Datenschutzkontrolle im Internet - Unabhängiges Landeszentrum für ...
Datenschutzkontrolle im Internet - Unabhängiges Landeszentrum für ...
Datenschutzkontrolle im Internet - Unabhängiges Landeszentrum für ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Dr. Alexander Dix<br />
Berliner Beauftragter <strong>für</strong><br />
Datenschutz und Informationsfreiheit<br />
<strong>Datenschutzkontrolle</strong> <strong>im</strong> <strong>Internet</strong> – unmöglich ?<br />
Vortrag<br />
bei der Sommerakademie 2008<br />
„<strong>Internet</strong> 2008 – Alles möglich, nichts privat ?“<br />
1. September 2008<br />
Kiel<br />
Eine Hochschullehrerin erfährt von Freunden, dass sie auf einer Bewertungsplattform<br />
<strong>für</strong> Professoren <strong>im</strong> <strong>Internet</strong> sexistisch beleidigt wird. Die Betreiber dieser<br />
Plattform lehnen es gegenüber einer anderen betroffenen Person längere Zeit ab,<br />
eine falsche Tatsachenbehauptung auch nur zu sperren.<br />
In den USA werden vermeintliche Sexualstraftäter an den virtuellen Pranger gestellt<br />
mit der Folge, dass einige von ihnen bereits der Lynchjustiz zum Opfer gefallen<br />
sind.<br />
Auf der US-amerikanischen Website rottenneighbor.com kann man nachsehen,<br />
wie andere Zeitgenossen die Nachbarschaft beurteilen, in die man vielleicht ziehen<br />
will. Diese Seite wird inzwischen übrigens auch in Deutschland genutzt mit<br />
der Folge dass z.B. über Berliner Adressen inzwischen solche charmanten Bemerkungen<br />
zu lesen sind: „Hier wohnen zwei Ossi-Schlampen“ oder: „Schmuddelmieter:<br />
schlafen lange, laute Punkmusik, saufen, kotzen vom Balkon, putzen<br />
nicht, grillen tote Igel aufm Grill, der ihnen nicht gehört...“.<br />
Cyberstalking und Cyberbullying greifen <strong>im</strong>mer mehr um sich. Ein besonders<br />
abstoßendes Beispiel bietet die Webseite Betrunkenedekorieren.de, auf der Bilder<br />
veröffentlicht werden, die Unbekannte von Betrunkenen auf Straßen oder<br />
Plätzen gemacht haben, um sie bloßzustellen oder zu erniedrigen. Für den Voy-
eurismus und die Menschenverachtung scheinen keine Grenzen mehr zu existie-<br />
ren.<br />
Google lichtet systematisch die Straßen deutscher Großstädte einschließlich der<br />
Passanten und Fahrzeuge ab, um sie in Kürze über den Dienst Google Streetview<br />
ins <strong>Internet</strong> zu stellen. Mit Hilfe des Tracking Tools Google Analytics ermitteln<br />
deutsche Webseiten-Betreiber die Reichweite ihrer Portale, wobei hinter dem<br />
Rücken der Nutzer personenbezogene Daten über die Nutzung dieser Portale an<br />
Google in Kalifornien übermittelt werden.<br />
Dies sind nur einige Beispiele <strong>für</strong> massive Herausforderungen des Datenschutzes<br />
durch das <strong>Internet</strong>, mit denen sich die Aufsichtsbehörden gegenwärtig auch in<br />
Deutschland auseinandersetzen müssen.<br />
Das <strong>Internet</strong> bietet jedem, der es nutzen kann, weitreichende Möglichkeiten zur<br />
Informationsgewinnung, Selbstdarstellung und Selbstverwirklichung, die vor wenigen<br />
Jahren noch unvorstellbar waren. Zugleich ist das <strong>Internet</strong> kein Rosengarten.<br />
Im Cyberspace wird wie in der realen Welt gegen Recht verstoßen. Die genannten<br />
Beispiele aus der Praxis der Aufsichtsbehörden zeigen, dass Menschen<br />
beleidigt und in ihrem Grundrecht auf Datenschutz verletzt werden. Was kann<br />
man dagegen tun ?<br />
Ein in einer internationalen Kanzlei tätiger Anwalt schrieb Anfang dieses Jahres in<br />
kritischer Absicht, bei den deutschen Aufsichtsbehörden seien bei der Beurteilung<br />
des grenzüberschreitenden Datenverkehrs Tendenzen von „hyperdontia“ zu diagnostizieren.<br />
Hyperdontia (Hyperdontie) steht <strong>für</strong> die „Zahnüberzahl“, den Zahnüberschuss.<br />
Diese Diagnose ist vielleicht <strong>für</strong> die Aufsichtsbehörden schmeichelhaft,<br />
ich halte sie aber nicht <strong>für</strong> zutreffend. Eher könnte man von „hypodontia“ (Anodontie,<br />
Zahnunterzahl) sprechen, oder zumindest habe ich den Eindruck, dass<br />
viele Aufsichtsbehörden, die „Zähne“ die sie haben, nicht einsetzen. Die Gründe<br />
da<strong>für</strong> sind vielfältig.<br />
Zunächst ist festzuhalten, was die Datenschutzaufsicht nicht leisten kann und<br />
auch nicht leisten soll: der um sich greifenden Beleidigung von Menschen auf In-<br />
2
ternet-Plattformen Einhalt gebieten. Das Grundrecht auf Datenschutz wird in<br />
Deutschland zwar wie das allgemeine Persönlichkeitsrecht aus der Menschen-<br />
würdegarantie und dem Grundrecht auf freie Entfaltung der Persönlichkeit abge-<br />
leitet, es ist aber mit dem Persönlichkeitsrecht nicht identisch. Es gibt zahlreiche<br />
praktische Probleme des grenzüberschreitenden Persönlichkeitsschutzes, die<br />
auch damit zusammenhängen, dass es international erhebliche Unterschiede <strong>im</strong><br />
Recht zum Schutz der persönlichen Ehre in Abwägung zum Recht auf freie Meinungsäußerung<br />
gibt. Sie zu lösen ist nicht Aufgabe der Datenschutzaufsicht.<br />
Aufgabe der Datenschutzaufsicht ist es, die Einhaltung der Grundregeln des Datenschutzrechts<br />
auch in Online-Medien durchzusetzen. Denn auch das <strong>Internet</strong><br />
ist kein rechtsfreier Raum. Was offline illegal ist, kann online nicht legal sein.<br />
Mit anderen Worten: Die <strong>für</strong> die reale Welt gemachten Regeln des Datenschutzrechts<br />
dürfen durch eine Verlagerung der Datenverarbeitung ins <strong>Internet</strong> nicht<br />
umgangen werden oder an Wirksamkeit verlieren. Ein Beispiel: die SCHUFA<br />
könnte sich nicht den Vorgaben des Bundesdatenschutzgesetzes einfach dadurch<br />
entziehen, dass sie ihre gesamten Aktivitäten ins <strong>Internet</strong> verlagert. Die<br />
Beachtung und Durchsetzung datenschutzrechtlicher Grundsätze auch <strong>im</strong> <strong>Internet</strong><br />
ist umso wichtiger, als die technische Entwicklung verstärkt dahin geht, dass<br />
<strong>im</strong>mer mehr Verarbeitungsprozesse von hochintelligenten Rechnern (PCs, Servern)<br />
in das Netz verlagert werden. Das <strong>Internet</strong> ist längst nicht mehr nur eine<br />
Kommunikationsplattform, sondern auch ein riesiger Datenspeicher. Amazon<br />
verkauft seit einiger Zeit nicht mehr nur Bücher und CDs, sondern auch Rechenkapazität.<br />
Immer mehr Menschen speichern ihre Fotos nicht mehr auf dem eigenen<br />
PC, sondern bei Flickr oder anderen webbasierten Diensteanbietern, Videos<br />
werden bei YouTube veröffentlicht. Schon seit geraumer Zeit sind netzbasierte E-<br />
Mail-Anbieter wie Hotmail, GMX, web.de oder G-Mail erfolgreich. Cloud Computing<br />
heißt das Stichwort; das einzelne Datenverarbeitungsgerät, das der Nutzer<br />
mehr oder weniger zu kontrollieren glaubt, löst sich zunehmend in der „Wolke“<br />
des <strong>Internet</strong>s auf. In den nächsten vier Jahren soll sich der globale Datenverkehr<br />
von z.Zt. 10,7 auf 43,6 Exabyte vervierfachen 1<br />
. Ein Exabyte entspricht etwa der<br />
Datenmenge auf 200 Millionen DVDs.<br />
1<br />
Nach einer Cisco-Studie, zit. nach Rohwetter, Revolution mit Ansage, ZEIT v. 24.7.2008,<br />
S.19 f.<br />
3
Diese technische Entwicklung macht deutlich, wie wichtig eine effektive <strong>Datenschutzkontrolle</strong><br />
<strong>im</strong> <strong>Internet</strong> ist. Es reicht nicht aus, den Nutzern zu empfehlen,<br />
ihre Daten nur vertrauenswürdigen Anbietern zur Speicherung anzuvertrauen.<br />
Man muss ihnen auch Hilfe anbieten können, wenn das Vertrauen enttäuscht<br />
worden ist, wenn die E-Mails nicht vertraulich behandelt werden oder Nutzungsprofile<br />
<strong>für</strong> Werbezwecke genutzt oder sogar veräußert werden.<br />
Der Satz, das <strong>Internet</strong> sei kein rechtsfreier Raum, wird zuweilen mit einem ohnmächtigen<br />
Schulterzucken und dem Hinweis erwidert, in einem Netz ohne Grenzen<br />
hätten nationale Gesetze und erst recht nationale Behörden keine Durchsetzungschance.<br />
Für einen derartigen Fatalismus besteht aber kein Grund. Der resignative<br />
Schluss, man könne das <strong>Internet</strong> weder regulieren noch kontrollieren, ist<br />
falsch. Das <strong>Internet</strong> ist – auch <strong>im</strong> Zeitalter des Cloud Computing – keine frei<br />
schwebende Wolke, sondern es ruht auf Pfeilern, die in einzelnen Staaten stehen<br />
2<br />
. Es wird mit Hilfe von Netzknotenrechnern betrieben, auf Servern liegen die<br />
<strong>im</strong> Netz angebotenen Inhalte und über Router werden Nachrichten um die Welt<br />
geleitet. Alle diese Datenverarbeitungsanlagen unterliegen nationalem Recht und<br />
der Aufsicht nationaler Behörden. Natürlich gibt es nicht in allen Ländern der Erde<br />
Datenschutzgesetze und Datenschutzbehörden. Aber die Länder, in denen es<br />
solche Gesetze gibt (z.B. die gesamte Europäische Union), dürfen nicht auf die<br />
Durchsetzung dieser Regeln verzichten, weil sie Teil eines weltumspannenden<br />
Netzes sind. Das tun staatliche Behörden übrigens auch in anderen Zusammenhängen<br />
wie der Bekämpfung der grenzüberschreitenden Kr<strong>im</strong>inalität bekanntlich<br />
nicht. Globalisierung ist keine Rechtfertigung <strong>für</strong> die Passivität der Nationalstaaten.<br />
Zwar gibt es bisher keine völkerrechtlichen Konventionen z.B. auf der<br />
Ebene der Vereinten Nationen, aber nationales Recht beansprucht auch Geltung<br />
<strong>im</strong> <strong>Internet</strong>, es wird durch die Nutzung des <strong>Internet</strong> nicht außer Kraft gesetzt.<br />
2<br />
So schon das Budapest-Berlin-Memorandum (Bericht und Empfehlungen zu Datenschutz<br />
und Privatsphäre <strong>im</strong> <strong>Internet</strong>) der Internationalen Arbeitsgruppe zum Datenschutz in der<br />
Telekommunikation von 1996, in: Internationale Dokumente zum Datenschutz bei Telekommunikation<br />
und Medien 1983-2006, S. 73, 82, <strong>im</strong> Anschluss an J. Reidenberg. Vgl. auch das<br />
umfassende Arbeitspapier 37 der Art. 29-Gruppe „Privatsphäre <strong>im</strong> <strong>Internet</strong> – ein integrierter<br />
EU-Ansatz zum Online-Datenschutz“ von 2000,<br />
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2000/wp37de.pdf<br />
4
Entscheidend ist deshalb zunächst die Frage, welches Recht auf einen Daten-<br />
verarbeitungsvorgang anzuwenden ist. Die Europäische Datenschutzrichtlinie von<br />
1995 sieht vor, dass auch solche verantwortlichen Stellen sich an europäisches<br />
Datenschutzrecht zu halten haben, die keine Niederlassung in der Europäischen<br />
Union haben, aber „zum Zwecke der Verarbeitung personenbezogener Daten auf<br />
automatisierte oder nicht automatisierte Mittel zurückgreift, die <strong>im</strong> Hoheitsgebiet<br />
eines EU-Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum<br />
Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet<br />
werden.“ (Art. 4 (1)(c) Datenschutzrichtlinie). Das bezieht sich zunächst auf<br />
die bereits erwähnten Rechenzentren, Router- und Serverstandorte. Aus diesem<br />
Grund muss auch ein in den USA ansässiges Unternehmen wie Google Inc.<br />
sich an europäisches Datenschutzrecht halten und die Anordnungen europäischer<br />
Datenschutzbehörden befolgen. Denn Google betreibt in Europa, in Irland,<br />
aber auch in Deutschland Rechenzentren und acquiriert Anzeigenkunden. Die<br />
Anwendbarkeit europäischen Datenschutzrechts hängt deshalb nicht davon ab,<br />
dass eine verantwortliche Stelle ihren Hauptsitz in Europa hat. Die Gruppe nach<br />
Artikel 29 der Datenschutzrichtlinie hat deren Anwendbarkeit in der Folge noch<br />
weiter interpretiert, indem sie auch solche Unternehmen dem europäischen Recht<br />
unterworfen hat, die lediglich auf Rechenkapazitäten in der Europäischen Union<br />
zugreifen 3<br />
. Ein solcher Zugriff kann schon darin liegen, dass z.B. ein USamerikanischer<br />
Anbieter versucht, ein Cookie auf einem PC in der EU zu platzieren.<br />
Auch die systematische Datenerhebung durch Kamerawagen, die <strong>im</strong> Moment<br />
in zahlreichen deutschen Großstädten stattfindet und die schließlich Geodaten<br />
aus Google Maps mit Bildern ganzer Straßenzüge zu dem neuen Dienst<br />
Google Streetview verknüpfen soll, unterliegt selbst dann deutschem Datenschutzrecht,<br />
wenn sie <strong>im</strong> Auftrag der amerikanischen Google-Mutter erfolgt. Das<br />
Bundesdatenschutzgesetz gilt ausdrücklich auch <strong>für</strong> verantwortliche Stellen, die<br />
ihren Sitz außerhalb Europas haben und Daten in Deutschland erheben, verarbeiten<br />
oder nutzen. Sie haben einen Inlandsvertreter zu benennen 4<br />
.<br />
3<br />
vgl. zuletzt die Stellungnahme 1/2008 zu Datenschutzfragen <strong>im</strong> Zusammenhang mit<br />
Suchmaschinen, Working Paper 148,<br />
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp148_de.pdf<br />
4<br />
§ 1 Abs. 5 Sätze 2 und 3 BDSG.<br />
5
5<br />
Vor diesem Hintergrund kann man durchaus die Auffassung vertreten, dass auch<br />
der in den USA ansässige Betreiber der Webseite rottenneighbor.com europäischem<br />
Datenschutzrecht unterliegt, denn zum einen hinterlässt er Cookies auf<br />
den Rechnern der europäischen Nutzer, zum anderen verwendet er Google Analytics,<br />
was dazu führt, dass Nutzerdaten unbemerkt in die USA übermittelt werden.<br />
Vor allem aber muss Google sich fragen lassen, weshalb es rottenneighbor.com<br />
die Nutzung seines Kartendienstes Google Maps gestattet. Zu Recht hat<br />
der Direktor der Landesanstalt <strong>für</strong> Medien Nordrhein-Westfalen Google dazu aufgefordert,<br />
diesen digitalen Pranger nicht länger zu unterstützen 5<br />
. Die Rechtfertigung<br />
von Google, wenn Google Maps nicht genutzt werden könne, würden andere<br />
Karten genutzt, ist wenig überzeugend. Wenn Google sich den Wünschen der<br />
chinesischen Behörden bezüglich der Ausfilterung best<strong>im</strong>mter Suchergebnisse<br />
beugt und in Indien darüber nachdenkt, Hinweise auf Homosexualität aus den<br />
Trefferlisten zu entfernen, weil dieses Thema in der indischen Gesellschaft tabuisiert<br />
ist, dann ist nicht einzusehen, weshalb Google keine Rücksicht auf europäische<br />
Vorstellungen von Persönlichkeitsrechtsschutz nehmen will. Gerade ein<br />
weltweit dominierendes Unternehmen wie Google muss nicht jedes denkbare, ethisch<br />
inakzeptable Geschäft machen, weil es sonst andere machen würden.<br />
Erst recht unterliegen solche Anbieter europäischem und deutschem Datenschutzrecht,<br />
die selbst ihren Sitz hierzulande haben und <strong>im</strong> Rahmen ihrer Webangebote<br />
personenbezogene Nutzerdaten entweder speichern oder übermitteln.<br />
Das gilt etwa <strong>für</strong> alle deutschen Betreiber kommerzieller Webseiten, die deren<br />
Reichweite durch Einsatz von Google Analytics feststellen und verbessern wollen.<br />
Sie haben deshalb kürzlich Post von deutschen Aufsichtsbehörden, allen voran<br />
vom Unabhängigen Datenschutzzentrum Schleswig-Holstein bekommen. Es gilt<br />
genauso <strong>für</strong> die Anbieter von social communities, sozialen Netzwerken wie studiVZ<br />
und XING, um nur zwei zu nennen, oder Anbieter von Bewertungsportalen<br />
wie meinprof.de oder whofinance.de, die in der Bundesrepublik ihren Sitz haben<br />
und sich schon deshalb an deutsches Datenschutzrecht halten müssen.<br />
Zuweilen wehren sich die betroffenen Unternehmen gegen die Durchsetzung von<br />
allgemein geltenden Datenschutzregeln mit erstaunlichen Argumenten. So wird<br />
Am virtuellen Pranger, Süddeutsche Zeitung v.27.8.2008, S. 10.<br />
6
6<br />
der zuständigen Aufsichtsbehörde, die gegenwärtig die Vorschriften des Bundes-<br />
datenschutzgesetzes gegenüber den Betreibern des Bewertungsportals<br />
meinprof.de durchzusetzen sucht, entgegengehalten, dies sei Zensur. Der Vor-<br />
wurf ist nicht nur unbegründet, sondern auch absurd. Zum einen werden auf Bewertungsportalen<br />
nicht nur Meinungen geäußert (allerdings nicht von den Portalbetreibern,<br />
sondern von anonymen Nutzern), sondern auch – teilweise unzutreffende<br />
oder bestrittene - Tatsachen behauptet. Zum anderen können auch Meinungen<br />
personenbezogene Daten sowohl über die bewertende als auch über die<br />
bewertete Person enthalten.<br />
Schließlich aber- und das ist das Entscheidende – ist das Bundesdatenschutzgesetz<br />
ein allgemeines Gesetz, das sich nicht gegen best<strong>im</strong>mte Meinungen richtet,<br />
und das jeder, der personenbezogene Meinungen in Form einer recherchierbaren<br />
Datenbank verarbeitet, zu beachten hat. Auch das allgemeine Gesetz muss<br />
zwar <strong>im</strong> Lichte der Meinungsfreiheit ausgelegt werden, aber niemand wird ernsthaft<br />
behaupten können, dass eine Meinungsäußerung dadurch verhindert wird,<br />
dass man den Betroffenen von der Einstellung seiner Bewertung in eine Datenbank<br />
vorab benachrichtigt. Das gilt gerade in Fällen, in denen – wie eingangs geschildert<br />
- Dozentinnen sexistisch beleidigt werden. Was demgegenüber wirkliche<br />
<strong>Internet</strong>-Zensur ist, kann man in China und in Saudi-Arabien beobachten.<br />
Stichwort <strong>Internet</strong>-Zensur in China: Die „Große chinesische Firewall“, also der<br />
Versuch, mit erheblichem Aufwand den Zugriff auf das <strong>Internet</strong> zu kontrollieren,<br />
um politisch missliebige Informationen auszublenden, ist ebenso wie der Versuch<br />
des IOC, als Lizenzgeber <strong>für</strong> NBC 6<br />
aus urheberrechtlichen Gründen die Bilder<br />
von den Olympischen Spielen mithilfe des sog. Geoblocking best<strong>im</strong>mten zahlenden<br />
Abonnenten in den USA vorzubehalten, kein Vorbild <strong>für</strong> eine rechtsstaatliche<br />
und der Informationsfreiheit entsprechende <strong>Datenschutzkontrolle</strong> <strong>im</strong> <strong>Internet</strong>.<br />
Zudem wäre jeder Versuch, das <strong>Internet</strong> mit Techniken des Zoning oder der Geolocation<br />
zu „reterritorialisieren“, also nur den Zugriff auf solche Seiten zuzulassen,<br />
die den europäischen Datenschutzregeln entsprechen, technisch zum Scheitern<br />
verurteilt.<br />
Siehe http://www.nbcolympics.com<br />
7
Andererseits wird den Datenschutz-Aufsichtsbehörden von deutschen <strong>Internet</strong>-<br />
Unternehmen gern entgegengehalten, sie wollten oder würden – etwa <strong>im</strong> Bereich<br />
der personalisierten Werbung in sozialen Netzwerken – die notwendigen Finanzierungsgrundlagen<br />
<strong>für</strong> e-commerce hierzulande zunichte machen und<br />
zugleich ausländischen Anbietern dadurch Vorteile verschaffen. Abgesehen davon,<br />
dass die sozialen Netzwerke (z.B. studiVZ) mittlerweile selbst einräumen,<br />
dass mit personalisierter Werbung die Profitabilität solcher Angebote nicht sicher<br />
zu stellen ist, wird dabei übersehen, dass die Datenschutzbehörden in Deutschland<br />
längst keine Kirchturmpolitik mehr betreiben. Sie st<strong>im</strong>men sich auf europäischer<br />
und internationaler Ebene mit ihren Kollegen ab, um Grundsätze zu formulieren,<br />
die auch von ausländischen Wettbewerbern zu beachten sind. So finden<br />
sich die Grundsätze, die der Düsseldorfer Kreis etwa <strong>für</strong> soziale Netzwerke formuliert<br />
hat, auch <strong>im</strong> sog. Rom-Memorandum 7<br />
wieder, das die Internationale Arbeitsgruppe<br />
zum Datenschutz in der Telekommunikation (sog. Berlin Group) formuliert<br />
hat, in der Vertreter von Datenschutzbehörden aus aller Welt zusammenarbeiten.<br />
Dort, wo europäische Datenschutzbehörden Kompetenzen und Einwirkungsmöglichkeiten<br />
haben, sollten sie sie stärker als bisher nutzen. Ich plädiere nicht da<strong>für</strong>,<br />
dass Datenschutzbeauftragte in- und ausländische <strong>Internet</strong>-Anbieter bei entsprechenden<br />
Anlässen <strong>im</strong>mer gleich mit Sanktionen bedrohen sollten. Aber sie sollten<br />
ihre Möglichkeiten auch nicht unterschätzen und sie bei Bedarf einsetzen.<br />
Gerade die Diskussion um die Speicherdauer von Nutzungsdaten durch<br />
Suchmaschinen-Betreiber hat gezeigt, dass die Datenschutzbehörden eine<br />
Verbesserung der Datenschutzstandards bereits dadurch bewirken können, dass<br />
sie eine internationale Diskussion in Gang setzen. Den Anfang hat auch hier die<br />
Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation 2006<br />
gemacht. Sicherlich: Google als Marktführer in diesem Bereich hat sich bisher nur<br />
bereit gefunden, seine bisherige Speicherpraxis unzureichend zu modifizieren, indem<br />
das Unternehmen von einer unbegrenzten Speicherung der Suchanfragen<br />
7<br />
http://www.datenschutzberlin.de/content/Europa+%252F+International/International+Working+Group+on+Data+Protecti<br />
8
zu einer Speicherdauer von 18 Monaten übergegangen ist. Aber der Prozess ist<br />
noch nicht zuende. Mittlerweile bekommt Google datenschutzfreundliche Konkurrenz.<br />
Die Meta-Suchmaschine Ixquick ist <strong>im</strong> Juli dieses Jahres hier in Kiel mit<br />
dem ersten Europäischen Datenschutz-Gütesiegel ausgezeichnet worden, weil<br />
sie keine Nutzerdaten nach dem Ende des Suchvorgangs speichert. Wenig später<br />
ist in den USA die Suchmaschine Cuil an den Start gegangen, die ebenfalls eine<br />
datenschutzfreundliche Alternative zu Google anbietet. Die Art. 29-Gruppe hat in<br />
ihrer Stellungnahme zu Suchmaschinen vom April dieses Jahres 8<br />
klar gemacht,<br />
dass in Europa – bei gewissen nationalen Unterschieden – Suchanfragen nicht<br />
eineinhalb Jahre lang personenbezogen gespeichert werden dürfen. Dabei wurde<br />
explizit darauf verwiesen, dass in best<strong>im</strong>mten Mitgliedstaaten (nämlich insbesondere<br />
Deutschland) die Nutzerdaten nach dem Ende der Suche überhaupt nicht<br />
gespeichert bleiben dürfen.<br />
Wie aber kann <strong>Datenschutzkontrolle</strong> in den Fällen funktionieren, in denen kein europäisches<br />
Datenschutzrecht anwendbar ist, weil der Anbieter nicht auf Mittel zur<br />
Datenverarbeitung in Europa zurückgreift ? In solchen Situationen sind die Datenschutzbehörden<br />
auf die Mithilfe der Betroffenen angewiesen: diese sollten verstärkt<br />
ihre Rechte auch gegenüber ausländischen Betreibern geltend machen,<br />
also Löschung von unzutreffenden oder gar verleumderischen Inhalten verlangen.<br />
Das kann man schriftlich oder per e-mail tun, selbst wenn man nicht die<br />
Mittel hat, um die Dienste eines teueren amerikanischen Anwalts in Anspruch zu<br />
nehmen oder selbst ein US-Gericht anzurufen. Auch hier ist Fatalismus fehl am<br />
Platze. Nichtdeutsche oder außereuropäische Anbieter sollten wissen, welche<br />
Datenschutzstandards hier gelten, und sie sollten sich mit ihnen auseinandersetzen.<br />
Unabhängig von juristischen Erwägungen kann es sich kaum ein Unternehmen<br />
auf die Dauer leisten, <strong>im</strong> <strong>Internet</strong> Dienste anzubieten, die <strong>im</strong> eklatanten Widerspruch<br />
zu anerkannten Rechtsgrundsätzen einer ganzen Region wie Europa<br />
stehen.<br />
Und noch etwas kann den Datenschutz <strong>im</strong> <strong>Internet</strong> befördern: Öffentlichkeit und<br />
Transparenz. Im Entwurf der geänderten EU-Richtlinie <strong>für</strong> den Datenschutz bei<br />
on+in+Telecommunications++%28IWGDPT%29/Working+Papers+and+Common+Positions+<br />
adopted+by+the+Working+Group%3A<br />
9
8<br />
der elektronischen Kommunikation sind Regeln <strong>für</strong> die Einführung von Informati-<br />
onspflichten bei Sicherheitslücken nach dem Muster der in den meisten US-<br />
Bundesstaaten vorgeschriebenen security breach notification vorgesehen. Es ist<br />
sehr zu hoffen, dass diese Veröffentlichungs- und Benachrichtigungspflich-<br />
ten weder <strong>im</strong> europäischen Gesetzgebungsverfahren noch bei der Umsetzung<br />
der Richtlinie in deutsches Recht verwässert oder gar fallen gelassen werden.<br />
Nichts hat die Debatte um den Datenschutz in den USA so sehr vorangebracht<br />
wie die gesetzlich vorgeschriebene Veröffentlichung von Sicherheitsmängeln und<br />
Einbrüchen in Datenbanken.<br />
Fazit<br />
Das <strong>Internet</strong> ist kein rechts- und kontrollfreier Raum. <strong>Datenschutzkontrolle</strong> <strong>im</strong> <strong>Internet</strong><br />
ist zwar schwierig, aber keineswegs unmöglich. Deutsches und europäisches<br />
Datenschutzrecht gilt <strong>für</strong> alle Anbieter von <strong>Internet</strong>-Seiten oder –Diensten,<br />
die auf in Europa belegene Mittel zur Datenverarbeitung (Server, Router, Cookies<br />
auf Nutzer-PCs) zurückgreifen. Das gilt auch <strong>für</strong> Anbieter, die ihren Sitz außerhalb<br />
von Europa haben. Die Datenschutzbehörden in Europa sind von ihrer Ausstattung<br />
und ihren Befugnissen her sicher nicht in der Lage, jeden Datenschutzverstoß<br />
<strong>im</strong> <strong>Internet</strong> durch Anbieter, die dem europäischen Datenschutzrecht unterliegen,<br />
zu ahnden oder gar zu verhindern. Aber sie sollten sich der Zähne, die<br />
sie haben, bewusst sein und sie auch bei Bedarf zeigen und einsetzen.<br />
<strong>Datenschutzkontrolle</strong> <strong>im</strong> <strong>Internet</strong> hat weder etwas mit Zensur noch mit Wettbewerbsverzerrung<br />
zu tun. Natürlich müssen Ranking-Seiten die Betroffenen benachrichtigen,<br />
bevor sie Bewertungen über sie veröffentlichen, und sie müssen<br />
bestrittene Fakten sperren. Ebenso natürlich dürfen soziale Netzwerke wie studiVZ<br />
oder Facebook die Registrierung nicht davon abhängig machen, dass man<br />
personalisierte Werbung akzeptiert. Schließlich sind auch die Betroffenen aufgerufen,<br />
stärker als bisher ihre Rechte selbst gegen solche <strong>Internet</strong>-Anbieter wahrzunehmen,<br />
die formaljuristisch nach europäischem Datenschutzrecht nicht zu belangen<br />
sind. Dabei können ihnen die Datenschutzbehörden Hilfestellung leisten.<br />
Auch Wettbewerbsaspekte können zugunsten des Datenschutzes <strong>im</strong> <strong>Internet</strong><br />
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp148_de.pdf<br />
10
fruchtbar gemacht werden, etwa indem noch mehr datenschutzfreundliche Inter-<br />
net-Angebote mit Gütesiegeln ausgezeichnet werden. Das europäische Gütesie-<br />
gel <strong>für</strong> die Meta-Suchmaschine Ixquick war hier<strong>für</strong> ein viel versprechender Auf-<br />
takt.<br />
11