Das Datenschutz-Blog

Ich hatte vor kurzem eine kleine Diskussion losgetreten, als ich erklärt hatte, das TMG wäre ein Spezialgesetz gegenüber dem BDSG, das zwar ausdrücklich die Rechte des Betroffenen im Rahmend es BDSG anerkennt, aber eben nicht die Privilegierungen, etwa den §28 BDSG. Es gab herben Widerspruch, aber auch ein wenig Anerkennung zu meiner Diskussionslinie. Der Artikel ist hier zu finden, wer das vertiefen möchte, sollte bitte meinen sehr langen Kommentar darunter noch lesen.

Als Nachtrag noch ein Argument, das meine These untermauern soll: Inzwischen gilt im TMG der neue §15a TMG, der wiedermals ausdrücklich auf eine Regelung des BDSG (§42a BDSG) verweist. Würde das BDSG so selbstverständlich neben dem TMG zur Anwendung kommen, wie viele glauben, wäre der §15a TMG schlicht überflüssig. Dabei nochmals der Hinweis, dass ich den §12 III TMG so lese, dass nur die den Betroffenen schützenden Vorschriften des BDSG zur Anwendung kommen, aber nicht die den Verarbeiter privilegierenden Vorschriften.

Nochmals als Hinweis: Ich lese sehr viele Meldungen rund um den Datenschutz. Hier im Blog, das keine News-Seite sein soll, schreibe ich natürlich nur hin und wieder mal etwas zu einer aktuellen Meldung. Wenn mir etwas auffällt, was als Link interessant ist, gebe ich das auf der Facebook-Seite zum Blog weiter. Wer also mehr Input zum Datenschutz sucht und bei Facebook Mitglied ist, sollte einfach der Seite folgen bzw. “Ein Fan” werden.

Anmerkung: Es ist keine Ironie, dass eine Datenschutz-Seite u.a. auch Facebook nutzt. Wer glaubt, es wäre dem Datenschutz zuträglich Facebook zu boykottieren, kann das gerne tun. Ich sehe es anders.

Teachernews bringt einen Artikel zum Datenschutz auf der Schulhomepage, darin liest man u.a. das hier:

Die Schüler können ihr Einverständnis selbst bekunden, sobald sie das 16. Lebensjahr vollendet haben. Bei jüngeren ist die Genehmigung der Erziehungsberechtigten notwendig. Grundsätzlich sollte dabei über den Zweck der Veröffentlichung und die weitere Verwendung der Daten informiert werden.

Ich finde das interessant, denn pauschal auf das Alter würde ich persönlich nicht abstellen, jedenfalls gibt das BDSG hierzu nichts her. Vielmehr kommt es auf die Einsichtsfähigkeit an – und (sofern man schon pauschalisiert) ein Schüler mit geistiger Behinderung dürfte da andere Maßstäbe haben, als etwa ein gymnasialer Schüler gleichen Alters. Auch sollte man nicht grundsätzlich über den Zweck und die weitere Verwendung informieren, sondern generell und zwingend.

Zur Verdeutlichung des Problems verweise ich hier zu einer Stellungnahme des Landesdatenschutzbeauftragten in Mecklenburg-Vorpommern:

Das Schulgesetz für das Land Mecklenburg-Vorpommern (SchulG M-V) bestimmt, dass minderjährige Schüler einwilligungsfähig sind, wenn sie die Bedeutung und Tragweite dieser Entscheidung sowie deren rechtliche Folgen erfassen können (§ 70 Abs. 2 S. 5 SchulG M-V). Nach allgemeiner Lebenserfahrung beginnt dies bei Schülern ab einem Lebensalter von 12 Jahren. In der Übergangszeit, längstens bis zur Volljährigkeit (18. Geburtstag), kann das Recht auf informationelle Selbstbestimmung auch zusammen mit den Erziehungsberechtigten wahrgenommen werden.

Gleichlautend ist die Regelung im Schulgesetz NRW. Insofern rate ich dringend dazu, nicht anhand des Alters zu pauschalisieren und im Optimalfall nicht nur die Einwilligung des Schülers oder der Eltern, sondern spätestens ab der 5. Klasse (also auf der weiterführenden Schule) immer beide zu Fragen. Nicht nur aus Gründen der Rechtssicherheit, sondern auch um dem schulichen Auftrag, der Bildung der Reife des Schülers, nachzukommen. Ab wann man den Schüler alleine einwilligen lässt sollte Ausnahmslos im Einzelfall unter Berücksichtigung der persönlichen Einsichtsfähigkeit entschieden werden.

Bei der FR-Online habe ich einen Beitrag zu einem erneuten Fall gelesen, in dem Facebook-Fotos zu Problemen im echten Leben geführt habe. Der Sachverhalt ist kurz: Frau wird sehr lange krank geschrieben wegen Depressionen, Krankenversicherer zahlt Krankengeld, Frau geht zu Männer-Strip-Show und veröffentlicht Fotos vom Besuch bei Facebook, Krankenversicherer zahlt unter Hinweis auf diese Fotos kein Krankengeld mehr. Nun liest man bei der FR am Ende das hier:

Wie die Versicherung an die Fotos kam, sei ihr nicht klar – ihr Profil sei nur für bestätigte Freunde zugänglich.

Ein wenig denkt man inzwischen schon automatisch darüber nach, ob die Dame vielleicht doch etwas falsch eingestellt hat, ob es eine Lücke gegeben hat – aber diese Gedanken sind vielleicht zu kompliziert. Denn es ist nicht fernliegend, dass ein “Freund” bei Facebook, der selber beim gleichen Arbeitgeber arbeitet und aus welchen persönlichen Gründen auch immer die Fotos kopiert und weitergeleitet hat.

Zu oft, wenn wir in diesen Tagen von Medienkompetenz sprechen, vergessen wir nämlich die soziale Kompetenz, die man immer braucht: Nicht nur, aber eben auch im Internet. Und speziell auch bei so genannten sozialen Diensten/Netzwerken. Es ist fraglich, warum jeder Kontakt bei Facebook als “Freund” betitelt sein muss. Auch ist fraglich, warum man nicht zwingend eine Nachricht eingeben muss, wenn man dort einen Kontakt hinzufügt – ebenso sollte sich jeder fragen, ob man jeden X-beliebigen ohne Nachfrage als Kontakt bestätigen sollte, den man zwar nicht kennt, der aber eine “Freundschaftsanfrage” gesendet hat.

Das muss nicht unbedingt Kritik an Facebook sein, auf jeden Fall ist es aber eine Kritik an der sozialen Kompetenz derjenigen, die das in dieser Form so nutzen, glauben alleine mit “Privatsphäre”-Optionen alles sichern zu können, und sich dann hinterher wundern, wenn ein “Freund” querschlägt.

Vielleicht liegt es an Weihnachten: Zur Zeit “erfreut” sich mein Email-Postfach zunehmender Werbe-Newsletter. Natürlich alle unverlangt. Jeder dieser Newsletter erhält die gleiche Antwort von mir, die ich hier als Mail-Vorlage gerne weiter gebe:

Sehr geehrte Damen & Herren,

den untenstehenden Werbe-Newsletter habe ich nicht bestellt. Dabei haben Sie mir nicht nur unverlangt Werbung zugestellt, sondern offensichtlich auch persönliche Daten, mindestens meine Email-Adresse, verarbeitet.

Ich setze Ihnen nun Frist bis …. den …., um mir Auskunft entsprechend §34 BDSG über die gespeicherten Daten zu meiner Person zu geben, die Herkunft dieser Daten und eine eventuell bereits erfolgte Weitergabe an Dritte.
Insbesondere erwarte ich eine klare Angabe, woher Sie meine Email-Adresse haben.

Sollten Sie der Meinung sein, ich habe diesen Newsletter doch bestellt,
teilen Sie mir innerhalb der Frist Zeitpunkt und IP-Adresse mit, die Sie
der Bestellung des Newsletters zuordnen können. Insofern verweise ich auf die gesetzliche Pflicht der Protokollierung entsprechend §13 II TMG hin und erwarte einen Auszug aus ihrem bereit gehaltenen Protokoll.

Nach fruchtlosem Ablauf der Frist erwäge ich Auskunftsklage. In jedem Fall werde ich die für Sie zuständige Aufsichtsbehörde informieren und beauftragen, meinem Auskunftsverlangen Nachdruck zu verleihen,

mit freundlichen Grüßen
Jens Ferner

Es wird nicht wundern, dass innerhalb der meistens ein bis zwei-wöchigen Frist sich natürlich niemand meldet. Auch wenn ich so nett bin und danach noch einmal ein Fax versende, gibt es keine Reaktion. Dabei ist mein Vorgehen ganz besonders nett, denn:

1. Die betreffenden Newsletter-Betreiber haben alle einen Sitz, somit eine ladungsfähige Adresse, innerhalb Deutschlands, sind also äusserst leicht zu erreichen.
2. Schon nach der ersten Frist befinden sich die Betreiber im Verzug – der sodann beauftragte Anwalt samt Kosten dürfte vollständig den Betreibern in Rechnung gestellt werden können.
3. Der Auskunftsanspruch ist unstreitig, es gibt hier kein Prozesskostenrisiko

Dass ich insofern zwei Mal eine Frist setze und die erste per Mail zustelle, sollte helfen, die Sache schnell und problemlos abzuwickeln. Leider aber zeigt die Erfahrung (und die habe ich inzwischen reichlich in dem Bereich), dass der durchschnittliche Shop-Betreiber, der mir begegnet, zum einen keine Ahnung von den rechtlichen Gegebenheiten hat, und sich zum anderen am liebsten so benimmt, wie die nicht-zahlenden Kunden über die man gerne schimpft: Mit Tot-stellen.

Ich kann an dieser Stelle nur zwei Empfehlungen aussprechen:

1. Betroffene sollten hinterher sein und zumindest immer die zuständige Aufsichtsbehörde (meistens der Landesdatenschutzbeauftragte des Bundeslandes, in dem sich der Shop gemeldet hat) anhauen, damit die sich darum kümmern. Nur wenn missachteter Datenschutz Arbeit produziert, werden sich Unternehmen auch im Vorhinein darum kümmern, ihn zu beachten.
2. Shop-Betreiber sollten sich umgehend um Auskunftsanfragen kümmern. Nicht auch, sondern vor allem um die, die per Mail eingehen. Viele deuten das als nicht ernst gemeint oder sogar als Zeichen von wenig Willen das durch zu ziehen: Falsch gedacht. Vielmehr ist es die einzige Chance, das mit möglichst wenig Aufwand und ohne größere Kosten durch zu ziehen. Wer meint, dass er das nicht braucht, der soll hinterher auch nicht jammern, wenn es dann teuer wird. Und empfindlich teuer wird es mitunter, das kann ich fest versprechen.

Drei Stellungnahmen zum Datenschutz sind zur Zeit zu finden, die durchaus lesenswert sind:

1. Frau Leutheuser-Schnarrenberger profiliert sich weiter als Bürgerrechtlering. Ich selbst bleiber leider beim Ende hängen: Da steht nämlich, das man erstmal auf Karlsruhe wartet. Da kann man vorher noch so viel reden – anders als die bisherige Politik ist das für mich auch nicht.
2. Der Bundesdatenschutzbeauftragte Peter Schaar fordert eine radikale Reform des Datesnchutzrechtes – seine Idee, dass man einen direkten Zugang zu allen gespeicherten Daten haben sollte ist sicherlich ein interessanter Ansatz, der danach verlangt, direkt mit dem “wer soll das bezahlen”-Aufschrei garniert zu werden.
3. Was mir und anderen Bürgerrechtlern nicht gelingt, schafft ein Günther Jauch in 5 Minuten: Plötzlich redet jeder über die Empfehlen-Funktion von Amazon. (Hinweis: Hier der alte Artikel von mir dazu)

Bei Datenschutz-Praxis.de muss ich lesen, dass nun ernsthaft über noch mehr Strafe, diesmal mögliche Freiheitsstrafen, im Bereich des Datenschutzes nachgedacht wird. Ich würde mich freuen, wenn diese unselige Diskussion endet, bevor sie anfängt – schon beim Thema Jugendstrafrecht läuft seit Jahren eine ähnliche Diskussion, fernab kriminologischer Fakten. Und in diesem Fall sogar fernab der juristischen Realität.

Datenschutzverstöße sind nämlich (zumindest teilweise) sehr wohl mit Freiheitsstrafe sanktioniert, wer aber blind nur ins BDSG blickt, kann das nicht wissen. Wichtiger sind da die §§202a,b,c StGB oder auch der §201a StGB, der Bildaufnahmen einschänkt. Gemeint ist also viel mehr, dass der spezielle Sanktionen-Katalog des BDSG erweitert werden soll. Hier wünsche ich mir schlicht, dass nur die mitreden, die zumindest eine Vorlesung Kriminologie besucht haben. Um das Stammtischniveau zumindest annähernd anzuheben.

Das einzige was hilft, ist eine effektive Kontrolle. Als Vergleich: Es wäre so, als würden wir eine bestenfalls rudimentäre Polizei und Staatsanwaltschaft in Deutschland haben und anstelle diese auszubauen, durch ein Hochkurbeln der möglichen Strafen versuchen die Kriminalität in den Griff zu bekommen. Fakt ist: Die Datenschutzbehörden sind unterbesetzt. Fakt ist auch, dass die Kontrollen – gerade was alltägliche Betriebe angeht – eher gering stattfindet. Es mag für den Staat finanziell günstiger sein, Sanktionen hochzuschrauben – sinnvoller sind aber nur funktionierende Kontrolle und Aufklärung.

Soziale Netze und Werbung, das Thema wird sicherlich nicht langweilig werden in der nächsten Zukunft. Bei Facebook gibt es eine Option, die man kennen sollte: Unter Einstellungen > Privatsphäre > Neuigkeiten und Pinnwand kann man oben (recht neben “Aktionen auf Facebook”) nun einen Reiter “Facebook-Werbeanzeigen” auswählen. Kann man auch schnell übersehen.

Dort kann man z.B. auswählen:

Werbeanzeigen auf Plattformseiten gestatten, meine Informationen folgenden Personen zu zeigen (Nur meine Freunde / Niemand)

Ebenso kann man darunter einstellen, ob umfeldorientierte Handlungen zu sehen sein sollen. Dann wird bei einem “Freund” angezeigt, ob man selber Fan der Seite ist, die da gerade beworben wird.

Wer beides nicht möchte, kann problemlos die voreingestellten “Nur meine Freunde”-Werte auf “Niemand” umstellen. Auf jeden Fall sollte jeder Facebook-Nutzer hier mal in die Optionen sehen.

In der letzten Zeit, speziell auch dank Netzpolitik.org, darf man fast täglich irgendwelche großen Skandale lesen. Heute lesen wir auf Heise nochmal einen Fall der etwas alltäglicher ist: Da tauchen Patienteninformationen in einem Altpapier-Container auf.

Die Frage ist, ob wir uns jetzt jede Woche über irgendwas aufregen wollen, bis dann irgendwann ein Gewöhnungseffekt eingetreten ist, oder man endlich aggressiv einfordert, dann auch kleinere Unternehmen, allen voran Arztpraxen und Anwaltskanzleien, das Thema Datenschutz ernst nehmen und einen Datenschutzbeauftragten bestellen.

Wenn man bedenkt, dass unser Bundesdatenschutzgesetz bei der Frage ob ein DSB bestellt werden muss gar keinen Unterschied macht ob man eine Arztpraxis betreibt oder ein Kiosk, muss man sich eigentlich nicht mehr wundern. Da muss man die Praxis gar nicht kennen, dass mancher Arzt – wenn er denn mal verpflichtet ist und dem nachkommt – kurzerhand die Sprechstundenhilfe als Datenschutzbeauftragte bestellt, die dann wenig Unterstützung bei ihrer Tätigkeit erhält. Vom Glück kann man noch reden, wenn er die dann wenigstens zur “Fortbildung” schickt, was dann wierum gerne ein Absitzseminar ist, das am Ende keine Prüfung in Form eines zertifizierten Tests vorsieht.

Anstatt uns über tägliche Skandale aufzuregen und uns mitunter auf die “Großen” zu konzentrieren, sollten wir die kleinen ins Blickfeld nehmen: Unternehmen vor Ort, speziell Dienstleister die besonders sensible personenbezogene Daten i.S.d §3 IX BDSG verarbeiten. Diese sollten generell verpflichtet sein, einen DSB zu bestellen – und die Landesdatenschutzbeauftragten sollten mit Aufklärungskampagnen und ernsthaften Kontrollen daran arbeiten, dass dieser Pflicht überall nachgekommen wird.

Ich selbst nehme Hinweise – in der Tat erreichen mich regelmäßig Mails mit Hinweisen auf (vermeintliche) Datenschutzskandale – hier bewusst gar nicht auf. Ich möchte hier ein Blog betreiben und ich bin weder die zuständige Aufsichtsbehörde, noch will ich meine Seite zum simplen Pranger degradieren. Wer Hinweise hat, kann die gerne an mich weiterreichen, ich informiere mich immer gerne - aber wer etwas erreichen will, muss sich an die Aufsichtsbehörden wenden. Dazu sind sie da.

Den ganzen Tag schon geistert durch die Medien, dass die Bundesregierung plant, die Kameraüberwachung an Bahnhöfen auszubauen. Damit “Überfälle wie in München nicht mehr stattfinden können”. Dazu nur kurz ein Zitat aus meinem Randfugur-Blog, wo ich vor kuzem etwas dazu geschrieben habe, denn das Thema wärmt die CDU ja alle 14 Tage einmal auf:

Keine Kamera hilft, wenn man an einem U-Bahnhof zusammengeschlagen wird – ein Bild, dass die NRW-CDU selbst gerne heranzieht. Perverserweise kann man es sich bei der CDU leisten, mit genau den U-Bahnschlägereien auf die vermeintliche Sicherheit von Kameras zu verweisen, mit deren Aufnahmen (angeblich) die Taten aufgeklärt werden konnten. Leider vermisse ich bis heute in der breiten Masse die tiefgehende Erkenntnis, dass diese Beispiele gerade demonstrieren, dass eine Kamera die Straftat nicht verhindert hat, sondern bestenfalls zur Aufklärung dienen konnte. Ich wage zu behaupten: Ein Polizist anstelle der einen Kamera in den in der Presse breit getretenen Fällen hätte jeden einzelnen Vorfall verhindert.

Ohne es zu wollen verhamlosen immer noch viele Datenschützer und Bürgerrechtler den stetig wachsenden Überwachungsstaat, indem sie erklären, es ginge nicht um den großen Bruder in unserer Gesellschaft, sondern vielmehr um die vielen kleinen Brüder. Gemeint ist wohl, den Blick nicht auf den einen großen (bösen) Staat zu lenken, sondern vielmehr die vielen Überwachungen in Geschäften im Auge zu haben.

Das ist letztlich zu kurz gedacht, schon im März 2008 habe ich auf den “Video-Atlas” aufmerksam gemacht und verdeutlicht, dass es nur eine Frage der Zeit ist, bis der Staat versuchen wird, auf die vielen dezentralen Kameras einen einheitlichen Zugriff zu erhalten. Die angeblich vielen kleinen Brüder würden dann ganz schnell zu den kleinen Helfern des großen Bruders.

Während der Video-Atlas in Deutschland weiterhin nicht offen diskutiert wird, ist man in den USA – in Chicago – schon weiter, dort hat man endlich die umfassende Vernetzung erreicht. Abzuwarten bleibt nun, wann die ersten funktionierenden automatisierten Suchmuster zur Verfügung gestellt werden, mit denen nach bestimmten Gesichtern in einem solchen Kamera-Netz gesucht werden kann – viel freier Raum bleibt dann nicht mehr, im öffentlichen Raum.

Wohl eher nicht, im Google Watchblog ist zwar so etwas zu lesen, aber man nimmt es dort mit den Begrifflichkeiten nicht so genau. Genauer wird es bei Heise, wo man deutlich raus liest, dass schriftlich gebeten (“ermahnt”) wurde, auf den Einsatz von Google Analytics zu verzichten. Wie der Bundesdatenschutzbeauftragte als Behörde überhaupt abmahnen wöllte, wäre mir ohnehin ein Rätsel.

In dem Zusammenhang frage ich mich dann auch, ob der Hinweis im Googlewatchblog so wirklich von der Behörde gegeben wurde:

Zwar sei es möglich durch Unterbindung von Cookies die Datenerhebung zu verhindern, aber für nicht technischversierte Nutzer nur schwer umzusetzen.

Sollte dem so sein, ergeben sich Zweifel an der technischen Kompetenz: Nicht das Blocken eines Cookies, sondern vielmehr die Verhinderung der Ausführung des Javascript-Codeschnipsels dürften Google-Analytics-Auswertungen im Wege stehen.

Da es leider keine Pressemitteilung vom BfDI gibt, weiß man wenig genaues. Leider. Für mich ist zur Zeit jedenfalls nicht klar, ob man sich an der Erhebung der IP überhaupt stört, oder erst am konkreten Nutzerprofil mithilfe eines Cookies.

Einsichtnahme in Krankheitsakten und Pflegedokumentationen bei Einverständnis des Betroffenen ist auch durch Krankenkassen möglich, so das AG München in einer aktuellen Entscheidung. Das Einsichtsrecht in seine persönlichen Krankenakten ist kein so höchstpersönliches Recht, dass eine Übertragung auf Dritte unmöglich wäre.
Beitrag weiterlesen »

Ein wenig unbeachtet (Update: Doch nicht ganz unbeachtet) ist zur Zeit die Sache mit dem Aktenzeichen C-518/07, die beim EuGH verhandelt wird und in der vor kurzem der Generalanwalt seinen Schlussantrag vorgelegt hat. Gestritten wird hier über die Frage, was unter “völliger Unabhängigkeit” zu verstehen ist. Hintergrund ist, dass Artikel 28 der Richtlinie 95/46/EG (Volksmund: “Datenschutzrichtlinie”) verlangt, dass die öffentlichen Stellen der Nationalstaaten, die über die Umsetzung der “Datenschutzrichtlinie” wachen, völlig unabhängig sein müssen. Allerdings unterstehen sie z.B. in Deutschland der staatlichen Aufsicht. Nun wird darüber gestritten, ob damit noch das Merkmal der völligen Unabhängigkeit gewahrt wird.

Der Generalanwalt lehnt die Meinung der Kommission, die in der Tat ein Problem sieht, ab. Interessanterweise mit einem Wortspiel, das ich hier vor kurzem noch aufgegriffen und klargestellt habe (Dazu: Kontrolle ist nicht Überwachung), an der Stelle merkt man, wie wichtig es ist, seine Worte sauber zu wählen. Der Generalanwalt führt im Ergebnis wie folgt aus und sieht somit kein Problem:

Unabhängigkeit bedeutet nicht, dass nicht kontrolliert werden kann. Meines Erachtens stellt die staatliche Aufsicht ein Mittel der Kontrolle dar.

Um die Frage zu beantworten, ob die staatliche Aufsicht mit dem Erfordernis der völligen Unabhängigkeit der Datenschutz‑Kontrollstellen bei der Wahrnehmung ihrer Aufgaben vereinbar ist, ist es wichtig, das mit einer solchen Aufsicht verfolgte Ziel zu berücksichtigen. Die Kommission hat die Aufsicht so dargestellt, dass damit überprüft werden soll, ob die von den Kontrollstellen ausgeübte Kontrolle zweckmäßig, rechtmäßig und verhältnismäßig ist. Unter diesem Blickwinkel scheint mir die staatliche Aufsicht zum Funktionieren des Systems der Überwachung der Anwendung der Bestimmungen, die zur Umsetzung der Richtlinie 95/46 erlassen wurden, beizutragen. Sollte sich nämlich herausstellen, dass die Kontrollstellen nicht zweckmäßig, rechtmäßig und verhältnismäßig handeln, wäre der Schutz der natürlichen Personen und damit die Verwirklichung des mit der Richtlinie 95/46 angestrebten Ziels gefährdet.

Den Akten ist nichts zu entnehmen, was die Verwirklichung des mit der Aufsicht verfolgten Ziels beeinträchtigen könnte. Darüber hinaus liegen keine Anzeichen dafür vor, dass die Aufsicht in einer Weise ausgeübt wird, die dazu führen kann, dass die Kontrollstellen ihre Aufgaben nicht in völliger Unabhängigkeit wahrnehmen. Die Kommission kann sich in dieser Hinsicht nicht auf Behauptungen beschränken. Sie muss derartige Auswirkungen der Aufsicht nachweisen.

Die Kommission hat keine negativen Auswirkungen der Aufsicht auf die Unabhängigkeit der Kontrollstellen bei der Wahrnehmung ihrer Aufgaben nachgewiesen. Sie meint, schon das Bestehen einer staatlichen Aufsicht rechtfertige den Schluss, dass die Datenschutz‑Kontrollstellen ihre Aufgaben nicht in völliger Unabhängigkeit wahrnähmen. Daraus ergibt sich, dass die Kommission bloß vermutet, dass die Aufsicht zu einer Beeinträchtigung der völligen Unabhängigkeit der Kontrollstellen bei der Wahrnehmung der ihnen zugewiesenen Aufgaben führt.

Im Ergebnis ist wohl davon auszugehen, dass der EuGH dem Generalanwalt folgt: Kontrolle und Aufsicht sind andere Begrifflichkeiten als die Überwachung. Die staatliche Aufsicht kollidiert nicht mit der Vorgabe der Datenschutzrichtlinie, die Argumentation des Generalanwalts ist insofern nachvollziehbar.

Das könnte peinlich werden: Heute erhalte ich einen Newsletter von Philips. Am Ende des Newsletters, bei dem ich mich nicht erinnere ihn bewusst bestellt zu haben, lese ich dann diesen freundlichen Hinweis:

Wir hoffen, dass Ihnen dieser Newsletter gefallen hat! Sie haben den Newsletter empfangen, da Sie sich bei Philips angemeldet haben. Dabei haben Sie darum gebeten, weitere Informationen über die von Ihnen angegebene E-Mail-Adresse …. zu empfangen.

Ja, habe ich das? Ich hatte nur einmal in der jüngeren Vergangenheit Kontakt zu Philips – als ich über ein Webformular den Austausch meiner Senseo beantragt habe. Wurde mir da etwa ein Newsletter untergeschoben? Ich frage einfach mal bei Philips nach, kann ja nicht schwer sein, denn §13 II TMG hält fest, dass die Einwilligung des Nutzers in die Verarbeitung personenbezogener Daten protokolliert werden muss. Darunter fällt m.E. auch das Abo eines Newsletters, denn ich willige hierbei ja ein, dass meine Mail-Adresse verarbeitet werden darf.

Ich bin gespannt, was Philips antwortet –  und berichte dann hier sofort.