Veröffentlicht am

Der Datenschutzbeauftragte – ein Rechtsdienstleister?

Bereits seit längerem fällt mir auf, dass als Datenschutzbeauftragte so genannte „IT-Consultants“ oder „erfahrene EDVler“ auftreten, die vor allem mit „langjähriger Erfahrung“ punkten möchten. Ich finde das soweit OK, zumal die mir bekannten Seminare der Szene alle recht Praxisnah sind und ein praktischer Datenschützer ist ein echter Gewinn für jedes Unternehmen.
Dennoch handelt es sich um keine (ausgebildeten) Juristen, was sicherlich kein Weltuntergang ist – gäbe es nicht das Rechtsdienstleistungsgesetz (hier als PDF). Zu Zeiten des Rechtsberatungsgesetzes fand ich die Lage zu kritisch, um es überhaupt anzusprechen, jetzt aber (wo sich in der Tat Möglichkeiten bieten), möchte ich es öffentlich problematisieren: Wie sieht es denn aus, wenn ein (zumindest externer) Datenschutzbeauftragter bestellt wird?

Möchte man den §5 RDG anwenden? Ich sehe das Problem, dass die konkrete Rechtsdienstleistung bei einem aktiven DSB alles andere als nur „Nebenleistung“ ist, vielmehr ist es m.E. Hauptleistung. Der §6 RDG wird regelmässig an der Unentgeltlichkeit scheitern, abgesehen davon, dass er zur konkreten Tätigkeit wieder eines Juristen bedarf (Absatz 2). Die §7-8 RDG werden im Regelfall ebenfalls nicht vorliegen, so dass nur die Registrierung nach §12 RDG i.V.m. der Verordnung zum RDG (PDF) verbleibt.

Auf die Schnelle – der Artikel ist jetzt quasi mit der „heissen Nadel“ gestrickt – würde ich sagen, man sollte entweder Rechtsanwalt sein, oder sich zumindest registrieren lassen. Wie sieht das die Leserschaft? Bitte nicht politisch motiviert für eine weite Auslegung des §5 RDG plädieren, sondern fundiert argumentieren.

Einige Argumente vorab: Das Argument für eine restriktive Auslegung wäre etwa, dass Datenschutz mehr als nur die technische Analyse ist und sicherlich auch viel mehr, als das reine Abarbeiten von Handbüchern oder Lesen von Kommentaren. Andererseits wäre vielen Juristen die technische Seite schon wieder zu viel und ein bezahlbarer Datenschutz, geschweige denn eine FIrmeninterne Lösung, wäre gar nicht möglich, was nicht im Sinne des §4f BDSG ist, der ja gerade eigene Merkmale mit „Sachkunde“ und „Zuverlässigkeit“ setzt. Das RDG nutzt ja dabei nicht nur ebenfalls diese Kriterien, sondern geht auf den Datenschutzbeauftragten gar nicht ein, was für eine losgelöste Betrachtung sprechen könnte. Oder will man die Tätigkeit des Datenschutzbeauftragten gar nicht als Rechtsdienstleistung inordnen und so das RDG ganz aushebeln? (Fände ich kritisch, da die Tätigkeit für mich eine klare Rechtsdienstleistung ist – man denke an die Anfragen Betroffener und die konkrete Anwendung von Rechtsnomen, die im Einzelfall erfolgt).

Veröffentlicht am

Weiterhin bewusste Verunsicherung der Bürger?

Bereits Anfang des Jahres wurde thematisiert, dass das BVerfG suggerierte, dessen Urteile würden einem Urheberrecht unterliegen. Nach wie vor bleibe ich bei meiner Meinung, dass das UrhG amtliche Dokumente wie z.B. Urteile ausdrücklich „frei gibt“. Sicherlich sind eventuell vorhandene Datenbanken in Ihrer Gesamtheit geschützt, so wie eventuell vorgenommene Formatierungen – der einzelne Text für sich aber steht, aus gutem Grund, frei zur Verfügung. Telemedicus meinte dazu zutreffend:

Das Gericht suggeriert, die Urheber- und Verwertungsrechte an den Urteilen zu besitzen und eine kommerzielle Nutzung ausschließen zu können. Das ist jedoch nicht der Fall.

Leider muss ich heute feststellen, dass man auch in Hessen versucht, anderes zu erklären. Dort findet sich in der Rechtsprechungsdatenbank folgender Hinweis:

Der kostenfreie Abruf der Entscheidungen zur eigenen Information – einschließlich der Nutzung zur individuellen Rechtsberatung, insbesondere durch Rechtsanwälte – ist zulässig. Nicht gestattet ist die Weiterverarbeitung zur darüber hinausgehenden gewerblichen Nutzung und die Nutzung, die nicht ausschließlich zur eigenen Information bestimmt ist.

Das ist meines Erachtens nicht nur falsch, sondern schlichtweg unverschämt.

Veröffentlicht am
Veröffentlicht am

Konsequenz aus IPs als personenbezogenen Daten

Auch wenn ich es erfreulich finde, dass durch die YouTube/Viacom-Geschichte Bewegung in die Einordnung von IPs als personenbezogenes Datum kommt, muss ich nun eine Warnung aussprechen: Wer (so wie ich) dieser Meinung ist, muss die rechtlichen Probleme sehen, die danach kommen.

Wenn die IP nämlich ein personenbezogenes Datum ist, und somit entsprechend §13 TMG einer Einwilligung des Betroffenen zur Erhebung und Übermittlung bedarf, gibt es einige Probleme (die ich schon in meinem ersten Artikel zum Thema dargelegt habe):

  1. Javascripts von externen Servern zu laden, etwa um Werbung oder Analysetools einzubinden, wird nicht mehr möglich sein,
  2. das Einbinden externer Inhalte ist sogar generell nicht ohne weiteres möglich: Nichtmal Bilder darf man von externen Servern her ohne Einwilligung laden, da somit immer die IP des Nutzers an einen Dritten übermittelt wird – ob der das in seinen Logfiles speichert ist nebensächlich, da die Übermittlung in jedem Fall stattfindet!

Dass das nicht Sinn der Sache sein kann liegt auf der Hand, daher plädiere ich seit langem dafür, das Problem schon jetzt anzugehen. Einer meiner Vorschläge ist eine extensive Auslegung des §11 III TMG, der privilegierungen für „Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen“ vorsieht – ich subsumiere hier problemlos nicht nur einen Mailserver, sondern auch einen Webserver, so dass das Einbinden externer Inhalte kein Problem wäre.

Man muss dies nicht unbedingt begrüßen, doch vergrössert sich inzwischen zunehmend der Zwang, sich dieser Frage zu stellen. Solche Ansätze vermisse ich zur Zeit ganz.

Veröffentlicht am

Landesrundfunkanstalt oder Stasi?

Ich hatte schon im September 2007 was dazu geschrieben, inzwischen wurde der 10. Rundfunkstaatsänderungsvertrag unterzeichnet und wird bald in Kraft treten. Zwar gibt es dazu einige besprechungen, aber kaum einer hat sich um den ominösen neuen §8 IV des Rundfunkgebührenstaatsvertrages gekümmert. Der aber Beachtung verdient, gibt er durch Zugriff auf Kundendateien, frei dem Motto: Wer einen Fernseher kauft, bekommt Post. Unangenehme Post.

Landesrundfunkanstalt oder Stasi? weiterlesen

Veröffentlicht am

IPs anonymisieren in der Praxis

Icon - Server und IDZunehmend setzt sich die Ansicht durch, dass IPs als personenbezogenes Datum zu sehen sind – dazu früher hier. Die ältere Ansicht, eine IP sei ein „relativ personenbezogenes Datum“ ist schon lange nicht mehr h.M., absehbar, dass in naher Zukunft die ohnehin schon überwiegend vertretene Meinung der anderen Seite bald beherrschend ist.

Damit ergeben sich für Webmaster ganz praktische Probleme: Wie speichert man denn keine IPs bzw. wie anonymisiert man diese?

Update: Aus aktuellem Anlaß habe ich den Artikel nochmals „nach oben“ geholt.

IPs anonymisieren in der Praxis weiterlesen

Veröffentlicht am

Vorlage nach §35 BDSG auf Auskunft und Löschung (Update)

IITR Information[IITR] Jeder kennt es, viele hassen es: Da trudelt unerwünschte Werbung mit der Post ins Haus, am liebsten gleich im Paket mit mehreren Sendungen. Wer „richtig“ erfasst ist, bekommt das sogar täglich. Ich habe festgestellt, dass ein hartnäckiges und konsequentes Pochen auf die Rechte aus § 34, § 35 BDSG hier eine Wohltat sein kann – nach nicht einmal einem Jahr erhalte ich nun faktisch keine Werbung mehr. Ich möchte hier das Musterschreiben zum Download stellen.

Vorlage nach §35 BDSG auf Auskunft und Löschung (Update) weiterlesen

Veröffentlicht am

Strafbarkeit des „Schwarz-Surfens“ im ungesicherten WLAN (Update)

Erst jetzt wird ein Urteil des AG Wuppertal (22 Ds 70 Js 6906/06, nachzulesen in NStZ 3/2008, Seite 161) bekannt, das das so genannte Schwarz-Surfen unter Strafe gestellt hat. Das Besondere dabei: Einerseits handelte es sich um ein unverschlüssltes WLAN, andererseits wurden auch Datenschutzrechtliche Regelungen herangezogen. Das Urteil verdient Beachtung wie Kritik.

Hinweis: Heise hat das nach meinem Hinweis aufgenommen, leider ohne Backlink – was zu erwarten war.

Strafbarkeit des „Schwarz-Surfens“ im ungesicherten WLAN (Update) weiterlesen

Veröffentlicht am

Datenschützer veröffentlichen Vorgaben für Portalbetreiber

Die obersten Aufsichtsbehörden für den Datenschutz in der Wirtschaft haben erstmals Leitlinien für Betreiber von sozialen Netzwerken sowie von Bewertungsportalen veröffentlicht. Zwei entsprechende Beschlüsse sind das Resultat ihrer zweitägigen Sitzung in Wiesbaden.

Download hier: Datenschutz & Internetportale

Ausführungen dazu gibt es hier bei Heise, ich selbst teile bereits seit 2007 die Einschätzung, dass Angebote wie Spickmich.de als „Auskunfteien“ zu betrachten sind und entsprechend das Datenschutzrecht anzuwenden ist.

Veröffentlicht am