Warum iFrames keine Auftragsdatenverarbeitung sind…

Im Streit um die datenschutzrechtliche Zulässigkeit des Facebook Like-Buttons macht der Unterausschuss „Neue Medien“ des Bundestags heute ein Expertengespräch zu diesem Thema ab. Im Vorfeld wurden den eingeladenen Experten, zu denen auch der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert gehört, vorbereitende Fragen gestellt. Thilo Weichert hat diese Fragen auch bereits beantwortet und seine Antworten veröffentlicht (pdf).

Unter den Fragen findet man den Einwand, dass die kritisierte Einbindung des Like-Buttons, nicht nur diesen betrifft sondern eine Reihe von Diensten (etwa Youtube).  Die Antwort von Herrn Weichert: Die in diesen Fällen verwendete iFrames Technologie stelle ein Fall der Auftragsdatenverarbeitung gemäß § 11 BDSG dar.

Diese Auffassung ist meines Erachtens nicht nur gewagt, sondern auch nicht mit dem rechtlichen Gedanken der Auftragsdatenverarbeitung vereinbar. Warum?

Zunächst muss man sich klar machen, was ein iFrame überhaupt ist? Letztlich handelt es sich um eine Weiterentwicklung der seit den Anfangstagen des Internets bekannten (und rechtlich viel diskutierten) Frame-Technolgie. Der Einzige Unterschied besteht darin, dass der fremde Seiteninhalt nicht als Teil einer Tabelle geladen wird, sondern als Objekt. Vergleichbar mit einem Bild. Darüberhinaus besteht die Möglichkeit ganz präzise bestimmte Inhalte (statt ganze Webseiten) einzubinden. Insoweit ist der iFrame kein „Novum“ sondern kann auch im Hinblick auf die juristische Bewertung, als Fortentwicklung von Frames (mit allen Vor- und Nachteilen) gesehen werden.

Was bedeutet das für die datenschutzrechtliche Beurteilung? Frames standen aus juristischer Sicht insbesondere wegen der Zueigenmachung fremder Inhalte in der Diskussion. Datenschutzrecht spielte dabei keine oder nur eine äußerst untergeordnete Rolle. Eine Auftragsdatenverarbeitung findet jedoch bei einem klassischen Frame nicht statt, allein weil im Zweifel der Betreiber der per Frame eingebundenen Webseite davon keine Kenntnis hat und damit auch keine Daten im „Auftrag“ verarbeitet. Das mag bei Social Plugins etwas anders sein, da diese Webseitenbetreibern gerade zum Zwecke der Einbindung angeboten werden.

Eine Auftragsverarbeitung findet dennoch nicht statt, da die Grundvoraussetzung der Auftragsdatenverarbeitung nicht gegeben ist. Damit eine Auftragsdatenverarbeitung vorliegt, muss der Auftragsdatenverarbeiter die personenbezogenen im Auftrag und auf Weisung des Auftraggebers verarbeiten. Der Auftragnehmer hat nur eine Hilfs- und Unterstützungsfunktion und ist bei der Verarbeitung von den Vorgaben des Auftraggebers abhängig  (So etwa Wedde in Däubler/Klebe/Wedde/Weichert,(!) Kommentar zum BDSG, § 11, Rn. 5). Anders gesagt, die Auftragsdatenverarbeitung scheidet zwangsläufig aus, sobald die verarbeitende Stelle ein eigenes Interesse an der Verarbeitung und diese (Weiter-) Verarbeitung auch eigenständig durchführt.

Gerade dies ist jedoch bei den Social Plugins der Fall. Weder Facebook noch YouTube verarbeiten personenbezogene Daten streng im Auftrag des Webseitenbetreibers und schon gar nicht als Hilfs- oder Unterstützungsfunktion. Im Gegenteil. Sie verarbeiten diese im eigenen Interesse und ohne jeglichen Einfluss des Webseitenbetreibers. Dieser mag zwar „Zweckveranlasser“ sein, da dieser Begriff dem Datenschutzrecht in seiner aktuellen Gestaltung fremd ist, macht dies den Webseitenbetreiber nicht automatisch zum Auftraggeber einer Auftragsdatenverarbeitung.

Eine Auftragsdatenverarbeitung wird daher beim Einsatz von iFrames regelmäßig ausscheiden. Nur in Einzelfällen wird möglicherweise eine Auftragsdatenverabeitung vorliegen.

 

Update: Henning Tillmann zeigt anschaulich, dass es sich hier nur um alten Wein in neuen Schläuchen handelt.

SPD Abgeordnete stimmt trotz Wissen um Verfassungswidrigkeit für Gesetz

Wie viele Abgeordnete (der SPD) erläutert auch Elke Ferner (SPD Bundestagsabgeordnete aus Saarbrücken) auf ihrer Homepage ihr Abstimmungsverhalten im Bundestag. So auch geschehen zur Verabschiedung des Gesetzes über Internetsperren für Kinderpornographie. Diesem Gesetz hat die Abgeordnete, wie viele ihrer Partei, zugestimmt.

Wie der Saarbrücker Blogger Dobschat nun feststellte, hat die Abgeordnete eine wirklich plausible Erklärung für die Zustimmung zu dem Gesetz:

Schließlich bleibt bei der Abwägung der Zustimmung zu diesem Gesetz auch der Umstand zu berücksichtigen, dass die entsprechende Sperrinfrastruktur aufgrund der abgeschlossenen Verträge zwischen BKA und Internetprovidern bereits aufgebaut wird. Diese Verträge beinhalten keinen hinreichenden Grundrechtsschutz und verfahrensrechtliche Sicherungen und sind deshalb höchst problematisch. Ich sehe es als meine Pflicht als Abgeordnete an, solche weitgehenden, intransparenten und verfassungsrechtlich schlicht unzulässige Verträgen zu Lasten Dritter durch eine gesetzliche Grundlage abzuschwächen und ihre negative Wirkung zu reduzieren.

Das ist nun fasziniert. Weil eine Handlung des BKA „verfassungsrechtlich schlicht unzulässig“ ist, verabschiedet man im Bundestag schnell ein Gesetz, dass genau diese „verfassungsrechtlich schlicht unzulässige“ Handlung zum Inhalt hat. Da liegt es schon nahe, zu fragen, ob die Politiker die Wähler wirklich für so unbedarft halten nicht eins und eins kombinieren und zu dem Schluss kommen, dass dann logischerweise auch das verabschiedete Gesetz mit aller höchster Wahrscheinlichkeit „verfassungsrechtlich schlicht unzulässig“ ist. Jedenfalls scheint manch Abgeordnete(r) den zwingenden Schluss seiner Aussage nicht zu sehen, sonst wäre wohl das Abstimmungsverhalten ein anderes gewesen.

Noch viel beängstigender wird es, wenn man Udo Vetter Glauben schenken darf, dass dies nicht nur die unglückliche Formulierung einer Abgeordneten ist, sondern dass diese Formulierung von mehreren SPD-Abgeordneten verwendet wird.

Wäre demnächst Bundestagswahl müsste man solche Abgeordnete wohl für unwählbar erklären…

ZDF-Parlameter: Der gläserne Abgeordnete ist da

Das ZDF hat am Wochenende ein neues Feature veröffentlicht: Das ZDF-Parlameter. Dabei handelt es sich um eine interaktive graphische Übersicht des Bundestages. Neben den allgemeinen Informationen über die Zusammensetzung des Bundestages und die einzelnen Abgeordneten, lässt sich auch das Abstimmungsverhalten in wichtigen parlamentarischen Vorgängen anzeigen. 

Dadurch ist es möglich ein genaues Abstimmungsprofil für jeden Abgeordneten zu erstellen. Ein wirklich interessantes und wählerfreundliches Tool, ob es jedoch von der Grundversorgung gedeckt ist?

Auskunftsanspruch bleibt zahnloser Tiger

Der Bundestag hat heute das Gesetz über den Schutz des geistigen Eigentums verabschiedet. Darin wird erstmals in allen Bereichen des geistigen Eigentums ein privatrechtlicher Auskunftsanspruch festgeankert. Dieser ist gerade im Bereich des Urheberrechts hart umkämpft. Beim Kampf gegen Filesharer und illegal Musikdownloads sahen sich die Rechteinhaber bislang gezwungen die Staatsanwaltschaft als (un)willige Vollstrecker einzusetzen. Doch dagegen erhob die Justiz in der Vergangenheit zu Recht Einwände und versperrte diesen Weg zunehmend.

Der Auskunftsanspruch bleibt jedoch für den Kampf gegen Filesharer ein zahnloser Tiger, denn er kann nicht gegen Private durchgesetzt werden. § 101 UrhG und auch die Gesetzesbegründung und Änderungsvorschlag des Rechtsausschusses stellen klar, dass die Urheberrechtsverletzung im „gewerblichen Ausmaß“ stattgefunden haben muss. Damit steht ein Auskunftsanspruch gegen private nur dann zu, wenn dieser massive Verletzungen des Urheberrechts begangen hat, denn massive Verletzungen sind als gewerblichen Ausmaß zu definieren. An welcher Stufe hier allerdings die Grenze zu ziehen sein wird, bleibt abzuwarten. Er wird jedenfalls nicht so weit gehen, wie die Rechteinhaber es gerne hätten.

 

Ein weiterer Grund warum der Auskunftsanspruch wenig Erfolg haben dürfte, liegt darin, dass für eine Auskunft, die Verkehrsdaten in Anspruch nimmt ist ein Richtervorbehalt vorgesehen. Die Verwerter argumentierten bislang zwar, dass sie keine Auskunft von Verkehrsdaten wünschen, sondern lediglich die Bestandsdaten (Name, Anschrift) zu den von ihnen ermittelten Verkehrsdaten (IP Adresse) erfahren möchten. Um diese zu ermitteln muss der Provider jedoch die Verkehrsdaten verwenden. Und eben diese Verwendung löst den Richtervorbehalt aus. Eine allzu weite Auslegung durch die Richter des gewerblichen Ausmaßes ist daher nicht zu erwarten.

 Weiter Grund zur Freude: Eine anwaltliche Abmahnung kann nur bis zu einem Wert von 100,- gegenüber dem (privaten) Schädiger geltend gemacht werden.

 

Nachtrag: Entgegen der ursprünglichen Darstellung auf dieser Seite wurde lediglich der Änderungsantrag von Bündnis90/Die Grünen abgelehnt.

Zweiter Korb noch diese Woche durch den Bundestag?

Die ins Stocken geratene Urheberrechtsreform nimmt Geschwindigkeit an. In der kommenden Woche soll der Korb 2 in die 2. und 3. Lesung im Bundestag und am 12. Juli nach Unterzeichnung des Bundesanzeigers veröffentlicht werden, so berichtet heise online.

Voraussetzung ist, dass der Bundestag nach der 2. Lesung keine Änderungen beantragt oder diese sofort genehmigt. Welche neuen Regelungen der nun einzubringende Gesetzesentwurf mitbringt, sind bislang noch unter Verschluss.