Verpestet ist ein ganzes Land ... (Teil II)
... wo schleicht herum der Denunziant (Max Kegel, Der Denunziant, 1884).
In Teil I dieses Blogbeitrags wurde das intransparente Zusammenwirken staatlicher und nichtstaatlicher Akteure bei der Inhalteüberwachung kritisiert. In Teil II geht es um die datenschutzrechtliche Einordnung des Systems der EU-Inhalteüberwachung des Digital Services Act (DSA).
Der Anwendungsbereich des Datenschutzrechts ist ohne Zweifel eröffnet.
Die Meinungsäußerung eines Internetnutzers ist ein personenbezogenes Datum dieses Internetnutzers (vgl. Art. 4 Nr. 1 DSGVO). Wird die Äußerung unter Klarnamen gemacht, ist sie ohne weiteres auf die äußernde Person bezogen.
Doch auch, wenn die Äußerung durch einen Account erfolgt, der vermeintlich anonym ist, bleibt das Datum personenbezogen. Nach dem vom Europäischen Gerichtshof und der herrschenden Meinung vertretenen weiten Begriff des Personenbezugs bleibt die Äußerung personenbezogen, denn jedenfalls die Strafverfolgungsbehörden dürften in vielen Fällen in der Lage und bei Straftaten auch rechtlich befugt sein, die äußernde Person zu ermitteln.
Dass die Äußerung vom Äußernden selbst öffentlich gemacht wurde, ändert nichts an ihrer Einstufung als personenbezogenes Datum (arg e Art. 9 Abs. 2 lit. e) DSGVO).
Beim Studium der Datenschutzerklärung der Meldestelle REspect! bekommt man nicht den Eindruck, dass die Meldestelle sich der Tatsache bewusst ist, dass sie personenbezogene Daten des Urhebers der inkriminierten Inhalte verarbeitet und dass diese in besonderer Weise schützenswert sind. Unter der Überschrift "Welche personenbezogenen Daten verarbeiten wir?" findet sich lediglich folgender Eintrag:
"Ihre personenbezogenen Daten werden von der Jugendstiftung erhoben, wenn Sie mit der Meldestelle, z. B. Meldender oder Interessent in Kontakt treten. Dies kann beispielsweise geschehen, indem Sie eine Meldung über das Meldeformular einreichen, sich über Kommunikationskanäle an die Jugendstiftung wenden oder wenn Sie im Rahmen bestehender Geschäftsbeziehungen Angebote und Dienstleistungen nutzen."
Das klingt, als ginge es der Meldestelle nur um die personenbezogenen Daten der meldenden Person, nicht aber um die der gemeldeten Person.
Da jede Äußerung im Internet auch ein personenbezogenes Datum des Äußernden ist, sind sämtliche Verarbeitungen dieser Äußerungen datenschutzrechtlich relevante Vorgänge. Auch der Verarbeitungsbegriff ist sehr weit (vgl. Art. 4 Nr. 2 DSGVO). Die folgenden vom DSA vorgesehenen Handlungen sind daher datenschutzrelevante Verarbeitungen:
Übermittlung eines Inhalts durch einen Internetnutzer an einen "vertrauenswürdigen Hinweisgeber".
Durchsuchung des Internets und Erfassung potentiell rechtswidriger Inhalte durch den "vertrauenswürdigen Hinweisgeber" oder Sammlung von Meldungen anderer Internetnutzer über ein Meldeportal. Diese Verarbeitungsschritte werden vom DSA zwar nicht ausdrücklich erwähnt, sind aber für die Aufgabenerfüllung erforderlich. In den Twitterdiskussionen der vergangenen Tage wurde immer wieder eingewandt, der "vertrauenswürdige Hinweisgeber" durchsuche das Internet doch gar nicht selbst, sondern leite nur die Meldungen anderer Internetnutzer weiter. Ob er selbst sucht oder nicht, ist aber für die datenschutzrechtliche Verantwortlichkeit irrelevant. Verantwortlich ist, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet (vgl. Art. 4 Nr. 7 DSGVO). Das Sammeln der Meldungen anderer Internetnutzer über ein Meldeportal reicht aus. Der DSA schließt darüber hinaus auch nicht aus, dass der "vertrauenswürdige Hinweisgeber" selbst sucht und nicht nur suchen lässt. Der Leitfaden der Bundesnetzagentur spricht übrigens von "Aufspüren, Identifizieren und Melden".
Bewertung eines potentiell rechtswidrigen Inhalts durch den "vertrauenswürdigen Hinweisgeber". Die Vornahme einer eigenen Bewertung durch den "vertrauenswürdigen Hinweisgeber" ist für die Erfüllung der Pflichten des Art. 16 Abs. 2 DSA erforderlich.
Übermittlung ("Meldung") eines für rechtswidrig befundenen Inhalts durch den "vertrauenswürdigen Hinweisgeber" an die Online-Plattform. Die Meldung muss "hinreichend genau und angemessen begründet" sein (Art. 16 Abs. 2 DSA).
Bestätigung des Empfangs der Meldung durch die Online-Plattform an den "vertrauenswürdigen Hinweisgeber" (Art. 16 Abs. 4 DSA).
Entscheidung der Online-Plattform über Informationsentfernung, -zugangssperre oder -anzeigebeschränkung (Art. 20 Abs. 1 lit.a) DSA), Aussetzung oder Beendigung der Diensteerbringung (Art. 20 Abs. 1 lit. b) DSA) oder Aussetzung oder Schließung des Nutzerkontos (Art. 20 Abs. 1 lit. c) DSA).
Übermittlung der Entscheidung über die Meldung durch die Onlineplattform an den "vertrauenswürdigen Hinweisgeber" und an die betroffene Person (Art. 16 Abs.5 DSA).
Erstellung einer Datenbank suspendierungsgefährdeter Nutzer durch die Online-Plattform. Anders als durch eine solche Datenbank kann die Online-Plattform die Anforderungen der Art. 23 Abs. 1 und 3 DSA realistischerweise nicht einhalten.
Erstellung einer Datenbank suspendierungsgefährdeter meldender Personen durch die Online-Plattform. Anders als durch eine solche Datenbank kann die Online-Plattform die Anforderungen der Art. 23 Abs. 2 und 3 DSA realistischerweise nicht einhalten.
Erstellung einer Datenbank suspendierungsgefährdeter Beschwerdeführer durch die Online-Plattform. Anders als durch eine solche Datenbank kann die Online-Plattform die Anforderungen der Art. 23 Abs. 2 und 3 DSA realistischerweise nicht einhalten.
Übermittlung des Verdachts auf Straftaten durch die Online-Plattform an die Strafverfolgungs- oder Justizbehörden (Art. 18 DSA).
Betrieb der außergerichtlichen Streitbeilegungsstelle (Art. 21 DSA).
Jeder der genannten Verarbeitungsvorgänge bedarf einer Rechtsgrundlage. Die maßgeblichen Regelungen der Art. 16 und 22 DSA sehen jedoch keine spezifischen datenschutzrechtlichen Vorkehrungen vor. Es gilt aber wie in allen Rechtsakten des EU-Datenrechts der vergangenen Jahre: "Die DSGVO bleibt unberührt" (vgl. Art. 2 Abs. 4 lit. g) DSA). Das bedeutet, dass sämtliche Regelungen der DSGVO für alle datenschutzrelevanten Verarbeitungen des DSA gelten.
Man wird wohl den Digital Services Act als Rechtsgrundlage für sämtliche der genannten Verarbeitungsvorgänge ansehen müssen. Demnach wären die Verarbeitungen des "vertrauenswürdigen Hinweisgebers" und der Online-Plattformen Verarbeitungen im Sinne des Art. 6 Abs. 1 lit. c) DSGVO, also Verarbeitungen, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Denkbar wäre auch, dass man die Verarbeitungen als Verarbeitungen im Sinne des Art. 6 Abs. 1 lit. e) DSGVO ansieht - also als Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt.
Wenn man das aufwändige System der Inhalteüberwachung an den Grundsätzen der Normenklarheit und Normenbestimmheit misst, die das BVerfG für den Datenschutz im öffentlichen Bereich ausdifferenziert hat, kann man die datenschutzrechtliche Absicherung kaum für ausreichend halten. Bei staatlicher Überwachung muss letztlich jeder Verarbeitungsschritt gesetzlich festgelegt werden. Die Verarbeitungszwecke müssen hinreichend präzise umgrenzt sein (Anlass, Zweck, Umfang). Und je tiefer die Überwachungsmaßnahmen in die Grundrechte des Betroffenen (hier die Meinungsfreiheit) eingreifen, desto strenger sind die Anforderungen.
An dieser Stelle wird der Einwand des Europarechts kommen, der besagt, die Anforderungen des BVerfG gälten für den unionsrechtlich vollharmonisierten Bereich des DSA nicht. Doch selbst wenn man den DSA "nur" am Maßstab der DSGVO misst, ist die Rechtsgrundlage dünn. Auch die DSGVO sieht für spezialgesetzliche Rechtsgrundlagen (allerdings nur im Sinne einer Kann-Regelung) vor, dass diese spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO enthalten können (vgl. Art. 6 Abs. 3 Satz 3 DSGVO), unter anderem Bestimmungen darüber, ...
- welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten,
- welche Arten von Daten verarbeitet werden,
- welche Personen betroffen sind,
- an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen,
- welcher Zweckbindung sie unterliegen,
- wie lange sie gespeichert werden dürfen,
- welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen,
- welche Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung vorzusehen sind.
Art. 6 Abs. 3 Satz 4 DSGVO verlangt, dass die Rechtsgrundlage (hier also der DSA) in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck steht. Dies lässt sich im Fall des Systems der Inhalteüberwachung durchaus bezweifeln. Man muss bedenken, dass der inkriminierte Internetnutzer, dem die Äußerung eines rechtswidrigen Inhalts zur Last gelegt wird (der DSA nennt ihn "betroffenen Nutzer", vgl. Art. 17 Abs. 1 DSA), es über sich ergehen lassen muss, dass private Akteure wie die einmeldende Person, der "vertrauenswürdige Hinweisgeber" und die Online-Plattform einen Straftatenverdacht gegen ihn erheben und untereinander personenbezogene Daten des inkriminierten Internetnutzers hin- und herschicken sowie mit den Strafverfolgungs- und Justizbehörden, den außergerichtlichen Streitbeilegungsstellen und den Gerichten austauschen, ohne dass der DSA irgendeine Schutzvorschrift zu seinen Gunsten vorsieht.
Es sei noch angemerkt, dass wir möglicherweise sogar von verschärften Anforderungen an die datenschutzrechtliche Rechtsgrundlage ausgehen müssen, weil sich es sich bei den inkriminierten Äußerungen oft um sensible personenbezogene Daten nach Art. 9 Abs. 1 DSGVO handeln dürfte. Sensible Daten in diesem Sinne sind Daten, aus denen zum Beispiel politische Meinungen und religiöse oder weltanschauliche Überzeugungen hervorgehen. Bei solchen sensiblen Daten herrscht ein noch strengeres Verarbeitungsverbot als bei "normalen" personenbezogenen Daten. Vielleicht greift das noch strengere Verbot aber auch nicht ein, weil der Äußernde die Daten selbst "offensichtlich öffentlich gemacht" hat (vgl. Art. 9 Abs. 2 lit. e) DS-GVO).
An sich müsste der inkriminierte Internetnutzer, dem die Äußerung eines rechtswidrigen Inhalts zur Last gelegt wird, über jede der genannten Verarbeitungen der auf ihn bezogenen Daten informiert werden (Art. 14 Abs. 1 und 2 DSGVO). Ein Ausnahmetatbestand gemäß Art. 14 Abs. 5 DSGVO ist nicht ersichtlich. Die Informationspflicht, die in vielen anderen datenschutzrechtlichen Sachverhalten zum "information overload" beim Betroffenen führt, erscheint hier auch durchaus angemessen. Wer wollte bestreiten, dass eine betroffene Person nicht ein berechtigtes Interesse daran hat, wissen zu wollen, dass "vertrauenswürdiger Hinweisgeber" und Online-Plattform über eine seiner Äußerungen kommunizieren und ihm dabei die Äußerung eines rechtswidrigen Inhaltes vorwerfen.
Hadmud Danisch zitiert in einem Blogbeitrag aus einer Auskunft, die er am 24. November 2022 von der Meldestelle REspect! erhielt, in der diese sich unter Berufung auf § 34 Abs. 1 Nr. 1 BDSG in Verbindung mit § 33 Abs. 2 Nr. 2 b Hs. 2 BDSG für nicht informationspflichtig erklärte. Und in der Tat: diese Normen sehen für nichtöffentliche Stellen eine Ausnahme von der Informationspflicht vor, sofern die Datenverarbeitung "für Zwecke der Strafverfolgung" erfolgt. Ob sich die private Meldestelle bei einer Meldung an das BKA tatsächlich hierauf berufen kann, bedürfte näherer Prüfung. Dass sie sich bei einer Meldung an die Online-Plattform darauf berufen kann, ist unwahrscheinlich, denn diese Meldung dient ja nicht der Strafverfolgung, sondern der schnelleren und zuverlässigeren Löschung rechtswidriger Inhalte durch die Online-Plattform (vgl. EG 61 Satz 1 DSA).
Ob der "vertrauenswürdige Hinweisgeber" in Zugleichfunktion Kooperationspartner der "Zentralen Meldestelle für strafbare Inhalte im Internet" des BKA und von der BNetzA zertifizierter "vertrauenswürdiger Hinweisgeber" sein kann, muss an anderer Stelle diskutiert werden. Im erstgenannten Fall ist er tatsächlich in die Strafverfolgung eingebunden, im anderen Fall in den Löschprozess, der der Online-Plattform zuzurechnen ist. Da die Antwort des BKA, ob es einen Inhalt für strafbar hält oder nicht, aber eine gewisse Zeit in Anspruch nehmen dürfte, wird die Meldestelle REspect! hier nicht die Antwort des BKA abwarten können, wenn sie zur schnellen Löschung durch die Online-Plattform beitragen will.
Jeder "vertrauenswürdige Hinweisgeber" braucht zwingend einen Datenschutzbeauftragten, wie sich ohne weiteres aus Art. 37 ABs. 1 lit. b) DSGVO ergibt. Die Kerntätigkeit des "vertrauenswürdigen Hinweisgebers" besteht - wie unter b) gezeigt - in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Laut Webseite besitzt die Meldestelle REspect! mit Salome Ebinger eine solche Datenschutzbeauftragte.
Jeder "vertrauenswürdige Hinweisgeber" muss vor Beginn der Datenverarbeitung eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO vornehmen. Das folgt jedenfalls aus der Liste der Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, die die Datenschutzkonferenz gemäß Art. 35 Abs. 4 DSGVO für den nicht-öffentlichen Bereich erstellt hat. Nach Ziffer 7 dieser Liste sind Datenschutz-Folgenabschätzungen durchzuführen bei:
"Umfangreicher Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen."
Ob die Meldestelle REspect! eine solche Datenschutz-Folgenabschätzung vor Aufnahme ihrer Tätigkeit als "vertrauenswürdiger Hinweisgeber" vorgenommen hat, wäre vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu prüfen. Eine solche Datenschutz-Folgenabschätzung sollte sicherlich auch Zertifizierungsvoraussetzung sein, die die Bundesnetzagentur zu prüfen hat.
Nach Art. 5 Abs. 2 und Art. 24 DSGVO trifft den "vertrauenswürdigen Hinweisgeber" eine umfangreiche Rechenschaftspflicht. Er muss gegenüber der Datenschutzaufsichtsbehörde nachweisen können, dass er geeignete technische und organisatorische Maßnahmen (TOMs) ergriffen hat, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt. In diesem Rahmen muss der "vertrauenswürdige Hinweisgeber" sicherlich auch nachweisen können,
- welche Inhalte ihm von wem gemeldet wurden,
- welche Inhalte er geprüft hat,
- welche Inhalte er für rechtswidrig gehalten hat,
- welche Inhalte er den Online-Plattformen gemeldet hat,
- welche Entscheidungen diese jeweils gefällt haben,
- welche Inhalte Gegenstand einer außergerichtlichen Streitbeilegung geworden sind und
- welche Inhalte schließlich Gegenstand einer gerichtlichen Auseinandersetzung geworden sind.
Allein schon diese Aufzählung zeigt, in welchem Maße die Tätigkeit des "vertrauenswürdigen Hinweisgebers" datenschutzkritisch ist. Ohne Anlegen einer entsprechenden Datenbank wird der "vertrauenswürdige Hinweisgeber" seine datenschutzrechtlichen Pflichten kaum erfüllen können.
Dass auch die Online-Plattformen verschiedene Datenbanken anlegen müssen, um ihre Pflichten aus Art. 23 DSA erfüllen zu können, wurde schon angedeutet.
Der Verfasser hält das Datenschutzrecht nicht für das geeignete Regelungsinstrument in Fragen der Meinungsfreiheit und des Äußerungsrechts, wie er hier und an anderer Stelle schon häufiger dargelegt hat. Art. 85 DSGVO sieht vor, dass der nationale Gesetzgeber den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen muss. Dies hat er in Deutschland bis heute nicht getan. Das hier diskutierte Beispiel zeigt, dass die Anforderungen des Datenschutzrechts im Bereich der Meinungsfreiheit kaum einzuhalten sind, wenn man das Datenschutzrecht denn wortlautgetrau anwendete. Ob dies im Fall des Systems der Inhalteüberwachung à la DSA geschehen wird, ist fraglich.
Allerdings zeigt der Fall - das muss der ansonsten sehr datenschutzkritische Verfasser zugeben - wie leichthin in manchen Bereichen, in denen es politisch opportun erscheint, Grundrechte (hier die des inkriminierten Internetnutzers) in Vergessenheit geraten und wie hilfreich der Blick durch die Datenschutzbrille sein kann. Dies ändert aber nichts an der weiterhin berechtigten Grundsatzkritik am Datenschutz.
Fortsetzung folgt ...