Einbruch in das Playstation-Netzwerk bei Sony und Verlust von Millionen Spielekundendaten, Hack des auf IT-Sicherheit spezialisierten Unternehmens RSA, daraufhin Cyber-Attacken auf RSA-Kunde Lockheed-Martin, chinesischer E-Mail Diebstahl bei Morgan Stanley, angeblich Passwort-System von Googles Handy-Betriebssystem geknackt … Die Serie der Datenpannen bei international agierenden Großunternehmen scheint nicht abzureißen; die Aufmerksamkeit der Medien war nie größer. Aber was sind die rechtlichen Folgen?

Der Verlust von Kundendaten bedeutet in aller Regel einen beträchtlichen Imageschaden für das Unternehmen. Es ist dann die Rede von einem PR-Desaster, und die Seriosität des Unternehmens wird angezweifelt. Sogar ein Umsatzrückgang kann die Folge sein. So kostete der Hackerangriff auf das Playstation-Netzwerk Sony laut eigenen Angaben 1,3 Milliarden Euro, teilweise schätzen Analysten den Schaden sogar noch höher.

Angesicht solch verheerender Nachwirkungen dürfte die Versuchung bei Unternehmen groß sein, eventuelle Datenlecks zu verheimlichen.

Doch aufgepasst: Seit 1. September 2009 besteht gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) eine ausdrückliche Verpflichtung zur Information der Betroffenen (Kunden, Mitarbeiter …) und Datenschutzbehörden im Falle von Datenverlusten!

Unternehmen müssen also sich selbst als Datensünder an den Pranger stellen. Bei einem Verstoß drohen Bußgelder bis zu 300.000 Euro.

Wann besteht eine Mitteilungspflicht?

Trotzdem besteht die Mitteilungspflicht nicht in jedem Fall eines Datenlecks. Vielmehr besteht eine solche Pflicht nur bei Verlust bestimmter Datentypen. Im Einzelnen sind dies:

• Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben
• Informationen, die einem Berufsgeheimnis unterliegen (Anwaltsdaten, ärztliche Daten etc.)
• Strafrechtlich relevante Daten
• Daten zu Bank- und Kreditkartenkonten

Wichtig ist, dass die Pflicht auch nur gilt, wenn die Daten personenbezogen sind, d.h. mit einer konkreten Person in Verbindung gebracht werden können. Handelt es sich um vollständig anonymisierte Daten, besteht kein Risiko für die Betroffenen. Folglich existiert keine Mitteilungspflicht. Bei verschlüsselten Daten kommt es darauf an, ob eine Entschlüsselung für Dritte realistisch möglich ist.

Außerdem besteht die Mitteilungspflicht nicht schon beim bloßen Verlust von Daten. Vielmehr muss das Unternehmen dann auch feststellen, dass tatsächlich Dritte Kenntnis von den Daten erlangt haben. Auch das ist in der Praxis eine wichtige Einschränkung.

Zwar ist laut Gesetz weiterhin eine „schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen“ notwendig. Die sperrige Wendung macht es schon deutlich: Hier ist eine Abwägung im Einzelfall erforderlich.

Wem muss was mitgeteilt werden?

Worst Case. Rien ne va plus. Jemand hat sich tatsächlich Zugriff auf die genannten Daten verschafft. Was tun?

Gesetzliche Pflicht ist eine sofortige persönliche Benachrichtigung der Betroffenen und der zuständigen Datenschutzbehörde, d.h. des jeweiligen Landesdatenschutzbeauftragten. Sollten, wie im Falle Sony, eine Vielzahl von Personen betroffen oder deren Kontaktdaten nicht bekannt und die persönliche Benachrichtigung daher mit unverhältnismäßigem Aufwand verbunden sein, kann sie durch eine Information der Öffentlichkeit in Form einer halbseitigen Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine zur Information der Betroffenen ebenso geeignete Maßnahme ersetzt werden. Die Pflicht zur gesonderten Informierung der Datenschutzbehörden bleibt bestehen.

Die Betroffenen müssen bei der Benachrichtigung darüber informiert werden, auf welche Weise die Daten in fremde Hände gelangt sind und wie etwaige „nachteilige Folgen“ gemildert werden können. In der Benachrichtigung der Behörde müssen auch noch die möglichen nachteiligen Folgen und die daraufhin vom Unternehmen getroffenen Maßnahmen konkret benannt werden.

Sicherheit und Aufklärung gehen vor

Aber: Das Unternehmen darf vielleicht mit der Benachrichtigung warten. Nämlich dann, wenn eine sofortige Benachrichtigung die  Aufklärung des Sachverhalts oder den schnellstmöglichen Schließen der Sicherheitslücke behindern würden. So soll insbesondere verhindert werden, dass das bereits bestehende Datenleck weiteren Dritten eine einfache Angriffsfläche bietet. Weil die Behörden aber einer gesetzlichen Verschwiegenheitspflicht unterliegen, sind sie immer sofort nach Feststellung einer Drittkenntnisnahme zu informieren. Mit diesen Sicherheits- und Aufklärungserwägungen kann sich also ein Unternehmen niemals herausreden, wenn es völlig passiv geblieben ist.

Was bedeutet das für mein Unternehmen?

Ein Datenverlust ist neben dem Imageschaden auch ein rechtliches Problem. Pflichten können entstehen und bei deren Nichtbeachtung können Bußgelder zu 300.000 Euro anfallen. In der Aufarbeitung reicht also keine ausgefeilte Unternehmenskommunikation. Vielmehr ist eine datenschutzrechtlich korrekte Handhabung der Situation erforderlich. Ob eine Mitteilungspflicht besteht, kann nur nach sorgfältiger rechtlicher Prüfung festgestellt werden. Verschiedene Anknüpfungspunkte existieren dabei, um jedenfalls die unangenehme Mitteilungspflicht an Betroffene oder die Öffentlichkeit zu umgehen oder hinauszuzögern.

No Comments

Es war nur eine Frage der Zeit: Nachdem der Facebook-Like-Button (“Gefällt mir!”) in den vergangenen Wochen für Wirbel in der datenschutzrechtlichen interessierten Blogosphäre gesorgt hat, musste sich mit dem LG Berlin nun erstmals ein deutsches Gericht mit diesem quer durch alle Blog-, News- und Community-Seiten beliebten Social-Media-Feature befassen (Urteil vom 14.03.2011, Az.: 91 O 25/11, Volltext hier). Einer Abmahnung wegen der Verwendung des Like-Buttons hat das Gericht zwar eine Absage erteilt. Die zentralen Datenschutzfragen blieben allerdings leider unbeantwortet.

Das Gericht hatte (nur) darüber zu entscheiden, ob die Verwendung des Facebook-Like-Button im Rahmen eines Online-Shops einen Wettbewerbsverstoß darstellt, der Konkurrenten zur Abmahnung berechtigte. Ein solcher Verstoß setzt nach § 4 Nr. 11 UWG den Bruch einer Rechtsvorschrift voraus, die gerade das Verhalten von Unternehmen am Markt regelt. Zwar kann die Weiterleitung von personenbezogenen Daten ohne Einwilligung des Nutzers gegen § 13 TMG verstoßen. Das LG Berlin musste diese Frage aber offen lassen, da es zum Einen mangels entsprechender Dokumentation der Facebook-Funktion gar nicht sicher feststellen konnte, wann welche Daten an Facebook weitergegeben wurden:

Dieser Button setzt die Installation eines iframes von facebook voraus und bewirkt, dass jedenfalls Daten von eingeloggten facebook-Nutzern, die die Seite des Antragsgegners besuchen, an facebook übertragen werden, auch wenn der button nicht betätigt wird. Inwieweit Daten von nicht eingeloggten facebook-Nutzern oder von Nichtmitgliedern von facebook übertragen werden, ist unklar.

Jedenfalls aber enthalte § 13 TMG keine Marktverhaltensregelung, so dass selbst bei einem Verstoß eine wettbewerbsrechtliche Abmahnung nicht in Frage komme:

Im Kern dienen die Vorschriften zum Datenschutz wie auch der § 13 TMG anders als Verbraucherschutzvorschriften zum Internethandel dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen.

Eine ausführliche Analyse des Urteils gibt es bei Henning Krieg (kriegs-recht.de).

Unser Fazit: Wer den trotz der datenschutzrechtlichen Bedenken ziemlich populären Facebook-Like-Button weiter einsetzen möchte, kann nur halb aufatmen. Das Abmahnungsrisiko dürfte mit dem aktuellen Urteil des LG Berlin zwar gesunken sein. Verstöße gegen Datenschutzvorschriften können allerdings auch von den Landesdatenschutzbeauftragen verfolgt und mit Bußgeldern bis 300.000 Euro belegt werden. Es ist also weiterhin Vorsicht geboten! Praktische Gestaltungshinweise gibt u.a. Thomas Schwenke (hier).

Update 14. Januar 2012: Mittlerweile hat das Kammergericht (Beschluss v. 29. 4. 2011, Az.: 5 W 88/11, Volltext) diese Rechtsprechung bestätigt. Zwar spreche einiges für einen Verstoß gegen § 13 Abs. 1 TMG, doch handele es sich dabei nicht um eine Marktverhaltensregelung, so dass jedenfalls Wettbewerber sie nicht unter Verweis auf das UWG angreifen könnten.

No Comments

Piwik Analytics ist eine Open-Source-Software zum Tracking von Website-Besuchern (die auch in unserem Blog eingesetzt wird). Anders als bei der seit längerem unter datenschutzrechtlichem Druck stehenden Lösung Google Analytics lässt sich diese Software lokal betreiben. Eine Datenübermittlung an Dritte oder gar ins Ausland findet also nicht statt.

Unsere Einschätzung, dass damit bei entsprechend sorgfältiger Konfiguration ein mit dem deutschen Datenschutzrecht konformes Tracking möglich ist, wird nunmehr auch ganz offiziell vom – tendenziell in Datenschutzfragen recht strengen – Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geteilt – Piwik wird als Alternative zu Google Analytics sogar ausdrücklich empfohlen.

Allerdings genügt dafür die Grundversion der Software nach Meinung des ULD nicht ganz. Ausgehend von der umstrittenen Rechtsauffassung, dass IP-Adressen personenbezogene Daten darstellen, fordern die Datenschützer mindestens noch den Einsatz des Plugin “AnonymizeIP”, das die vollständige Speicherung von IP-Adressen abschaltet.

1 Comment

Wie gestern verschiedentlich gemeldet wurde, hat die Kommission für Jugendmedienschutz (KJM) angekündigt, Jugendschutzprogramme nach “altem Recht”, also nach dem weiterhin gültigen JMStV von 2003 anerkennen zu wollen.

Das Scheitern der JMStV-Novelle im Dezember darf Content-Anbieter nicht darüber hinwegtäuschen, dass es bereits seit 2003 eine Reihe von Vorgaben für den Jugendschutz im Internet gibt, die die Praxis bislang weitgehend ignoriert hat. Nachdem der Jugendmedienschutz derzeit aber im Zentrum des Interesses von Bloggern und Behörden steht, könnte sich das bald ändern.

Eines der Mittel, die Anbieter zur Sicherstellung eines hinreichenden Jugendschutzes verwenden können, ist nach § 11 JMStV die Vorschaltung eines anerkannten Jugendschutzprogramms. Für diese Anerkennung ist die KJM zuständig, doch hat sie seit 2003 kein einziges Programm in dieser Weise geadelt. Das will sie nach einer Ankündigung von KJM-Präsident Wolf Dieter Ring jetzt ändern – doch weist er gleichzeitig Kritik zurück, wonach die strengen Kriterien der Grund für das Scheitern der bisher vorgelegten Programme waren:

Die getesteten Systeme hielten nicht annähernd das, was sie versprachen. Sie scheiterten nicht an den zu hohen Anforderungen der KJM – wie man ab und zu lesen oder hören konnte. Sondern sie erfüllten nicht die minimalen Anforderungen an Jugendschutzprogramme, wie sie jeder Erziehungsberechtigte, der ein solches Schutzsystem einsetzen möchte, vernünftigerweise erwarten kann und darf. [...] Die getesteten Filtersysteme wiesen zudem ein inakzeptables Maß an Over- und Underblocking auf: Sie sperrten einerseits zu viele Inhalte, die eigens für Kinder und Jugendliche gemacht waren. Und sie konnten andererseits nicht zuverlässig Inhalte blockieren, die unter Jugendschutzgesichtspunkten problematisch sind.

Damit dürften sich auch die von Seiten der FSM geäußerten Befürchtungen bewahrheiten, wonach auch künftig eingereichte Programme die Hürde der Anerkennung nicht werden nehmen können.

Für Anbieter bleibt damit wohl vorerst – neben den noch strengeren Altersverifikationssystemen – weiterhin nur das für viele Angebote reichlich unpraktikable Mittel der Sendezeitbeschränkung (wie es insbesondere in den Mediatheken der öffentlich-rechtlichen TV-Sender eingesetzt wird), um den Anforderungen des § 5 JMStV sicher zu genügen.

No Comments

Heute mit Wolfenstein 3D im App Store, der KJM im Kampf gegen jugendgefährdende Browsergames und dem neuen Computerspielemuseum in Berlin, aber ohne Maus und Elefanten.

• Ein sehr kurzes App-Store Intermezzo hat der für sich genommen unverdächtige MS-DOS-Emulator iDOS für iPhone und iPad hingelegt. Mit im Gepäck hatte er allerdings das in Deutschland indizierte und beschlagnahmte Spiel “Wolfenstein 3D” (s. auch hier), das mit dem “Horst-Wessel-Lied” schon im Intro ein im Sinne des § 86a StGB strafbares Kennzeichen enthält . Ob das auch der Grund für die schnelle Entfernung war, ist derzeit unklar. Eine alternative Erklärung (mit einem anderen Verstoß gegen Apples Richtlinien) liefert macnotes hier. [update: Der Entwickler bestätigt die macnotes-Sicht der Dinge in seinem Blog]

• Die Kommission für Jugendmedienschutz (KJM) meldet, dass sie im 4. Quartal 2010 gegen die Betreiber eines Browsergame vorgegangen ist. Das Angebot entwicklungsbeeinträchtigender Inhalte in Telemedien ohne die im JMStV vorgesehenen Schutzmaßnahmen ist eine Ordnungswidrigkeit, für deren Verfolgung bei länderübergreifenden Verstößen (also insbesondere auch im Internet) die KJM gemäß § 16 Nr. 8 JMStV zuständig ist. Um welches Spiel und welche Inhalte es ging, und welche der möglichen Maßnahmen – Beanstandung, Untersagung oder Bußgeld – in diesem Fall ergriffen wurden, teilt die KJM allerdings nicht mit. Bereits im Sommer 2010 musste das Bigpoint-Rotlichtmilieu-Spiel “The Pimps” aus Jugendschutzgründen eingestellt werden.

• Voll des Lobes über das wiedereröffnete Computerspielemuseum in Berlin ist heute die Süddeutschen Zeitung. Schöne Bilder für Nostalgiker und Retro-Fans: klick.

No Comments

Die FAZ meldet, dass der für den Sitz von Google Deutschland zuständige Datenschutzbeauftragte von Hamburg, Johannes Caspar, die Verhandlungen mit Google über die datenschutzkonforme Ausgestaltung des verbreiteten Analysetools Google Analytics abgebrochen habe. Der Suchmaschinenriese hat sich dem Anschein nach nicht genügend bewegt.

Dem rechtliche Kernproblem von Google Analytics haben wir schon vergangenen März einen Beitrag gewidmet: Die Software erhebt IP-Adressen von Websitebesuchern und übermittelt diese zur Auswertung und Speicherung an Google-Server in den USA. Hält man mit Teilen von Rechtsprechung und Rechtswissenschaft IP-Adressen für personenbezogene Daten, dann bedeutet dies eineErhebung und Übermittlung solcher personenbezogener Daten in Drittstaaten außerhalb der EU. Beides ist grundsätzlich nur mit der Einwilligung des Betroffenen zulässig – aber eine solche Einwilligung kann bei der aktuellen technischen Ausgestaltung des Prozesses nicht eingeholt werden.

Nachdem die Verhandlungen über eine Umgestaltung der Software ergebnislos geblieben sind und die Hamburger Datenschutzbehörde auch den Verweis auf Blockier-Plugins zu Recht schon deswegen nicht für ausreichend hält, weil diese für etliche verbreitete Browser gar nicht zur Verfügung stehen, könnte es nun zu behördlichen Maßnahmen gegen jeden Websitebetreiber kommen, der Google Analytics weiterhin einsetzt.

Dazu die FAZ:

Da die Aufsichtsbehörden gegen Google selbst nicht vorgehen können, wollen sie nun prüfen, ob und wie sie gemeinsam gegen Betreiber von Websites vorgehen, die weiterhin GA einsetzen. Auf sie könnte dann „ein empfindliches Bußgeld“ zukommen, sagte Caspar. Auch ein Musterprozess gegen ein größeres Unternehmen wird erwogen.

Für die betroffenen Unternehmen kann das teuer werden: § 43 BDSG sieht grundsätzlich Geldbußen bis 300.000 Euro vor – im Einzelfall darf dieser Rahmen sogar noch überschritten werden.

Update 14.1.2011:

Die Einstellung der Datenschutzbehörde scheint sich etwas zu beruhigen. Das Conversion Room Blog berichtet von einem Post des Google Analytics Teams. Darin heißt es:

Nach dem Gespräch können wir bestätigen, dass von der Datenschutzbehörde in Hamburg derzeit keine aufsichtsrechtlichen Maßnahmen (z. B. Bußgelder) gegen den Einsatz von Google Analytics geplant sind.

3 Comments

Wie der Gamesmarkt meldet, plant der Publisher Reality Twist ein “pädagogisches Adventure”, das im Deutschland der unmittelbaren Nachkriegszeit spielen soll. Dabei sollen auch Hakenkreuze zu sehen sein. Zu Recht als problematisch empfindet der Publisher in diesem Zusammenhang aber die restriktive Rechtsprechung zu verfassungswidrigen Symbolen in Computerspielen (siehe hier und hier). Der Produzent, Sebastian Grünwald:

Dabei stellte sich die Frage, wie wir wichtige zeithistorische Ereignisse wie zum Beispiel die Demontage von Hakenkreuzen thematisieren sollen, ohne eine Straftat zu begehen

Eine grundsätzliche Klärung will Reality Twist jetzt mit Hilfe der Politik herbeiführen. Der FDP-Bundestagsabgeordnete Jimmy Schulz will das Thema nun immerhin in Berlin auf die Tagesordnung setzen lassen. Wir sind auf den Ausgang der Sache gespannt und werden weiter berichten.

1 Comment

So allgegenwärtig IP-Adressen in der vernetzten, digitalen Welt auch sind – die Rechtsordnung tut sich bis heute schwer mit dem datenschutzrechtlichen Verständnis von IP-Adressen. Nun bringen zwei aktuelle Gerichtsentscheidungen neuen und erfreulichen Schwung in die zuletzt ins Stocken geratene Diskussion.

Sinn und Zweck des Datenschutzes

Der Datenschutz ist kein Schutz von Daten, sondern ein Schutz vor Daten. Privatpersonen sollen vor der unkontrollierten Verwendung ihrer Daten geschützt sein. Dazu schränken das Bundesdatenschutzgesetz (BDSG), aber etwa auch das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG) den Umgang mit solchen Daten ein, die auf eine Person bezogen sind oder teilweise auch nur bezogen werden können: Nur wenn der Betroffene ausdrücklich einwilligt oder ein Gesetz dies im Einzelfall erlaubt, dürfen etwa Unternehmen oder auch Webseitenbetreiber personenbezogene Daten nutzen. Fragt sich nur, was als solche personenbezogenen Daten gilt. Konkret: Sind IP-Adressen personenbezogene Daten?

Die Frage ist alt und zielt auf die Frage der “Beziehbarkeit” ab. Natürlich kann einer IP-Adresse nicht der dahinterstehende Surfer angesehen werden. Aber wenn eine Webseite eine Log-in-Möglichkeit bietet, etwa für Bestellungen oder auch nur Gästebucheinträge, so kann der Betreiber die Identität des hinter dem meist dynamisch vergebenen Zahlenbergs erkennen. Spätestens im Zusammenschluss mit dem Access-Provider lässt sich eine IP-Adresse einer Person, nämlich dem Anschlussinhaber, zuordnen. IP-Adressen können also auf Personen bezogen werden. Nur kann dies mitunter ein schwieriges Unterfangen werden. Übrigens nicht nur technisch, sondern auch rechtlich: Access-Provider dürfen nur in engen Ausnahmefällen Auskunft über den Anschlussinhaber einer IP-Adresse geben.

Zankapfel Personenbezug

Aber sollen angesichts dieser Schwierigkeiten IP-Adressen immer noch als personenbezogene Daten geschützt werden? Letztlich kann beinahe jede Information mit beliebig großem Aufwand auf eine Person bezogen werden, trotzdem soll aber der Datenschutz nicht uferlos sein. Deshalb verlangt das Merkmal der “Beziehbarkeit” ein gewisses Augenmaß. So weit, so unstreitig.

Welches Augenmaß nun aber ganz allgemein für die Beziehbarkeit gelten soll, ist unklar. Tatsächlich hat schon der Gesetzgeber die Frage gesehen und … keine Antwort gewusst. Jedenfalls hat er ausdrücklich keine geben wollen. Gerichte und Rechtsgelehrte sollten die Frage klären.

IP-Adressen und kein Ende

Für viele Bereiche des Alltags hat sich inzwischen jeweils eine Antwort auf die Frage gefunden. Ausgerechnet aber für IP-Adressen nicht. Dabei ist die Frage relevant: Soll ein Personenbezug anzunehmen sein, müssen die Einschränkungen des Datenschutzes beachtet werden: IP-Adressen dürften nicht mehr beliebig erhoben und gespeichert werden. Genau das ist aber bis heute Alltag auf fast jedem Server: entweder mit eigenen Logs oder durch Einsatz eines Tracking-Tools wie Google Analytics auf der entsprechenden Webseite. Die verantwortlichen Seitenbetreiber begehen also – je nach Antwort auf die Frage – einen Datenschutzverstoß und müssen ein Bußgeld fürchten, oder eben nicht.

Vielbeachtet hatten sich das Amtsgericht (AG) Berlin-Mitte (Urteil vom 27.03.2007, Az 5C 314/06) und das Amtsgericht München (Urteil vom 30.09.2008, Az. 133 C 5677/08) mit der Frage beschäftigt. Und dabei genau entgegengesetzt entschieden: IP-Adressen sollen nach Berliner Lesart personenbezogene Daten sein, also dem Datenschutz unterfallen. In München hingegen sah man das anders, und der zuständige Amtsrichter entschied genau entgegengesetzt.

Klar äußerte sich dann der sogenannte Düsseldorfer Kreis. Die Landesdatenschutzbeauftragten der einzelnen Bundesländer stimmen sich in dem informellen Gremium über gemeinsame Standpunkte ab. Und in puncto IP-Adressen machte der Düsseldorfer Kreis seinen Standpunkt deutlich: IP-Adressen sind personenbezogene Daten, und insbesondere Google Analytics ist deshalb mit deutschem Datenschutzrecht unvereinbar. Ein Standpunkt, der längst nicht jeden Rechtsgelehrten überzeugt hat. Aber zumindest doch eine klare Ansage, und zunächst einmal sind es ja eben jene Landesdatenschutzbeauftragten, die die Bußgelder verhängen. In die Diskussion kehrte deshalb Ruhe ein.

Aktuelle Gerichtsentscheidungen

Doch nun melden sich gleich zwei Gerichte zu Wort. Und jedenfalls wenn sich ein Webseitenbetreiber gegen ein verhängtes Bußgeld wehrt, werden Gerichte entscheiden.

Das Landgericht (LG) Wuppertal hatte einen latent grotesken Fall des Schwarzsurfens über ein offenes WLAN zu entscheiden. Die Richter lehnten alle in Frage kommenden Tatbestände ab und sahen keine Strafbarkeit (Beschluss vom 19.10.2010, Az. 25 Qs 177/10). In den Tiefen des Urteils finden sich auch ebenso knappe wie bemerkenswerte Ausführungen dazu, dass IP-Adressen keine personenbezogenen Daten sind. Anderenfalls hätte eine Strafbarkeit wegen des unbefugten Abrufens oder Sich-Verschaffens personenbezogener Daten vorgelegen. In dem unüblichen Rahmen der Strafbarkeitsfrage trifft das Gericht eine klare Aussage.

Noch deutlicher nun das Oberlandesgericht (OLG) Hamburg. In der Auseinandersetzung um die Strafverfolgung in Tauschbörsen durch das Unternehmen Logistep sahen die Hamburger Richter keine datenschutzrechtlichen Bedenken (Beschluss vom 3.11.2010, Az. 5 W 126/10): Indem das Unternehmen IP-Adressen von schwarzen Tausch-Schafen für deren Überführung nutze, begehe Logistep keinen Datenschutzverstoß. Denn “bei den ermittelten IP-Adressen könne “ein Personenbezug mit normalen Mitteln [...] nicht hergestellt werden“. Kurz: Auch nach hanseatischer Auffassung unterfallen IP-Adressen nicht dem Datenschutz.

Fazit

Ob IP-Adressen personenbezogene Daten darstellen, ist leider immer noch nicht geklärt. Aber gegenüber dem ebenso klaren wie strengen Standpunkt des Düsseldorfer Kreises zeichnet sich nun die entgegengesetzte Tendenz in der Rechtsprechung ab. Mehrfach haben Gerichte IP-Adressen mit dem Datenschutz gerade nicht in Verbindung gebracht.

Für Webseitenbetreiber ergibt sich damit kaum ein eindeutiges Bild. Wer jede Diskussion vermeiden möchte, sollte auf Logging und insbesondere unzulässige Tracking-Tools verzichten. Gerade letztere Tools sind auch für jeden versierten Besucher erkennbar, und nur ganz wenige Tracker sind auch nach Zugrundelegung der Kriterien des Düsseldorfer Kreises zulässig.

Wer hingegen auf die Speicherung von IP-Adressen nicht verzichten will oder kann, riskiert damit möglicherweise ein Bußgeld. Aber die Chancen stehen derzeit vergleichsweise gut, sich vor Gericht dagegen wehren zu können. Eben weil Gerichte möglicherweise auf IP-Adressen nicht die Vorgaben des Datenschutzes anwenden.

3 Comments

Die Apple-Fans vom iPhone-Ticker berichten heute über eine – zwischenzeitlich aus dem deutschen App-Store anscheinend bereits wieder verschwundene – App, die als “Enzyklopädie” über das Leben Adolf Hitlers daherkommt und als Icon gleich dessen Konterfei und eine Hakenkreuzfahne (Screenshot) verwendet. Dass dieses Programm es überhaupt in den AppStore – zumal in den deutschen – geschafft hat, wundert angesichts der bekannt restriktiven Ansichten von Apple auch uns.

Was viele Publisher von Shootern und Strategiespielen mittlerweile verinnerlicht haben, muss sich in der Welt der App-Entwickler wohl noch herumsprechen: Sowohl das Portraitbild von Adolf Hitler als auch das Hakenkreuz sind “Symbole verfassungswidriger Organisationen” (§ 86a StGB) und dürfen in Deutschland grundsätzlich nicht öffentlich gezeigt oder verwendet werden. Ausnahmen gelten zwar für künstlerische und wissenschaftliche Werke, doch ist die Rechtsprechung gerade Computerspielen gegenüber insoweit bisher recht streng gewesen. Auch propagandistische, den Nationalsozialismus verherrlichende Werke können sich auf die Ausnahme nicht berufen, wenn sie sich einen vordergründig wissenschaftlichen Anstrich geben.

Auch inhaltlich könnte die App kritisch sein: Kommt Hitler darin zu gut weg (wie der Beschreibungstext der App vermuten lässt), könnte eine Verherrlichung des Nationalsozialismus vorliegen. Auch wenn damit die Schwelle zur Strafbarkeit nicht zwingend überschritten ist, wäre das Angebot damit möglicherweise zu indizieren (§ 18 JuSchG) und dürfte online nur innerhalb geschlossener Benutzergruppen zur Verfügung gestellt werden (§ 4 JMStV).

2 Comments