Die Änderungsvorschläge zum TMG im Detail
Der Bundesrat hat vergangene Woche einen Gesetzesentwurf zur Änderung des Telemediengesetzes in den Bundestag eingebracht. Hauptaugenmerk der Änderungsvorschläge ist der Datenschutz im Internet, vor allem im Zusammenhang mit sozialen Netzwerken. Wo genau Änderungen geplant sind und welche Auswirkungen diese haben würden, soll hier im Detail dargestellt werden.
Einleitung
Datenschutzrechtlich sind soziale Netzwerke ein Problem. Auch der strengste Datenschutz der Welt hilft nichts, wenn der Nutzer seine Daten freiwillig preisgibt. Das ist auch sein gutes Recht: Nicht umsonst hat das Bundesverfassungsgericht kein Grundrecht auf Datenschutz geschaffen, sondern ein Recht auf informationelle Selbstbestimmung. Auf der anderen Seite ist es auch keine neue Erkenntnis, dass ein allzu offenherziger Umgang mit den eigenen Daten auch eine Menge Gefahren birgt.
Vor diesem Hintergrund hat sich der Bundestag veranlasst gesehen, ein Änderungsgesetz zum Telemediengesetz in den Bundestag einzubringen. Konkret schlägt er folgende Maßnahmen vor:
• Mehr Informationspflichten für Diensteanbieter gegenüber den Nutzern.
• Informationspflichten bei der Speicherung von Daten beim Nutzer (Cookies & Co).
• Option zur Löschung von Accounts in sozialen Netzwerken.
• Besondere Aufklärungspflichten für Betreiber sozialer Netzwerke.
• Voreinstellung der strengsten Datenschutzoptionen in sozialen Netzwerken.
Informationspflichten
§ 13 Abs. 1 TMG soll wie folgt geändert werden:
„Werden personenbezogene Daten des Nutzers erhoben, hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form, leicht erkennbar und unmittelbar erreichbar über
[…]
3. die zuständige Aufsichtsbehörde für den Datenschutz und
4. die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L281 vom 23.11.1995, S.31), die durch die Verordnung (EG) Nr. 1882/2003 (ABl. L284 vom 31.10.2003, S.1) geändert worden ist,
zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.”
Die Formulierung ist an § 4 Abs. 3 BDSG angelehnt, wo die allgemeinen Informationspflichten bei der Verwendung personenbezogener Daten geregelt sind. In der Begründung des Gesetzesentwurfs stellt der Bundesrat klar, dass der neue § 13 Abs. 1 TMG-E keine Ergänzung der bestehenden Impressumspflicht darstellt, sondern dass praktisch eine weitere „Impressumspflicht” geschaffen werden soll. So soll es nicht ausreichen, die neuen Angaben ebenfalls im Impressum unterzubringen. Vielmehr sollen sie getrennt davon auf einer eigenen Seite angegeben werden müssen:
„Der Nutzer muss die Datenschutzhinweise unzweifelhaft als solche erkennen können. Sie dürfen nicht im Impressum, in den Allgemeinen Geschäfts- bzw. Nutzungsbedingungen oder auch sonstigen allgemeinen Erläuterungen versteckt sein, sondern müssen gesondert aufgeführt werden.”
Mit den „Kategorien der Empfänger” sind Gruppen von Dienstleistern gemeint, an die die Daten ggf. weitergegeben werden sollen. Weder dem Anbieter noch dem Nutzer hilft es meist weiter, wenn lange Listen mit den Namen von Unternehmen genannt werden. Statt dessen soll allgemein angegeben werden, an welche Dienstleister die Daten weitergegeben werden sollen.
Die Angaben der zuständigen Aufsichtsbehörde soll schließlich dem Nutzer einen schnelleren Kontakt zum jeweiligen Datenschutzbeauftragten ermöglichen.
Spezielle Löschungspflichten
§ 13 Abs. 4 TMG soll wie folgt geändert werden:
„Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
[…]
3. der Nutzer die Löschung seines Nutzerkontos durch ein leicht erkennbares, unmittelbar erreichbares und ständig verfügbares Bedienelement jederzeit selbst veranlassen kann,
4. im Falle der Nichtnutzung des Nutzerkontos das Nutzerkonto nach Ablauf des Jahres, das dem Jahr der letzten Nutzung folgt, gelöscht oder in den Fällen des Satzes 3 gesperrt werden,
[…]
Im Falle der Veranlassung einer Löschung nach Satz 1 Nummer 3 durch den Nutzer hat der Diensteanbieter das Nutzerkonto unverzüglich zu löschen, soweit nicht rechtliche Gründe einer Löschung des Nutzerkontos entgegenstehen, oder in den Fällen des Satzes 3 zu sperren. […]
Soweit eine Löschung nach Satz 1 Nummer 3 nicht möglich ist, hat der Diensteanbieter den Nutzer unverzüglich unter Angabe der Gründe
darüber zu unterrichten und mitzuteilen, zu welchem Zeitpunkt die Löschung des Nutzerkontos erfolgen wird. Im Falle der Löschung oder Sperrung eines Nutzerkontos nach Satz 1 Nummer 4 hat der Diensteanbieter den Nutzer spätestens vier Wochen vor der Löschung oder Sperrung über die beabsichtigte Maßnahme zu unterrichten.”
Ein „Nutzerkonto” soll nach § 2 Abs. 1 Nr. 4 TMG-E definiert sein als:
„[…] das persönliche Datenkonto eines Nutzers bei einem Telemediendienst, bestehend aus Bestandsdaten nach §14 Absatz 1 und gegebenenfalls zusätzlichen personenbezogenen Daten, die der Diensteanbieter bei dem Nutzer erhoben hat und verarbeitet, durch das der Nutzer die zugangsbeschränkten Funktionen dieses Telemediendienstes nutzen kann”
Zunächst fällt auf, dass der Begriff des „Nutzerkontos” keinesfalls allein auf soziale Netzwerke anwendbar ist. Dass der Nutzer mit seinem Klarnamen registriert ist, ist nicht erforderlich. Erfasst ist vielmehr so ziemlich jede Art von „Account” soweit personenbezogene Daten erhoben werden. Da die Datenschutzbehörden davon ausgehen, dass jede E-Mail-Adresse Personenbezug aufweist, ist also jedes System erfasst, das neben Login und Passwort auch die E-Mail-Adresse speichert.
Für all diese Dienste gilt: Der User muss sein Nutzerkonto selbst löschen können (und nicht etwa auf Anfrage per E-Mail) und inaktive Accounts müssen nach etwa einem Jahr automatisch gelöscht werden. Der „Löschknopf”, wie er in der Begründung genannt wird, muss unmittelbar – also über maximal zwei Klicks – erreichbar sein. Beim Klick auf den Button muss der Account allerdings nicht sofort gelöscht werden. Es soll ausreichen, dass der Diensteanbieter benachrichtigt wird und die Löschung daraufhin selbst vornimmt. Der Bundesrat geht davon aus, dass eine sofortige Löschung „technisch nicht umsetzbar” sei. Die Löschung muss jedoch „unverzüglich” erfolgen, sofern keine rechtlichen Gründe entgegenstehen. Andernfalls reicht eine Sperrung des Accounts – etwa wenn noch offene Rechnungen bestehen.
Die automatische Löschung muss „nach Ablauf des Jahres, das dem Jahr der letzten Nutzung folgt” erfolgen. Bedeutet: Wurde ein Account das letzte Mal im Juli 2010 benutzt, muss die Löschung nach Ablauf des Jahres 2011, also am 1. Januar 2012 erfolgen. Vier Wochen vor Ablauf der Frist – in diesem Fall also Anfang Dezember 2011 – muss der Anbieter den Nutzer vorwarnen, dass sein Konto gelöscht wird, falls er sich nicht erneut einloggt.
Informationspflichten bei Speicherung von Daten auf Endgeräten
§ 13 TMG soll einen Absatz 8 erhalten, der wie folgt lauten soll:
„Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.”
Diese Vorschrift hat in den letzten Tagen schon mächtig für Wirbel gesorgt. Schließlich bedeutet der Wortlaut nichts anderes, als dass so ziemlich jeder Cookie, den eine Webseite setzt, vorher die Erlaubnis des Nutzers bedarf.
Die Begründung im Gesetzesentwurf ist auch denkbar knapp und verweist lediglich auf die Umsetzung der Europäischen Datenschutzrichtlinie 2002/58/EG. Und tatsächlich bezieht sich Erwägungsgrund 66 der Richtlinie ausdrücklich auf Cookies. Betroffen ist aber jede Speicherung auf dem Endgerät, zum Beispiel bei Apps für Smartphones, aber auch neue Storage-Techniken in HTML5. Eine Einschränkung kann man allerdings vornehmen: Cookies die erforderlich sind, um den Dienst zu betreiben, bedürfen keiner vorherigen Einwilligung. So dürften etwa Session-Cookies ausgenommen sein, die notwendig sind, um das Einloggen in Benutzer-Accounts zu ermöglichen. Zwar gibt es auch hier alternative technische Lösungen, einen gewissen Einschätzungsspielraum bei der Frage der Notwendigkeit wird man dem Betreiber eines Dienstes aber einräumen müssen – zum Beispiel im Hinblick auf die Sicherheit der jeweils eingesetzten technischen Methode. Klar ist aber: Tracking-Cookies, etwa von Google Analytics oder auch Piwik, bräuchten nach der neuen Regelung die explizite Einwilligung des Nutzers. Und zwar vor dem Nutzungsvorgang.
Informationspflichten und Voreinstellungen für Social Networks
§ 13a TMG soll künftig Informationspflichten für Betreiber von Social Networks enthalten:
„
§ 13a
Zusätzliche Pflichten des Diensteanbieters von Telemediendiensten mit nutzergenerierten Inhalten(1) Soweit der Diensteanbieter dem Nutzer die Möglichkeit bietet, den Telemediendienst durch eigene Inhalte mit personenbezogenen Daten zu erstellen und zu gestalten und diese Inhalte anderen Nutzern zugänglich zu machen (Telemediendienst mit nutzergenerierten Inhalten), hat der Diensteanbieter die Sicherheitseinstellungen auf der höchsten Sicherheitsstufe gemäß dem Stand der Technik voreinzustellen. Der Diensteanbieter hat den Nutzer bei der erstmaligen Erhebung von personenbezogenen Daten in allgemein verständlicher Form, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar darüber zu unterrichten, welche Sicherheitseinstellungen zum Schutz der Privatsphäre des Nutzers voreingestellt sind. Der Diensteanbieter muss dem Nutzer die Einstellungsmöglichkeit bieten, dass das Nutzerkonto sowie sonstige vom Nutzer erstellte Inhalte mittels anderer, nicht in diesen Telemediendienst integrierter Telemediendienste, welche die Suche von Inhalten ermöglichen (externe Suchmaschinen), nicht gefunden oder ausgelesen werden können; der Diensteanbieter hat dies entsprechend Satz 1 voreinzustellen. Satz 3 gilt nicht, soweit der Zweck des Telemediendienstes bei objektiver Betrachtung die Auffindbarkeit oder Auslesbarkeit von Inhalten mittels externer Suchmaschinen umfasst. Einem Nutzer, der bei der Erhebung seiner personenbezogenen Daten ein Alter von unter 16 Jahren angegeben hat, darf eine Änderung der Voreinstellung nach Satz 3 erst ermöglicht werden, wenn er das Alter von 16 Jahren erreicht hat.
(2) Der Diensteanbieter des Telemediendienstes mit nutzergenerierten Inhalten hat den Nutzer
1. über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen seiner Persönlichkeitsrechte und
2. darüber, dass durch das Zugänglichmachen von personenbezogenen Daten, insbesondere von Foto-, Video-, Ton-oder Textinhalten, weder die Persönlichkeitsrechte noch sonstige Rechte einer anderen natürlichen Person verletzt werden dürfen,
in für den Nutzer verständlicher Form, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu unterrichten.
(3) Im Falle der Löschung eines Nutzerkontos nach § 13 Absatz 4 Satz 1 Nummer 4 oder Satz 2 ist der Diensteanbieter eines Telemediendienstes mit nutzergenerierten Inhalten verpflichtet, auch alle nutzergenerierten Inhalte eines Nutzers zu löschen. Soweit es sich um nutzergenerierte Inhalte handelt, die in Zusammenhang mit nutzergenerierten Inhalten anderer Nutzer stehen, tritt an die Stelle der Löschung die Anonymisierung. Eine Pflicht zur Löschung oder Anonymisierung besteht nicht, soweit eine Löschung oder Anonymisierung nach dem Verwendungszweck nicht möglich ist oder einen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
(4) § 13 bleibt unberührt.
(5) Das Bundesministerium für Wirtschaft und Technologie wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Einvernehmen mit dem Bundesministerium des Innern zu bestimmen, welche Anforderungen gemäß dem Stand der Technik an die höchste Sicherheitsstufe der Sicherheitseinstellungen gemäß Absatz 1 Satz 1 zu stellen sind.”
Allein der Umfang von § 13a TMG-E macht deutlich, was hier auf die Betreiber von Diensten „mit nutzergenerierten Inhalten” zu kommen soll. Doch schon die Definition der Dienste macht Probleme: Ganz offensichtlich sind hier soziale Netzwerke gemeint, auch die Begründung des Gesetzesentwurfes spricht hauptsächlich – aber eben auch nicht ausschließlich – von Social Networks. Die Formulierung „Telemediendienste mit nutzergenerierten Inhalten” geht aber viel weiter: Letztlich ist jedes Blog ein Dienst mit nutzergenerierten Inhalten, sofern eine Kommentarfunktion vorhanden ist. Auch jedes Internetforum wäre dem Wortlaut nach betroffen – auch hier können Nutzer eigene Inhalte veröffentlichen, ein eigenes Profil anlegen und veröffentlichen – je nach Definition und Nutzungsverhalten – personenbezogene Daten.
Die betroffenen Dienste sind zu umfangreichen Informationen für die Nutzer verpflichtet. Das reicht von einer allgemein verständlichen Einführung in die Sicherheits- und Datenschutzeinstellungen bis zur Aufklärung über die Folgen der eigenen Postings. Daneben sind sie verpflichtet, die restriktivsten Optionen für die Privatsphäre der Nutzer bei der Registrierung voreinzustellen. Nutzern, die unter 16 sind, soll es darüber hinaus verboten werden, diese restriktiven Einstellungen zu ändern. Was genau die restriktivsten Einstellungen sind, soll das Bundeswirtschaftsministerium per Rechtsverordnung festlegen. Außerdem dürfen die Profile der Nutzer standardmäßig nicht für Suchmaschinen zugänglich sein.
Schließlich sollen die Betreiber von Diensten mit nutzergenerierten Inhalten auch dazu verpflichtet sein, auf Wunsch nicht nur die Accounts zu löschen, sondern auch alle Inhalte, die der Nutzer im Laufe der Zeit auf der Plattform hinterlassen hat.
Rechtsfolgen
Verstöße gegen diese Informations-, Löschungs- und Voreinstellungspflichten sollen mit Bußgeld geahndet werden. Interessant ist, dass die Informationspflichten zu Cookies (§ 13 Abs. 8 TMG-E) an dieser Stelle nicht genannt ist. Ein Verstoß gegen die Einwilligungspflicht bei Cookies wäre demnach zwar rechtswidrig und könnte ggf. abgemahnt werden (was im Details aber auch noch zu prüfen wäre), ein Bußgeld könnte jedoch nicht verhängt werden. Entweder hat auch der Bundesrat eingesehen, dass diese Änderung – die europarechtlich vorgegeben ist und somit umgesetzt werden muss – in der Praxis nicht funktionieren kann, oder es handelt sich um ein Redaktionsversehen. Die Begründung zum Gesetzesentwurf sagt dazu jedenfalls nichts.
Fazit
Der Gesetzesentwurf enthält viele sinnvolle Regelungen. Dazu gehören Kleinigkeiten, wie die Angabe der Aufsichtsbehörde, aber auch große Neuerungen, wie die Löschungspflicht für Betreiber von Social Networks. Dass solche Pflichten notwendig sein können, hat schon im Jahr 2008 eine Studie des Fraunhofer-Instituts zum Datenschutz in Social Networks gezeigt. Insofern könnten die Änderungen tatsächlich ein Beitrag zur Stärkung des Rechts auf informationelle Selbstbestimmung sein, wenn Nutzer dadurch bessere Kontrolle über ihre Daten erhalten, auch nachdem sie diese veröffentlicht haben.
Was die Informationspflichten bei Cookies angeht, kann man dem Bundesrat keinen Vorwurf machen. Deutschland ist verpflichtet die europäischen Vorgaben in nationales Recht umzusetzen und es macht durchaus Sinn, das im Rahmen einer generellen Überarbeitung des TMG gleich zu erledigen. Das ändert natürlich nichts daran, dass hier – wieder mal – eine Regelung geschaffen werden soll, die in der Praxis im besten Fall ignoriert wird, im schlechtesten Fall zu Popup-Gewittern und Abmahnwellen führt.
Doch auch bei den sinnvollen Vorschlägen lässt die Art und Weise der Umsetzung an vielen Stellen zu wünschen übrig. Der Bundesrat tappt hier in eine typische Falle im Internetrecht: Transparenz lässt sich in den meisten Fällen nicht durch mehr Informationspflichten erreichen. Warum bedarf es neben dem Impressum nun noch einer Unterseite für Datenschutzangaben? Hilft es dem Nutzer wirklich, über noch mehr Details der Datenverarbeitung informiert zu werden? Wird die Masse der Nutzer diesen Wust an Pflichtangaben überhaupt noch wahrnehmen?
Ein Online-Shop mit nutzergenerierten Inhalten (Kommentaren, Nutzerprofilen, etc) hätte neben den Pflichtangaben im Impressum, den Hinweisen zu Versand, Verpackung, Entsorgung, Größenangaben, Widerrufsrecht, den Allgemeinen Geschäftsbedingungen und den bestehenden Datenschutzvorschriften nun auch noch über seine Datenschutzeinstellungen, über die Folgen von unüberlegten Postings, über Löschungsfristen und Cookies zu informieren. Kein Mensch liest all diese Pflichtangaben. Im Gegenteil: Bei der Masse an Text besteht die Gefahr, dass der Nutzer gleich weiter klickt und keine der Angaben mehr wahrnimmt. Dass manchmal weniger mehr ist, erkennt auch der Bundestag bei den Angaben zu „Kategorien von Dienstleistern”, setzt diese Erkenntnis aber nicht konsequent um.
Darüber hinaus wäre auch eine deutlichere Abgrenzung zwischen sozialen Netzwerken und anderen Diensten mit nutzergenerierten Inhalten dringend notwendig. Viele der Informationspflichten zielen ganz klar auf das spezifische Gefahrenpotential ab, das von Social Networks ausgeht, wo der Nutzer üblicherweise unter seinem Klarnamen auftritt und persönliche Informationen preisgibt. Wo der Nutzer hingegen zweckgemäß unter Pseudonym auftritt sind viele dieser neuen Verpflichtungen nicht notwendig. Hier müsste genauer differenziert werden, um die sinnvollen Neuerungen dort anzubringen, wo sie gebraucht werden. Schließlich darf man auch nicht vergessen, dass viele Social Networks ihren Sitz gar nicht in Deutschland haben und daher nur sehr bedingt vom deutschen Datenschutzrecht erfasst sind. Insofern ist es besonders wichtig, keine Überregulierung zu schaffen, die Diensten in Deutschland schadet, aber die eigentlichen Adressaten gar nicht erreicht.
Ob alle Vorschläge im Detail notwendig sind oder ob sie an einigen Stellen etwas über das Ziel hinaus schießen, kann man sicher noch diskutieren. Insgesamt sind aber viele sinnvolle Ansätze dabei.
Thomas Stadler zur Diskussion um die Cookie-Regelung.
Update:
Die Bundesregierung hat die Vorschläge des Bundesrates abgelehnt. Die Vorschläge wurden somit nicht umgesetzt.
Zur Stellungnahme der Bundesregierung (ab S. 13).
