Der folgende Aufsatz ist erstmals erschienen in der Zeitschrift für Datenschutz (ZD) 2018, 302 – alle Rechte vorbehalten.

Datenschutz im Internet: Zwangsidentifizierung und Surfprotokollierung bleiben verboten

Warum Internetnutzer auch in Zukunft einen besonderen Datenschutz brauchen

Die besonderen Datenschutzvorschriften im TMG tragen der hohen Schutzbedürftigkeit der Internetnutzung Rechnung und konkretisieren, was im Wege der Abwägung auch der neuen DS-GVO zu entnehmen ist. Der Beitrag plädiert dafür, dass die Telemedien-Datenschutzvorschriften größtenteils weiter anwendbar sind. Er plädiert für ihre Beibehaltung und fordert eine dem TMG entsprechende europäische Internet-Datenschutzgesetzgebung.

The special data protection provisions in the Tele-Media Act (Telemediengesetz – TMG) accommodate the great need for protection in the scope of Internet usage and specify what can also be gleaned by way of consideration of the new General Data Protection Regulation (GDPR/DS-GVO). Thus, the author believes the telemedia data protection provisions to still be applicable for the most part, argues the case for the continued use thereof and demands a European Data Protection Legislation which corresponds to the TMG.

I. Hintergrund

Das deutsche TMG schützt Internetnutzer bisher vor Zwangsidentifizierung (§§ 13 Abs. 6, 15 Abs. 1 TMG) sowie Vorratsspeicherung und Verfolgung ihres Surfverhaltens (§§ 13 Abs. 4 Satz 1 Nr. 2, 15 Abs. 1 und 4 TMG). Das Recht auf anonyme und spurenlose Mediennutzung im Netz ist unerlässlich, weil erfahrungsgemäß nur nicht gespeicherte Daten sicher vor Datenmissbrauch, Datendiebstahl und Datenhandel sind (s. Facebook-Skandal). Sensible Daten über die private Internetnutzung können selbst höchste Amtsträger erpressbar machen.

Die freie Mediennutzung, also der unbefangene Informations- und Meinungsaustausch, ist für eine Demokratie konstitutiv. Die digitale Meinungs- und Informationsfreiheit ist für unsere Gesellschaft insgesamt so wichtig, dass sie eines besonderen Schutzes vor Selbstzensur aus Furcht vor Nachteilen bedarf. Meinungsumfragen belegen i.Ü., dass die Internetnutzer in großer Mehrheit eine Protokollierung ihres Surfverhaltens ablehnen.

Das BVerfG hat in seinem Urteil zur Vorratsdatenspeicherung hervorgehoben, dass das TMG grundsätzlich zur Löschung von nicht für die Abrechnung erforderlichen Daten verpflichte und so auch gegenüber privatwirtschaftlichen Anreizen verhindere, dass die Internetnutzung inhaltlich in allgemeinen kommerziellen Datensammlungen festgehalten werde und damit rekonstruierbar bleibe. Die Speicherung der aufgerufenen Internetseiten durch kommerzielle Diensteanbieter sei „grundsätzlich untersagt“. Dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden dürfe, gehöre zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland.

II. Die Position der Datenschutzkonferenz

Leider fehlt der EU ein dem TMG vergleichbares Internet-Datenschutzrecht bisher. Die geplante ePrivacy-VO soll im Kern nur für TK-Dienste gelten und für sonstige Anbieter von Internetportalen nur in einer Sonderkonstellation (Cookies).

Die deutsche Datenschutzkonferenz scheint die Errungenschaft eines deutschen Internet-Datenschutzrechts vorschnell wegwerfen zu wollen, wenn sie in ihrer „Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ überraschend die Auffassung vertritt, mit Inkrafttreten der DS-GVO seien die §§ 11 ff. TMG nicht mehr anwendbar, ohne sich zu der Zukunft des weit über Tracking hinausgehenden Verbots von Zwangsidentifizierung und Surfprotokollierung (Logfiles) zu äußern. Hier bedarf es dringend einer Korrektur im Zuge der bereits angekündigten Fortschreibung dieser Positionsbestimmung.

III. Anwendbarkeit des TMG auf öffentliche Stellen

Unproblematisch anwendbar bleibt der 4. Abschnitt des TMG als nationales Internet-Datenschutzrecht für alle öffentlichen Stellen, die Telemedien anbieten. Denn für Datenverarbeitungen im öffentlichen Interesse dürfen spezifischere nationale Datenschutzbestimmungen laut DS-GVO beibehalten werden (Art. 6 Abs. 2 und 3 DS-GVO).

Die Datenschutzkonferenz sollte klarstellen, dass der besondere Internet-Datenschutz im TMG jedenfalls für öffentliche Telemedien weiterhin gilt und – auch nach Inkrafttreten der ePrivacy-VO – weiterhin gelten muss.

IV. Anwendbarkeit des TMG auf nicht-öffentliche Stellen

Private Telemedienanbieter haben seit dem 25.5.2018 sowohl das TMG als auch die allgemeine DS-GVO nebeneinander anzuwenden. Nur wenn und soweit die DS-GVO im Einzelfall dem TMG entgegensteht (Kollisionsfall), also im Fall einander widersprechender Rechtsfolgen, kommt dem Unionsrecht ein Anwendungsvorrang zu.

Bevor ein Kollisionsfall in Betracht gezogen wird, ist das nationale Recht unionsrechtskonform auszulegen. Dies hat der BGH hinsichtlich des Telemedien-Datenschutzrechts wiederholt getan und so eine Kollision bislang stets vermieden. Solange i.E. keine Kollision festzustellen ist, gelten sowohl Unionsrecht als auch nationales Recht nebeneinander.

Die Fortgeltung des TMG neben der allgemeinen DS-GVO ist wichtig, weil das TMG sehr viel konkretere und spezifischere Vorgaben enthält als die unbestimmten Allgemeinklauseln der DS-GVO, die einer Konkretisierung erst noch bedürfen.

In diesem Sinne sorgt das TMG für Rechtssicherheit. Denn es schreibt das Ergebnis der auch nach europäischem Datenschutzrecht vorzunehmenden Abwägung fest, wobei es die besondere Schutzwürdigkeit der freien Mediennutzung im Internet berücksichtigt.

1. Verbot der Zwangsidentifizierung und Surfprotokollierung

Ein Widerspruch zwischen dem 4. Abschnitt des TMG und der DS-GVO ist größtenteils nicht ersichtlich. Namentlich hinsichtlich des im TMG gewährleisteten Schutzes vor Zwangsidentifizierung und Aufzeichnung des Nutzungsverhaltens (Surfprotokollierung) kann die in der DS-GVO geforderte Abwägung zwischen berechtigten Interessen der Anbieter und den Interessen der Nutzer (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO) zu keinem anderen Ergebnis führen als im TMG geregelt.

Es gibt kein berechtigtes Interesse des Anbieters an Zwangsidentifizierung und Surfprotokollierung, weil sich Internetdienste in aller Regel auch anonym bereitstellen lassen. Wie die Praxis diverser Internetportale zeigt, ist es zur Gewährleistung der Integrität und Verfügbarkeit von Telemedien nicht erforderlich, anlasslos und massenhaft das Internet-Nutzungsverhalten wahlloser Nutzer auf Vorrat zu speichern.

Jedenfalls überwiegt das gesamtgesellschaftliche Interesse an einem freien und unbefangenen Informations- und Meinungsaustausch in einer demokratischen Gesellschaft etwaige Einzelinteressen kommerzieller Anbieter, wie das BVerfG unterstrichen hat.

Das fortgeltende grundsätzliche Verbot nicht erst der gezielten Auswertung (Tracking), sondern schon der permanenten Aufzeichnung des Internet-Nutzungsverhaltens sollten die Datenschutzbehörden dringend klarstellen. Dasselbe gilt für das Verbot einer Zwangsidentifizierung von Nutzern, hinsichtlich dessen das TMG als Konkretisierung des Art. 7 Abs. 4 DS-GVO angesehen werden kann.

2. Nutzungsprofile für Werbezwecke

Beizupflichten ist der Datenschutzkonferenz darin, dass die Ermächtigung des Art. 15 Abs. 3 TMG zur Erstellung personenbezogener Nutzungsprofile für Werbezwecke ohne Einwilligung des Betroffenen mit der DS-GVO nicht in Einklang zu bringen und deshalb nicht mehr anwendbar ist.

Anbieter haben an einer solchen Datenverarbeitung kein berechtigtes Interesse, welches das Interesse der Internetnutzer am Schutz ihrer Privatsphäre im Netz überwiegen könnte (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). Der nicht ordnungsgemäß umgesetzte Art. 5 Abs. 3 ePrivacy-RL (RL 2002/58/EG) regelt nur auf Endgeräten gespeicherte Cookies, nicht aber die Verarbeitung personenbezogener Daten in den Systemen der Anbieter selbst.

Die Erstellung personenbezogener Nutzungsprofile für Werbezwecke durch Anbieter von Telemedien bedarf deshalb seit dem 25.5.2018 abweichend von Art. 15 Abs. 3 TMG der Einwilligung nach Art. 6 DS-GVO.

Keiner Einwilligung bedürfen demgegenüber anonyme Nutzungsprofile, die sich einem bestimmten Nutzer weder mithilfe unverkürzt gespeicherter IP-Adressen noch mithilfe von Bestandsdaten oder sonst eindeutigen Merkmalen zuordnen lassen. Eine zufällig generierte Sitzungskennung z.B. stellt für sich genommen kein personenbezogenes Datum dar.

Eine wirksam anonymisierte Aufzeichnung und Auswertung des Nutzungsverhaltens bleibt zulässig (und ausreichend), weil das Datenschutzrecht nur auf personenbezogene Daten Anwendung findet.

V. Fazit und Ausblick

Die weitgehende Beibehaltung des deutschen Telemedien-Datenschutzrechts ist danach zum Schutz der Privatsphäre der Internetnutzung und auch zur Gewährleistung der Rechtssicherheit geboten.

Wo die europarechtlich vorgegebene Einzelfallabwägung vereinzelt zu Abweichungen vom TMG nötigt, denen nicht durch unionsrechtskonforme Auslegung Rechnung getragen werden kann, kommt der Anwendungsvorrang zum Zug. Es besteht demgegenüber keine Veranlassung zur generellen Aufgabe oder Nichtanwendung des deutschen Telemedien-Datenschutzrechts.

So wichtig die Fortgeltung des Telemedien-Datenschutzes in Deutschland ist, so unzureichend ist sie doch im Zeitalter eines europäischen Datenschutzrechts und global agierender Internetkonzerne. Wir brauchen eine dem TMG entsprechende europäische Internet-Datenschutzgesetzgebung, die ein spezifisches und normenklares Verbot der Zwangsidentifizierung und der massenhaften Protokollierung des Surfverhaltens im Internet gewährleistet.

Die geplante ePrivacy-VO genügt wegen ihres unzureichenden Anwendungsbereichs und wegen ihrer exzessiven, unbestimmten Speicherermächtigungen nicht. Eine Stärkung der Privatsphäre im Internet auf europäischer Ebene tut Not, um im Zeitalter der Digitalen Revolution die Sicherheit der Internetnutzer vor Datenlecks, Spionage und Datenhandel wirksam zu gewährleisten. Die Datenschutzkonferenz sollte die Forderung nach einer europäischen Internet-Datenschutzgesetzgebung aufgreifen.

Ergänzung: Dr. Silke Jandt, Referatsleiterin bei der niedersächsischen Datenschutzbeauftragten und mitverantwortlich für die Positionsbestimmung der Datenschutzkonferenz, verteidigt ihre Position in ZD 2018, 405.