facebook – nicht ganz risikolos, Kriegs-recht. de, Beitrag v. 18.11.2012, http://www.kriegs-recht.de/comic-bilder-als-profilbild-auf-face book-nicht-unbedingt-eine-gute-aktion/. – Der „Düsseldorfer Kreis“ und die datenschutzrechtskonforme Gestaltung – nicht nur – von sozialen Netzwerken, jurisAnwZert ITR 24/2008, Anm. 3.

Literaturverzeichnis

361

Kroes, Neelie: EU-Kommissarin für die Digitale Agenda, Rede v. 22.06.2011, http://europa.eu/ rapid/pressReleasesAction.do?reference=SPEECH/11/461. Kroschwald, Steffen/Wicker, Magda: Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB, CR 2012, S. 758–764. Küchler, Peter: In: Bräutigam, Peter (Hrsg.), IT-Outsourcing, 2. Aufl., Berlin 2009. Kühling, Jürgen/Seidel, Christian/Sivridis, Anastasios: Datenschutzrecht, 2. Aufl., Heidelberg 2011. Kunig, Philip: Der Grundsatz informationeller Selbstbestimmung, Jura 1993, S. 595–604. Kutschka, Martin: Das „Computer-Grundrecht“  – eine Erfolgsgeschichte? DuD 2012, S. 391–394. – Verdeckte „Online-Durchsuchung“ und Unverletzlichkeit der Wohnung, NJW 2007, S. 1169. Lardschneider, Michael: Social Engineering, Eine ungewöhnliche aber höchst effiziente Security Awareness Maßnahme, DuD 2008, S. 574–578. Laue, Philip/Stiemerling, Oliver: Identitäts- und Zugriffsmanagement für Cloud Computing Anwendungen, DuD 2010, S. 692–697. Lauter, Kristin/Naehrig, Michael/Vaikuntanathan, Vinod: Can Homomorphic Encryption be Practical?, Microsoft Research, Beitrag v. 06.05.2011, http://research.microsoft.com/apps/ pubs/default.aspx?id=148825. Lederer, Beatrice: Das Verbraucherleitbild im Internet, NJOZ 2011, S. 1833–1838. – Quo vadis Bildberichterstattung? Eine Standortbestimmung im Spannungsfeld zwischen nationaler und europäischer Rechtsprechung, 1. Aufl., München 2008. Lensdorf, Lars: Auftragsdatenverarbeitung in der EU/EWR und Unterauftragsdatenverarbeitung in Drittländern, CR 2010, S. 735–741. – IT-Compliance  – Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, CR 2007, S. 413–418. Lienemann, Kerstin: What’s the Way the Cookie Crumbles? Umsetzung der E-Privacy Richt­ linie in der Europäischen Union, K&R 2011, S. 609–613. Lischka, Konrad: Zugriff auf Firmeninterna – Dropbox gesteht Sicherheitsproblem ein, Spiegel Online, Beitrag v. 01.08.2012, http://www.spiegel.de/netzwelt/web/dropbox-neue-pass woerter-fuer-alle-nutzer-a-847576.html. Lischka, Konrad/Reißmann, Ole: Facebook-Nutzer sollen Freunde verpetzen, Spiegel Online, Beitrag v. 09.07.2012, http://www.spiegel.de/netzwelt/netzpolitik/pseudonyme-facebooknutzer-sollen-freunde-verpetzen-a-843326.html. Logemann, Thorsten: WhatsApp und Datenschutz  – Antworten auf die wichtigsten Fragen, daten­schutzbeauftragter.info, Beitrag v. 21.02.2012, http://www.datenschutzbeauftragterinfo.de/whatsapp-und-datenschutz-antworten-auf-die-wichtigsten-fragen/. Luch, Anika Dorthe: Das neue „IT-Grundrecht“. Grundbedingung einer „Online-Handlungsfreiheit“, MMR 2011, S. 75–79.

362

Literaturverzeichnis

– Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“: Das allgemeine Persönlichkeitsrecht im Spannungsverhältnis zur Medienfreiheit unter dem Grundgesetz und der Europäischen Menschenrechtskonvention, 1. Aufl., Frankfurt am Main 2008. Luehrsen, Heinrich: Frictionless Sharing für die eigene Seite: So gehts!, allfacebook.de, Beitrag v. 15.05.2012, http://allfacebook.de/connect/frictionless-sharing-gastbeitrag/#more-21941. Luhmann, Niklas: Rechtssoziologie, 4. Aufl., Wiesbaden 2008. Lusted, Marcia Amido: Social Networking, MySpace, Facebook, & Twitter, 1. Ed., North Mankata, USA, 2011. Lynch, Jennifer: FBI’s Facial Recognition is Coming to  a State Near You, EFF, Beitrag v. 02.08.2012, https://www.eff.org/deeplinks/2012/07/fbis_facial_recognition_coming_state_ near_you. Maaß, Christian: E-Business Management, 1. Aufl., Stuttgart 2008. MacAskill, Ewen: Edward Snowden, NSA files source: ‚If they want to get you, in time they will‘, The Guardian, Beitrag v. 10.06.2013, http://www.theguardian.com/world/2013/ jun/09/nsa-whistleblower-edward-snowden-why. Maisch, Michael Marc: Safe-Harbor: Genehmigungsbedürftigkeit von Datentransfers nach Enthüllungen zu Prism?, jurisAnwZert ITR 18/2013, Anm. 2. – Cloudsicherheit: Bestimmung des angemessenen Schutzniveaus nach § 9 Satz 2 BDSG, jurisAnwZert ITR 20/2011, Anm. 2. – Datenschutz bei Google Analytics: Kritik an digitalen Fährtenlesern, Legal Tribune Online, 11.02.2011, http://www.lto.de/recht/hintergruende/h/datenschutz-bei-google-analytics-kritikan-digitalen-faehrtenlesern/. – Nutzertracking im Internet, ITRB 2011, S. 13–17. – „Privacy is (not) over“ – Reformbestrebung bei der EU-Datenschutzrichtlinie, jurisAnwZert ITR 23/2010, Anm. 3. – Facebooks Social Plugins als Herausforderung im Datenschutz- und Telemedienrecht, juris AnwZert ITR 19/2010, Anm. 2. – Der Browser Fingerprint als personenbezogenes Datum im Telemedienrecht?, jurisAnwZert ITR 05/2010, Anm. 3. – Cloud Computing: Datenschutz in der Wolke, jurisAnwZert ITR 15/2009, Anm. 4. Maisch, Michael Marc/Albrecht, Florian: Mit Google das Gesicht verlieren? – Datenschutz bei Google Street View, jurisAnwZert ITR 2/2010, Anm. 2. Maisch, Michael Marc/Seidl, Alexander: Cloud Government: Rechtliche Herausforderungen beim Cloud Computing in der öffentlichen Verwaltung, VBl. BW 2012, S. 7–12. – Sichere elektronische Kommunikation für Berufsgeheimnisträger am Beispiel des E-Postbriefs, jurisAnwZert ITR 7/2012, Anm. 2. – Cloud-Nutzung für Berufsgeheimnisträger – § 203 StGB als „Showstopper“?, DSB 2012, S. 127–129.

Literaturverzeichnis

363

– Entscheidungsanmerkung zu VG Berlin, Urt. v. 24.05.2011, Az. 1 K 133.10, jurisPR-ITR 23/2011, Anm. 5. Mangoldt, Hermann, von/Klein, Friedrich/Starck, Christian: Das Bonner Grundgesetz. Kommentar, Bd. 1, 6. Aufl., München 2010. Mann, Marius E.: Vertragsgestaltung beim IT-Outsourcing – Besonderheiten und Fallstricke, MMR 2012, S. 499–502. Marnau, Ninja/Schirmer, Norbert/Schlehahn, Eva/Schunter, Matthias: TClouds; Herausforderungen und erste Schritte zur sicheren und datenschutzkonformen Cloud, DuD 2011, S. 333–337. Marnau, Ninja/Schlehahn, Eva: Cloud Computing und Safe Harbor, DuD 2011, S. 311–316. Martini, Mario: Das allgemeine Persönlichkeitsrecht im Spiegel der neueren Judikatur des Bundesverfassungsgerichts, JA 2009, S. 839–845. Masing, Johannes: Ein Abschied von den Grundrechten, Süddeutsche Zeitung, gedruckte Ausgabe, Beitrag v. 09.01.2012. – Herausforderungen des Datenschutzes, NJW 2012, S. 2305–2312. Mather, Tim/Kumaraswamy, Subra/Latif, Shahed: Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance, 1. Aufl., Sebastopol 2008. Maurer, Hartmut: Allgemeines Verwaltungsrecht, 18. Aufl., München 2008. Maxwell, Winston/Wolf, Christopher: A Global Reality: Governmental Access to Data in the Cloud. A comparative analysis of ten international jurisdictions, Hogan Lovells White ­Paper v. 23.05.2012. Mayer-Schöneberger, Viktor: Delete – die Tugend des Vergessens in digitalen Zeiten, Berlin University Press, 2010. Mayfield, Antony: What Is Social Media, eBook bei iCrossing.co.uk, 01.08.2008, http://www. icrossing.co.uk/fileadmin/uploads/eBooks/What_is_Social_Media_iCrossing_ebook.pdf. Mehldau, Matthias: Iconset für Datenschutzerklärungen, https://netzpolitik.org/2007/iconsetfuer-datenschutzerklaerungen/. Meiritz, Annett: NSA-Spähaffäre: Bundesregierung verteidigt heikles Snowden-Gutachten, Spiegel Online, Beitrag v. 02.06.2014, http://www.spiegel.de/politik/deutschland/bundes­ regierung-verteidigt-umstrittenes-snowden-gutachten-a-972912.html. Metzger, Christian/Reiz, Thorsten/Villar, Juan: Cloud Computing, Chancen und Risiken aus technischer und unternehmerischer Sicht, 1. Aufl., München 2011. Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten?, MMR 2009, S. 8–13. Michelis, Daniel: Social Media Modell, in: Michelis, Daniel/Schildhauer, Thomas (Hrsg.), Social Media Handbuch, Theorien, Methoden und Praxis, 2. Aufl., Baden-Baden 2012. Microsoft: Office 365 Trust Center: Geographic Boundaries, http://www.microsoft.com/online/ legal/v2/?docid=25. Microsoft Corp.: Windows Azure, http://www.windowsazure.com.

364

Literaturverzeichnis

Miedbrodt, Anja: In: Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht, 1. Aufl., München 2003. Minnerup, Silke: Datenschutzrechtliche Beurteilung von Social Plugins, ITRB 2012, S. 23–24. Moos, Flemming: Die EU Standardvertragsklauseln für Auftragsdatenverarbeiter, CR 2010, S. 281–286. Morrill, Dan: Homomorphic Encryption for Cloud Computing, CloudAce.com, Beitrag v. 10.08.2011, http://www.cloudave.com/14257/homomorphic-encryption-for-cloud-computing/. Müller-Broich, Jan D.: Telemediengesetz, 1. Aufl., Baden-Baden 2012. Münch, Isabel/Doubrava, Clemens/Essoh, Alex Didier: Eine Gefährdungsanalyse von Private Clouds. Sichere Virtualisierung als Grundlage für sichere Private Cloud-Umgebungen, DuD 2011, S. 322–328. Murphy, Samantha: Locked Out of Facebook? Now Your Friends Can Help, Mashable.com, Beitrag v. 02.05.2013, http://mashable.com/2013/05/02/facebook-trusted-contacts/. Mutius, Albert v.: In: Bäumler, Helmut/Mutius, Albert v. (Hrsg.), Anonymität im Internet, 1. Aufl., Wies­baden 2003. Nägele, Thomas/Jacobs, Seven: Rechtsfragen des Cloud Computing, ZUM 2010, S. 281–292. National Institute of Standards and Technology (NIST): The NIST Definition of Cloud Com­ puting, http://csrc.nist.gov/publications/nistpubs/800–145/SP800–145.pdf. Nebel, Maxi/Richter, Philipp: Datenschutz bei Internetdiensten nach der DS-GVO. Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf, ZD 2012, S. 407–413. Niedermeier, Robert: Kap. J, in: Söbbing, Thomas, Handbuch IT-Outsourcing: Recht, Strategie, Prozesse, IT, Steuern samt Business Process Outsourcing, 3. Aufl., Heidelberg 2006. Nielen, Michael/Thum, Kai: Auftragsdatenverarbeitung durch Unternehmen im Nicht-EU-Ausland, K&R 2006, S. 171–176. Niemann, Fabian/Hennrich, Thorsten: Kontrollen in den Wolken? Auftragsdatenverarbeitung in Zeiten des Cloud Computings, CR 2010, S. 686–692. Niemann, Fabian/Paul, Jörg-Alexander: Bewölkt oder wolkenlos – rechtliche Herausforderungen des Cloud Computings, K&R 2009, S. 444–452. Nietsch, Thomas: Datenschutzrechtliches Gebot zur Vergabe dynamischer IP-Adressen im IPv6, CR 2011, S. 763–768. Nolte, Norbert: Zum Recht auf Vergessen im Internet. Von digitalen Radiergummis und anderen Instrumenten, ZRP 2011, S. 236–240. O’Regan, Gerald: A Brief History of Computing, 2. Aufl., London 2012. Oberrath, Jörn-Dieter: Öffentliches Recht, 3. Aufl., München 2010. OpenID-Foundation: The OpenID Foundation, http://openid.net/foundation/. Ott, Stephan: Das Internet vergisst nicht  – Rechtsschutz für Suchobjekte?, MMR 2009, S. ­158–163.

Literaturverzeichnis

365

Outthinkgroup.com: The 6 Types of Social Media, http://outthinkgroup.com/tips/the-6-typesof-social-media. Pahlen-Brandt, Ingrid: Zur Personenbezogenheit von IP-Adressen, K&R 2008, S. 288–290. Pallasky, Ansgar: USA PATRIOT Act: Neues Recht der TK-Überwachung, DuD 2002, S. ­221–225. Parnell, Brid-Aine: Microsoft’s Azure cloud down and out for 8 hours, The Register, Beitrag v. 29.02.2012, http://www.theregister.co.uk/2012/02/29/windows_azure_outage/. Parr, Ben: What We Can Learn From Amazon’s Cloud Collapse, Mashable 2011, Beitrag v. 22.04.2011, http://mashable.com/2011/04/22/amazon-cloud-collapse/. Pfeiffer, Thomas/Weller, Matthias/Nordmeier, Carl Friedrich: Art. 3 Rom-I VO, in: Spindler, Gerald/Schuster, Fabian (Hrsg.), Recht der elektronischen Medien, 2. Aufl., München 2011. Philips, Tom: Edward Snowden: Hong Kong hotel hideaway of the NSA whistleblower, The Telegraph, Beitrag v. 10.06.2013, http://www.telegraph.co.uk/news/worldnews/asia/hongkong/ 10110927/Edward-Snowden-Hong-Kong-hotel-hideaway-of-the-NSA-whistleblower.html. Pilarczyk, Hannah: Facebook-Party: Festnahmen und Verwüstungen bei Thessas Feier, Spiegel Online, Beitrag v. 04.06.2011, http://www.spiegel.de/panorama/gesellschaft/facebook-partyfestnahmen-und-verwuestungen-bei-thessas-feier-a-766576.html. Piltz, Carlo: Entscheidungsanmerkung zu VG Schleswig, Beschl. v. 14.02.2013, Az. 8 B 60/12, K&R 2013, S. 283–284. – Der Like-Button von Facebook, CR 2011, S. 657–664. Pohle, Jan/Ammann, Thorsten: Über den Wolken … – Chancen und Risiken des Cloud Com­ puting, CR 2009, S. 273–278. – Software as a Service – auch rechtlich eine Evolution?, K&R 2009, S. 625–631. Polenz, Sven: Teil 13 Datenschutz, in: Kilian, Wolfgang/Heussen, Benno (Hrsg.), Computerrecht, 29 Lfg., München 2011. Popp, Andreas: Die „Staatstrojaner“-Affäre: (Auch) ein Thema für den Datenschutz  – Kurzer Überblick aus strafprozessualer und datenschutzrechtlicher Sicht, ZD 2012, S. 51–55. – Entscheidungsanmerkung zu LG Düsseldorf, Große Strafkammer, Urt. v. 22.03.2011  – 3 KLs 1/11, jurisPR-ITR 25/2011, Anm. 6. Raepple, Martin: Netzweite Identitäten mit OpenID, DuD 2009, S. 174–177. Redeker, Helmut: Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, S. 554–558. Reding, Viviane: Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, S. 195–198. Reese, George: Cloud Application Architectures, Building Applications and Infrastructure in the Cloud, 1. Aufl., Sebastopol, USA 2009. Reinemann, Susanne/Remmertz, Frank: Urheberrechte an User-generated Content, ZUM 2012, S. 216–227.

366

Literaturverzeichnis

Richter, Alexander/Koch, Michael: Funktionen von Social-Networking-Diensten. Proceding Multikonferenz Wirtschaftsinformatik 2008, S. 1239–1250. Ristenpart, Thomas/Tromer, Eran/Shacham, Hovav/Savage, Stefan: Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds, ACM Conference on Computer and Communications Security, November 2009. Rivest, Ronald/Adleman, Len/Dertouzos, Michael: On data banks and privacy homomorphism, Foundations of Secure Computation 1978, S. 169–177. Robak, Markus: Entscheidungsanmerkung zu BGH, Urt. v. 09.02.2010, Az. VI ZR 243/08, GRUR-Prax 2010, S. 179. Roggan, Fredrik: Das neue BKA-Gesetz – Zur weiteren Zentralisierung der deutschen Sicherheitsarchitektur, NJW 2009, S. 257–262. Roggenkamp, Jan Dirk: Web 2.0 Plattformen im kommunalen E-Government: Telos, Beschaffung, Modellierung, Betrieb und Wettbewerb, 1. Aufl., Stuttgart 2010. – Entscheidungsanmerkung zu BGH, Urt. v. 23.06.2009, Az. VI ZR 196/08, K&R 2009, S. 571–573. Rohlf, Dietwalt: Der grundrechtliche Schutz der Privatsphäre: Zugleich ein Beitrag zur Dogmatik des Art. 2 Abs. 1 GG, 1. Aufl., Berlin 1980. Rolff, Marten/Davis, Rob: Virtuelle Schlammschlachten, Süddeutsche Zeitung, Beitrag v. 09.02.2007, http://www.sueddeutsche.de/digital/kriminalitaet-im-internet-virtuelle-schlamm schlachten-1.831668. Rose, Edgar: De-Mail-Gesetz in Kraft: Sicherheitsgewinn in der elektronischen Kommunikation, K&R 2011, S. 439–445. Rosengarten, Carsten/Römer, Sebastian: Der „virtuelle verdeckte Ermittler“ in sozialen Netzwerken und Internetboards, NJW 2012, S. 1764–1768. Roßnagel, Alexander: Das De-Mail-Gesetz, Grundlage für mehr Rechtssicherheit im Internet, NJW 2011, S. 1473–1478. – Selbst- oder Fremdbestimmung – Die Zukunft des Datenschutzes, in: Roßnagel, Alexander/ Sommerlatte, Tom/Winand, Udo (Hrsg.), Digitale Visionen, Berlin 2008, S. 123–163. – Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, MMR 2005, S. 71–75. – Entscheidungsanmerkung zu EuGH, Urt. v. 06.11.2003, Az. C-101/01, MMR 2004, S. ­95–100. – In: Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht – Die neuen Grundlagen für Wirtschaft und Verwaltung, 1. Aufl., München 2003. Roßnagel, Alexander/Pfitzmann, Andreas/Garstka, Hansjürgen: Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, 2001, http://www. computerundrecht.de/media/gutachten.pdf. Roth, Philipp: Graph Search: Jetzt für jeden (der Facebook in „English US“ nutzt) verfügbar!, allfacebook.de, Beitrag v. 08.08.2013, http://allfacebook.de/toll/graph-search-launch. – Update: Facebook Places nun offiziell bestätigt, allfacebook.de, Beitrag v. 11.05.2010, http://allfacebook.de/places/update-facebook-places-nun-offiziell-bestatigt/.

Literaturverzeichnis

367

– Facebook Social Plugins: Like Button, Recommendations, Activity Feed, Like Box usw. – Die neuen und alten Plugins im Überblick, allfacebook.de, Beitrag v. 21.04.2010, http://allfacebook.de/connect/facebook-social-plugins-like-button-recommendations-activity-feedlike-box-usw-die-neuen-und-alten-plugins-im-uberblick. Rüpke, Giselher: Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts – ein quasi-datenschutzrechtliches Missverständnis zu § 203 StGB, NJW 2002, S. 2835–2838. Rutsky, Ken: The 4th C – How the Cloud Changes Everything in B2B Marketing, Cloud Computing Journal, Beitrag v. 16.07.2011, http://cloudcomputing.sys-con.com/node/1909372. Sachs, Michael (Hrsg.): Grundgesetz Kommentar, 5. Aufl., München 2009. Schaar, Peter: Privacy by Design, Identity in the Information Society 2010, S. 267–274. – Datenschutz im Internet, Die Grundlagen, 1. Aufl., München 2002. Schaffland, Hans-Jürgen/Wiltfang, Noeme: Bundesdatenschutzgesetz, Loseblattsammlung, Berlin 2010. Scheliga, Mario: Facebook-Anwendungen programmieren, 1. Aufl., Köln 2011. Schild, Hans-Hermann: In: Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht, 1. Aufl., München 2003. Schippan, Martin: Rechtsfragen bei der Implementierung von Digital Rights Management-Systemen, ZUM 2004, S. 188–189. Schirmbacher, Martin: Entscheidungsanmerkung zu LG Berlin, Beschl. v. 18.08.2009, Az. 15 S 8/09, GRUR-Prax 2010, 207. Schirrmacher, Frank: Der verwettete Mensch, FAZ, Beitrag v. 17.06.2013, http://www.faz.net/ aktuell/feuilleton/nsa-skandal-der-verwettete-mensch-12223220.html. Schleswig-Holsteinischer Landtag: Stellungnahme des Wissenschaftlichen Dienstes, Schleswig-Holsteinischer Landtag, Umdruck 17/2988, S. 6. Schmale, Wolfgang/Tinnefeld, Marie-Theres: „Der Bau“ von Kafka oder die (Staats)TrojanerArchitektur, DuD 2012, S. 401–405. Schmidl, Michael: § 29 Recht der IT-Sicherheit, in: Hauschka, Christoph E. (Hrsg.), Corporate Compliance. Handbuch der Haftungsvermeidung im Unternehmen, 2. Aufl., München 2010. Schmidl, Michael/Krone, Daniel: Standardvertragsklauseln als Basis intra-europäischer Auftragsdatenverarbeitung, DuD 2010, S. 838–843. Schmidt, Bernd: In: Taeger, Jürgen/Gabel, Detlev, Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 1. Aufl., Frankfurt am Main 2010. Schmidt, Jürgen: 2 Klicks für mehr Datenschutz, c’t, Beitrag v. 01.09.2011, http://www.heise. de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html. Schmidt-Bens, Johanna: Cloud Computing Technologien und Datenschutz, 1. Aufl., Edewecht 2012. Schmidt-Bleibtreu, Bruno/Hofmann, Hans/Hopfauf, Axel (Hrsg.): Kommentar zum Grund­ gesetz, 12 Aufl., Köln 2011.

368

Literaturverzeichnis

Schmitt Glaeser, Walter: In: Isensee, Josef/Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. 6, 2. Aufl., Heidelberg 2001. Schmitz, Peter: Teil  16.2, in: Hoeren, Thomas/Sieber, Ulrich (Hrsg.), Multimedia-Recht, Lfg. 24 Dezember 2009. Schnabel, Christoph: Datenschutz bei profilbasierten Location Based Services, 1. Aufl., Kassel 2009. Schneider, Adrian: Das neue Facebook App Center und der Datenschutz, Telemedicus, Beitrag v. 26.07.2012, http://www.telemedicus.info/article/2379-Das-neue-Facebook-App-Centerund-der-Datenschutz.html. Schneider, Jochen: Hemmnis für einen modernen Datenschutz: Das Verbotsprinzip, AnwBl. 2011, S. 233–239. – Die Datensicherheit – eine vergessene Regelungsmaterie?, ZD 2011, S. 6–12. – Handbuch des EDV-Rechts, 4. Aufl., Köln 2009. Schneider, Jochen/Härting, Niko: Wird der Datenschutz nun endlich internettauglich? Warum der Entwurf einer Datenschutz-Grundverordnung enttäuscht, ZD 2012, S. 199–203. Schoch, Friedrich: Das Recht auf informationelle Selbstbestimmung, Jura 2008, S. 352–359. Scholz, Rupert/Pitschas, Rainer: Informationelle Selbstbestimmung und staatliche Informa­ tionsverantwortung, 1. Aufl., Berlin 1984. Schönke, Adolf (Begr.)/Schröder, Horst/Eser, Albin (Hrsg.): Strafgesetzbuch Kommentar, 28. Aufl., München 2010. Schöttle, Hendrik: Anwaltliche Internet-Rechtsberatung und das Teledienstedatenschutzgesetz, BRAK-Mitt 2004, S. 253–257. Schreiner, Rüdiger: Computer-Netzwerke, Von den Grundlagen zur Funktion und Anwendung, 1. Aufl., München 2009. Schröder, Christian/Haag, Nils Christian: Neue Anforderungen an Cloud Computing für die Praxis. Zusammenfassung und erste Bewertung der „Orientierungshilfe – Cloud Computing“, ZD 2011, S. 147–152. Schröder, Georg F.: Datenschutzrecht für die Praxis, Grundlagen, Datenschutzbeauftragte,­ Audit, Handbuch, Haftung etc., 1. Aufl., München 2012. Schultze-Melling, Jyn: In: Taeger, Jürgen/Gabel, Detlev, Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 1. Aufl., Frankfurt am Main 2010. Schulz, Carsten: Rechtliche Aspekte des Cloud Computing im Überblick, in: Taeger, Jürgen/ Wiebe, Andreas, Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Oldenburg 2009. Schulz, Carsten/Rosenkranz, Timo: Cloud Computing  – Bedarfsorientierte Nutzung von ITRessourcen, ITRB 2009, S. 232–236. Schulz, Gabriel: Das neue IT-Grundrecht – staatliche Schutzpflicht und Infrastrukturverantwortung, DuD 2012, S. 395–400.

Literaturverzeichnis

369

Schulz, Hajo: Fensterladen. Der Store für Windows-8-Metro-Apps, c’t 1/2012, http://www. heise.de/ct/artikel/Fensterladen-1395129.html. Schulz, Sönke: Cloud Computing in der öffentlichen Verwaltung. Chancen  – Risiken  – Modelle, MMR 2010, S. 75–80. Schulzki-Haddouti, Christiane: Datenschützer mögen den Like-Button nicht, Zeit Online, Beitrag v. 18.03.2011, http://www.zeit.de/digital/datenschutz/2011–03/facebook-like-datenschutz/ seite-2. Schuppert, Stefan/Reden, Armgard v.: Einsatz internationaler Cloud-Anbieter: Entkräftung der Mythen, Rechtlich zulässige Einschaltung von zertifizierten Cloud-Diensten in Deutschland möglich, ZD 2013, 210–220. Schüßler, Lennart: Datenschutzrechtliche Verantwortlichkeit des Websitebetreibers in Bezug auf den „Like-Button“, jurisAnwZert ITR 24/2011, Anm. 2. – Facebook und der Wilde Westen – Soziale Netzwerke und Datenschutz, in: Taeger, Digitale Evolution, S. 233–252, 1. Aufl., Edewecht 2010. Schuster, Fabian/Reichl, Wolfgang: Cloud Computing & SaaS: Was sind die wirklich neuen Fragen?, CR 2010, S. 38–43. Schwartz, Paul: „Personenbezogene Daten“ aus internationaler Perspektive, ZD 2011, S. ­97–98. – Das Übersetzen im Datenschutz: Unterschiede zwischen deutschen und amerikanischen Konzepten der „Privatheit“, RDV 1992, S. 8–12. Schwarze, Jürgen: Der Grundrechtsschutz für Unternehmen in der Europäischen Grundrechtecharta, EuZW 2001, S. 517–524. Schweda, Sebastian: Entscheidungsanmerkung zu LG Berlin, Urt. v. 06.03.2012, Az. 16 O 551/10, MMR-Aktuell 2012, S. 329914. Schwenk, Jörg: Sicherheit und Kryptographie im Internet, Von sicherer E-Mail bis zur IP-Verschlüsselung, 3. Aufl., Wiesbaden 2010. Schwenke, Thomas: Das virtuelle Hausrecht als Abwehrmaßnahme gegen „Shitstorms“ innerhalb von Social Media Plattformen, K&R 2012, S. 305–309. – Social Media Marketing und Recht, 1. Aufl., Köln 2012. Sebayang, Andreas: McAfee sichert Facebook-Bilder mit virtuellem „Kondom“, Golem.de, Beitrag v. 12.09.2012, http://www.golem.de/news/social-protection-mcafee-sichert-facebookbilder-mit-virtuellem-kondom-1209–94519.html. Seeger, Jürgen: Computerwurm klaut Facebook-Passwörter, Heise Security, Beitrag v. 07.01. 2012, http://www.heise.de/security/meldung/Computerwurm-klaut-Facebook-Passwoerter1405061.html. Seidl, Alexander/Beyvers, Eva: Virtuelle verdeckte Ermittler? – Überblick über polizeiliche Ermittlungen in sozialen Netzwerken, jurisAnwZert ITR 15/2011, Anm. 3. Seidl, Alexander/Fuchs, Katharina: Neuerungen durch das EU-Telekom-Reformpaket, juris AnwZert ITR 01/2010, Anm. 2. Seidl, Alexander/Maisch, Michael Marc: Entscheidungsanmerkung zu VG Hannover, 10. Kammer, Urt. v. 14.07.2011, Az. 10 A 5452/10, jurisPR-ITR 24/2011, Anm. 4.

370

Literaturverzeichnis

– Entscheidungsanmerkung zu BGH, 6. Zivilsenat, Urt. v. 16.03.2010, Az. VI ZR 176/09, juris PR-ITR 16/2010, Anm. 3. – Entscheidungsanmerkung zu KG Berlin, 4.  Strafsenat, Beschl. v. 22.07.2009, Az. 1 Ss 181/09 (130/09), jurisPR-ITR 22/2009, Anm. 3. Sestili, Tracy: Statistics Of Top 5 Social Networks (Infographic), Social Strand Media.com, Beitrag v. 08.05.2012, http://socialstrand.com/2012/05/08/statistics-of-top-5-social-networksinfographic/. Sieber, Ulrich: Teil  1, in: Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd (Hrsg.), Multi­ media-Recht, München, 15. Lfg. Juni 2006. Simitis, Spiros (Hrsg.): Bundesdatenschutzgesetz, 7. Aufl., Baden-Baden 2011. Sitaram, Dinkar/Manjunath, Geetha: Moving To The Cloud: Developing Apps in the New World of Cloud Computing, 1. Ed., Waltham 2012. Smith, Justin: Facebook announces users will soon be able to log-in to Facebook via OpenID, Inside Facebook, Beitrag v. 27.04.2009, http://www.insidefacebook.com/2009/04/27/facebook-announces-users-will-soon-be-able-to-login-to-facebook-with-an-openid/. Söbbing, Thomas: Cloud und Grid Computing: IT-Strategien der Zukunft rechtlich betrachtet, MMR 5/2008, S. XII–XIV. – Kapitel D, in: Söbbing, Thomas (Hrsg.), Handbuch IT-Outsourcing, 3. Aufl., Heidelberg 2006. Sodan, Helge (Hrsg.): Grundgesetz. Beck’scher Kompakt-Kommentar, 1. Aufl., München 2009. Söllner, Sebastian: Soziale Netzwerke versus Sicherheit und Ordnung, Die Polizei 2012, S. 8–13. Söllner, Sebastian/Wecker, Sven-Erik: Bewegung der Massen durch Facebook, Praktische Probleme und rechtliche Aspekte neuer Massenkommunikation, ZRP 2011, S. 179–227. Solmecke, Christian: Teil 21.1, in: Hoeren, Thomas/Sieber, Ulrich (Hrsg.), Multimedia-Recht, 32. Lfg., München 2012. Sonnleithner, v. Bernhard: Datenschutz und Social Media, ITRB 2011, S. 238–239. Sorkin, Andrew Ross: Those Millions on Facebook? Some May Not Actually Visit, New York Times, Beitrag v. 06.02.2012, http://dealbook.nytimes.com/2012/02/06/those-millions-onfacebook-some-may-not-actually-visit/. Spiecker genannt Döhmann, Indra: Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen Sozialen Netzwerken. Überlegungen zu Vollzugsdefiziten im Datenschutzrecht, K&R 2012, S. 717–725. Spiegel Online: Spähaffäre: SPD fordert NSA-Untersuchungsausschuss, Beitrag v. 27.10.2013, http://www.spiegel.de/politik/deutschland/spaehaffaere-oppermann-fordert-nsa-unter suchungsausschuss-a-930222.html. – US-Spähprogramm Prism: Facebook und Microsoft verraten Umfang der Datenübermittlung, Beitrag v. 15.06.2013, http://www.spiegel.de/netzwelt/netzpolitik/prism-facebookund-microsoft-nennen-umfang-der-datenuebermittlung-a-905877.html.

Literaturverzeichnis

371

Spies, Axel: Keine „Genehmigungen“ mehr zum USA-Datenexport nach Safe Harbor? Übertragung personenbezogener Daten aus Deutschland in die USA, ZD 2013, 535–538. – Europa: Wer hat Angst vor dem US-PATRIOT Act?, ZD-Aktuell 2012, 03062. – USA: Neue Datenschutzvorschriften auf dem Prüfstand, Mehr Schutz für die Privacy der Bürger per Gesetz oder durch Selbstverpflichtung der Industrie?, ZD 2011, S. 12–16. – EU: Standortdaten der Smartphones sind personenbezogene Daten – Einwilligung der Nutzer?, MMR-Aktuell 2011, 318376. – Cloud Computing: Keine personenbezogenen Daten bei Verschlüsselung, MMR-Aktuell 2011, 313727. – USA: Cloud Computing – Schwarze Löcher im Datenschutzrecht, MMR 5/2009, S. XI–XII. Spies, Axel/Stutz, Oliver: Microsoft als Initialzünder für mehr Datenschutz in den USA?, DuD 2006, S. 170–176. Spindler, Gerald/Nink, Judith: Zwölfter Teil, in: Spindler, Gerald/Schuster, Fabian, Recht der elektronischen Medien, Kommentar, 2. Aufl., München 2011. Spindler, Gerald/Schuster, Fabian: Recht der elektronischen Medien, Kommentar, 2. Aufl., München 2011. Stadler, Thomas: Zulässigkeit der heimlichen Installation von Überwachungssoftware Trennung von Online-Durchsuchung und Quellen-Telekommunikationsüberwachung möglich? MMR 2012, S. 18–20. – Verstoßen Facebook und Google Plus gegen deutsches Recht?, ZD 2011, S. 57–59. Starnecker, Tobias/Tausch, Andreas: Betreiber einer Facebook-Fanpage nicht verantwortliche Stelle nach § 3 Abs. 7 BDSG, jurisPR-ITR 24/2014, Anm. 3. Statista.com: Anzahl der Besucher auf Facebook, http://de.statista.com/statistik/daten/studie/ 71861/umfrage/unique-visitors-auf-facebookcom/. Stechow, Constantin v.: Datenschutz durch Technik, Rechtliche Förderungsmöglichkeiten von Privacy Enhancing Technologies am Beispiel der Videoüberwachung, 1. Aufl., Wiesbaden 2005. Steinmüller, Wilhelm: Das informationelle Selbstbestimmungsrecht – Wie es entstand und was man daraus lernen kann, RDV 2007, S. 158–161. Steinmüller, Wilhelm/Lutterbeck, Bernd: Grundfragen des Datenschutzes, Gutachten, Anlage 1 zu BT-Drs. 6/3826, 1971. Stern, Klaus/Becker, Florian (Hrsg.): Grundrechte-Kommentar, Die Grundrechte des Grund­ gesetzes mit ihren europäischen Bezügen, 1. Aufl., Köln 2009. Stiemerling, Oliver/Hartung, Jürgen: Datenschutz und Verschlüsselung. Wie belastbar ist Verschlüsselung gegenüber dem Anwendungsbereich des Datenschutzrechts, CR 2012, S. 60–68. Stögmüller, Thomas: Teil 5, in: Leupold, Andreas/Glossner, Silke (Hrsg.), Münchener Anwaltshandbuch IT-Recht, 2. Aufl., München 2011.

372

Literaturverzeichnis

Streinz, Rudolf: Entscheidungsanmerkung zu EuGH, Urt. v. 09.03.2010, Az. C-518/07, JuS 2010, S. 556–558. Süddeutsche Zeitung: NSA kopiert unverschlüsselte Mails von Google-Servern, Beitrag v. 30.10.2013, http://www.sueddeutsche.de/digital/attacke-auf-rechenzentren-nsa-kopiert-un verschluesselte-mails-von-google-servern-1.1807864. Taeger, Jürgen: Umweltschutz und Datenschutz, CR 1991, S. 681–688. Taeger, Jürgen/Gabel, Detlev (Hrsg.): Kommentar zum BDSG und zu den Datenschutz­ vorschriften des TKG und TMG, 1. Aufl., Frankfurt am Main 2010. Tappe, Henning: Steuerliche Betriebsstätten in der „Cloud“ – Neuere technische Entwicklungen im Bereich des E-Commerce als Herausforderung für den ertragsteuerrechtlichen Betriebsstättenbegriff, IstR 2011, S. 870–874. Taraschewski, Max: USA: Gesetzentwurf zum Web-Tracking vorgelegt, MMR-Aktuell 2011, 318499. Terhaag, Michael/Schwarz, Christian: Quo vadis, Freundschaftsempfehlung – Mächtiges PRInstrument oder wettbewerbswidrige Datenschleuder?, K&R 2012, S. 377–380. Terplan, Kornel/Voigt, Christian: Cloud Computing, 1. Aufl., Heidelberg 2011. Thalhofer, Thomas: Grenzenlos: Compliance bei Cloud Computing, CCZ 2011, S. 222–225 Thüsing, Gregor: Verbesserungsbedarf beim Beschäftigtendatenschutz, NZA 2011, S. 16–20. Tinnefeld, Marie-Theres: In: Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht, 1. Aufl., München 2003. Townsend, Allie: This Is Your Life, Time Magazine, 13/2012, S. 28–31. Trute, Hans-Heinrich: Die Regelungen des Umgangs mit den Stasi-Unterlagen im Spannungsfeld von allgemeinem Persönlichkeitsrecht und legitimen Verwendungszwecken, JZ 1992, S. 1043–1054. U. S. Senate Committee on Commerce, Science, and Transportation: Do-Not-Track Online Act of 2011 Summary, Mai 2011, http://shapiroberezins.com/wp-content/uploads/2011/05/ Do-nor-track-bill-Section-By-Section-summary.pdf. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD): Pressemitteilung v. 29.09.2014, https://www.datenschutzzentrum.de/artikel/770-ULD-OVG-Urteil-zu-Face book-Fanpages-revisionsbeduerftig.html. – Pressemitteilung v. 17.12.2012, https://www.datenschutzzentrum.de/presse/20121217-face book-klarnamen.htm. – Inanspruchnahme des PATRIOT Acts und anderer US-rechtlicher Regelungen zur Beschaffung von personenbezogenen Daten aus dem Raum der Europäischen Union durch USBehörden, Positionspapier v. 15.11.2011, https://www.datenschutzzentrum.de/internationales/20111115-patriot-act.html. – Wer ist datenschutzrechtlich verantwortlich für Facebook-Fanpages und Social-Plugins?, Stellungnahme v. 30.09.2011, https://www.datenschutzzentrum.de/facebook/facebook-ver antwortlichkeit.html.

Literaturverzeichnis

373

– Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, Arbeitspapier v. 19.08.2011, https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf. – Kundenbindungssysteme und Datenschutz, Gutachten im Auftrag des Verbraucherzentrale Bundesverbandes e. V., Dezember 2003, https://www.datenschutzzentrum.de/wirtschaft/ Kundenbindungssysteme.pdf. Unisys Deutschland GmbH: Unisys Deutschland GmbH, Unisys Security Index – Germany, May 2012, http://www.unisyssecurityindex.com/usi/germany. United States Department of Justice: United States Attorneys Manual, 1997, http://www. justice.gov/usao/eousa/foia_reading_room/usam/index.html. United States Securities and Exchange Commission: Börsenprospekt der Firma Facebook Inc., Form S-1, http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/der-facebook-boersengang/ der-boersenprospekt-kommentiert-von-der-f-a-z-facebooks-geheimnisse-11637813.html. – Form 10-Q v. 30.06.2012, http://www.sec.gov/Archives/edgar/data/1326801/00011931251 2325997/d371464d10q.htm. – Börsenprospekt Facebook Inc., Registration No. 333–179287, http://www.sec.gov/Archives/ edgar/data/1326801/000119312512175673/d287954ds1a.htm. Verbraucherzentrale Bundesverband e. V. (VZBV): Pressemitteilung v. 06.12.2012, http:// www.surfer- Facebooks App-Zentrum, Meldung v. 06.12.2012, http://www.surfer-habenrechte.de/cps/rde/xchg/digitalrechte/hs.xsl/75_2404.htm. Viefhues, Wolfram: Biometrie: Gesichtserkennung mit dem Handy, MMR-Aktuell 2010, 308792. Viola, Gerald: Umständlich, teuer und der Zwang zum täglichen Blick ins Postfach, eGovernment Computing, Beitrag v. 19.07.2010, http://www.egovernment-computing.de/kommunikation/articles/273861/. Vmware Inc.: Security Advisories & Certifications, VMSA-2009–0005, http://www.vmware. com/security/advisories/VMSA-2009–0005.html. Voigt, Paul/Klein, David: Deutsches Datenschutzrecht als „blocking statute“? Auftragsdatenverarbeitung unter dem USA PATRIOT Act, ZD 2013, S. 16–20. Wacks, Raymond: Personal Information, Privacy and the Law, 1. Ed., Oxford 1989. Wandtke, Artur-Axel/Bullinger, Winfried (Hrsg.): Urheberrecht, 3. Aufl., München 2009. Warnke, Robert/Ritzau, Thomas: qemu-kvm & libvirt, 1. Aufl., Norderstedt 2010. Warren, Samuel/Brandeis, Louis: The Right to Privacy, Harvard Law Review 1890, S. 193–194. Waters, John K.: The Everything Guide to Social Media, Avon, 1. Aufl., USA 2010. Weber, Rolf/Sommerhalder, Markus: Das Recht der personenbezogenen Information, 1. Aufl., Zürich 2007. Weichert, Thilo: Cloud Computing und Datenschutz, DuD 2010, S. 679–687. – Datenschutz auch bei Anwälten?, NJW 2009, S. 550–554. Weller, Michael: Laienwerbung via „Tell-a-Friend“-Funktion und Social Communities, juris AnwZert ITR 15/2012, Anm. 2.

374

Literaturverzeichnis

– Entscheidungsanmerkung zu LG Hamburg, Urt. v. 18.01.2008, Az. 324 O 507/07, jurisPRITR 4/2008, Anm. 4. Whittaker, Zack: Microsoft admits PATRIOT Act can access EU-based cloud data, ZDNet, Beitrag v. 28.06.2011, http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-actcan-access-eu-based-cloud-data/11225. – Microsoft: ‚We can hand over Office 365 data without your permission‘, ZDNet, Beitrag v. 23.06.2011, http://www.zdnet.com/blog/igeneration/microsoft-we-can-hand-over-office365-data-without-your-permission/11041?tag=content;siu-container. Wikitionary.org: Eintrag „Freund“, http://de.wiktionary.org/wiki/Freund. Winkler, Vic: Securing the Cloud: Cloud Computer Security Techniques and Tactics, 1. Ed., Waltham, USA 2011. Wintrich, Josef Marquard: Die Problematik der Grundrechte, 1. Aufl., Köln 1957. Wittern, Felix/Wichmann, Maria: Dürfen soziale Netzwerke auf die Adressbücher ihrer Nutzer zugreifen?, ITRB 2012, S. 133–135. Wohlgemuth, Hans H./Gerloff, Jürgen: Datenschutzrecht, Eine Einführung mit praktischen Fällen, 3. Aufl., München 2005. Wolff, Heinrich Amadeus/Brink, Stefan (Hrsg.): Beckscher Online-Kommentar, Datenschutzrecht, 2. Ed., München, 01.11.2012. Wybitul, Tim: Neue Anforderungen an betriebliche Datenschutzbeauftragte – Vorgaben der Datenschutzaufsichtsbehörden, MMR 2011, S. 372–376. – Handbuch Datenschutz im Unternehmen, 1. Aufl., Frankfurt a. M. 2011. ZD-Aktuell: EU: Datenschutz-Änderungsanträge im LIBE-Ausschuss, ZD-Aktuell 2013, 03515. Zeit Online: Facebook veröffentlicht Zahlen zu NSA-Anfragen, Beitrag v. 15.06.2013, http:// www.zeit.de/digital/datenschutz/2013–06/facebook-anfragen-nsa. Ziegler, Paul Sebastian: Netzwerkangriffe von innen, 1. Aufl., Köln 2008. Zimmer, Michael: Mark Zuckerberg’s theory of privacy, The Washington Post, Beitrag v. 03.02.2014, http://www.washingtonpost.com/lifestyle/style/mark-zuckerbergs-theory-ofprivacy/2014/02/03/2c1d780a-8cea-11e3–95dd-36ff657a4dae_story.html. Zolotas, Triantafyllos: Privatleben und Öffentlichkeit, 1. Aufl., Köln 2010.

Sachverzeichnis Abstraktionsschicht 102 AES  114, 322 Akivitätenprotokoll 240 Allgemeines Persönlichkeitsrecht  57 Allokation 113 Anonymisierung  76, 77, 272 Anonymität 189 API  108, 173 Apps  173, 178, 226 App-Zentrum  226, 236 Art.-29-Datenschutzgruppe  44, 180, 225, 261, 262 Auftrag 130 Auftragsdatenverarbeitung  122, 127, 130, 131, 135, 149, 266, 272 Auskunftsrecht 41 Bank of Nova Scotia  147 Beauftragter für den Datenschutz  88 Bereitstellungsmodelle 106 Bestandsdaten 91 Bestimmbarkeit  72, 258, 260 Bestimmtheit 71 Big Data  95 Binding Corporate Rules  125 Biometrische Daten  224 BSI 98 Buffer-Overflow-Angriffe 177 Bundesdatenschutzgesetz 68 Check-in 219 Children’s Online Privacy Protection Act  53 Chronik  159, 163, 168, 199, 336 Clickjacking-Angriff 178 Client 102 Client-Server-Modell 100 Cloud Computing  96, 97, 111, 255 Cloud Computing Act of 2012  55 Cloud-Service-Provider  106, 270, 325 Collaboration as a Service  105 Content Delivery Networks  213

Cookies  49, 177 Cross-Site-Request-Forgery-Angriff 178 Cross-Virtual-Maschine-Angriff 114 Data Breach Notification  268 Datenportabilität 250 Datenschutz durch Technik  265, 272, 343 Datenschutzaudit 281 Datenschutzeinstellungen 199 Datenschutzerklärung  45, 50, 174, 217, 232 Datenschutzniveau  230, 271, 278, 285, 311, 343 Datensicherheit  42, 84, 138 Datensparsamkeit 265 Datenverwendungsrichtlinie  174, 198 Dokumentationspflicht 267 Do-Not-Track Online Act  54 Drittstaat 179 EG-Vertrag 34 Einsichtsfähigkeit 195 Einzelangaben  69, 70 Elastic Compute Cloud  104 Elastizität 103 E-Mail  156, 185 E-Privacy-Richtlinie 47 Erforderlichkeit 83 Erstkontrolle 128 Erweitertes Archiv  237 EU-Datenschutz-Grundverordnung 248 EU-Datenschutzrichtlinie 36 Europäischer Verfassungsvertrag  34 Europe-v-Facebook.org 219 EU-Standardvertragsklauseln 125 EU-Vertrag 34 Exit-Management  152, 175, 251 Facebook  154, 158 Facebook Germany GmbH  181 Facebook Inc.  182 Facebook Ireland Ltd.  181

376

Sachverzeichnis

Facebook-Party 171 Fake-Account 169 Fanpage 213 Fernmeldegeheimnis 67 Foreign Intelligence Surveillance Act  144 Freundefinder 204 Freunde-von-Freunden  171, 198 Freundschaft 163 Front-End-Server 142 FTC 54 Funktionsübertragung 122 Garantien 278 Gastbetriebssystem 102 Gedenkzustand 241 Gesichtserkennung 221 Google+  155, 159, 164 Google Glass  31, 224 Governance  108, 109 Haftung 271 Herr der Daten  121 Homomorphismus 324 Hosted Hypervisor  102 HTML 156 HTTP  49, 178, 323 Hybrid Clouds  106 Hypervisor 102

Kryptotext 321 Landesdatenschutzgesetz 68 Leistungspool 102 LIBE-Entwurf  250, 255 Like-Button  158, 179, 208, 212 Live-Migration 115 Mandantenfähigkeit 103 Minderjährige  194, 291, 314 Mitgliedskonto 163 Mitwirkungspflicht 133 MySpace 157 National Security Letters  145 Nichtmitglieder 208 Niederlassungsprinzip 119 NIST 98 NSA  29, 196 Nutzungsdaten 92 OpenID 177

Identität  57, 169, 192, 230 Identitätsdiebstahl  169, 172, 242 informationelle Selbstbestimmung  61, 62, 63, 64, 81, 88, 95 Informationspflichten 41 Infrastructure as a Service  103 Instant-Messenger 156 Interaktionsdaten 185 IP-Adresse  190, 210 ISO 27001  283 IT-Grundrecht  65, 66 IT-Outsourcing  250, 312 IT-Ressourcen  97, 103

personenbezogene Daten  38 Personenbezug 76 persönliche oder familiäre Tätigkeiten  37, 202 Persönliches Archiv  237 Persönlichkeit 56 Platform as a Service  103 Plug-and-Play-Falle  168, 172, 242, 286 Pokes 220 PRISM  29, 142 Privacy 51 Privacy by Default  312 Privacy Enhancing Technologies  318 Private Clouds  106 Profil  163, 168, 197, 231 Profilbild 163 Profildaten 185 Pseudonym 188 Pseudonymisierung 272 Public Clouds  106

Klarnamenzwang  188, 192, 243 Kommissionsentwurf 249 Kommunikationsdaten 185 Kontrolle 283 Konzern 146

Rechtswahl 206 Registrierungsdaten 185 relative Theorie vom Personenbezug  72 Removed Friends  220 RSA 114

Sachverzeichnis Safe-Harbor  45, 125 Schmähkritik 170 Schriftform 131 Selbstregulierung 53 Selbstzertifizierung 46 Service-Level-Agreements  106, 108 Session Hijacking  177 Sichtbarkeit 163 Smart Privacy Management  335, 336 Snowden  29, 141 Social Graph  198 Social Media  160 Social Plugins  158, 165, 208 Social Web  155 Software as a Service  103 sorgfältige Auswahl  128 Soziales Netzwerk  161 SQL-Injection-Angriff 177 Stand-alone-System 99 Telemedien  89, 184 Territorialprinzip 119 Thin-Client 105 Third-Parties 226 Tracking  257, 313 Transparenz 82 TRUSTe 53 Twitter 155 Übermittlung 43 ULD  193, 210

377

Unique Device Identifier  227 Unterauftragnehmer 132 USA PATRIOT Act  130, 143 Utility Computing  104 Vendor-Lock-in  107, 174, 255, 272 Verbot mit Erlaubnisvorbehalt  80 Vergessenwerden 314 Verschlüsselung 322 Vertrag über die Arbeitsweise der Europäischen Union  34 Vertrag von Lissabon  34 Verwundbarkeiten 111 Virtual Maschine Monitor  102 Virtual Private Network  324 Virtualisierung 101 virtuelle Maschine  101 Volkszählungsurteil  60, 64 vollhomomorphe Verschlüsselung  325 Weisungen 149 Weisungsrechte  42, 132 Weitergabekontrolle 137 Werbeansprache 167 Xing 166 Zertifizierung 270 Zusatzwissen 73 Zutrittskontrolle 134 Zweckbindung 83