6 - brak-mitteilungen.de
6 - brak-mitteilungen.de
6 - brak-mitteilungen.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
256 Aufsätze BRAK-Mitt. 6/2004<br />
Schöttle, Anwaltliche Internet-Rechtsberatung und das Teledienstedatensc hutzgesetz<br />
a) Je<strong>de</strong>rzeit möglicher Verbindungsabbruch<br />
Der Anbieter hat nach § 4 Abs. 4 Nr. 1 TDDSG <strong>de</strong>m Nutzer die<br />
Möglichkeit einzuräumen, die Verbindung zum Diensteanbieter<br />
je<strong>de</strong>rzeit abzubrechen. Dabei genügt es nicht, auf die physische<br />
Trennung <strong>de</strong>s Rechners vom Internet zu verweisen (etwa<br />
durch Ausschalten o<strong>de</strong>r Unterbrechen <strong>de</strong>r Netzwerkverbindung<br />
29 ), vielmehr muss die Trennung auf <strong>de</strong>r Software-Ebene<br />
realisiert wer<strong>de</strong>n. Für <strong>de</strong>n RA ist diese Pflicht unproblematisch,<br />
<strong>de</strong>nn <strong>de</strong>r Nutzer kann seinen Browser je<strong>de</strong>rzeit schließen, er<br />
wird nicht gezwungen, das im Browser einmal aufgerufene Formular<br />
auch auszufüllen und abzusen<strong>de</strong>n.<br />
b) Schutz vor frem<strong>de</strong>r Kenntnisnahme<br />
Der Anbieter hat sicherzustellen, dass <strong>de</strong>r Nutzer <strong>de</strong>n Teledienst<br />
vor Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,<br />
§4 Abs. 4 Nr. 3 TDDSG. Diese Vorschrift for<strong>de</strong>rt nicht, dass je<strong>de</strong>r<br />
Teledienst beson<strong>de</strong>rs gesichert abgewickelt wer<strong>de</strong>n muss,<br />
<strong>de</strong>m Nutzer ist lediglich eine solche Möglichkeit einzuräumen.<br />
Zweck <strong>de</strong>r Norm ist die Absicherung <strong>de</strong>s Fernmel<strong>de</strong>geheimnisses<br />
im Bereich <strong>de</strong>r Teledienste. 30 Der Umfang <strong>de</strong>r Schutzmaßnahmen<br />
steht dabei in Relation zur Vertraulichkeit <strong>de</strong>r übermittelten<br />
Daten. 31 Beson<strong>de</strong>rs sensible Informationen müssen verschlüsselt<br />
übertragen wer<strong>de</strong>n können, während bei an<strong>de</strong>ren Angeboten<br />
ein einfacher Passwortschutz genügen kann.<br />
Bei <strong>de</strong>r Nutzung eines Online-Formulars als Vermittlungsdienst<br />
zur anwaltlichen Rechtsberatung wer<strong>de</strong>n sensible Daten durch<br />
<strong>de</strong>n Teledienst übertragen. Es wur<strong>de</strong> bereits ausgeführt, dass<br />
diese Daten keine Bestands- o<strong>de</strong>r Nutzungsdaten <strong>de</strong>s Teledienstes<br />
sind; die Funktion <strong>de</strong>s Teledienstes besteht ausschließlich<br />
in <strong>de</strong>r Übermittlung <strong>de</strong>r Informationen zwischen Mandant<br />
und Anwalt. Das be<strong>de</strong>utet aber nicht, dass es sich dabei um einen<br />
inhaltsneutralen Dienst han<strong>de</strong>lt, für <strong>de</strong>n keine Pflicht zur<br />
Verschlüsselung besteht. 32 Das Online-Formular auf <strong>de</strong>r Kanzleihomepage<br />
soll nicht beliebige Konversation ermöglichen,<br />
son<strong>de</strong>rn es dient explizit <strong>de</strong>r Übermittlung von Informationen,<br />
die zur Rechtsberatung erfor<strong>de</strong>rlich sind. Der Teledienst ist gera<strong>de</strong><br />
für <strong>de</strong>n Versand vertraulicher Daten konzipiert. Dass sich<br />
die Zulässigkeit <strong>de</strong>r Erhebung <strong>de</strong>r übermittelten Daten dabei<br />
nicht nach <strong>de</strong>m TDDSG richtet, ist unbeachtlich. Die Pflicht<br />
zur Ergreifung von Schutzmaßnahmen setzt nicht – wie etwa<br />
§3 Abs. 1 TDDSG – voraus, dass Daten »zur Durchführung<br />
von Telediensten« erhoben wer<strong>de</strong>n. Schutzgegenstand <strong>de</strong>r Vorschrift<br />
sind auch reine Vermittlungsdienste, soweit sie gera<strong>de</strong><br />
dazu eingerichtet wer<strong>de</strong>n, sensible Informationen zutransportieren.<br />
Der Anwalt muss diesen Dienst daher durch Verschlüsselung<br />
beson<strong>de</strong>rs sichern. Dazu kann er sich <strong>de</strong>r Verschlüsselung<br />
auf Basis <strong>de</strong>s » Secure Socket Layer «-Protokolls (SSL) bedienen.<br />
Diese Verschlüsselung ist in je<strong>de</strong>m mo<strong>de</strong>rnen Browser<br />
integriert. Sie erlaubt es, die Verbindung zwischen Webserver<br />
<strong>de</strong>s Diensteanbieters und Browser <strong>de</strong>s Nutzers so zu sichern,<br />
dass eine unbefugte Kenntnisnahme <strong>de</strong>r untereinan<strong>de</strong>r ausgetauschten<br />
Daten verhin<strong>de</strong>rt wird.<br />
29 Schaar in: Roßnagel, Recht <strong>de</strong>r Multimedia-Dienste, §4 TDDSG,<br />
Rdnr. 374.<br />
30 Schaar spricht vom »Mediennutzungsgeheimnis«, Roßnagel , Recht<br />
<strong>de</strong>r Multimedia-Dienste, § 4 TDDSG, Rdnr. 387.<br />
31 Schaar, Datenschutz im Internet, S. 199.<br />
32 Schaar lehnt bei inhaltsneutralen Diensten, wie beispielsweise <strong>de</strong>m<br />
E-Mail-Dienst, eine generelle Verpflichtung <strong>de</strong>s Anbieters zu<br />
Schutzmaßnahmen, namentlich Verschlüsselung, ab. Er for<strong>de</strong>rt jedoch,<br />
dass die Möglichkeit <strong>de</strong>s Nutzers, sich selbst zuschützen,<br />
nicht verhin<strong>de</strong>rt wer<strong>de</strong>n dürfe; Schaar, Datenschutz im Internet,<br />
S. 199; Schaar in: Roßnagel, Recht <strong>de</strong>r Multimedia-Dienste, §4<br />
TDDSG, Rdnr. 393.<br />
c) Weitere Organisationspflichten<br />
Es gibt noch eine Reihe von weiteren Pflichten, welche aber für<br />
die anwaltliche Rechtsberatung keine Rolle spielt, da sie auf<br />
das hier skizzierte Szenario nicht anwendbar ist. Eine Ein willigung<br />
<strong>de</strong>s Nutzers nach §3 Abs. 1 und 2 TDDSG in die Erhebung,<br />
Verarbeitung und Nutzung von Daten ist für das hier betrachtete<br />
Szenario nicht erfor<strong>de</strong>rlich, da – wie bereits ausgeführt<br />
– die über das Formular ausgetauschten Informationen<br />
bloße Inhaltsdaten sind, auf welche das TDDSG nicht anwendbar<br />
ist. Auch die Vorschriften über die Löschung und Sperrung<br />
personenbezogener Daten 33 greifen aus diesem Grun<strong>de</strong> nicht,<br />
dasselbe gilt für die Regelungen zum Zusammenführen von<br />
pseudonymisierten Daten mit <strong>de</strong>m Träger <strong>de</strong>s Pseudonyms 34 .<br />
Weiterhin ist die Pflicht zur Schaffung einer anonymen o<strong>de</strong>r<br />
pseudonymen Nutzungsmöglichkeit <strong>de</strong>s Teledienstes »Online-<br />
Formular« 35 für <strong>de</strong>n Anwalt irrelevant, da sich daraus keine<br />
Pflicht zum Angebot anonymer Rechtsberatung ableit en lässt –<br />
die Rechtsberatung selbst ist ja kein Teledienst.<br />
4. Informationspflichten<br />
Das Teledienstedatenschutzgesetz sieht ferner eine Reihe von<br />
Hinweisen vor, die <strong>de</strong>r Anbieter zugeben hat. Die Hinweise<br />
dienen <strong>de</strong>m Selbstbestimmungsrecht <strong>de</strong>s Nutzers: Nur wenn<br />
dieser weiß, welche Daten erhoben wer<strong>de</strong>n und wie mit ihnen<br />
umgegangen wird, kann er <strong>de</strong>n Teledienst in eigenverantwortlicher<br />
Entscheidung über die Verwendung seiner Daten nutzen.<br />
a) Die Datenschutzerklärung<br />
Eine zentrale Vorschrift ist § 4 Abs. 1 TDDSG; sie enthält gleich<br />
mehrere Pflichten. Zunächst hat <strong>de</strong>r Diensteanbieter <strong>de</strong>n Nutzer<br />
zu Beginn <strong>de</strong>s Nutzungsvorgangs über Art, Umfang und<br />
Zweck <strong>de</strong>r Erhebung, Verarbeitung und Nutzung personenbezogener<br />
Daten zu unterrichten. Dies soll sicherstellen, dass <strong>de</strong>r<br />
Nutzer frühestmöglich eine Entscheidung treffen kann, ob und<br />
welche Daten er <strong>de</strong>m Anbieter übermittelt.<br />
Wer<strong>de</strong>n Daten in so genannten Drittstaaten verarbeitet, also<br />
Staaten außerhalb <strong>de</strong>r Europäischen Union bzw. <strong>de</strong>s Europäischen<br />
Wirtschaftsraumes, ist auch dies anzuzeigen. Das soll<br />
<strong>de</strong>m Umstand Rechnung tragen, dass das dortige Datenschutzrecht<br />
möglicherweise nicht <strong>de</strong>m europäischen Standard entspricht.<br />
Ferner ist <strong>de</strong>r Nutzer ggf. darauf hinzuweisen, dass Daten, die<br />
zunächst ohne Personenbezug erhoben wer<strong>de</strong>n, später <strong>de</strong>m Nutzer<br />
zugeordnet wer<strong>de</strong>n können. Diese Regelung zielt insbeson<strong>de</strong>re<br />
auf Nutzerprofile ab. Sie soll sicherstellen, dass <strong>de</strong>r Nutzer<br />
nicht nur über aktuelle, son<strong>de</strong>rn auch über zukünftige Verarbeitungsprozesse<br />
informiert ist. Konkret soll <strong>de</strong>m Nutzer vor Augen<br />
geführt wer<strong>de</strong>n, dass die Möglichkeit besteht, von ihm erhobene<br />
Daten zu einem Nutzerprofil zusammenzuführen.<br />
Schließlich stellt § 4Abs. 1 Satz 3TDDSG eine formale Anfor<strong>de</strong>rung<br />
an die Datenschutzerklärung: Die Norm bestimmt, dass<br />
die Unterrichtung für <strong>de</strong>n Nutzer je<strong>de</strong>rzeit abrufbar sein muss.<br />
Inwiefern greift die Vorschrift im hier untersuchten Szenario?<br />
An<strong>de</strong>rs als die Vorschriften zur Erhebung, Verarbeitung und<br />
Nutzung von Daten 36 beschränkt sich §4 Abs. 1 TDDSG nicht<br />
auf Daten, die »zur Durchführung von Telediensten« erhoben<br />
wer<strong>de</strong>n, wie es etwa in § 3 Abs. 1 TDDSG <strong>de</strong>r Fall ist. Erfasst<br />
wird daher <strong>de</strong>r gesamte Kommunikationsvorgang, also auch<br />
die Daten, die auf <strong>de</strong>r Inhaltsebene ausgetauscht wer<strong>de</strong>n. 37<br />
Dabei ist klar, dass <strong>de</strong>r Anwalt nicht von vornherein wissen<br />
33 §4 Abs. 4Nr. 2,§6 Abs. 7, 8 TDDSG.<br />
34 §4 Abs. 4Nr. 5 und 6 TDDSG.<br />
35 §4 Abs. 6TDDSG.<br />
36 Vgl. §3 Abs. 1und 2 TDDSG.