SAY-HO!

Ich hatte schon einmal hier in der gebotenen Kürze über den Start von yasni, einer sog. Personensuchmaschine geschrieben. Ich muss zunächst darauf hinweisen, dass ich die yasni GmbH aus Frankfurt a.M. rechtlich berate und darüber hinaus auch externer Datenschutzbeauftragter der yasni GmbH bin. Meine Äußerungen hier stellen meine persönliche Meinung und nicht zwingend die Meinung der vertretungsberechtigten Personen der yasni GmbH dar. Dieser Beitrag ist schon seit langer Zeit geplant, um etwas zur Diskussion um sog. „Personensuchmaschinen“ und deren rechtlicher Zulässigkeit beizutragen. Und schließlich fragt sich vielleicht der eine oder andere auch, wieso gerade ich die Betreiber einer “Personensuchmaschine” rechtlich berate.In diesem Zusammenhang zunächst etwas zum Hintergrund. Vor einiger Zeit hat sich yasni an mich gewandt und mich gefragt, ob ich bereit wäre, die yasni GmbH rechtlich hinsichtlich des Aufbaus einer “Personensuchmaschine” zu beraten. Wie man heute weiß, habe ich “Ja” gesagt. Das mag dem einen oder anderen, der mich als “Datenschützer” kennt, vielleicht etwas komisch vorkommen. Ich habe mir die Entscheidung auch nicht leicht gemacht. Es ist das Eine, eine „Personensuchmaschine“ in einer bestimmten Ausgestaltung für rechtlich zulässig zu halten; es ist noch etwas Anderes, dies auch in Form einer Stellung als rechtlicher Berater offen kund zu tun. Ausschlaggebend für meine Zusage war, dass die yasni GmbH sich bereit erklärt hat, meine Anforderungen umzusetzen (soweit das nicht bereits schon erfolgt war) und sich außerdem bereit erklärt hat, das Thema Datenschutz proaktiv (schreckliches Wort - aber mir fällt gerade kein Besseres ein) anzugehen. Natürlich besteht auch für mich ein kleines Risiko, dass es in “Datenschutzkreisen” nicht gut ankommt, wenn ich mich für eine “Personensuchmaschine” engagiere bzw. eine solche berate. Das war jedoch nicht wirklich für mich ausschlaggebend. Ich habe kein Problem damit, mich solchen Diskussionen zu stellen. Ein weiterer ganz elementarer Punkt für mich war, dass niemand das Entstehen oder die Existenz von sog. Personensuchmaschinen verhindern wird.

Mich erinnert diese These ganz gut an das Jahr 1999, das Jahr, in dem ich das erste Mal Dr. Helmut Bäumler in Kiel kennenlernte, den damaligen schleswig-holsteinischen Landesdatenschutzbeauftragten. Wer ihn kennt, weiß, dass er eine sehr beeindruckende Persönlichkeit und ein Visionär ist. Ich kannte zuvor nur Landesdatenschutzbeauftragte oder Mitarbeiter dieser Behörden als eher bürokratisch angehaucht und empfand diese - mit Verlaub - als leicht angestaubt (Thilo Weichert, der damals noch in Hannover arbeitete, war allerdings schon damals eine Ausnahme). Allerdings konnte ich mir damals wohl sicher auch noch kein Urteil erlauben, es war mehr ein Gefühl. Helmut Bäumler und seine Dienststelle, das heutige ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein), waren ein erfrischender Kontrast zu diesem “Gefühl”. Bäumler war eine prägende Person in der Umorientierung des Datenschutzes in Deutschland von einem ordnungsbehördlichen (Überwachung von Verstößen und ggf. Ahndung) zu einem gestaltenden, präventiven Ansatz. Ein wesentlicher Aspekt war die Erkenntnis, dass Datenschutzrecht in einer vernetzten Welt die Entwicklung und Einführung neue Technologien nicht verhindern wird. Warum also nicht viel früher ansetzen und versuchen, Technik mitzugestalten und so datenschutzfreundlicher zu machen? Dieser Ansatz hat sich m.E. bewährt und das ULD ist heute eine Dienststelle, in der neben Juristen insbesondere hochqualifizierte Techniker arbeiten, die versuchen, Datenschutz nicht nur im Land Schleswig-Holstein, nicht nur bundesweit, nicht nur EU-weit, sondern weltweit mitzugestalten. Dieser Ansatz ist zwar schon damals z.T. kritisiert worden, aber er hat sich doch bewährt und vor allem auch gelohnt.Meine Entscheidung, die rechtliche Beratung von yasni bei der Einführung einer „Personensuchmaschine“ zu übernehmen, fußt auf einem ähnlichen Ansatz.

Ich bin davon überzeugt, dass es „Personensuchmaschinen“ geben wird. Ob man sie nun will oder nicht, und ob man sie nun in Deutschland für rechtlich zulässig hält oder nicht. Das Internet und die darüber verfügbaren Informationen machen keinen Halt vor Staatsgrenzen, und es wäre blauäugig zu meinen, dass ein US-Unternehmen oder ein Unternehmen eines x-beliebigen Kleinstaates, sich an die datenschutzrechtlichen Regelungen der Bundesrepublik Deutschland hält (wenn es denn klare Regelungen in diesem Bereich geben würde). Ich halte es dann doch für besser, den Anbieter einer „Personensuchmaschine“ rechtlich dahingehend zu beraten, dass die deutschen Gesetze eingehalten werden.

Im Übrigen haben wir schon lange vor sog. “Personensuchmaschinen” Suchmaschinen gehabt, mit denen nach Personen gesucht werden konnte. Ein nicht unwesentlicher Teil der Suchbegriffe, die in Internetsuchmaschinen, eingegeben werden beziehen sich auf Namen von Personen. Im Falle von yasni stellen sich die rechtlichen Grundfragen (im Gegensatz zu anderen „Personensuchmaschinen“, die ohne Kenntnis des Betroffenen Profile bilden) denn auch nicht anders als bei herkömmlichen Suchmaschinen wie Google, Yahoo und wie sie alle heißen. Und schon heute suchen Menschen in erheblichem Umfang nach Personen im Internet. Im geschäftlichen Bereich kenne ich kaum Personen, die nicht vor einem Meeting mit einer bisher nicht persönlich bekannten Person, versuchen (wenn die Zeit da ist) entweder bei Google oder vor allem auch bei XING (viele meinen ja, dass XING im Wesentlichen auch eine „Personensuchmaschine“ ist, und da ist IMHO etwas dran, auch wenn der Terminus technicus vielleicht nicht ganz zutreffend ist) Informationen über die Person zu erhalten. Daran ist nicht Schlimmes zu finden, es ist letztlich eine Form von gebräuchlichem Sozialverhalten. yasni macht im Prinzip erst einmal nichts anderes als eine Suchmaschine wie Google. Es werden allgemein zugängliche Quellen auf einen Suchbegriff, der aus einem Vor- und einem Nachnamen besteht, abgefragt und Ergebnisse ausgegeben.

Wie ist nun eine Suchmaschine datenschutzrechtlich zu beurteilen? Einschlägige Literatur gibt es zu dieser Frage nicht. Zumindest habe ich keine brauchbare gefunden. Das Einzige, was derzeit in diesem Zusammenhang herumschwirrt, sind die Vortragsfolien von Thilo Weichert, dem derzeitigen schleswig-holsteinischen Landesbeauftragten (den ich sehr schätze) und Leiter des ULD, der auf dem diesjährigen SuMa-eV Kongress 2007 mit seinem Vortrag (Powerpoint-Folien) für Wirbel gesorgt hat. Ansonsten gibt es massig Literatur und Rechtsprechung zur marken- und wettbewerbsrechtlichen Fragen von Suchmaschinen (aber eben sehr sehr wenig zu Datenschutzfragen). Wer also aktuell ein Thema für eine Doktorarbeit im Bereich Datenschutzrecht sucht, kann hier im Datenschutzrecht fündig werden. Und es dürfte ein interessantes Thema sein, da die bestehende rechtswissenschaftliche Literatur dieses Thema noch gar nicht “beackert” oder gar verstanden hat und es sehr interessante “Konflikte” mit dem Grundrecht auf Informationsfreiheit i.S.d. Art. 5 Abs. 1 des Grundgesetzes gibt, die m.W. bis heute nicht bzw. noch nicht ausreichend wissenschaftlich untersucht wurden.

Eine Suchmaschine ist i.d.R. ein Telemediendienst, für den das Telemediengesetz (TMG) als bereichsspezifische Rechtsvorschrift Anwendung findet. Im TMG wird jedoch primär das Anbieter-Nutzerverhältnis datenschutzrechtlich geregelt, nicht jedoch die Frage, ob und inwieweit das Betreiben einer Suchmaschine, also das Durchsuchen des Internets und die Ausgabe von Suchergebnissen, die hier zunächst primär beantworten werden soll, zulässig ist. Sofern im Rahmen einer Suche über eine Suchmaschine auch personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist auch das Bundesdatenschutzgesetz (BDSG) subsidiär anwendbar. Sofern wir von dem Regelfall ausgehen, dass der Betreiber der Suchmaschine ein Unternehmen, also eine nichtöffentliche Stelle ist, sind die §§ 28 ff. BDSG als mögliche Rechtsgrundlagen für eine entsprechende Datenverarbeitung durch die Suchmaschine einschlägig. § 28 BDSG regelt die Datenverarbeitung von Unternehmen für eigene Zwecke und § 29 BDSG regelt die geschäftsmäßige Erhebung und Speicherung von Daten für Zwecke der Übermittlung. Nach den spärlichen Äußerungen von Juristen, gehen viele offenbar davon aus, dass § 29 BDSG für Suchmaschinen einschlägig sei. Allerdings passt § 29 BDSG nicht ganz für den Fall einer Suchmaschine, zumindest nicht für jede. Daher gehe ich vorläufig im Falle von yasni auch eher davon aus, dass § 28 BDSG einschlägig sein dürfte. Wissen tut dies derzeit jedoch keiner.

Die Abgrenzung zwischen § 28 BDSG und § 29 BDSG ist äußerst schwierig, was vorrangig damit zu tun hat, dass die beiden Normen nicht viel taugen und zudem nicht an die technische Entwicklung angepasst sind. Sie stammen aus einer Zeit, in der es Dinge wie Suchmaschinen u.ä. in dieser Form noch nicht bzw. noch nicht so verbreitet gab. Die Juristen können sich bezüglich des Suchmaschinenthemas jedoch einer “Krücke” behelfen, da es hinsichtlich der Erhebung, Verarbeitung und Nutzung allgemein zugänglicher Daten sich ähnelnde Regelungen gibt: Allgemein zugängliche Daten dürfen erhoben, verarbeitet und genutzt werden, es sei denn, dass das schutzwürdige Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung offensichtlich überwiegt.

Der Gesetzgeber vermutet also, dass die Interessen der - in diesem Fall - Suchmaschine für die Übermittlung der Daten an den Suchenden erst einmal überwiegen und die Verarbeitung somit zulässig ist. Es gibt in der rechtswissenschaftlichen Literatur einen Streit darüber, ob stets eine Interessenabwägung im Einzelfall notwendig ist. Dazu gibt es dann Stimmen, die dies zwar bei § 28 BDSG, nicht aber bei § 29 BDSG für notwendig halten und meinen, dies durch eine Auslegung begründen zu können. Ich meine, dass dies unter Berücksichtigung heutiger informationstechnischer Abläufe zumindest bei Daten, die allgemein zugänglich sind, nicht möglich oder nur in bestimmten Konstellationen möglich ist. Und es ist eben etwas Anderes, allgemein zugängliche Daten für eine Internetsuchmaschine zu verwenden oder allgemein zugängliche Daten dergestalt zu aggregieren und zu nutzen, dass neue Informationen aus diesen vorhandenen Informationen entstehen (z.B. meine Kreditwürdigkeit, die sich je nach Wohnlage oder Straße meines Wohnsitzes verändern kann). Letzteres macht jedoch weder Google als Suchmaschine noch yasni als “Personensuchmaschine”. Bei einer Internetsuchmaschine eine Interessenabwägung stets für notwendig zu halten, lässt sich weder aus dem Gesetz ableiten, noch ist es praktikabel (was natürlich kein unbedingt zulässiges juristisches Argument ist - trotzdem muss Recht sich auch an Realität orientieren). Ich meine schon, dass es eine Abwägung im Einzelfall geben muss, wenn z.B. ein Betroffener darlegen kann, in seinen Rechten verletzt zu sein. Dies sind dann jedoch stets Einzelfallprüfungen und Ausnahmefälle.

In keiner der bisherigen Einwendungen, die bei yasni nach meiner Kenntnis eingegangen sind, sind schutzwürdige Interessen der Betroffenen dargelegt worden, die das Interesse der Verarbeitung allgemein zugänglicher Daten durch eine Suchmaschine offensichtlich überwiegen. Schwerpunktmäßig kamen bis jetzt Beschwerden wegen der Veröffentlichung von Daten aus Amazon-Wunschzetteln und allgemeine “Anträge” auf Sperrung von Namen aus der Suchmaschine yasni. Auch wenn die Eingaben z.T. nachvollziehbar waren, gab es bis jetzt nicht eine einzige Eingabe, die Anlass dazu gegeben hätte, die Interessenabwägung zwischen der berechtigten Verarbeitung allgemein zugänglicher Daten und einem schutzwürdigen Interesse des Betroffenen zugunsten des Betroffenen ausfallen zu lassen. Ein Teil der Beschwerden bezog sich auf die Ausgabe von Ergebnissen aus Amazon-Wunschzetteln. Diese Funktionalität von yasni ist nicht unumstritten. Aus eigener persönlicher Erfahrung kann ich berichten, dass ich beim Testen der ersten Alpha-Versionen von yasni auch erstaunt war, dass gleich drei Amazon-Wunschzettel zu meiner Person ausgegeben wurde, von denen ich gerade einen kannte bzw. mich nur noch an diesen erinnern konnte. Ein Wunschzettel war offensichtlich aus den 90er-Jahren. Zumindest ließen dies die Einträge erahnen. Da ich keine Möglichkeit mehr hatte, diesen Wunschzettel mit eigenen Bordmitteln zu löschen (ich wusste nicht mal mehr, welche E-Mail-Adresse für den Account genutzt wurde….war das noch Germanynet?), habe ich mit Amazon Kontakt aufgenommen und eine Löschung des Wunschzettels erreicht. Mir war klar, dass ich den Wunschzettel bei Amazon löschen muss, wenn ich verhindern möchte, dass Dritte auf die völlig veralteten Inhalte zugreifen können. Eine Sperrung bei einer Suchmaschine wie yasni würde da wenig weiterhelfen. Die Daten wäre ja weiterhin frei verfügbar. Wie dem auch sei. Wenn Nutzer von Amazon auf Amazon.de einen Wunschzettel anlegen, haben Sie die Möglichkeit zu bestimmen, ob der Wunschzettel für jeden, der nach dem Nutzer sucht, nur ihm selbst oder für einzeln freigegebene Personen angezeigt werden soll. yasni liefert nur Ergebnisse zu Wunschzetteln von Personen, die bei Amazon die Einstellung vorgenommen haben, dass der Wunschzettel jedem, der nach ihm sucht, angezeigt werden soll. Unter diesen Umständen kann ein offensichtlich überwiegendes Interesse des Betroffenen auf Sperrung dieser Inhalte bei yasni nicht angenommen werden. Die andere Fallgruppe der Eingaben sind allgemeine Sperrungswünsche. Personen wünschen, dass keinerlei Inhalte zum eigenen Namen oder bestimmte Inhalte nicht zu Ihrem Namen ausgegeben werden. Auch in diesen Fällen hat yasni lediglich allgemein zugängliche Daten dargestellt. Zu einem großen Teil basieren die Informationen auf Websites der User selbst, die frei recherchierbar und über das Internet zugänglich sind. In diesen Fällen kann man ebenfalls kein offensichtlich überwiegendes Interesse der Betroffenen an einer Sperrung bzw. Nichtanzeige von Inhalten bei yasni erkennen. Die Informationen sind vielmehr mit ausdrücklichem Willen und Kenntnis der Betroffenen allgemein zugänglich gemacht worden. In praktischer Hinsicht wäre die Sperrung der Ausgabe von Suchergebnissen zu bestimmten Namen auch nicht durchführbar. Hintergrund hierfür ist das Problem der Gleichnamigkeit. Es gibt nur wenige Namen weltweit, die einmalig sind. Da yasni bei der Recherche nicht Gleichnamige unterscheiden kann, kann eine Sperrung praktisch nicht erfolgen. Denkbar wäre theoretisch eine Blacklist mit gesperrten URLs. Damit würde dem Datenschutz jedoch auch im Sinne des Betroffenen nicht unbedingt gedient werden, da schon eine Sperrliste mit entsprechenden URLs die Bildung eines Persönlichkeitsprofils über den Betroffenen bedeuten könnte, was der Betroffene ja häufig auch gerade nicht will.

Es ist nicht gänzlich undenkbar, dass es Fälle gibt, in denen eine „Personensuchmaschine“ die Ausgabe von Suchergebnissen verhindern muss. Dies dürften jedoch nur ganz bestimmte Fallkonstellationen sein, in denen zudem eine Geltendmachung von Rechten bei der Primärquelle noch nicht durchgesetzt ist. Ansonsten erledigt sich das Problem mit dem Entfernen von Inhalten auf der Primärquelle von selbst. yasni bietet Nutzern jedoch gerade für die Fälle der Gleichnamigkeit oder für unzutreffende Inhalte die Möglichkeit, sich über die Erstellung eines eigenen Webprofils von diesen ungewünschten Inhalten abzugrenzen. Bei dem eigenen erstellten Profil werden dann nur die Ergebnisse angezeigt, die der Nutzer ausgewählt hat. Diese Profile werden dann in der Zukunft auch von Suchmaschinen gefunden und möglicherweise dann von vielen Suchenden auch bevorzugt aufgerufen werden, da die Glaubwürdigkeit höher sein könnte. Das wird die Zeit und der Erfolg des Modells der yasni GmbH zeigen.

Im Ergebnis ist eine reine Suche nach Personennamen in allgemein zugänglichen Quellen und deren Darstellung als Suchergebnisse in einem Browser des Nutzers nach dem deutschen Datenschutzrecht grundsätzlich zulässig.

Der Teufel steckt dann jedoch noch im Detail. Es wäre nach meinem Dafürhalten rechtlich unzulässig, Profile zu einer Person automatisiert und ohne Kenntnis der Person zu bilden und dauerhaft zu speichern. Insbesondere würde dies gelten, wenn die betroffene Person nicht darüber benachrichtigt wird. Dies machen andere „Personensuchmaschinen“ wie z.B. „spock“. yasni bietet Nutzern die Möglichkeit, eigene sog. Webprofile zu erstellen. Die konkrete Ausgestaltung der Profile, die Bildung eines Reputationsmanagements, die Vermeidung von ID-Thefts u.ä…..dies sind alles Fragen, die auch rechtliche Probleme im Detail aufwerfen. Ich werde hier keine Details der Umsetzung verraten, meine aber, dass yasni hier schon jetzt gut aufgestellt ist. Und yasni ist bemüht, den Datenschutz auch in die weitere Entwicklung des Dienstes einfließen zu lassen. Möglicherweise wird es in Zukunft weitere Privacy-Features geben. yasni ist noch in der Beta-Phase, es kann sich noch vieles ändern.

Was bei der rechtlichen Beratung von yasni, wie auch bei der Beratung anderer Startups im Web-Bereich, auffällt, ist, dass das geltende Datenschutzrecht in Deutschland nicht bzw. nicht in dem erforderlichen Umfang an Technologien wie das Internet und insbesondere sog. Webservices angepasst ist. Das TMG regelt zwar ein paar Dinge ganz gut, betrifft aber nur das Anbieter-Nutzer-Verhältnis. Außerdem ist dringend zu empfehlen, dass die Frage der kurzfristigen Speicherung von IP-Adressen für Zwecke der Missbrauchsbekämpfung und -abwehr gesetzlich geregelt wird. Derzeit ist es so, dass IP-Adressen, die nach h.M. personenbezogene Daten darstellen, nach Beendigung der Nutzung einer Website unverzüglich gelöscht werden müssen, wenn die Daten nicht für Abrechnungszwecke benötigt werden, was bei Webservices regelmäßig nicht der Fall sein dürfte. Um z.B. „ID-Thefts“ und ähnliche „Identitätsmissbrauchsdelikte“ erkennen und aufklären zu können, kann eine Nutzung von IP-Adressen jedoch sinnvoll sein. Damit es nicht in den falschen Hals kommt….ich bin ein klarer Gegner der Speicherung von personenbezogenen Daten auf Vorrat. Ich halte aber eine zweckgebundene, zeitlich eng beschränkte Speicherung und Nutzung von IP-Adressen für sinnvoll. Dies ist nach dem derzeitigen Regelungen im TMG unzulässig. Man kann allenfalls versuchen, § 100 TKG analog anzuwenden. In rechtlicher Hinsicht gibt es zwar die für eine analoge Anwendung erforderliche Interessenidentität (lässt sich zumindest vertreten). Es fehlt aber möglicherweise an der planwidrigen Regelungslücke. Ich meine schon, dass man § 100 TKG in bestimmten Konstellationen analog anwenden kann. Es fehlt jedoch eine Rechtssicherheit. So müssen IP-Adressen also derzeit unverzüglich, d.h. ohne schuldhaftes Zögern, nach Beendigung der Nutzung gelöscht werden. Im Falle von yasni haben wir uns darauf verständigt, dass IP-Adressen spätestens nach 72 Stunden gelöscht werden.

Sicher ist es rechtlich schwierig, Gesetze zu schaffen, die mit der technischen Entwicklung „mitgehen“. Das wird man nicht fordern können; man darf aber schon erwarten, dass die mittlerweile sehr alten Regelungen des BDSG einmal durch zeitgemäße Regelungen ersetzt und dadurch aufgefrischt werden. Darauf warten wir jetzt allerdings schon seit über zwei Legislaturperioden, und auch in dieser Legislaturperioden wird man keine Besserung erwarten können. Das Einzige, was im Datenschutzrecht auf Ebene des Bundesgesetzgebers derzeit in Bewegung ist, ist die weitere Einschränkung des Rechts auf informationelle Selbstbestimmung durch mehr oder wenige unsinnige, IMHO zumindest unverhältnismäßige Regelungen wie der Online-Durchsuchung und der Speicherung von Telekommunikationsdaten auf Vorrat (die allerdings auf der Data-Retention-Richtlinie der EU basiert).

Die Menschen müssen sich schon seit Jahren mehr und mehr mit dem Gedanken anfreunden, dass sie sich viel mehr selbst um ihr Recht auf informationelle Selbstbestimmung kümmern müssen als früher. In einer Informationsgesellschaft ist es dem Staat auch nicht mehr möglich, stets den Schutz des Rechts auf informationelle Selbstbestimmung im Einzelfall zu gewährleisten. Es geht nicht darum, den Nutzer auf sich selbst zu stellen. Aber der Nutzer muss wissen, dass alles, was er im Internet von sich gibt, sei es in Foren, Netzwerken oder sonstwo, grundsätzlich auch im Netz bleibt und für Dritte verfügbar wird. Auch durch Dienste wie yasni wird den Nutzern mehr bewusst werden, dass sie vielleicht hier und da besser aufpassen sollten, was sie im Internet in allgemein zugänglicher Form von sich geben. Jeder muss selbst entscheiden und vor allem das Recht haben, selbst darüber entscheiden zu können, was er von sich preisgibt oder nicht. Auch ich gebe eine Menge Dinge von mir freiwillig preis und wer über Suchmaschinen oder yasni oder einen anderen Dienst nach meinem Namen suchen, wird ggf. eine Menge Dinge über mich erfahren. Ganz viele Dinge wird man aber nicht über mich erfahren, weil sie unbekannte Dritte einfach nichts angehen und ich diese Dinge deswegen auch nicht im Internet preisgebe. Viele Internetnutzer handhaben dies ähnlich; andere sollten es lernen, um Nachteile zu vermeiden.

Was ist also das Fazit dieses Beitrages? Man kann eine „Personensuchmaschine“ in Deutschland datenschutzkonform betreiben, aber es hängt von den Details ab. „Personensuchmaschinen“ werden sich nicht verhindern lassen, also macht es meiner Meinung Sinn, rechtlich gestaltend mitzuwirken. Das deutsche Datenschutzrecht ist modernisierungsbedürftig. Nutzer sollten bewusst darauf achten, was sie im Internet über sich preisgeben. Soviel zu meinen „2 Cents“ zu diesem Thema.