Dieser Text ist im Rahmen der gemeinsamen Kooperation mit dem
Internet ABC erschienen.

Datenschutz im WWW
Ein Interview mit Philipp Otto und John Weitzmann von iRights.info

Wo sehen Sie besondere Fallstricke, wenn es um das Thema "Datenschutz und Neue Medien" geht? Welche Auswirkungen haben die Neuen Medien auf den Bereich "Datenschutz"?

Besondere Aufmerksamkeit muss beim Thema "Datenschutz und Neue Medien" auf Kauf- und Verkaufsvorgänge, die Nutzung von Suchmaschinen und die Nutzung von Sozialen Netzwerken gelegt werden. Bei kommerziellen Diensten gilt: Entweder wir bezahlen mit Geld, oder mit unseren Daten.

Beispielsweise beruht das Geschäftsmodell von Facebook darauf, dass möglichst viele Nutzer möglichst viele persönliche Daten preisgeben. Je mehr sie preisgeben, desto zielgerichteter können sie als Zielgruppe der Werbung angesprochen werden.

Datensparsamkeit ist eines der wichtigsten Prinzipien bei der Online-Nutzung. Daten können nur geschützt werden, wenn man sich darüber bewusst ist, was mit seinen Daten passiert, wenn man sie online eintippt. Nutzer tragen hier eine hohe Verantwortung.

Gleichzeitig müssen Unternehmen in Zukunft gezwungen werden, möglichst transparent über die Verwendung der Daten Auskunft zu geben und – dies ist alles andere als selbstverständlich - deutsche Datenschutzgesetze zu beachten. Hier gibt es noch viel Nachholbedarf.

 

Gibt es gesetzliche Grenzen, wenn es um die Abfrage von persönlichen Daten geht - allgemein und speziell bei Kindern und Jugendlichen?

Die Grundregel ist, dass nur in dem Umfang Daten erhoben werden dürfen, wie dies von einem Gesetz erlaubt wird oder soweit der Betroffene eingewilligt hat. Eine gesetzliche Erlaubnis gibt es z.B. immer dann, wenn ein Kunde eine Leistung haben will und dies nur mit Hilfe persönlicher Daten abgewickelt werden kann (Adress- und Zahlungsdaten).

Es gibt auf der anderen Seite keine "harte Grenze" dafür, wonach gefragt werden darf. Wird also nach sehr persönlichen Angaben gefragt, ist das für sich genommen noch nicht verboten. Wer diese Angaben dann bereitwillig macht, signalisiert damit zugleich, zumindest mit der Erhebung einverstanden zu sein - es sei denn, ihm wurde vorher unrichtigerweise suggeriert, zur Preisgabe seiner Daten verpflichtet zu sein.

Das alles betrifft aber erst einmal nur die Erhebung, also die Sammlung der Daten. Eine ähnliche Einwilligung braucht es zusätzlich für die Speicherung, Verarbeitung und Übermittlung der Daten an dritte Stellen. Hierin liegen oft erst die eigentlichen Gefahren. Besonders hierzu kommt es deshalb auf die "Datenschutzerklärung" des Datensammlers an und darauf, dass der Betroffene sie rechtzeitig zur Kenntnis nehmen kann und zugestimmt hat.

Für Kinder gilt insofern Besonderes, als dass sie erst dann rechtlich wirksam in irgendetwas einwilligen können, wenn sie die persönliche Reife erreicht haben, ihr Tun auch zu verstehen. Eine klare Altersgrenze gibt es nicht, aber Grundschulkinder verstehen normalerweise noch nicht, was eine Preisgabe von Daten bedeutet. Außerdem können sie ohne Zustimmung der Eltern auch noch keine Verträge schließen, deren Durchführung die oben genannte gesetzliche Erlaubnis zur Datensammlung mit sich bringen könnte. Werden Minderjährige mit der Zeit ver- und selbständiger, geht die Bedeutung der Zustimmung der Eltern entsprechend immer weiter zurück.

Ganz allgemein kommt Kindern wie Erwachsenen eine Sondervorschrift des Telemediengesetzes (TMG) zugute. Danach müssen Anbieter es immer dann ermöglichen, dass man ihre Dienste anonym oder unter Pseudonym nutzt, wenn das technisch möglich und zumutbar ist. Das trifft auf die meisten kostenlosen Dienste im Internet zu. Rechtlich nicht ganz klar ist, ob man deshalb bei solchen Diensten einfach Phantasie-Daten angeben darf, selbst wenn die AGB des Anbieters verlangen, dass man seine korrekten Daten angibt. Es dürfte einem solchen Anbieter jedoch sehr schwer fallen, die Nutzer rechtlich zu korrekten Angaben zu zwingen.

 

Welche gesetzlichen Grenzen gibt es bei der Weiterverwertung der Daten?

Erlaubnisse hinsichtlich Daten müssen immer getrennt von sonstigen AGBs eingeholt werden. Sofern die separate Datenschutzerklärung

a) alle relevanten Angaben enthält,
b) ausreichend eindeutig formuliert ist und
c) vom Betroffenen bewusst abgesegnet wurde

(oft fehlt es an einer dieser drei Voraussetzungen), gibt es ansonsten keine festgelegten Grenzen, was der Anbieter sich in der Datenschutzerklärung alles erlauben lassen darf. Schließlich umfasst die "informationelle Selbstbestimmung" auch das Recht, die eigenen Daten völlig freizugeben.

Allerdings ist die Einwilligung in die Datennutzung jederzeit ohne besonderen Grund widerrufbar, zumindest für die Zukunft. Ein Betroffener kann also jederzeit der weiteren Speicherung, Verarbeitung und Übermittlung seiner Daten widersprechen. Eine bereits geschehene Verarbeitung kann natürlich nicht mehr rückgängig gemacht werden, aber ihre Ergebnisse und die zugrundeliegenden Daten können gelöscht werden. Untersagt der Betroffene beim Widerruf der Einwilligung die weitere Speicherung, verlangt er damit im Zweifel zugleich die umfassende Löschung bereits erhobener Daten. Der Anbieter muss dieser Aufforderung nachkommen, wenn er nicht (z. B. zu Abrechnungszwecken bei einem Vertrag) ein besonderes Recht hat, die Daten aufzubewahren.

 

Was müssen Schulen und Lehrerinnen und Lehrer in Sachen "Datenschutz und Neue Medien" beachten?

Auch hier gilt der Grundsatz, dass nur solche Daten gesammelt werden dürfen, die durch das Schulgesetz für die Erfüllung der Aufgaben der Schule unerlässlich sind. Alles darüber hinaus bedarf der Einwilligung, bei kleineren Kindern durch die Eltern, bei größeren Kindern und Jugendlichen ist unter Umständen die eigene Einwilligung ausreichend. Darauf sollten sich Schulen aber möglichst nicht allein verlassen, sondern zusätzlich immer auch die Eltern fragen.

Bei Veröffentlichung von Daten im Internet ist die Schule dann in einem ganz anderen Bereich. Das ist sozusagen eine "Übermittlung an jedermann", die unbedingt eine gesonderte Einwilligung braucht. Zudem können weitere sogenannte "besondere Persönlichkeitsrechte" tangiert sein, z.B. das Recht am eigenen Bild. Veröffentlichungen auf Schul-Homepages sollten also immer nur mit den nötigen Einwilligungen und so lange erfolgen, wie die betroffenen Schüler und ihre Eltern das wissen und einverstanden sind.

Schauen Lehrer umgekehrt übers Internet in die Profile, die ihre Schüler bei Social Networks wie Facebook anlegen, ist das datenschutzrechtlich unbedenklich. In einer rechtlich noch nicht ganz geklärten Zone bewegen sich Schulen bzw. Lehrer, wenn sie diese öffentlichen Informationen über ihre Schüler wiederum für sich sammeln, also irgendwo aufschreiben oder auf sonst eine Weise speichern. Da eine Schule nie wirklich sicher sein kann, dass sie dabei von der Einwilligung des Schülers gegenüber dem Social Network gedeckt ist, sollten solche indirekten Datensammlungen besser unterbleiben.

 

Was kann ich tun, wenn ich feststelle, dass meine Daten oder die Daten meines Nachwuchses gegen meinen/seinen Willen oder sogar gesetzeswidrig verwendet oder weitergegeben worden sind?

Dann sollte umgehend die sammelnde Stelle aufgefordert werden, die weitere Erhebung, Speicherung, Verarbeitung und Übermittlung der Daten zu unterlassen. Gibt es darauf keine Reaktion, kann mit einer sogenannten "Unterlassungsklage" gerichtlich vorgegangen werden. Schwierig wird das allerdings dann, wenn die sammelnde Stelle keinen Geschäftssitz in Deutschland hat und nicht einmal innerhalb der EU ansässig ist. Dann sollte man sich an den zuständigen Landesdatenschutzbeauftragten oder die Verbraucherverbände wenden, wo es speziell geschulte Juristen gibt, die solche Fälle genauer einschätzen können.


Ab wann bzw. ab welchem Alter dürfen Kinder und Jugendliche selbst darüber entscheiden, welche Daten/Fotos sie im Internet veröffentlichen und weitergeben wollen?

Wie oben bereits gesagt, hängt das von der sogenannten "Verstandesreife" ab. Über eigene Rechte können auch Minderjährige bereits in dem Maße selbst verfügen, wie sie die Implikationen ihres Handelns verstehen können. Für den Rest sind die Eltern zuständig.
Über die Jahre nimmt die Eigenverantwortlichkeit der Kinder immer mehr zu, die Zustimmungsrolle der Eltern immer mehr ab. Das sollte man allerdings nicht verwechseln mit der „beschränkten Geschäftsfähigkeit“ Minderjähriger: Verträge, die irgendwelche Rechtspflichten erzeugen und die nicht mittels Taschengeld bereits erfüllt werden können, bleiben bei Minderjährigen so lange in einer Art Schwebezustand, bis die Eltern sie genehmigt haben. Soweit sich Datensammler also – ohne separate Erlaubnis – bei der Erhebung, Speicherung, Verarbeitung und Übermittlung der Daten einfach auf einen Nutzungsvertrag berufen wollen, können die Eltern diesen Vertrag jederzeit dadurch zu Fall bringen, dass sie die Genehmigung verweigern.

Private Datensammler können sich aber auch von Minderjährigen die Datennutzung durch eine vom sonstigen Vertrag separate Einwilligung erlauben lassen, soweit die Verstandesreife des Minderjährigen im Einzelfall reicht. Auch bei ausreichender Verstandesreife geht man heute für derlei Einwilligungen von einer Doppelzuständigkeit sowohl des Kindes wie der Eltern aus. Daher kann sowohl der Minderjährige ab dem achten Lebensjahr gegen eine Einwilligung der Eltern ein Veto einlegen als auch umgekehrt die Eltern gegen die Einwilligung ihres Sprösslings. Noch nicht endgültig geklärt ist in der Rechtsprechung, ob es neben der Einwilligung des Minderjährigen immer auch eine positive Einwilligung der Eltern braucht oder ob die Einwilligung des Minderjährigen ausreicht, solange kein aktives Veto der Eltern vorliegt.

 

Was würden Sie Eltern von jüngeren Kindern zum Schutz persönlicher Daten im Internet mit auf den Weg geben?

Eltern müssen zunächst sich selbst klarmachen, was es bedeutet, wenn bestimmte Daten verwendet werden. Hier gilt der Merksatz: Was man nicht mit Geld bezahlt, bezahlt man im Zweifel mit persönlichen Daten. Dieses Wissen sollten Sie ihren Kindern vermitteln. Dies kann im Sinne eines pädagogischen Warnhinweises geschehen, noch wirksamer ist aber, gemeinsam mit den Kindern die Relevanz und Bedeutung der Eingabe von Daten zu erarbeiten, zu diskutieren und Spielregeln festlegen.

Kinder sollen, sobald sie unsicher sind, sich mit ihren Fragen an ihre Eltern wenden können, ohne dass sie Angst haben müssen, etwas falsch gemacht zu haben oder gar bestraft zu werden. Das Wissen über die Bedeutung von Daten zu haben, ist kein Selbstläufer. Trotzdem sollte in der Erziehung und in der Einübung des Mediennutzungsverhaltens stark darauf geachtet werden. Selbst wenn die Rechtslage kompliziert und das Neu-Erlernen nicht ganz einfach ist.

 

Habe ich ein Recht darauf, meine bei einem Anbieter gespeicherten Daten einzusehen und diese vollständig und dauerhaft löschen zu lassen?

Ja, sowohl das Recht auf Auskunft über den Bestand an gespeicherten Daten als auch die Löschung ist im Bundesdatenschutzgesetz ausdrücklich gesetzlich verankert. Die Löschung kann ein Anbieter allenfalls dann verweigern, wenn er als Privater wegen eines Vertrages oder als staatliche Stelle wegen seines gesetzlichen Auftrags zur Speicherung bestimmter Daten berechtigt oder gar verpflichtet ist.

Bei Internetdiensten besteht das größere Problem meist darin, das Recht auf Auskunft und Löschung auch durchzusetzen. Wenn die jeweiligen Anbieter nicht in Deutschland oder der EU ansässig sind, ist an sie nur sehr schwer heranzukommen. Man sollte es dennoch versuchen und sich ggf. an den Landesdatenschutzbeauftragten oder die Verbraucherverbände wenden.

 

Das Internet ist ein weltweites Netz. Welche Gesetze gelten bei im Ausland angesiedelten Anbietern und was ist hierbei zu beachten?

Das Bundesdatenschutzgesetz gilt für alle Anbieter, die entweder in Deutschland oder außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) ansässig sind, aber hierzulande Daten erheben, verarbeiten oder nutzen. Alle Anbieter dazwischen, die also in der EU oder dem EWR ansässig sind, gelten über internationale Abkommen die dortigen Datenschutzgesetze. Möchte man bei einem bestimmen Fall wissen, welche Regeln genau gelten, sollte man sich an Verbraucherverbände wenden.

Wie immer im Datenschutzrecht ist das größere Problem, die eigenen Rechte auch durchzusetzen. Man sollte darum

  • die Datenschutzerklärungen von Onlinediensten genau lesen, bevor man Daten preisgibt,
  • auch dann nur das Nötigste angeben,
  • bei kostenlosen Diensten im Zweifel auch ausgedachte Daten angeben und
  • die sehr freigiebigen Standardeinstellungen von Social Networks so anpassen, dass möglichst nur das weitergegeben wird, was man auch weitergeben möchte.

Wer auf Nummer sicher gehen will, sollte persönliche Daten nur an Onlinedienste solcher Anbieter geben, die in Deutschland oder der EU einen Sitz haben.

Zu den Experten:

Philipp Otto arbeitet als Berater, Wissenschaftler, Journalist und Verleger. Er ist Gründer und geschäftsführender Partner des Think Tank iRights.Lab und des Verlages iRights.Media. Er leitet die Redaktion des Onlinemagazins iRights.info und arbeitet in Kooperation mit vielen Partnern zu strategischen Fragen der Digitalisierung, der digitalen Agenda und ihrer Umsetzung. Seit knapp zehn Jahren beschäftigt er sich u.a. mit Netzpolitik. Er schreibt Strategiepapiere, Gutachten, Artikel sowie Aufsätze und ist u. a. Herausgeber des Jahresrückblick Netzpolitik. Zudem konzipiert und leitet er verschiedene weitere Projekte. Hin und wieder sitzt er auch in Hinterzimmern, auf einem Podium oder hält Reden.

 

John Weitzmann ist in Berlin als Rechtsanwalt tätig und unterstützt die Redaktion von irights.info. Er ist einer von zwei Europa-Koordinatoren für Creative Commons und engagiert sich zudem ehrenamtlich als Legal Project Lead für Creative Commons Deutschland. Regelmäßig veröffentlicht er Fachbeiträge zu Rechtsfragen in der digitalen Welt.

  • Text „Datenschutz im (mobilen) Internet“