Fallstricke im Telemediengesetz
18.03.2008
Vorschriften zum Datenschutz gibt es viele, das Bundesdatenschutzgesetz ist dabei die Regelung, die sicherlich jedem als erstes einfällt. In weiteren Gesetzen finden sich aber zusätzliche Regelungen, vieles ist sehr speziell wie im Gesetz der Bundespolizei. Anderes, wie die Regelungen im SGB X, können da schon relevanter sein – heute schreibe ich kurz was zum Telemediengesetz und meinen liebsten Themen in diesem Bereich.
Das Telemediengesetz gilt erstmal prinzipiell für die Bereiber von Webseiten, Ausnahmen im Sinne von “ich bin nur eine Privatperson” existieren hier nicht. Speziell die vielfältigen Aufsätze zur Impressumspflicht nähren aber den Mythos, als Privatperson die nur zu persönlichen Zwecken handelt, muss man das TMG nicht beachten. Das ist falsch: Es gilt das TMG und somit seine Vorschriften zum Datenschutz, festgehalten in den §§11 bis 15 TMG.
Ich werde hier nicht das gesamte Werk zitieren da ich hoffe, das jeder selber lesen kann. Stattdessen verweise ich auf meine liebsten Probleme, die teilweise nicht vollständig geklärt sind und somit Probleme bieten können:
- §11 TMG bietet einige griffige Ausnahmen der Datenschutzregelung. Dabei ist der Absatz 3 für mich das wichtigste Kriterium, das bis heute auch nicht ausreichend beleuchtet wurde: Ich stehe auf dem Standpunkt, dass von dieser Regelung auch Webserver-Dienste erfasst werden. Somit wären Privilegierungen für Logfiles möglich, in denen IPs gespeichert werden, selbst wenn man sagt, eine IP ist ein personenbezogenes Datum. Die mir bekannten Anwälte vertreten die Aufassung, es geht hier alleine um Dienste wie Mailserver – das aber lehne ich entschieden ab: Zum einen gibt der Gesetzestext dafür nichts her und auf technischer Ebene ist es haarig, zwischen mailserver und webserver ordentlich zu unterscheiden. Zum anderen spricht die so oft zitierte Gesetzesbegründung des §11 TMG ja gerade von Mailservern als Beispiel und eben nicht als ausschliessliche Anwendung.
- Im §12 II TMG wird gerne übersehen, dass die gesetzliche Vorschrift, auf die man sich beruft, sich gerade auf Telemedien beziehen muss. Allgemeine gesetzliche Ermächtigungen sind also nicht ausreichend.
- So gut wie gar nicht bekannt ist §12 III TMG, der klar sagt, dass die Nutzung von Telemedien nicht von der Einwilligung eines Nutzers in eine Datenerhebung abhängig gemacht werden darf.
- Zusammen mit dem dritten Punkt wird es problematisch, wenn man §13 VI TMG liest: Dem Nutzer muss es möglich sein, Diensteunter einem Pseudonym zu nutzen.
- Einen Berg Probleme wird in naher Zukunft der §13 II TMG machen: Hier steht wie die Einwilligung des Users abzulaufen hat. Da wäre zum einen die zwingende Protokollierung der Einwilligung, die wohl bis heute nur wenige betreiben und bei der sich die Frage stellt, ob nicht nur ob und wann, sondern auch das wie und worin betroffen ist. Deutlich wird dies vor allem darin, dass zugleich vorgeschrieben wird, dass man den Inhalt der Einwilligung jederzeit abrufen können muss – zusammen mit der Protokollierungspflicht macht dies nur Sinn, wenn man die verschiedenen Versionen der Erklärung spüeichert und protokolliert, welche davon von welchem User abgesegnet wurde.
- Weiterhin zum §13 II TMG gehört der Punkt, dass die einwilligung “bewusst” und “eindeutig” erfolgen muss. Ein “verstecken” der Einwilligung in AGB ist damit meines erachtens nicht möglich, so wie man zwingend die Datenschutzerklärung einzeln absegnen muss – eine kombiniertes Zustimmen zu AGB und DSE ist nach meiner Auslegung an dieser Stelle nicht mehr möglich.
- Eine Krux ergibt sich, wenn man nochmal den Punkt 3 liest und dann bemerkt, dass §13 III TMG eine Datenerhebung nur erlaubt, wenn der Nutzer vorher eingewilligt hat.
- Immer häufiger begegnen mir Fälle, in denen gegen §13 V TMG verstoßen wird: Die weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer vorher anzuzeigen. Kaum einer hat bemerkt, dass jede Weiterleitung hiervon erfasst wird.
- Wichtig für Anbieter von kommerziellen Diensten: Die Zahlung muss anonym und unter pseudonym möglich sei, §13 VI TMG. Hier wird aber sicherlich oft die ausweichklausel der “technischen Möglichkeit” weiterhelfen.
- Zuletzt noch ein Hinweis auf §13 IV TMG: Hier wird nicht nur das so gerne praktizieret wilde Zusammenfphren von Daten verschiedenster Dienste ausdrücklich untersagt, sondern deutlich festgehalten, dass der Nutzer jederzeit die Nutzung des Dienstes beenden können muss. Ebenso müssen personenbezogene Daten nach Nutzung des Dienstes umgehend gelöscht werden – auf diesem Absatz fussen die Urteile aus Berlin, mit denen die umgehende Löschung von IPsin Logfiles erreicht wurde. Zu dem Thema verweise ich aber auch nochmal auf Punkt 1, der in diesen Urteilen keinerlei Beachtung gefunden hat.
Zu den §§14, 15 TMG habe ich jetzt (noch) nichts geschrieben, da es sonst erstmal zu voll wird. Speziell §15 TMG muss bei denen bekannt sein, die etwas mit Abrechnung anbieten, wer nur eine Seite im Netz hat, ein Blog etwa, dem wird der §15 TMG erstmal vorbeigehen.