Mit einer kleinen Anfrage (BT-Drs. 17/14116) vom 25.06.2013 möchten Abgeordnete der Partei „Die Linke“ im Bundestag Antworten der Bundesregierung auf verschiedene datenschutzrechtliche Fragen in Bezug auf die Datenverarbeitung durch Spielekonsolen, aber auch darüber hinausgehende Einschätzungen zu Datenverarbeitungen durch amerikanische Unternehmen, erhalten.

Zunächst muss man anmerken, dass die Diskussion (meine Beiträge hierzu finden sich hier und hier) um die geplante neue XBox von Microsoft und um die diesbezüglich bestehenden Pläne des Unternehmens, alleine auf vorläufigen Informationen aus der Presse, zum Teil auch von Microsoft selbst, beruhen. Auch wenn einige Funktionen, wie etwa die obligatorische Kinect-Kamera, wohl ziemlich sicher umgesetzt werden, so liegen derzeit noch keine Tatsachen vor, aufgrund derer eine abschließende rechtliche Prüfung möglich wäre.

Sammlung von Daten

Unter anderem möchten die Abgeordneten wissen, ob nach der Meinung der Bundesregierung „die Sammlung von personenbezogenen oder personenbeziehbaren Daten auf externen Servern solcher Spielekonsolen“ gegen das deutsche Datenschutzrecht oder das europäische Datenschutzrecht verstößt.

Auf diese Frage kann man schlicht nur die übliche Juristen-Antwort geben: „Es kommt darauf an“. Denn diese Frage ist so weit und wenig konkret formuliert, dass (die Problematik der mangelnden tatsächlichen Kenntnis der Datenverarbeitungsumstände einmal außer Acht gelassen) nur eine grobe Einschätzung möglich erscheint. Dass personenbezogene Daten auf externen Servern (also nicht direkt auf der Festplatte) gespeichert werden, verstößt nicht gegen das deutsche als auch europäische Datenschutzrecht, wenn hierfür eine gesetzliche Grundlage vorliegt. In Bezug auf Spielekonsolen kommen dabei vor allem die Einwilligung der Betroffenen (§ 4 Abs. 1 BDSG, Art. 7 a) Datenschutzrichtlinie (RL 95/46/EG)) oder ein Erlaubnistatbestand, vor allem wenn die Datenverarbeitung zur Durchführung eines Vertrages erforderlich ist (§ 28 Abs. 1 BDSG, Art. 7 b) Datenschutzrichtlinie), in Betracht. Natürlich müssten bei der Speicherung zudem z. B. die Grundsätze der Datensparsamkeit und der Zweckbindung (Art. 6 Abs. 1 b) und c) Datenschutzrichtlinie) beachtet werden und die Einwilligung müsste informiert und freiwillig erfolgen (§ 4a Abs. 1 BDSG, Art. 7 a), 10 Datenschutzrichtlinie).

Es handelt sich hierbei aber nicht um „typische“ rechtliche Fragen zur Datenverarbeitung im Rahmen der Nutzung von Spielekonsolen. Die rechtlichen Vorgaben sind von jedem einzuhalten, der für die Datenverarbeitung verantwortlich ist. Dies muss im Übrigen nicht immer der Hersteller der Spielekonsole, sondern kann auch der Hersteller eines Spieles selbst sein.

Voraussetzungen der Einwilligung

Die Linke möchte zudem wissen, ob „nach Auffassung der Bundesregierung die Bestimmungen zu einer informierten und freiwilligen Einwilligung weiterhin ausreichend“ sind, „wenn die Nutzerinnen und Nutzer solcher Spielekonsolen ihre Zustimmung zu den Allgemeinen Geschäftsbedingungen des Herstellers erklären, ohne dass sie kontrollieren können, welche Informationen über sie gespeichert und weitergegeben werden?“.

Auch diese Frage ist leider sehr vage formuliert. Sie bezieht sich ersichtlich auf die derzeitigen gesetzlichen Vorgaben für eine datenschutzrechtliche Einwilligung. Sollte die Frage implizieren, dass eine datenschutzrechtliche Einwilligung erteilt wird und diese in den „normalen“ Vertragsbedingungen enthalten ist, so müsste die Einwilligung nach § 4a Abs. 1 S. 4 BDSG besonders im Text hervorgehoben werden (dies dient der Warnfunktion). Dies jedoch aber allein auch schon aus dem Grund, damit der Betroffene informiert und freiwillig einwilligen kann, er also weiß, dass er überhaupt eine Einwilligung erteilt und wozu.

In dem zweiten Teil der Frage geht es an sich nicht mehr um die gesetzlichen Voraussetzungen der Einwilligung, sondern um die anschließende Datenverarbeitung. Wie oben bereits erwähnt, muss sich diese an den Grundsätzen der Datensparsamkeit und der Zweckbindung (Art. 6 Abs. 1 b) und c) Datenschutzrichtlinie) orientieren. Wird jedoch im Rahmen der Einwilligung über die der späteren Datenverarbeitung zugrunde liegenden Zwecke aufgeklärt, so ist diese Datenverarbeitung auch wirksam und von der Einwilligung gedeckt. Die Kontrolle über personenbezogene Daten wird durch die notwendige Information der Betroffenen vor der Datenverarbeitung ausgeübt. Sollte sich ein Verantwortlicher nicht an die festgelegten Zwecke der Datenverarbeitung halten, so wäre dies nicht mehr erlaubt. Solche Fehltritte hätten jedoch nichts mit den gesetzlichen Vorgaben einer Datenverarbeitung zu tun. Denn selbst wenn man eine explizite handschriftliche oder etwa eine erneute Einwilligung vor jeder Datenverarbeitung gesetzlich vorschreiben würde, könnte dies eine spätere Zweckentfremdung der Daten nicht verhindern.

Safe-Harbor

Etwas vom Aufhängerthema „Spielekonsolen“ bewegt sich die Frage der Linken weg, ob „nach Auffassung der Bundesregierung die Bestimmungen des Safe Har-
bor-Abkommens ausreichend“ sind, „um einen Missbrauch solcher Dienste zu
unterbinden und die Sicherheit der Serverarchitektur von Microsoft zu gewährleisten?“.

Hiermit schwenkt die Anfrage auf die aktuelle Diskussion um die Überwachungsaktivitäten des amerikanischen Geheimdienstes und die nach wie vor ungeklärte Beteiligung von privaten Unternehmen ein. Das angesprochene Safe-Harbor-Abkommen (Entscheidung der Europäischen Kommission, 2000/520/EG) dient dazu, die Übermittlung von personenbezogenen Daten von Europa nach Amerika zu erlauben, wenn amerikanische Unternehmen sich gewissen Pflichten unterwerfen, welche in Amerika durch die Federal Trade Commission (FTC) überwacht werden. Grundsätzlich erscheint es zumindest angebracht, über die derzeitige Konzeption von Safe-Harbor und seine Effektivität zu diskutieren (hierzu mein Beitrag). Die Grünen Politiker Jan Philipp Albrecht und Konstantin von Notz forderten heute in einer Presseerklärung sogar die Aussetzung des Abkommens.

Jedoch erweist sich auch diese Frage der Linken als wenig zielführend. Denn um einen staatlichen „Missbrauch“ solcher Dienste (gemeint sind wohl Spielekonsolen) zu unterbinden, wäre kein wie auch immer geartetes Abkommen, welches privaten Unternehmen Informationspflichten und Weitergabebeschränkungen auferlegt, geeignet. Staatliche Behörden sind nicht an Safe-Harbor gebunden. Stellen diese, aufgrund gesetzlicher Grundlagen, Auskunftsanfragen an Unternehmen, so finden sich diese in einer rechtlichen Zwickmühle. Nach den Safe-Harbor-Bestimmungen müssten sie ihre Nutzer zumindest hierüber informieren oder dürften die Daten eventuell gar nicht weitergeben, nach den nationalen Gesetzen des Drittlandes (z. B. der USA) müssen sie jedoch mit den Behörden kooperieren und dürfen über die Datenweitergabe nicht informieren. Safe-Harbor hilft hier also nicht. Nötig erscheinen, neben datenschutzrechtlichen Pflichten für Unternehmen (etwa auch über neue Regelungen in der Datenschutz-Grundverordnung), vielmehr internationale Abkommen, welche grundsätzliche Vorgaben für eine staatliche Überwachung machen und welche dann jeweils national, bindend für die Behörden, umgesetzt werden (auch hierzu hatte ich bereits gebloggt).

Weitere Fragen

Unter anderem werden noch Fragen zu der Vereinbarkeit einer Datensammlung durch Spielekonsolen mit dem Grundrecht auf die Unverletzlichkeit der Wohnung (Nr. 3) und der Bildung von Nutzerprofilen (Nr. 6) gestellt.
Natürlich wird zuletzt auch noch danach gefragt, ob die Bundesregierung ausschließen kann, „dass persönliche Daten von Nutzern in der Bundesrepublik Deutschland auf Xbox-One-Servern von Microsoft, künftig im Rahmen von PRISM oder anderen Überwachungsprogrammen von Geheimdiensten der USA oder anderer Staaten genutzt werden könnten?“ (Nr. 8).

Fazit

Die kleine Anfrage der Linken scheint gut gemeint, stellt sich bei näherer Betrachtung jedoch als zu unkonkret und für die Sache „Datenschutz“ nur bedingt förderlich dar.