Rezension: Roßnagel, Beck’scher Kommentar zum Recht der Telemediendienste

Datenschutz
Wer im Telemedienrecht arbeitet, ist – zumindest in einigen Bereichen wie dem Datenschutzrecht – stets erfreut, wenn es wegen der eher spärlich vorhandenen Rechtsprechung eine Kommentierung von Gesetzen gibt. Die auf dem Markt erhältlichen Kommentierungen sind da durchaus unterschiedlicher Qualität. Umso mehr habe ich mich gefreut, dass nun aus der ehemaligen Loseblattsammlung „Roßnagel, Recht der Multimedia-Dienste“ ein aktualisierter Kommentar im Buchformat geworden ist. Allerdings für stolze 199,00 €. Hier ist meine kurze Rezension zum Kommentar, die sich nur auf die datenschutzrechtlichen Abhandlungen bezieht.

Mit dem Beck’schen Kommentar zum Recht der Telemediendienste haben sich die Autoren zum Ziel gesetzt, einen praxisorientierten wissenschaftlichen Kommentar des Rechts der Telemediendienste zu veröffentlichen. Dabei sind folgende Gesetze in dem Werk kommentiert worden:

  • Telemediengesetz (TMG)
  • Jugendmedienschutz-Staatsvertrag (JMStV) – in Auszügen
  • Signaturgesetz (SigG)
  • Signaturverordnung (SigV)
  • Bürgerliches Gesetzbuch (BGB) – in Auszügen
  • Zivilprozessordnung (ZPO) – in Auszügen
  • Verwaltungsverfahrensgesetz (VwVfG) – in Auszügen

Ich beschränke mich bei meiner Rezension auf die Kommentierung der §§ 11-15 TMG.

rossnagel_recht_TMDDie Kommentierung von § 11 TMG hat Professor Dr. Wolfgang Schulz übernommen. In § 11 TMG geht es um das Anbieter-Nutzer-Verhältnis bei der Inanspruchnahme von Telemediendiensten und damit um die Anwendung der Regelungen des TMG auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Telemediendiensten. Neben ersten allgemeinen Ausführungen zur Historie der Norm wird es dann ab Rn. 20 ff. spannend, wenn es um den Begriff der personenbezogenen Daten geht. Kenner der Materie wissen, dass ein Autor bei dieser Frage regelmäßig Farbe bekennen muss, und zwar dahingehend, ob er nun der objektiven oder der relativen Theorie des Personbezuges anhängt oder nicht. Schulz vertritt die Theorie, des relativen Personbezuges. Danach bestimmt sich der Personenbezug von Installationen abhängig von der Kenntnis der verantwortlichen Stelle.

Im Hinblick auf IP-Adressen sieht der Autor folgerichtig allenfalls bei statischen IP-Adressen die Möglichkeit eines Personenbezuges. Bei dynamischen IP-Adressen sei jedoch davon auszugehen, dass die IP-Adresse nur für den Provider ein personenbezogenes Datum darstelle, nicht jedoch für einen Dritten.

Damit wird der zumindest in Deutschland nach wie vor bestehende Trend, dass der Personenbezug relativ zu bestimmen sei, unterstützt. Hier wäre jedoch wünschenswert gewesen, auf die insoweit weitergehende Auslegung des Begriffs des Personbezuges durch die Art. 29 Gruppe hinzuweisen, zumal diese von den Aufsichtsbehörden in Deutschland sehr häufig maßgeblich zugrunde gelegt wird. Und genau das wäre z.B. für Praktiker ein wichtiger Hinweis gewesen, der hier leider fehlt, soweit ich das gesehen habe.

Auch die Ausführungen zu Cookies und einem möglichen Personenbezug von IDs in Cookies hätten vielleicht mehr auf den diesbezüglichen Meinungsstand und die absolute Theorie des Personbezuges eingehen können.

Der § 12 TMG ist von Dr. Johannes Bizer und Professor Dr. Gerrit Hornung bearbeitet worden. Die Autoren stellen neben der Historie der Norm sehr schön die Grundsätze der Anonymisierung und Pseudonymisierung dar. Insbesondere wird auf den Streit eingegangen, ob pseudonyme Daten einen Personenbezug aufweisen oder nicht.

rossnagel_recht_TMD1§ 13 TMG wird dann von dem Autorentrio Dr. Silke Jandt, Peter Schaar und Professor Dr. Wolfgang Schulz kommentiert. Dem Aufbau der Norm folgend wenden sich die Autoren zunächst der Unterrichtungspflicht des Diensteanbieters zu. Hier geht es um Fragen, die Zeitpunkt, Art und Umfang von Datenschutzhinweisen auf einer Internetseite betreffen. Insgesamt finden sich hier recht brauchbare Hinweise zu Zeitpunkt, Gegenstand und Gestaltung von Datenschutzhinweisen. Allerdings fand ich die Hinweise im ersten Teil zur Unterrichtung (Rn. 29 f.) etwas verwirrend, was den Zeitpunkt der Unterrichtung angeht. Später wird dies jedoch deutlicher dargestellt (Rn. 46).

Im nächsten Schritt beschäftigen sich die Autoren dann mit der elektronischen Einwilligung. Im Hinblick auf das Merkmal der eindeutigen und bewussten Handlung habe ich Zweifel an der Praxisorientierung der Ausführungen. So gehen die Autoren zum Beispiel im Hinblick auf das erforderliche „aktive Tun“ davon aus, dass für die Abgabe einer Einwilligung ein einfacher Mausklick, ein Tastendruck oder das Berühren eines Touchscreens nicht ausreichend sei.

Ich bin mir sicher, dass es bei der Frage des „aktiven Tuns“ nicht darauf ankommt, ob dies durch einen einfachen Mausklick o.Ä. erfolgt, sondern vielmehr ob beim Nutzer durch eine transparente Darstellung des Interface deutlich wird, dass er durch seinen z.B. Mausklick eine verbindliche Erklärung, nämlich eine elektronische Einwilligung abgibt.

Wenig zielführend sind daher die Ausführungen der Autoren, nach denen zum Beispiel das Ausfüllen eines Freitext-Feldes nach dem Motto „Ja, ich bin einverstanden“ besser geeignet sei. Da Anbieter von Online-Services sehr häufig darauf angewiesen sind, Einwilligungen von ihren Nutzern einzuholen, wäre es für reichweitenstarke Angebote nur schwer zumutbar, auf derartige Methoden zurückzugreifen. Ich kenne zurzeit auch keinen Anbieter, der eine solche Methode ernsthaft anwenden würde bzw. wollte.

Bei der Kommentierung der Pflicht zur „anonymen oder pseudonymen Nutzung“ hätte ich mir etwas mehr Mut zum Konkreten gewünscht. Neben allgemeinen Hinweisen zum Regelungsinhalt verpassen die Autoren hier die offensichtliche Chance, einen Sachverhalt mal konkret anzupacken. So hätte z.B. zum seit langem bekannten Streit, ob Anbieter von Social Networks eine pseudonyme Nutzung erlauben müssen oder nicht, hier wunderbar Stellung genommen werden können. Das passiert leider nicht, oder es fehlte einfach der Mut. Schade.

Die Ausführungen zum Auskunftsanspruch sind gut brauchbar. Allerdings fehlt es an einer Stelle auch hier wieder an einem Abgleich mit der derzeitigen Praxis der Anbieter. So weisen die Autoren zu Recht darauf hin, dass der Auskunftsanspruch sich auch auf die personenbezogenen Daten erstreckt, die in Logfiles gespeichert sind. Bei der dann von den Autoren favorisierten (wenn auch nicht zwingenden) elektronischen Auskunftserteilung wird eine Auskunftserteilung im Hinblick auf personenbezogene Daten in Logfiles häufig scheitern, weil die protokollierenden IT-Systeme aus guten Gründen häufig von den Frontend-Systemen getrennt sind. Eine automatische Auskunftserteilung würde hier möglicherweise sogar zu IT-Sicherheitsrisiken führen können.

Der § 14 TMG wird dann von Professor Dr. Alexander Dix kommentiert. Hier geht es um die Verwendung von Bestandsdaten. Dabei handelt es sich eine ganz ordentliche Kommentierung, auch wenn zum Beispiel bei der Frage, ob dynamische IP-Adressen Bestands- oder Nutzungsdaten sind, nicht die aktuelle Rechtsprechung (vgl. BGH, Urteil v. 12.05.2010, Az. I ZR 121/0 – „Sommer unseres Lebens“ und vor allem BGH, Urteil vom 13. Januar 2011, Az. III ZR 146/10) genannt wird.

rossnagel_15_tmgBesonders hohe Erwartungen hatte ich dann an die Kommentierung des § 15 TMG. Diese ist von Professor Dr. Alexander Dix und Peter Schaar geschrieben worden. Nach einer allgemeinen Einführung in die Historie der Norm beschäftigen sich die Autoren dann schon bald mit der Zulässigkeit und Aufbewahrungsdauer von Logfiles. Die Autoren wenden sich gegen eine langfristige Speicherung von Protokolldateien, insbesondere wenn diese vollständige IP-Adressen beinhalten. In rechtlicher Hinsicht ist das diesbezüglich richtig, da vollständige IP-Adressen zumindest nicht für die Webanalyse benötigt werden. Die Autoren irren jedoch, wenn sie heute noch davon ausgehen, dass IP-Adressen eine Grundlage für Nutzungsprofile sind. Alle heutigen Webanalyse-Verfahren nutzen die IP-Adresse lediglich für Zwecke der Geolokalisierung. Die Profilbildung selbst erfolgt in der Regel über vergebene Identifikationsnummern (IDs) in z.B. Cookies.

Weitere Hinweise zur Kommentierung des § 15 TMG möchte ich mir lieber ersparen. Die Autoren haben leider die Chance verpasst, insbesondere die zuhauf vorkommenden Probleme bei der Anwendung des § 15 Abs. 3 TMG im Hinblick auf die Verwendung von Cookies, Tracking-Pixel, Conversion-Tracking, Targeting, Retargeting, Behavioral Targeting anzugehen.

Die Kommentierung des § 15 TMG ist leider von der Gewichtung her kaum mit den tatsächlich bestehenden Fragestellungen in Einklang zu bringen. Es fehlen konkrete Ausführungen zur möglicherweise bestehenden direkten Anwendung des „Cookie Law“ der ePrivacy-Richtlinie.

Und die Tatsache, dass nahezu alle reichweitenstarken Internetangebote heute ganz oder teilweise werbefinanziert und entsprechende Tracking- und Targeting-Technologien verwenden, wird allenfalls mit kleinen Pauschalaussagen erwähnt, ohne dass hier die hochkomplexen Probleme der Anwendung ansatzweise angegangen würden.

Ganz zu schweigen von neuen Trends wie Realtime-Bidding und Markplätzen für Interessenprofile von Nutzern….es findet sich eigentlich so gut wie nichts Handfestes zu diesen Fragestellungen.

Ich muss leider sagen, dass hier vielleicht doch zu merken ist, dass zumindest die Kommentierungen der Datenschutznormen des TMG nicht von Personen geschrieben wurden, die Kontakt zur alltäglichen Praxis bei Anbietern von Online-Services haben. Es ist immer spannend, wenn – wie hier – Mitarbeiter bzw. Leiter von Aufsichtsbehörden Kommentierungen schreiben, weil es insbesondere in der Praxis der anwaltlichen Beratung extrem hilfreich für die Risikoabschätzung und -minimierung sein kann. Wenn die fehlende Behandlung tatsächlich hochrelevanter Fragestellungen dann in einem Kommentar aber ausbleibt, ist das einerseits schade und andererseits bestätigt es ggf. das Vorurteil, dass bei Aufsichtsbehörden möglicherweise die tatsächlich bestehenden Probleme gar nicht bekannt sind. Vielleicht hat es auch einfach damit zu tun, dass das TMG nicht ansatzweise mehr in der Lage ist, die heute im Internet übliche arbeitsteilige Verarbeitung „in den Griff zu bekommen“.

Fazit: Ich bin mir relativ sicher, dass dieses Werk auch wieder als „Standardwerk“ bezeichnet werden wird. Und das mag auch zu Recht so sein. Ich bin allerdings – gerade bei einem Preis von 199,00 € – enttäuscht worden, was den Umfang, die Qualität und z.T. auch die Aktualität der Ausführungen angeht.

Ich würde mir sehr wünschen, dass es mal einen TMG-Kommentar von Praktikern gibt, die den Mut und die fachliche Kenntnis aufbringen, über das zu schreiben, was im TMG momentan für den Online-Bereich wirklich relevant ist.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.