Ich denke begrifflich schon: Man kann ja nur “weitergeben”, was man auch hat. Schlußlogisch muss man also erst erheben und kann dann übermitteln.
Die Sache mit der mittelbaren täterschaft finde ich da momentan auch einfach viel reizender, da so herrlich konstruiert.

Aber wo du es schon ansprichst, bringen wir es doch auf den Punkt: Ich persönlich will gerade weg von der unmittelbaren Anwendung von TMG und BDSG. Eben um genau die Bußgeldvorschriften zu vermeiden. Es kann doch nicht sein, dass ich ein Bußgeld riskiere, nur weil ich ein Youtube-Video, ein externes Gadget oder einen Creative-Commons-Button einbinde. Ich kann mir nicht vorstellen, dass das vom Gesetzgeber gewollt ist. Allein schon weil es so extrem weit von der Lebenswirklichkeit entfernt ist und im Ergebnis auch nichts mehr mit informationeller Selbstbestimmung mehr zu tun hat. Ich würde deshalb zur Not sogar so weit gehen, die entsprechenden Vorschriften teleologisch zu reduzieren.

Du weißt was jetzt kommt? Ich schreibe es:

Der Seitenbetreiber veranlasst eine Übermittlung personenbezogener Daten in mittelbarer Täterschaft, wobei undoloses Werkzeug der Betroffene selber ist.
Dabei nimmt der Seitenbetreiber zumindest billigend in Kauf, dass der Dritte die IP speichern kann, da ihm ja im Rahmen des HTT-Protokolls klar ist, dass die IP auf jeden Fall übermittelt wird. Ich habe somit auch noch Eventualvorsatz beim Seitenbetreiber konstruiert.

Übrigens finde ich, muss man ehrliche Motiv-Suche bei mir betreiben: Mir liegt etwas daran, das BDSG/TMG anzuwenden, da nur so die Möglichkeit von Bußgeldern eröffnet wird. Andernfalls müsste ich ja mit der Störerhaftung schon zufrieden sein, da ich ja auf dem anderen Weg faktisch die gleichen Ansprüche als Betroffener habe.

Ich hab leider keinen BDSG-Kommentar zu Hause (Beck online sollte da dringend mal nachbessern ), deshalb frei aus dem Gedächtnis.

Umfasst der Begriff nicht klassischerweise den Fall, wo eine Stelle Daten erhoben hat und diese dann an eine andere Stelle weitergibt? Es würde mich jedenfalls wundern, wenn das BDSG den reinen Transport von personenbezogenen Daten behandeln würde, ohne dass diese vorher erhoben wurden. Denn dann stünden wir ja vor dem selben Problem, wie am Anfang.

Auch von mir danke. Lange nicht mehr so schön über derart offene Fragen diskutiert.

zu 2: Ganz im Klaren bin ich mir da selbst noch nicht. Derzeit würde ich sagen: Im Einzelfall nach den Grundsätzen der Störerhaftung, also insbesondere wenn Prüfungspflichten verletzt wurden. In aller Regel würde ich das aber nicht als gegeben sehen. Besonders hier bin ich mir aber noch nicht ganz sicher.

zu 3: Klar, den Dritten treffen alle datenschutzrechtlichen Bestimmungen, sofern er Daten erhebt.

Alles natürlich unter der Maßgabe, dass man IP-Adressen als personenbezogenes Datum betrachtet (was ich ja schon kritisch sehe). Aber die Diskussion müssen wir an dieser Stelle nicht auch nochmal neu führen.

1) Das Einbinden externer Inhalte ist prinzipiell kein Datenschutzverstoß im Sinne des BDSG/TMG, eine Ausnahme ist aber z.B. Google Analytics

2) Wenn Daten auf dem Wege externe Einbindung übermittelt werden, steht dem Betroffenen die Möglichkeit aber offen, gegen den Seitenbetreiber im Wege der Störerhaftung vorzugehen;

3) gegen den Dritten müsste aber dennoch ein Löschungsanspruch bestehen (?)

Soweit korrekt?

Die Frage, ob die so übermittelte IP auch gespeichert wird ist für die Frage der Übermittlung ohne Belang – die IP kommt ja drüben an. Die Übermittlung ist ja gerade ein eigener “Tatbestand” neben der Speicherung im BDSG.

“Und ob ein Webseitenbetreiber die im Verkehr erforderliche Sorgfalt oder auch nur zumutbare Prüfungspflichten verletzt, [...]”
Siehe soeben: Es gibt keine Prüfungspflichten. Dass eine IP übermittelt wird lässt sich nicht wegdiskutieren. Die Frage ob sie gespeichert wird mag bestehen, hat aber mit der Übermittlung nichts zu tun.

Und ob ein Webseitenbetreiber die im Verkehr erforderliche Sorgfalt oder auch nur zumutbare Prüfungspflichten verletzt, wenn er ein Video von Youtube in seine Seite einbindet und Youtube daraufhin die IP-Adresse der Nutzer speichert, wage ich schon zu bezweifeln.

Und ich meine auch, dass die Unsicherheit kein ausreichender Grund ist, ein datenschutzrechtliches Verbot anzunehmen. Im Zweifel müssen wir uns fragen, was der Wille des Gesetzgebers war und das Gesetz im Lichte der Verfassung auslegen. Und da gilt nicht “im Zweifel für den Datenschutz”. Ganz so einfach ist die Sache IMO nicht.

Das mag stimmen, ist aber keine Entlastung, da der andere Anbieter ja jederzeit speichern kann. Die Unsicherheit ist ja gerade das Argument, warum man es kontrollieren muss.

Aber ich gehe davon aus, dass mit der Formulierung des “Veranlassens” vor allem die Lücken geschlossen werden sollen, wo jemand *im Auftrag* eines anderen Daten erhebt, damit sich eine datenerhebende Stelle nicht darauf berufen kann, dass die eigentliche Datenschutzverletzung durch einen Dritten begangen wurde (vergleichbar mit der Beauftragtenhaftung aus § 8 II UWG, § 100 UrhG usw). Das wäre zum Beispiel bei Google Analytics der Fall.

Verfolgt der Seitenbetreiber aber mit der Einbindung der externen Inhalte einen völlig anderen Zweck und werden die Daten in dem Zusammenhang zwangsläufig ohne Wissen und Wollen des Seitenbetreibers erhoben, kann mE nicht von einem “Veranlassen” ausgegangen werden.

Finde ich ehrlich gesagt nicht so schwer, denn die veranlasste Übermittlung liegt alleine beim Seitenbetreiber. Denn:

Wenn ich die Seite aufrufe und er hat nichts eingebaut, findet keine Übermittlung statt – wenn er was einbaut, findet eine statt. Es liegt also alleine in seiner Hand, ob meine Daten an den Dritten übermittelt werden oder nicht. Insofern finde ich das “veranlassen” durchaus sinnvoll und einfach festzustellen.

Wenn ich als Webseitenbetreiber auf einer Seite – insbesondere auf einer Einstiegsseite – eine serverfremde Grafik einbinde, dann habe ich (bei heutiger Browsertechnik zumindest!) als Besucher der Seite keine Alternative. Es ist *im*Ergebnis* nicht relevant, ob der Webseitenbetreiber meine IP-Adresse direkt übermittelt, oder nur die Übermittlung veranlasst.

Ja, ich habe mich selbst erschossen. Ich hatte die freie Wahl, die Türklinke zu drücken. Da die Tür aber nicht durchsichtig ist, kann ich den Seilzugmechanismus nicht sehen, bis ich die Tür tatsächlich geöffnet habe. Da ist es aber zu spät, die IP-Adresse ist bereits übermittelt.

Dazu ein Update: Ich wurde bei XING darauf hingewiesen, dass auf Nachfrage bei einer Aufsichtsbehörde mitgeteilt wurde, dass man keinen Unterschied zwischen “übermittelt” und “übermittlung veranlasst” sieht.

So einfach möchte ich es mir aber (noch) nicht machen

Ganz kritisch wird das zum Beispiel auch bei Youtube-Videos: Das sind ja auch Inhalte von fremden Servern. Verstößt das nun gegen das Gesetz oder nicht? Das ist doch eine entscheidende Frage!

@Jens: Genau das meinte ich. Dass der Seitenbetreiber selbst die Daten ja gar nicht erhebt, die an den Dritten übermittelt werden.

Google Analytics & Co. würde ich in der Tat auch als Sonderfall behandeln. Denn in diesen Fällen wird ja gerade *im Auftrag* des Seitenbetreibers die IP-Adresse erhoben. Da darf es natürlich keinen Unterschied machen, ob der Betreiber die IP nun auf seinem eigenen oder auf einem fremden Server erhebt.

Bei GoogleAnalytics stellt sich die Frage für mich dagegen nicht mehr, da hier eindeutig übermittelt wird – die Daten fliessen ja auch in einen Kundenaccount des Users bei GA ein. Das nicht mehr als Übermittlung zu sehen würde mir zu weit gehen.

Doch genau das geschieht: Wenn ich die Webseite eines grossen Autohauses aufrufe, das GoogleAnalytics installeirt hat, dann wird meine IP von dem den ich aufrufe an Google weitergegeben. Also fließen personenbezogene Daten (der Artikel geht ja davon aus, dass die IP eines ist) von einem Anbieter zu einem Dritten. Und ich sehe keinen Unterchied, ob ich ein JS oder ein 1px-GIF-Bildchen einbaue, dessen Aufruf ja ebenfalls zu Logfile-Einträgen beim Dritten mit meiner IP führen *könnte*.

Nachtrag: Ich glaube jetzt weiss ich was du meinst – der Anbieter der Webseite erhebt ja gar nicht die IP selber um diese z.B. an Google zu übermitteln, sondern fördert bestenfalls die direkte Übermittlung an einen Dritten, nimmt sie aber nicht selber vor? Wäre ein Ansatz, hatte ich mal angedacht und dann verworfen. Ich denke nochmal drüber nach

Trotzdem kann mE allein aus dem Umstand, dass sich bei dieser Praxis (Einbindung von Inhalten fremder Server) Probleme ergeben, noch kein Datenschutzverstoß begründet werden. Denn das ändert ja nichts daran, dass tatsächlich keine Weitergabe von Daten stattgefunden hat – möglicherweise noch nicht einmal eine Erhebung.

Und die schlichte Weiterleitung zu fremden Inhalten ist ja nicht vom Datenschutzrecht erfasst. Man könnte in dem Zusammenhang höchstens über einen Unterlassungsanspruch aus Störerhaftung nachdenken, wenn – verursacht durch einen Seitenbetreiber – auf einem fremden Server rechtswidrig Daten erhoben werden.