Drucksache 17/5200
– 44 –
Das Unternehmen rechtfertigte die Datenerhebung damit,
es habe die Standorte der WLAN-Netzes erhoben, um
diese Geoinformationen später zur Bereitstellung von Ortungsdiensten (vgl. hierzu Nr. 6.2) zu verwenden.
Die Rechtmäßigkeit des „WLAN-Scannings“ ist umstritten, da es sich bei den erhobenen Daten teilweise auch um
personenbeziehbare Informationen handelt. So werden in
dem Datensatz zu einem WLAN-Netz unter anderem die
eindeutige MAC-Adresse des WLAN-Routers, die SSID
(die frei wählbare Bezeichnung des WLAN-Netzes), die
Feldstärke des Signals sowie die Information, ob es sich
um ein verschlüsseltes oder unverschlüsseltes Netz handelt, erfasst. Gerade bei der SSID, bei der einige Netzwerkbetreiber ihren Namen und teilweise sogar ihre
Adressdaten angeben, kann es sich um ein Datum mit eindeutigem Personenbezug handeln. Aber auch die
MAC-Adresse im Zusammenhang mit den Geokoordinaten des Standortes und der Feldstärke ist geeignet, ein
WLAN-Netz einer ganz konkreten Adresse zuzuordnen.
Gerade in nicht so stark besiedelten Gebieten weist ein erfasstes WLAN-Netz Personenbezug auf. Gemeinsam mit
meinen europäischen Kollegen bin ich daher der Auffassung, dass ein „WLAN-Scanning“ die Einwilligung der
erfassten WLAN-Netzbetreiber erfordert.
Unter keinen Umständen dürfen aber „Payload-Data“, also
Inhaltsdaten, die über das WLAN-Netz verschickt und
empfangen werden, erhoben werden. Solche Daten, die
von den WLAN-Scannern immer dann miterfasst werden
können, wenn das Netz nicht durch eine Verschlüsselung
gesichert wurde, fallen unter das Fernmeldegeheimnis und
unterliegen dem Schutz des Grundgesetzes. Eine heimliche Erhebung derartiger Informationen ist somit grundsätzlich strafrechtlich sanktionierbar.
Nachdem Google zunächst abgestritten hatte, derartige
Inhaltsdaten aus WLAN-Netzen zu erheben, haben Datenschutzbehörden festgestellt, dass sehr wohl, und zwar
in erheblichem Umfang, entsprechende Daten erfasst und
gespeichert wurden. Die gespeicherten Daten umfassten
z. T. Kennungen, Passwörter und andere sensible Informationen. Erneut bestätigte das Unternehmen erst im Anschluss an diese Feststellungen den Sachverhalt und entschuldigte sich öffentlich für die heimliche Erhebung.
In dieser Angelegenheit hat die Staatsanwaltschaft in
Hamburg ein Ermittlungsverfahren gegen Google eingeleitet.
Ich halte es für skandalös, wie der weltweit führende Internetkonzern hier agiert hat. Offenbar war er der Auffassung, dass die ansonsten von ihm propagierte Offenheit
und Datentransparenz nicht für die eigenen Praktiken gilt.
4.1.3
Selbstregulierung oder Gesetz? – Ein
neuer Rechtsrahmen für
Geodatendienste
Beim Datenschutz für Internetdienste setzt der Bundesinnenminister auf die Selbstregulierung der Wirtschaft. Der
Gesetzgeber soll sich auf die Formulierung „roter Linien“ beschränken. Zweifel sind angebracht, ob damit
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
den Datenschutzerfordernissen ausreichend Rechnung
getragen werden kann.
Auf die anhaltenden öffentlichen Diskussionen über den
Dienst Street View (vgl. Nr. 4.1.1) hat die Bundesregierung mit politischen Aktivitäten reagiert. In einem Spitzengespräch mit Vertretern aus Wirtschaft, Politik, Datenschutzbehörden und Verwaltung am 20. September 2010
(vgl. a. Nr. 1) hat der Bundesminister des Innern vorgeschlagen, die Internetwirtschaft solle im Wege der Selbstregulierung einen Datenschutz-Kodex zum Umgang mit
personenbezogenen Geoinformationen vorlegen und mit
den Datenschutzbehörden abstimmen. Sofern dieser Kodex bestimmte Bedingungen erfülle, könne sich der Gesetzgeber nach Ansicht des BMI darauf beschränken, als
eine „rote Linie“ die Mindestbedingungen für den Umgang mit solchen Daten festzulegen, um schwerwiegende
Beeinträchtigungen des Persönlichkeitsrechts zu unterbinden. Insbesondere sei ein allgemeines Widerspruchsrecht gegen die Veröffentlichung personenbezogener Daten im Internet nicht erforderlich.
Ich stehe – ebenso wie meine Kollegen in den Ländern –
einem solchen Ansatz skeptisch gegenüber. Ich sehe den
Gesetzgeber in der Pflicht, selbst für einen angemessenen
Schutz des Persönlichkeitsrechts im Internet und damit
auch beim Umgang mit personenbezogenen Geodaten zu
sorgen. Hierzu gehört auch die Einführung eines allgemeinen Widerspruchsrechts gegen eine Veröffentlichung
personenbezogener Daten im Internet.
Sofern an dem Regelungsmodell festgehalten werden soll,
muss ein Datenschutz-Kodex einige Mindestanforderungen wie das allgemeine Widerspruchsrecht berücksichtigen. Vor allem muss ein solcher Kodex für alle Unternehmen verbindlich sein und von den Aufsichtsbehörden auch
durchgesetzt werden können (vgl. Kasten zu Nr. 4.1.3).
Der Branchenverband BITKOM hat am 1. Dezember 2010
den Entwurf eines Geodaten-Kodexes vorgelegt. Am
gleichen Tage hat der Bundesminister des Innern seine
Vorstellungen eines Gesetzes über die Mindestanforderungen („rote Linie“) öffentlich bekanntgegeben. Der
Entwurf von BITKOM beschränkt sich auf die Veröffentlichung von Panoramaaufnahmen, gilt also nicht allgemein für die Veröffentlichung personenbezogener Daten
im Internet. Er sieht ein allgemeines Widerspruchsrecht
nach der Veröffentlichung von Bildern sowie die Einrichtung eines zentralen Portals vor, das für die Einlegung der
Widersprüche genutzt werden kann. Die Möglichkeit des
Vorab-Widerspruchs ist bislang nicht berücksichtigt. Der
Entwurf enthält Sanktionen für Verstöße gegen den Kodex, ist aber nur für dessen Unterzeichner verbindlich.
Die Vorschläge des BMI zielen – anders als der Entwurf
von BITKOM – auch auf andere Internetdienste ab, beschränken sich allerdings auf schwerwiegende Eingriffe in
das Persönlichkeitsrecht. Demnach sollen (nur) solche
Veröffentlichungen personenbezogener Daten im Internet
unzulässig sein, die einen besonders schwerwiegenden
Eingriff darstellen, z. B. Daten, aus denen sich umfangreiche Persönlichkeits- oder Bewegungsprofile ergeben können, ehrverletzende Informationen oder andere besonders