Teledienstedatenschutzgesetz und Mediendienste-Staatsvertrag
Bund und Länder haben 1997 für die neuen elektronischen Informations- und Kommunikationsdienste, die häufig auch als Multimediadienste bezeichnet werden, einen neuen Rechtsrahmen geschaffen. Dabei wurden auch die besonderen Gefährdungen, die mit diesen Diensten für das Recht auf informationelle Selbstbestimmung der Nutzer verbunden sind, berücksichtigt.
Sowohl das vom Bund erlassene Informations- und Kommunikationsdienste-Gesetz (IuKDG) vom 22. Juli 1997 (BGBl. I 1870) als auch der von den Ländern geschlossene Mediendienste-Staatsvertrag (MDStV, GVBl. I - 1997 S. 134) enthalten bereichsspezifische Datenverarbeitungsvorschriften, die weitgehend mit den Datenschutzbeauftragten des Bundes und der Länder abgestimmt wurden. Im IuKDG, ein aus mehreren Gesetzen bestehendes Artikelgesetz, sind die Datenschutzvorschriften in einem eigenen Gesetz, dem Teledienstedatenschutzgesetz (TDDSG) zusammengefaßt.
Multimedia ist ein schillernder Begriff, mit dem die unterschiedlichsten Technikanwendungen belegt werden. Man versteht darunter z.B. Homebanking, Telearbeit, Telemedizin, Telelernen, Telematik, Telespiele, Videokonferenzen, Online-Dienste, Internet-Zugangsdienste, Video-mail, E-Mail, Fernseheinkauf (Teleshopping), Fernseh- und Radiotext, Video auf Abruf (Video-on-demand), digitale Zeitungen und Bücher, digitale Bibliotheken, virtuelle Messen usw. Die Gemeinsamkeit und das Prägende dieser Informations- und Kommunikationsdienste bestehen darin, daß sie auf drei Säulen, nämlich Medien, Computern und Interaktion, basieren: Grafiken, Bilder, Videos, Töne und Texte sind digital gespeichert und können grundsätzlich von jedem kombiniert interaktiv über Telekommunikationsnetze genutzt werden.
Die Aufzählung macht gleichzeitig deutlich, daß es sich bei den Diensten zum einen um Individualkommunikation, wie etwa beim Homebanking, und zum anderen um Massenkommunikation, wie beispielsweise beim Fernseh- oder Radiotext, handelt. Das hat Folgen für die Regelungskompetenz: Während für die auf Individualkommunikation zielenden Informations- und Kommunikationsdienste, die Teledienste, der Bund die Gesetzgebungskompetenz hat, unterliegen die an die Allgemeinheit gerichteten Dienste, die Mediendienste, der Regelungsmacht der Länder.
Schwierige Abgrenzungsprobleme sind unvermeidlich, zumal die Grenzen auch noch fließend sind, sich ein Teledienst in einen Mediendienst verwandeln kann und umgekehrt. Der Mediendienst wiederum läßt sich mitunter kaum vom Rundfunk unterscheiden, für den das Rundfunkrecht gilt. Da alle diese Dienste Telekommunikation voraussetzen, sind außerdem noch die Datenschutzbestimmungen des Telekommunikationsgesetzes vom 25. Juli 1996 - TKG (BGBl. I S. 1120) und die Telekommunikationsdienstunternehmen-Datenschutzverordnung - TDSV vom 12. Juli 1996 (BGBl. I S. 982) zu beachten. Für die Inhalte der Dienste gelten schließlich die allgemeinen und besonderen Datenschutzgesetze des Bundes und der Länder. Die Anbieter von TK-, Tele- und Mediendiensten finden daher nicht gerade einen einfachen rechtlichen Handlungsrahmen vor. Immerhin konnten Bund und Länder sich mit Rücksicht auf die Abgrenzungsschwierigkeiten darauf verständigen, im wesentlichen gleichlautende Datenschutzbestimmungen im Teledienstedatenschutzgesetz und Mediendienste-Staatsvertrag zu verankern.
5.2 Grundsatz der Datenvermeidung
TDDSG und Mediendienste-Staatsvertrag (MDStV) enthalten mit dem Grundsatz der Datenvermeidung eine für den Datenschutz richtungsweisende Neuerung. Bereits bei der Gestaltung und Auswahl technischer Einrichtungen für Tele- und Mediendienste müssen sich die Diensteanbieter an dem Ziel orientieren, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten (§ 3 Abs. 4 TDDSG und § 12 Abs. 5 MDStV).
§ 3 TDDSG
(4) Die Gestaltung und Auswahl technischer Einrichtungen für Teledienste hat sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen
.Diesen Systemdatenschutz konkretisiert der Gesetzgeber durch eine zusätzliche Auflage: Diensteanbieter müssen den Nutzern die Möglichkeit bieten, Tele- und Mediendienste anonym oder unter Pseudonym in Anspruch zu nehmen (§ 4 Abs. 1 TDDSG und § 13 Abs. 1 MDStV).
§ 4 TDDSG
(1) Der Diensteanbieter hat dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
Der Datenschutz wird vorverlagert in die Technikgestaltung. Diensteanbieter können sich nicht mehr einfach darauf berufen, die Technik ihres Informations- oder Kommunikationsdienstes erfordere eben eine Verarbeitung dieser personenbezogenen Daten. Die Technik selbst steht nunmehr auf dem Prüfstand. Diensteanbieter müssen das System auswählen, das mit den wenigsten personenbezogen Daten auskommt und das eine anonyme oder pseudonyme Nutzung zuläßt. Die Praktikabilität dieser Regelung muß sich jedoch erst noch erweisen.
Auch im Hinblick auf Nutzungsprofile hat sich der Gesetzgeber für Datenschutz durch Technikgestaltung entschieden. Nimmt ein Nutzer verschiedene Dienste in Anspruch, muß der Diensteanbieter durch technische und organisatorische Vorkehrungen sicherstellen, daß die personenbezogenen Daten über die Nutzung der unterschiedlichen Dienste getrennt verarbeitet werden. Eine Zusammenführung ist nur zulässig, soweit dies für Abrechnungszwecke erforderlich ist (§ 4 Abs. 2 Nr. 4 TDDSG und § 13 Abs. 2 Nr. 4 MDStV). Das legitime wirtschaftliche Interesse der Diensteanbieter, die Nutzung ihrer Dienste auszuwerten, hat der Gesetzgeber dadurch berücksichtigt, daß er Nutzungsprofile nur bei Verwendung von Pseudonymen gestattet (§ 4 Abs. 4 TDDSG und § 13 Abs. 4 MDStV).
Neu ist die Möglichkeit, Einwilligungserklärungen in elektronischer Form abzugeben. (§ 3 Abs. 7 TDDSG und § 12 Abs. 8 MDStV). Die allgemeinen Datenschutzgesetze verlangen grundsätzlich Schriftform. Eine wirksame elektronische Einwilligungserklärung ist allerdings an eine Reihe von Voraussetzungen geknüpft: Zum Schutz des Nutzers vor einer übereilten Einwilligung muß sie durch eine eindeutige und bewußte Handlung des Nutzers erfolgen. Diese Anforderung ist z.B. erfüllt, wenn ein Übermittlungsbefehl bestätigend wiederholt wird und gleichzeitig die Einwilligungserklärung mindestens auszugsweise erscheint. Der Diensteanbieter muß außerdem durch technische Verfahren sicherstellen, daß die Einwilligung nicht unerkennbar verändert werden kann und ihr Urheber sich eindeutig identifizieren läßt. Den Inhalt der Einwilligung muß der Nutzer jederzeit abrufen können.
5.5 Informationspflichten und Auskunftsrechte
Gegenüber den allgemeinen Datenschutzgesetzen erweitert wurden die Informationspflichten der Diensteanbieter und die Auskunftsrechte der Nutzer. Der Diensteanbieter muß die Nutzer vor der Datenerhebung umfassend informieren (§ 3 Abs. 3 TDDSG und § 12 Abs. 6 MDStV). Er muß sie über Art, Umfang, Ort und Zweck der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten unterrichten. Die Nutzer müssen den Inhalt der Unterrichtung jederzeit abrufen können.
Das Auskunftsrecht des Nutzers umfaßt auch Daten, die zu seinem Pseudonym gespeichert sind. Auf Verlangen des Nutzers muß die Auskunft elektronisch erteilt werden (§ 7 TDDSG und § 16 MDStV).
Anders als das TDDSG sieht der Mediendienste-Staatsvertrag ein sog. Datenschutz-Audit vor (§ 17 MDStV). Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept und ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen und das Ergebnis der Prüfung veröffentlichen lassen. Damit wird erstmalig der Versuch unternommen, mit Hilfe eines Selbstregulierungsinstruments den Datenschutz zu fördern. Übernommen wurde die Idee aus dem Umweltschutz, wo das Audit vor einigen Jahren aufgrund einer EU-Richtlinie eingeführt worden ist. Es gründet auf der Hoffnung, daß sich die Diensteanbieter in der Erwartung von Marktvorteilen freiwillig dem Datenschutz-Audit unterziehen werden. Die näheren Anforderungen an das Datenschutz-Audit überläßt § 17 MDStV einem noch zu erlassenen Gesetz.
5.7 Datenübermittlung an Sicherheitsbehörden
Auf Intervention der Datenschutzbeauftragten des Bundes und der Länder wurde im Gesetzgebungsverfahren eine Vorschrift aus dem TDDSG gestrichen, welche die Anbieter von Telediensten verpflichtet hätte, den Strafverfolgungsbehörden, der Polizei zur Gefahrenabwehr und den Nachrichtendiensten über Bestandsdaten der Nutzer Auskunft zu geben. Dazu hätten nicht nur Name und Anschrift der Nutzer gezählt, sondern z.B. bei Homebanking auch die Kontonummer oder der Verfügungsrahmen. Online-Publikationen hätten den Sicherheitsbehörden offenbaren müssen, welche Kunden welche Dienste abonniert haben.
Sicher mag es Situationen geben, in denen diese Daten für Zwecke der Strafverfolgung oder der Gefahrenabwehr benötigt werden. Sowohl die Strafprozeßordnung als auch die Polizeigesetze der Länder bieten jedoch bereits ausreichende Eingriffsbefugnisse. Ein legitimes Informationsinteresse der Nachrichtendienste ist freilich nicht zu erkennen.
Außer für Anbieter von Telekommunikationsdiensten gibt es derartige Auskunftspflichten in keinem anderen Wirtschaftssektor. Kein Pressegesetz verpflichtet die Verlage, den Sicherheitsbehörden Bestandsdaten der Kunden zu liefern. Gründe, weshalb dies für elektronische Medien anders sein soll, hat die Bundesregierung bislang jedenfalls nicht benennen können.