Datenschutzkontrolle im Internet - Unabhängiges Landeszentrum für ...

Dr. Alexander Dix
Berliner Beauftragter für
Datenschutz und Informationsfreiheit
Datenschutzkontrolle im Internet – unmöglich ?
Vortrag
bei der Sommerakademie 2008
„Internet 2008 – Alles möglich, nichts privat ?“
1. September 2008
Kiel
Eine Hochschullehrerin erfährt von Freunden, dass sie auf einer Bewertungsplattform
für Professoren im Internet sexistisch beleidigt wird. Die Betreiber dieser
Plattform lehnen es gegenüber einer anderen betroffenen Person längere Zeit ab,
eine falsche Tatsachenbehauptung auch nur zu sperren.
In den USA werden vermeintliche Sexualstraftäter an den virtuellen Pranger gestellt
mit der Folge, dass einige von ihnen bereits der Lynchjustiz zum Opfer gefallen
sind.
Auf der US-amerikanischen Website rottenneighbor.com kann man nachsehen,
wie andere Zeitgenossen die Nachbarschaft beurteilen, in die man vielleicht ziehen
will. Diese Seite wird inzwischen übrigens auch in Deutschland genutzt mit
der Folge dass z.B. über Berliner Adressen inzwischen solche charmanten Bemerkungen
zu lesen sind: „Hier wohnen zwei Ossi-Schlampen“ oder: „Schmuddelmieter:
schlafen lange, laute Punkmusik, saufen, kotzen vom Balkon, putzen
nicht, grillen tote Igel aufm Grill, der ihnen nicht gehört...“.
Cyberstalking und Cyberbullying greifen immer mehr um sich. Ein besonders
abstoßendes Beispiel bietet die Webseite Betrunkenedekorieren.de, auf der Bilder
veröffentlicht werden, die Unbekannte von Betrunkenen auf Straßen oder
Plätzen gemacht haben, um sie bloßzustellen oder zu erniedrigen. Für den Voy-

eurismus und die Menschenverachtung scheinen keine Grenzen mehr zu existie-
ren.
Google lichtet systematisch die Straßen deutscher Großstädte einschließlich der
Passanten und Fahrzeuge ab, um sie in Kürze über den Dienst Google Streetview
ins Internet zu stellen. Mit Hilfe des Tracking Tools Google Analytics ermitteln
deutsche Webseiten-Betreiber die Reichweite ihrer Portale, wobei hinter dem
Rücken der Nutzer personenbezogene Daten über die Nutzung dieser Portale an
Google in Kalifornien übermittelt werden.
Dies sind nur einige Beispiele für massive Herausforderungen des Datenschutzes
durch das Internet, mit denen sich die Aufsichtsbehörden gegenwärtig auch in
Deutschland auseinandersetzen müssen.
Das Internet bietet jedem, der es nutzen kann, weitreichende Möglichkeiten zur
Informationsgewinnung, Selbstdarstellung und Selbstverwirklichung, die vor wenigen
Jahren noch unvorstellbar waren. Zugleich ist das Internet kein Rosengarten.
Im Cyberspace wird wie in der realen Welt gegen Recht verstoßen. Die genannten
Beispiele aus der Praxis der Aufsichtsbehörden zeigen, dass Menschen
beleidigt und in ihrem Grundrecht auf Datenschutz verletzt werden. Was kann
man dagegen tun ?
Ein in einer internationalen Kanzlei tätiger Anwalt schrieb Anfang dieses Jahres in
kritischer Absicht, bei den deutschen Aufsichtsbehörden seien bei der Beurteilung
des grenzüberschreitenden Datenverkehrs Tendenzen von „hyperdontia“ zu diagnostizieren.
Hyperdontia (Hyperdontie) steht für die „Zahnüberzahl“, den Zahnüberschuss.
Diese Diagnose ist vielleicht für die Aufsichtsbehörden schmeichelhaft,
ich halte sie aber nicht für zutreffend. Eher könnte man von „hypodontia“ (Anodontie,
Zahnunterzahl) sprechen, oder zumindest habe ich den Eindruck, dass
viele Aufsichtsbehörden, die „Zähne“ die sie haben, nicht einsetzen. Die Gründe
dafür sind vielfältig.
Zunächst ist festzuhalten, was die Datenschutzaufsicht nicht leisten kann und
auch nicht leisten soll: der um sich greifenden Beleidigung von Menschen auf In-
2

ternet-Plattformen Einhalt gebieten. Das Grundrecht auf Datenschutz wird in
Deutschland zwar wie das allgemeine Persönlichkeitsrecht aus der Menschen-
würdegarantie und dem Grundrecht auf freie Entfaltung der Persönlichkeit abge-
leitet, es ist aber mit dem Persönlichkeitsrecht nicht identisch. Es gibt zahlreiche
praktische Probleme des grenzüberschreitenden Persönlichkeitsschutzes, die
auch damit zusammenhängen, dass es international erhebliche Unterschiede im
Recht zum Schutz der persönlichen Ehre in Abwägung zum Recht auf freie Meinungsäußerung
gibt. Sie zu lösen ist nicht Aufgabe der Datenschutzaufsicht.
Aufgabe der Datenschutzaufsicht ist es, die Einhaltung der Grundregeln des Datenschutzrechts
auch in Online-Medien durchzusetzen. Denn auch das Internet
ist kein rechtsfreier Raum. Was offline illegal ist, kann online nicht legal sein.
Mit anderen Worten: Die für die reale Welt gemachten Regeln des Datenschutzrechts
dürfen durch eine Verlagerung der Datenverarbeitung ins Internet nicht
umgangen werden oder an Wirksamkeit verlieren. Ein Beispiel: die SCHUFA
könnte sich nicht den Vorgaben des Bundesdatenschutzgesetzes einfach dadurch
entziehen, dass sie ihre gesamten Aktivitäten ins Internet verlagert. Die
Beachtung und Durchsetzung datenschutzrechtlicher Grundsätze auch im Internet
ist umso wichtiger, als die technische Entwicklung verstärkt dahin geht, dass
immer mehr Verarbeitungsprozesse von hochintelligenten Rechnern (PCs, Servern)
in das Netz verlagert werden. Das Internet ist längst nicht mehr nur eine
Kommunikationsplattform, sondern auch ein riesiger Datenspeicher. Amazon
verkauft seit einiger Zeit nicht mehr nur Bücher und CDs, sondern auch Rechenkapazität.
Immer mehr Menschen speichern ihre Fotos nicht mehr auf dem eigenen
PC, sondern bei Flickr oder anderen webbasierten Diensteanbietern, Videos
werden bei YouTube veröffentlicht. Schon seit geraumer Zeit sind netzbasierte E-
Mail-Anbieter wie Hotmail, GMX, web.de oder G-Mail erfolgreich. Cloud Computing
heißt das Stichwort; das einzelne Datenverarbeitungsgerät, das der Nutzer
mehr oder weniger zu kontrollieren glaubt, löst sich zunehmend in der „Wolke“
des Internets auf. In den nächsten vier Jahren soll sich der globale Datenverkehr
von z.Zt. 10,7 auf 43,6 Exabyte vervierfachen 1
. Ein Exabyte entspricht etwa der
Datenmenge auf 200 Millionen DVDs.
1
Nach einer Cisco-Studie, zit. nach Rohwetter, Revolution mit Ansage, ZEIT v. 24.7.2008,
S.19 f.
3

Diese technische Entwicklung macht deutlich, wie wichtig eine effektive Datenschutzkontrolle
im Internet ist. Es reicht nicht aus, den Nutzern zu empfehlen,
ihre Daten nur vertrauenswürdigen Anbietern zur Speicherung anzuvertrauen.
Man muss ihnen auch Hilfe anbieten können, wenn das Vertrauen enttäuscht
worden ist, wenn die E-Mails nicht vertraulich behandelt werden oder Nutzungsprofile
für Werbezwecke genutzt oder sogar veräußert werden.
Der Satz, das Internet sei kein rechtsfreier Raum, wird zuweilen mit einem ohnmächtigen
Schulterzucken und dem Hinweis erwidert, in einem Netz ohne Grenzen
hätten nationale Gesetze und erst recht nationale Behörden keine Durchsetzungschance.
Für einen derartigen Fatalismus besteht aber kein Grund. Der resignative
Schluss, man könne das Internet weder regulieren noch kontrollieren, ist
falsch. Das Internet ist – auch im Zeitalter des Cloud Computing – keine frei
schwebende Wolke, sondern es ruht auf Pfeilern, die in einzelnen Staaten stehen
2
. Es wird mit Hilfe von Netzknotenrechnern betrieben, auf Servern liegen die
im Netz angebotenen Inhalte und über Router werden Nachrichten um die Welt
geleitet. Alle diese Datenverarbeitungsanlagen unterliegen nationalem Recht und
der Aufsicht nationaler Behörden. Natürlich gibt es nicht in allen Ländern der Erde
Datenschutzgesetze und Datenschutzbehörden. Aber die Länder, in denen es
solche Gesetze gibt (z.B. die gesamte Europäische Union), dürfen nicht auf die
Durchsetzung dieser Regeln verzichten, weil sie Teil eines weltumspannenden
Netzes sind. Das tun staatliche Behörden übrigens auch in anderen Zusammenhängen
wie der Bekämpfung der grenzüberschreitenden Kriminalität bekanntlich
nicht. Globalisierung ist keine Rechtfertigung für die Passivität der Nationalstaaten.
Zwar gibt es bisher keine völkerrechtlichen Konventionen z.B. auf der
Ebene der Vereinten Nationen, aber nationales Recht beansprucht auch Geltung
im Internet, es wird durch die Nutzung des Internet nicht außer Kraft gesetzt.
2
So schon das Budapest-Berlin-Memorandum (Bericht und Empfehlungen zu Datenschutz
und Privatsphäre im Internet) der Internationalen Arbeitsgruppe zum Datenschutz in der
Telekommunikation von 1996, in: Internationale Dokumente zum Datenschutz bei Telekommunikation
und Medien 1983-2006, S. 73, 82, im Anschluss an J. Reidenberg. Vgl. auch das
umfassende Arbeitspapier 37 der Art. 29-Gruppe „Privatsphäre im Internet – ein integrierter
EU-Ansatz zum Online-Datenschutz“ von 2000,
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2000/wp37de.pdf
4

Entscheidend ist deshalb zunächst die Frage, welches Recht auf einen Daten-
verarbeitungsvorgang anzuwenden ist. Die Europäische Datenschutzrichtlinie von
1995 sieht vor, dass auch solche verantwortlichen Stellen sich an europäisches
Datenschutzrecht zu halten haben, die keine Niederlassung in der Europäischen
Union haben, aber „zum Zwecke der Verarbeitung personenbezogener Daten auf
automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet
eines EU-Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum
Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet
werden.“ (Art. 4 (1)(c) Datenschutzrichtlinie). Das bezieht sich zunächst auf
die bereits erwähnten Rechenzentren, Router- und Serverstandorte. Aus diesem
Grund muss auch ein in den USA ansässiges Unternehmen wie Google Inc.
sich an europäisches Datenschutzrecht halten und die Anordnungen europäischer
Datenschutzbehörden befolgen. Denn Google betreibt in Europa, in Irland,
aber auch in Deutschland Rechenzentren und acquiriert Anzeigenkunden. Die
Anwendbarkeit europäischen Datenschutzrechts hängt deshalb nicht davon ab,
dass eine verantwortliche Stelle ihren Hauptsitz in Europa hat. Die Gruppe nach
Artikel 29 der Datenschutzrichtlinie hat deren Anwendbarkeit in der Folge noch
weiter interpretiert, indem sie auch solche Unternehmen dem europäischen Recht
unterworfen hat, die lediglich auf Rechenkapazitäten in der Europäischen Union
zugreifen 3
. Ein solcher Zugriff kann schon darin liegen, dass z.B. ein USamerikanischer
Anbieter versucht, ein Cookie auf einem PC in der EU zu platzieren.
Auch die systematische Datenerhebung durch Kamerawagen, die im Moment
in zahlreichen deutschen Großstädten stattfindet und die schließlich Geodaten
aus Google Maps mit Bildern ganzer Straßenzüge zu dem neuen Dienst
Google Streetview verknüpfen soll, unterliegt selbst dann deutschem Datenschutzrecht,
wenn sie im Auftrag der amerikanischen Google-Mutter erfolgt. Das
Bundesdatenschutzgesetz gilt ausdrücklich auch für verantwortliche Stellen, die
ihren Sitz außerhalb Europas haben und Daten in Deutschland erheben, verarbeiten
oder nutzen. Sie haben einen Inlandsvertreter zu benennen 4
.
3
vgl. zuletzt die Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit
Suchmaschinen, Working Paper 148,
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp148_de.pdf
4
§ 1 Abs. 5 Sätze 2 und 3 BDSG.
5

5
Vor diesem Hintergrund kann man durchaus die Auffassung vertreten, dass auch
der in den USA ansässige Betreiber der Webseite rottenneighbor.com europäischem
Datenschutzrecht unterliegt, denn zum einen hinterlässt er Cookies auf
den Rechnern der europäischen Nutzer, zum anderen verwendet er Google Analytics,
was dazu führt, dass Nutzerdaten unbemerkt in die USA übermittelt werden.
Vor allem aber muss Google sich fragen lassen, weshalb es rottenneighbor.com
die Nutzung seines Kartendienstes Google Maps gestattet. Zu Recht hat
der Direktor der Landesanstalt für Medien Nordrhein-Westfalen Google dazu aufgefordert,
diesen digitalen Pranger nicht länger zu unterstützen 5
. Die Rechtfertigung
von Google, wenn Google Maps nicht genutzt werden könne, würden andere
Karten genutzt, ist wenig überzeugend. Wenn Google sich den Wünschen der
chinesischen Behörden bezüglich der Ausfilterung bestimmter Suchergebnisse
beugt und in Indien darüber nachdenkt, Hinweise auf Homosexualität aus den
Trefferlisten zu entfernen, weil dieses Thema in der indischen Gesellschaft tabuisiert
ist, dann ist nicht einzusehen, weshalb Google keine Rücksicht auf europäische
Vorstellungen von Persönlichkeitsrechtsschutz nehmen will. Gerade ein
weltweit dominierendes Unternehmen wie Google muss nicht jedes denkbare, ethisch
inakzeptable Geschäft machen, weil es sonst andere machen würden.
Erst recht unterliegen solche Anbieter europäischem und deutschem Datenschutzrecht,
die selbst ihren Sitz hierzulande haben und im Rahmen ihrer Webangebote
personenbezogene Nutzerdaten entweder speichern oder übermitteln.
Das gilt etwa für alle deutschen Betreiber kommerzieller Webseiten, die deren
Reichweite durch Einsatz von Google Analytics feststellen und verbessern wollen.
Sie haben deshalb kürzlich Post von deutschen Aufsichtsbehörden, allen voran
vom Unabhängigen Datenschutzzentrum Schleswig-Holstein bekommen. Es gilt
genauso für die Anbieter von social communities, sozialen Netzwerken wie studiVZ
und XING, um nur zwei zu nennen, oder Anbieter von Bewertungsportalen
wie meinprof.de oder whofinance.de, die in der Bundesrepublik ihren Sitz haben
und sich schon deshalb an deutsches Datenschutzrecht halten müssen.
Zuweilen wehren sich die betroffenen Unternehmen gegen die Durchsetzung von
allgemein geltenden Datenschutzregeln mit erstaunlichen Argumenten. So wird
Am virtuellen Pranger, Süddeutsche Zeitung v.27.8.2008, S. 10.
6

6
der zuständigen Aufsichtsbehörde, die gegenwärtig die Vorschriften des Bundes-
datenschutzgesetzes gegenüber den Betreibern des Bewertungsportals
meinprof.de durchzusetzen sucht, entgegengehalten, dies sei Zensur. Der Vor-
wurf ist nicht nur unbegründet, sondern auch absurd. Zum einen werden auf Bewertungsportalen
nicht nur Meinungen geäußert (allerdings nicht von den Portalbetreibern,
sondern von anonymen Nutzern), sondern auch – teilweise unzutreffende
oder bestrittene - Tatsachen behauptet. Zum anderen können auch Meinungen
personenbezogene Daten sowohl über die bewertende als auch über die
bewertete Person enthalten.
Schließlich aber- und das ist das Entscheidende – ist das Bundesdatenschutzgesetz
ein allgemeines Gesetz, das sich nicht gegen bestimmte Meinungen richtet,
und das jeder, der personenbezogene Meinungen in Form einer recherchierbaren
Datenbank verarbeitet, zu beachten hat. Auch das allgemeine Gesetz muss
zwar im Lichte der Meinungsfreiheit ausgelegt werden, aber niemand wird ernsthaft
behaupten können, dass eine Meinungsäußerung dadurch verhindert wird,
dass man den Betroffenen von der Einstellung seiner Bewertung in eine Datenbank
vorab benachrichtigt. Das gilt gerade in Fällen, in denen – wie eingangs geschildert
- Dozentinnen sexistisch beleidigt werden. Was demgegenüber wirkliche
Internet-Zensur ist, kann man in China und in Saudi-Arabien beobachten.
Stichwort Internet-Zensur in China: Die „Große chinesische Firewall“, also der
Versuch, mit erheblichem Aufwand den Zugriff auf das Internet zu kontrollieren,
um politisch missliebige Informationen auszublenden, ist ebenso wie der Versuch
des IOC, als Lizenzgeber für NBC 6
aus urheberrechtlichen Gründen die Bilder
von den Olympischen Spielen mithilfe des sog. Geoblocking bestimmten zahlenden
Abonnenten in den USA vorzubehalten, kein Vorbild für eine rechtsstaatliche
und der Informationsfreiheit entsprechende Datenschutzkontrolle im Internet.
Zudem wäre jeder Versuch, das Internet mit Techniken des Zoning oder der Geolocation
zu „reterritorialisieren“, also nur den Zugriff auf solche Seiten zuzulassen,
die den europäischen Datenschutzregeln entsprechen, technisch zum Scheitern
verurteilt.
Siehe http://www.nbcolympics.com
7

Andererseits wird den Datenschutz-Aufsichtsbehörden von deutschen Internet-
Unternehmen gern entgegengehalten, sie wollten oder würden – etwa im Bereich
der personalisierten Werbung in sozialen Netzwerken – die notwendigen Finanzierungsgrundlagen
für e-commerce hierzulande zunichte machen und
zugleich ausländischen Anbietern dadurch Vorteile verschaffen. Abgesehen davon,
dass die sozialen Netzwerke (z.B. studiVZ) mittlerweile selbst einräumen,
dass mit personalisierter Werbung die Profitabilität solcher Angebote nicht sicher
zu stellen ist, wird dabei übersehen, dass die Datenschutzbehörden in Deutschland
längst keine Kirchturmpolitik mehr betreiben. Sie stimmen sich auf europäischer
und internationaler Ebene mit ihren Kollegen ab, um Grundsätze zu formulieren,
die auch von ausländischen Wettbewerbern zu beachten sind. So finden
sich die Grundsätze, die der Düsseldorfer Kreis etwa für soziale Netzwerke formuliert
hat, auch im sog. Rom-Memorandum 7
wieder, das die Internationale Arbeitsgruppe
zum Datenschutz in der Telekommunikation (sog. Berlin Group) formuliert
hat, in der Vertreter von Datenschutzbehörden aus aller Welt zusammenarbeiten.
Dort, wo europäische Datenschutzbehörden Kompetenzen und Einwirkungsmöglichkeiten
haben, sollten sie sie stärker als bisher nutzen. Ich plädiere nicht dafür,
dass Datenschutzbeauftragte in- und ausländische Internet-Anbieter bei entsprechenden
Anlässen immer gleich mit Sanktionen bedrohen sollten. Aber sie sollten
ihre Möglichkeiten auch nicht unterschätzen und sie bei Bedarf einsetzen.
Gerade die Diskussion um die Speicherdauer von Nutzungsdaten durch
Suchmaschinen-Betreiber hat gezeigt, dass die Datenschutzbehörden eine
Verbesserung der Datenschutzstandards bereits dadurch bewirken können, dass
sie eine internationale Diskussion in Gang setzen. Den Anfang hat auch hier die
Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation 2006
gemacht. Sicherlich: Google als Marktführer in diesem Bereich hat sich bisher nur
bereit gefunden, seine bisherige Speicherpraxis unzureichend zu modifizieren, indem
das Unternehmen von einer unbegrenzten Speicherung der Suchanfragen
7
http://www.datenschutzberlin.de/content/Europa+%252F+International/International+Working+Group+on+Data+Protecti
8

zu einer Speicherdauer von 18 Monaten übergegangen ist. Aber der Prozess ist
noch nicht zuende. Mittlerweile bekommt Google datenschutzfreundliche Konkurrenz.
Die Meta-Suchmaschine Ixquick ist im Juli dieses Jahres hier in Kiel mit
dem ersten Europäischen Datenschutz-Gütesiegel ausgezeichnet worden, weil
sie keine Nutzerdaten nach dem Ende des Suchvorgangs speichert. Wenig später
ist in den USA die Suchmaschine Cuil an den Start gegangen, die ebenfalls eine
datenschutzfreundliche Alternative zu Google anbietet. Die Art. 29-Gruppe hat in
ihrer Stellungnahme zu Suchmaschinen vom April dieses Jahres 8
klar gemacht,
dass in Europa – bei gewissen nationalen Unterschieden – Suchanfragen nicht
eineinhalb Jahre lang personenbezogen gespeichert werden dürfen. Dabei wurde
explizit darauf verwiesen, dass in bestimmten Mitgliedstaaten (nämlich insbesondere
Deutschland) die Nutzerdaten nach dem Ende der Suche überhaupt nicht
gespeichert bleiben dürfen.
Wie aber kann Datenschutzkontrolle in den Fällen funktionieren, in denen kein europäisches
Datenschutzrecht anwendbar ist, weil der Anbieter nicht auf Mittel zur
Datenverarbeitung in Europa zurückgreift ? In solchen Situationen sind die Datenschutzbehörden
auf die Mithilfe der Betroffenen angewiesen: diese sollten verstärkt
ihre Rechte auch gegenüber ausländischen Betreibern geltend machen,
also Löschung von unzutreffenden oder gar verleumderischen Inhalten verlangen.
Das kann man schriftlich oder per e-mail tun, selbst wenn man nicht die
Mittel hat, um die Dienste eines teueren amerikanischen Anwalts in Anspruch zu
nehmen oder selbst ein US-Gericht anzurufen. Auch hier ist Fatalismus fehl am
Platze. Nichtdeutsche oder außereuropäische Anbieter sollten wissen, welche
Datenschutzstandards hier gelten, und sie sollten sich mit ihnen auseinandersetzen.
Unabhängig von juristischen Erwägungen kann es sich kaum ein Unternehmen
auf die Dauer leisten, im Internet Dienste anzubieten, die im eklatanten Widerspruch
zu anerkannten Rechtsgrundsätzen einer ganzen Region wie Europa
stehen.
Und noch etwas kann den Datenschutz im Internet befördern: Öffentlichkeit und
Transparenz. Im Entwurf der geänderten EU-Richtlinie für den Datenschutz bei
on+in+Telecommunications++%28IWGDPT%29/Working+Papers+and+Common+Positions+
adopted+by+the+Working+Group%3A
9

8
der elektronischen Kommunikation sind Regeln für die Einführung von Informati-
onspflichten bei Sicherheitslücken nach dem Muster der in den meisten US-
Bundesstaaten vorgeschriebenen security breach notification vorgesehen. Es ist
sehr zu hoffen, dass diese Veröffentlichungs- und Benachrichtigungspflich-
ten weder im europäischen Gesetzgebungsverfahren noch bei der Umsetzung
der Richtlinie in deutsches Recht verwässert oder gar fallen gelassen werden.
Nichts hat die Debatte um den Datenschutz in den USA so sehr vorangebracht
wie die gesetzlich vorgeschriebene Veröffentlichung von Sicherheitsmängeln und
Einbrüchen in Datenbanken.
Fazit
Das Internet ist kein rechts- und kontrollfreier Raum. Datenschutzkontrolle im Internet
ist zwar schwierig, aber keineswegs unmöglich. Deutsches und europäisches
Datenschutzrecht gilt für alle Anbieter von Internet-Seiten oder –Diensten,
die auf in Europa belegene Mittel zur Datenverarbeitung (Server, Router, Cookies
auf Nutzer-PCs) zurückgreifen. Das gilt auch für Anbieter, die ihren Sitz außerhalb
von Europa haben. Die Datenschutzbehörden in Europa sind von ihrer Ausstattung
und ihren Befugnissen her sicher nicht in der Lage, jeden Datenschutzverstoß
im Internet durch Anbieter, die dem europäischen Datenschutzrecht unterliegen,
zu ahnden oder gar zu verhindern. Aber sie sollten sich der Zähne, die
sie haben, bewusst sein und sie auch bei Bedarf zeigen und einsetzen.
Datenschutzkontrolle im Internet hat weder etwas mit Zensur noch mit Wettbewerbsverzerrung
zu tun. Natürlich müssen Ranking-Seiten die Betroffenen benachrichtigen,
bevor sie Bewertungen über sie veröffentlichen, und sie müssen
bestrittene Fakten sperren. Ebenso natürlich dürfen soziale Netzwerke wie studiVZ
oder Facebook die Registrierung nicht davon abhängig machen, dass man
personalisierte Werbung akzeptiert. Schließlich sind auch die Betroffenen aufgerufen,
stärker als bisher ihre Rechte selbst gegen solche Internet-Anbieter wahrzunehmen,
die formaljuristisch nach europäischem Datenschutzrecht nicht zu belangen
sind. Dabei können ihnen die Datenschutzbehörden Hilfestellung leisten.
Auch Wettbewerbsaspekte können zugunsten des Datenschutzes im Internet
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp148_de.pdf
10

fruchtbar gemacht werden, etwa indem noch mehr datenschutzfreundliche Inter-
net-Angebote mit Gütesiegeln ausgezeichnet werden. Das europäische Gütesie-
gel für die Meta-Suchmaschine Ixquick war hierfür ein viel versprechender Auf-
takt.
11