Veröffentlicht am Kategorien Kommentar, RechtTags , , , , , , , , ,

TMG als Garaus für Personensuchmaschinen?

Ich bin über zwei Dinge überrascht: Zum einen über die plötzliche Diskussion über Personensuchmaschinen, die für mich gefühlt aus dem Nichts kommt. Zum anderen über die immer noch recht unkreativen Ansätze bei der Frage, wie man diese “Suchmaschinen” in den Griff bekommt. Hier mein persönlicher Vorschlag.

Anstelle über das KUrhG oder das BDSG, setze ich beim spezielleren Gesetz an: Dem Telemediengesetz. In diesem Fall geht es bei §12 Absatz 1 los:

Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

Eine Personensuchmaschine ist ein Telemediendienst, der Betreiber Diensteanbieter. Es werden personenbezogene Daten (Hier: Die Daten desjenigen, nach dem gesucht wird) verarbeitet. Die Tatsache, dass diese Daten woanders liegen, spielt keine Rolle: Das zuständige Webskript muss die Daten zumindest finden, einlesen und wieder ausgeben – somit verarbeiten. Das hier im Gesetzestext von “verwenden” die Rede ist, schadet nicht, da das verwenden begrifflich noch weiter geht als das verarbeiten im Sinne des Bundesdatenschutzgesetzes. Ob dazwischen eine längerfristige Speicherung stattfindet, spielt dabei keine Rolle, es reicht, dass die Daten erhoben und zumindest bis zur Wiedergabe gespeichert werden.

Diese Verarbeitung erfolgt auch zur Bereitstellung des Dienstes – denn die personensuchmaschine kann schon begrifflich nur bereitgestellt werden, sofern personenbezogene Daten verarbeitet werden. Wer an dieser Stelle herausliest, dass damit nur die direkte Erhebung beim Betroffenen gemeint ist, hat ein Erklärungsproblem: Das steht da nämlich nicht nur nicht, sondern ist vom Wortlaut gar nicht gedeckt. Vielmehr geht es alleine um die Verwendung personenbezogener Daten (gleich aus welcher Quelle) zur Bereitstellung des Dienstes. Eben darum geht es hier, wenn personenbezogene Daten (woher auch immer) eingelesen und gebündelt angezeigt werden.

Der Anwendungsbereich der §§12ff. TMG ist somit eröffnet, was zur Folge hat, dass eine gesetzliche Erlaubnis oder eine Einwilligung des Nutzers vorliegen muss. Bei der gesetzlichen Erlaubnis ist darauf zu achten, dass die betreffende Norm sich auf Telemedien beziehen muss – was bei den Privilegierungen des BDSG gerade nicht der Fall ist. Wer also nun an die §§28, 29 BDSG denkt als Erlaubnisnorm, kann das gleich wieder abstellen. Weitere Erlaubnisnormen sind für mich nicht ersichtlich, speziell die §§14, 15 TMG passen gar nicht.

Es bleibt die Einwilligung des Nutzers. Da eine Einwilligung gegenüber der Personensuchmaschine nicht vorliegt, kommt man zur Frage, ob eine konkludente Einwilligung in der Form vorliegt, dass die Daten öffentlich zur Verfügung gestellt werden.

Anmerkung: Das ist nicht mit dem aktuellen Urteil des LG Köln zu verwechseln! Zwar ging es auch hier um eine konkludente Einwilligung, aber nicht um eine datenschutzrechtliche, sondern um eine bezogen auf das Recht am Bild. Der Unterschied liegt in den Kriterien der Freiwilligkeit und Informiertheit, die bei der datenschutzrechtlichen Eineilligung vorliegen müssen, dazu im Folgenden.

Ich sehe nun die Möglichkeit der stillschweigenden, konkludenten Zustimmung in dieser Form kritisch: Das Instrument der stillschweigenden, konkludenten Einwilligung gibt es im allgemeinen Datenschutzrecht nicht (siehe dazu Gola/Schomerus, §4a, Rn.13 sowie Simitis, §4a, Rn.45).  Dies verdeutlicht sich, wenn nicht einmal gegenüber der eigentlichen verarbeitenden Stelle (Soziales Netzwerk) sondern damit dann verbunden vielmehr gegenüber einer anderen verarbeitenden Stelle (Personensuchmaschine) diese Einwilligung dann auch erteilt worden sein soll. Insofern ist zu bedenken, im Bereich des Telemediengesetzes die konkludente Einwilligung genauso abzulehnen, wie sonst im Datenschutzrecht auch.

Denn in solchen „Ketten“ – wie sie bei Suchmaschinen nun einmal auftreten – mit konkludenten Willenserklärungen zu hantieren ist von Natur aus kritisch. Schliesslich muss man sich fragen, ob bei ernsthaftem Verlangen von Informiertheit und Freiwilligkeit – die ja bei allen datenschutzrechtlich relevanten Einwilligungen vorliegen müssen – eine Einwilligung letztlich nicht nur direkt zwischen Betroffenem und unmittelbar verarbeitender Stelle vorliegen kann. Andernfalls ist schon fraglich, inwiefern der Betroffene überhaupt noch über die Wirkung seiner Einwilligung informiert sein kann, da er zwar die Daten an eine Stelle gibt, aber letztlich jeder sich frei bedienen dürfte, sobald es irgendwie publik wird.

Wer nun wieder mit dem Telefonbuch-Vergleich kommt, verkennt die Natur des Telemediengesetzes und seinen speziellen Charakter: Gerade wegen den Gefahren der schnellen Verbreitung digitaler Daten gibt es hier strengere Vorgaben. Zu sehen ist dies in §13 II TMG, wo die elektronische Einwilligung als Sonderfall geregelt wird:

Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Es wäre widersinnig, an die elektronische Einwilligung derart schwierige Bedinungen zu knüpfen, wenn daneben (oder besser: Quasi damit verbunden) eine stillschweigende Einwilligung existieren würde, die gegenüber jedem Dritten uferlos wirkt und keinerlei Kontrolle unterliegt. So müsste dann das soziale Netz, bei dem man sich registriert, diesen ganzen Vorgaben gerecht werden – derjenige, der dann aber die Daten automatisiert ausliest, wäre plötzlich privilegiert und dürfte sich aus der Verantwortung stehlen. Da beisst sich was.

Im Ergebnis muss somit den Betreibern von Personensuchmaschinen, mit Hilfe des TMG bei entsprechender Anwendung, die fehlende Einwilligung der Betroffenen entgegen gehalten werden. Eine konkludente Einwilligung ist dem Wesen des TMG insofern ebenso fremd wie sie dem Datenschutzrecht fremd ist. Sie darf im TMG nicht verwendet oder angedacht  werden: Hier schlägt der Charakter als Spezialgesetz durch, wobei die Wertung des §13 II TMG zu beachten ist.

Zum Thema:

Update: Ich musste den Artikel überarbeiten. Der Aufhänger (die datenschutzrechtliche konkludente Einwilligung) war sachlich falsch und ist verbessert.

Hinzu kommt die Frage, ob dann nicht auch Google ein Problem hätte: Das sehe ich nicht so. Denn – siehe oben – die Erhebung der Daten muss „zur Bereitstellung“ erfolgen. Google erhebt aber nicht (alleine) personenbezogene Daten, um seinen Suchdienst zu offerieren, anders als eine Personensuchmaschine. Beispiel: Würde man bei Google alle personenbezogenen Ergebnisse entfernen, bliebe die Suche als solche weiterhin intakt und sogar sinnvoll. Bei einer Personensuchmaschine wie Yasni bliebe gar nichts übrig. An dieser Stelle ist sodann zu unterscheiden, wobei die Kritik, dass diese Grenze schwammig ist, vollkommen richtig ist.
Aber: Dies ist die gleiche Argumentation, wie sie bis heute bei der Frage üblich ist, ob eine Person auf einem Foto ein „Beiwerk“ ist. Hier zeigt sich dann auch das Kriterium bei mir zum unterscheiden: Bei Google sind Profil-Daten nur Beiwerk zu den anderen Suchergebnissen, die produziert werden. Bei einer Personensuchmaschine nicht. Das Kriterium zur Unterscheidung von Personensuchmaschine und „normaler“ Suchmaschine ist somit zugleich der Anwendungspunkt der verschärften Datenschutzvorschriften des TMG (die natürlich auch für Google gelten, aber nicht bei den Suchergebnissen greifen – vielmehr dann bei Server-Logfiles etc.)

6 Gedanken zu „TMG als Garaus für Personensuchmaschinen?“

    1. Im folgenden ein Kommentar vin mir, den ich bei Michael Rahe verfasst habe – hier quasi als Backup, da ich die alten Gesetze analysiere:

      zitat von rahe: “Daraus, dass das Gesetz einen von zwei Erlaubnistatbeständen der Datenerhebung darin sieht, dass „der Nutzer eingewilligt“ hat, kann man entnehmen, dass es auch in §12 um ein bilaterales Anbieter-Nutzerverhältnis gehen muss.”

      Eben der Punkt geht mir zu schnell. Dabei nicht falsch verstehen: Ich verstehe den Gedanken und das Ziel, die dahinter stehen, aber ich möchte es sauber analysieren.

      §12 ist ein typisches Verbot mit Erlaubnisvorbehalt. Es liegt somit in der Natur der Sache, dass alles Verboten ist, was nicht ausdrücklich erlaubt ist.

      Wenn Du nun wie beschrieben vorgehst und vom speziellen Erlaubnis Rückschlüsse auf die Auslegung des allgemeinen Verbots ziehst, hebelst du das allgemeine Verbot aus: Deiner Logik zufolge ist die Regelung der §§28, 29 BDSG anwendbar, weil sie nicht ausdrücklich verboten ist. Nur mit einem ausdrücklichen Verbot nämlich würde neben die §§14, 15 TMG (die nur vom Nutzer sprechen) dann auch die allgemeine Quelle treten, so dass du sie in der Auslegung des §12 TMG berücksichtigen würdest. Damit aber verkehrst du das Prinzip des allgemeinen Verbots, denn letztlich forderst du, dass neben dem allgemeinen Verbot noch ein spezielles platziert wird.

      Auch bleibt die Frage, warum der §12 TMG ausdrücklich davon spricht, dass eben nur die Regelungen Anwendung finden, die sich ausdrücklich auf Telemedien beziehen. Diese ausdrückliche Vorgabe wird ja nun unterlaufen.
      Hinsichtlich der Schutzvorschriften spricht Absatz 4 ausdrücklich Regelungen wie das BDSG an – privilegierende Regelungen werden aber hier gerade nicht erwähnt. Auch hier zeigt sich wieder die Wertung des TMG gegenüber dem BDSG, die man nicht leichtfertig unterlaufen darf.

      Am Rande: Sofern der §13 TMG angesprochen wird, ist der Absatz 7 zu beachten, in dem klargestellt wird, dass §34 BDSG Anwendung findet: Wenn es so selbstverständlich wäre, dass das BDSG neben dem TMG zur Anwendung kommt, wäre dieser Absatz überflüssig. Hinzu kommt, dass der alte Wortlaut des §7 TDDSG ausdrücklich von einer parallelen Anwendung des BDSG ausging, 2001 aber gestrichen wurde, stattdessen sind nur noch ausdrückliche Hinweise auf spezielle Anwendungsfälle des BDSG enthalten.
      Ich glaube, hier wird aber nicht die Meinung vertreten, dass das TMG (sofern es zur Anwendung kommt) das BDSG nicht verdrängt – die Meinung ist mir woanders aber begegnet, daher spreche ich es kurz an.

      Bei den verschiedenen Auslegungen sehe ich keinesfalls, dass der §12 TMG auf die Einwilligung abstellt: Er spricht ja ganz konkret auch von gesetzlicher Erlaubnis, auch in anderen Normen. Ich denke, hier kann man für die Argumentation nichts gewinnen.

      Nun kommen wir zur historischen Auslegung, die besonders heikel wird, wenn man die amtliche Begründung zum IuKDG (damit wurde das TDDSG eingeführt) liest: Der heutige §12 I TMG über den wir hier diskutieren, entspricht dem damaligen §3 I TDDSG. Dieser wurde in der amtlichen Begründung mit folgenden Worten eingeführt:

      “§ 3 Abs. 1 enthält die Befugnisnorm für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Diensteanbieter. Sie entspricht den in § 4 Abs. 1 Bundesdatenschutzgesetz festgelegten Voraussetzungen, bezieht aber auch die Erhebung in die Geltung des Gesetzesvorbehalts mit ein.”

      Sprich: Vorlage ist der §4 BDSG, der ja gerade nicht (!) parallel Anwendung findet und deswegen erneut aufgenommen wird. Wenn aber der §4 BDSG Vorbild für diese Norm ist, ist für mich fraglich, warum diese hier dann anders ausgelegt wird (nämlich nur für das Anbieter-Nutzer-Verhältnis), während der §4 BDSG ja nunmal immer (bei jeder Verarbeitung) gelten soll.

      Der Blick auf die gesamte Entwicklung des ehemaligen TDDSG zeigt, dass man versuchte, ein eigenes Datenschutzrecht nur für Telemedien zu schaffen. Der §1 I TDDSG (heute §11 I TMG) wurde erst 2001 so verändert, dass für Dienst/Arbeitsverhältnisse und Steuerungsprozesse das TMG nicht gelten soll (somit das BDSG). Auch hier wird wieder die Spezialität deutlich und es wird auch deutlich, dass das TMG gerade besonders weit gelten soll, denn der Gesetzgeber hat schon ausgeklammert, was ihm aufgefallen ist und störte.

      Besonders interessant wird es, wenn man den alten §1 TDDSG dem aktuellen §11 TMG gegenüberstellt:

      Im TDDSG hiess es noch:

      “Die nachfolgenden Vorschriften gelten für den Schutz personenbezogener Daten der Nutzer von Telediensten im Sinne des Teledienstegesetzes bei der Erhebung, Verarbeitung und Nutzung dieser Daten durch Diensteanbieter.”

      Hier wird der Anwendungsbereich für “Nutzer” eröffnet. Ich würde hier noch Argumentieren, dass das Gesetz nur schreibt “durch Diensteanbieter” und nicht “durch den Diensteanbieter”. Somit läge der Fall auch dann vor, wenn Diensteanbieter X personenbezogene Daten des Nutzers von Diensteanbieter Y verarbeitet.

      Doch das muss ich gar nicht untersuchen, denn – und das ist der Punkt! – im aktuellen §11 TMG kommt der Diensteanbieter schon gar nicht mehr vor. Zwar ist noch die Rede vom Nutzer, doch muss man sich fragen, wo der Anbieter (der begrifflich für ein Anbieter/Nutzer-Verhältnis nötig ist), der vorher vorhanden war, plötzlich hin ist.

      Deswegen wäre es auch unnütz – ich hatte damit eigentlich schon längst gerechnet – auf die Drucksache 14/6098 hinzuweisen, in der das EGG eingeführt wurde. Der Vollständigkeit halber hier das Zitat aus der Begründung zu den damaligen Änderungen im §1 TDDSG, die 2001 eingeführt wurden (siehe oben):

      “Die Änderungen in Satz 1 zielen auf die Klarstellung ab,
      dass das TDDSG nur im Verhältnis zwischen Anbietern und
      Nutzern von Telediensten gilt. Die geltende Fassung des § 1
      Abs. 1 ist allgemeiner gefasst („Schutz personenbezogener
      Daten bei Telediensten“). Dies führt zu Unklarheiten zum
      Geltungsbereich des TDDSG. So unterliegt das Bereitstellen
      technischer Einrichtungen für Anbieter von Telediensten
      (z. B. die technische Konfiguration eines Online-Shop-Systems
      für einen Diensteanbieter) nicht dem TDDSG. Gleichwohl
      kann die allgemeine Formulierung im geltenden
      Absatz 1 so verstanden werden.”

      Diese Ausführungen sind angesichts des Entfernens des Diensteanbieters aus dem Wortlaut des alten §1 TDDSG so nicht mehr brauchbar – leider, denn sonst wäre es schonmal ein Anfang. Wer anders argumentieren möchte muss beachten, dass der heutige §11 I TMG auf dem Stand des §1 TDDSG von 1997, also gerade von vor den Änderungen des EGG und dieser Begründung ist. Was bedeutet, dass eine weite Anwendung gerade wieder eingeführt wurde!

      Fazit: Ich habe mir heute morgen die amtlichen Begründungen zum TDDSG, EGG und TMG nochmals alle durchgelesen. So reizvoll diese Diskussion für mich ist, so sehr muss ich für mich feststellen, dass das TMG zu undifferenziert ist. Angesichts der gesetzlichen Begründungen und des klaren Wortlauts ist eindeutig von einem Spezialitätsverhältsnis auszugehen, das heisst: Wenn das TMG greift, ist das BDSG außen vor. Anders geäußerte Ansichten – es gibt sie zahlreich, ich sah es bis vor kurzem selber so – sollten dringend nochmals die Begründungen und den Gesetzestext in einer Gesamtschau nachlesen. Ich sehe die Subsidiaritäts-These nicht mehr als haltbar an.

      Die Frage, wann das TMG nun Anwendung findet, lässt sich bestenfalls teleologisch klären, wobei man den Machern des TMG ein Redaktionsversehen unterstellen muss. Damit kommt man zu dem offensichtlich von allen gewollten Ergebnis und nur so lässt sich die nächste, von mir gar nicht thematisiere Klippe umschiffen: Die weite Begriffsbestimmung des §11 II TMG, die als Nutzer eben nicht den konkreten Nutzer eines Dienstes definiert, sondern jeden Nutzers eines jeden Dienstes gelten lässt. Auch dies stützt gerade meine Lesart, dass die Verarbeitung der Daten des Nutzers vom Dienst X bei Dienst Y ebenfalls von der Regelung erfasst sein soll.

      All die von mir aufgezeigten Probleme lassen sich letztlich in den Griff damit bekommen, dass der Gesetzgeber bei aller Spezialität vergessen hat, klarzustellen, wann ein Nutzer Betroffener ist. Denn während der Gesetzgeber einerseits (auch nach Aussage der amtlichen Begründungen) ein parallel zum BDSG etabliertes Datenschutzrecht der Telemedien etablieren wollte, hat er eindeutig darauf verzichtet ein System der Betroffenenrechte zu schaffen sondern setzt auf ein System der Nutzerrechte. Dies erscheint auf den ersten Blick als Anhaltspunkt, um zu Argumentieren, dass es doch nur um das Anbieter/Nutzer-Verhältnis gehen soll. Dagegen spricht aber, dass das TMG eben nicht von nutzerbezogenen Daten, sondern von personenbezogenen Daten der Nutzer spricht. Und eben die weite Definition des Nutzer-Begriffs, der gerade nicht auf das einzelne Nutzungsverhältnis beschränkt ist.

      Es bleibt also dabei: Ohne das Charakteristikum der “Betroffenheit” kommt man hier nicht weiter. Da der Gesetzgeber es nicht verwendet hat, bleibt für mich nur der teleologische Rückgriff und die Erklärung, dass dies ein Redaktionsversehen war.

  1. Es existieren Personensuchmaschinen, die Kontaktdaten automatisch kombinieren. conpilot.com wendet z.B. so ein Verfahren an. Datenschutztechnisch finde ich sehr gut gelöst, dass keine Daten zwischengespeichert werden und die Möglichkeit der Austragung / Eintragung mit eigenen Daten besteht.
    Mich würde interessieren, wie Ihr dies bewertet?

  2. Meines Wissens ist die Materie wesentlich lebensnaher als durch juristische Mittel darstellbar. Wer schaut schon durch ein Astloch, um das Panorama einer herrlichen Landschaft zu betrachten? Wer in einem 200-Seelen-Dorf lebt, setzt sich genauso der dorfinternen Kommuninaktion aus wie der Angehörige eines beliebigen Vereins oder einer Gruppe. Das Internet wurde zum Zwecke der Verlinkung und Vernetzung geschaffen.

    Wer würde schon eine Zivilklage vom Zaun brechen, weil er von einem Passanten in einer Fußgängerzone eine zehntel Sekunde lang intensiv im Vorbeigehen gemustert wird? Trotzdem gibt es solche Menschen mit Plattfüßen. Die fühlen sich laufend auf die Füße getreten. „Was guckst du? Willst du eine in die Fresse haben?“ Oder ein anderer fragt: „Hasse ma en Euro?“ Das ist Teil des Menschseins.

    Hans Kolpak
    Deutsche ZivilGesellschaft

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *