Drucksache 16/12600
7.9
– 96 –
Von der Schwierigkeit, Gesetze
anzuwenden, am Beispiel des
Telemediengesetzes
Durch den Einsatz von immer mehr Technik entstehen fast
zwangsläufig immer mehr Daten, die eigentlich nur für
die technische Durchführung benötigt werden, sich aber
auch für ganz andere Zwecke eignen. Wie weit eine
Zweckentfremdung gehen darf, hat der Gesetzgeber festzulegen. Das Telemediengesetz enthält strenge Regelungen zur Verwendung der Nutzungsdaten, die aber oft im
Sinne von „praxisrelevanten Erwägungen“ weit ausgelegt werden.
Das Telemediengesetz setzt dem Anbieter einer Website
für die Verwendbarkeit der technischen Nutzungsdaten
(Protokolldaten), die der Nutzer beim Besuch eines Internet-Angebots hinterlässt, enge Grenzen. Erlaubt ist ihm
danach die Verarbeitung für die technische Durchführung
des Dienstes und für Abrechnungszwecke. Darüber hinaus dürfen die Nutzungsdaten im Einzelfall nur dann verwendet werden, wenn zu dokumentierende tatsächliche
Anhaltspunkte für eine Leistungserschleichung vorliegen.
Eine Verarbeitungsbefugnis für Datensicherheitszwecke
oder – vorsorglich – für Strafverfolgungszwecke besteht
nicht. Ebenso wenig zulässig ist die von einer Vielzahl
der Website-Anbieter durchgeführte statistische Auswertung der Nutzungsdaten, da hierbei die IP-Adressen der
Besucher, die als personenbezogene Daten anzusehen
sind, verwendet werden.
Die Praxis vieler Anbieter steht im Widerspruch zu diesen strengen gesetzlichen Vorgaben. So speichern und
verwenden manche Anbieter Nutzungsdaten zu Datensicherheitszwecken und für statistische Auswertungen.
Vorschläge, das Problem dadurch zu lösen, dass man IPAdressen kurzerhand zu nicht personenbezogenen Daten
erklärt, was dann für die gesamten Nutzungsdaten gelten
würde, hätte fatale datenschutzrechtliche Konsequenzen.
Damit wäre jede beliebige Verwendung der Nutzungsdaten unabhängig von der Zweckbestimmung für den Anbieter und letztlich sogar für jedermann möglich (vgl.
Nr. 7.11). Unter Verwendung der beim Zugangsprovider
vorhandenen Informationen ist jedoch immer ein Personenbezug herstellbar. Ebenso, wenn von einem InternetAnbieter formularmäßig auch persönliche Daten, z. B. bei
einer Bestellung, erhoben werden. Allein schon aus diesen Gründen sind IP-Adressen im Regelfall als personenbezogene Daten anzusehen. Dafür spricht aber vor allem,
dass Strafverfolgungsbehörden gerade die IP-Adressen,
die bei Internet-Anbietern anfallen, dazu verwenden, die
Identität mutmaßlicher Täter zu ermitteln (s. u. Nr. 7.10).
Ich habe im Jahr 2008 eine Umfrage bei den Bundesbehörden durchgeführt, um einen Eindruck über die dortige
Speicherungspraxis bezüglich der Internet-Nutzungsdaten zu gewinnen. Anlass war das Urteil des Amtsgerichts
Berlin-Mitte vom 27. März 2007 (5 C 314/06) – bestätigt
durch das Landgericht Berlin als Berufungsinstanz durch
Urteil vom 6. September 2007 (23 S 3/07) –, das dem
Bundesministerium der Justiz untersagt, Nutzungsdaten
über das Ende des Nutzungsvorgangs hinaus zu speichern. Meine Umfrage umfasste auch die Frage, ob und
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
wie die Bundesbehörden statistische Auswertungen der
Zugriffe auf ihre Websites durchführen. Das Ergebnis ist
in jeder Hinsicht gemischt: Einige Behörden verzichten
ganz auf die Speicherung der Nutzungsdaten, andere führen Datensicherheitsgründe für ein teils mehrmonatiges
Vorhalten der Protokolldaten an. In vielen Fällen werden
statistische Untersuchungen durchgeführt, um das Angebot zu optimieren. Nur in wenigen Fällen stehen Gesetz
und Praxis in Einklang.
Angesichts dieser Situation halte ich einen verbindlichen
Leitfaden zur rechtskonformen Verarbeitung von Nutzungsdaten für die Bundesbehörden für erforderlich.
Unabhängig davon gibt es Bestrebungen, das Telemediengesetz zu ändern und eine dem Telekommunikationsgesetz entsprechende Regelung aufzunehmen, die eine
Verarbeitung der Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen und Fehlern“ erlaubt. Ich bin von der Notwendigkeit einer zusätzlichen
Speicherung nicht überzeugt. Zunächst ist zu prüfen, ob
nicht bereits verwendete, erforderlichenfalls zu optimierende Mittel (Firewalls) zur Verhinderung und Abwehr
von Angriffen genügen.
Was die Verarbeitung für statistische Zwecke betrifft, soll
jedoch alles beim Alten bleiben. Deshalb kann ich den
Website-Anbietern nur raten, die Nutzungsdaten vor der
Auswertung in geeigneter Weise zu anonymisieren, wie
das auch bei den Besucherdaten meiner eigenen Website
geschieht. Auch wenn dadurch das Ergebnis der Auswertung ein wenig verzerrt wird, reichen die anonymen Daten zur Optimierung des Internet-Angebots aus.
7.10
Homepage-Überwachung durch das
Bundeskriminalamt
Das BKA hat die Zugriffe auf veröffentlichte Fahndungsausschreibungen auf seiner Website erfasst. Die Maßnahme wurde inzwischen eingestellt, da ich das BMI und
das BMJ von der Rechtswidrigkeit der Erhebung überzeugen konnte.
Im Berichtszeitraum habe ich geprüft, in welcher Weise
das BKA das Internet zur Erfüllung seiner Aufgaben
nutzt. Dabei habe ich u. a. festgestellt, dass es die Erfassung der Zugriffe auf Fahndungsausschreibungen, die auf
seiner Website im Zusammenhang mit ungeklärten Straftaten veröffentlicht werden, als neue Fahndungsmaßnahme entwickelt hat.
Diese sog. Homepage-Überwachung zielte darauf ab, diejenigen Internet-Nutzer zu identifizieren, die die entsprechenden Fahndungsseiten häufiger aufrufen und sich damit offensichtlich intensiver als der Durchschnittsnutzer
über den Fortgang der Ermittlungen informieren. Nach
Darlegung des BKA habe die kriminalistische Erfahrung
gelehrt, dass sich Täter bei manchen Straftaten, insbesondere bei Delikten von großem öffentlichem Interesse, regelmäßig über den Fortgang der Ermittlungen informiert
haben.
Bei der Homepage-Überwachung werden Zugriffe auf
Fahndungsseiten auf dem Webserver des BKA mit einem