Auf der diesjährigen depak-Tagung “Corporate Media” in Berlin am 09.12.2011, habe ich einen Workshop zu “Datenschutz und soziale (mobile) Medien” angeboten. Denn, neben den strategischen Fragestellung von “Corporate Media” fällt die rechtliche ins Gewicht. Insbesondere im Datenschutzrecht prallen neue Möglichkeiten auf alte Regeln. Ob Mobil iPad Apps, Twitter, Facebook, Google+ oder Foursquare: Internet, Social Media und mobile Endgeräte bieten viele attraktive Möglichkeiten für die Bereiche Online-PR, Corporate Media und Marketing. Egal, ob offen oder viral, mobil oder ganz klassisch am PC: Gemein ist allen Plattformen die schwierige Beziehung mit dem Datenschutz. Denn anders als „echte“ Medien können sich Corporate Media regelmäßig nicht auf das datenschutzrechtliche Medienprivileg berufen, sondern müssen insbesondere die Bestimmungen des Bundesdatenschutzgesetz (BDSG) beachten. Im Rahmen dieses Workshops wurden einige Datenschutzprobleme bei Corporate Media, Marketing und Online-PR betrachtet und über mögliche Lösungen für die Praxis diskutiert.

Im Vorfeld habe ich zur Erläuterung der Problemlage auch ein kurzes Interview zur Erläuterung der Problemlage gegeben:

Warum sind Datenschutzprobleme ein Thema?
Besonders in Deutschland reagieren nicht nur die zuständigen Kontrollbehörden, sondern auch eine breite Öffentlichkeit sehr empfindlich auf Bedrohungen der Privatsphäre und verbinden damit eine – oft schon irrationale – Angst vor Bedrohungen einer “Datenkrake”. Gleichzeitig erwarten (oft sogar die selben) Nutzer aber bequem zu bedienende, leistungsfähige Angebote und missachten – besonders in sozialen Medien – selbst grundlegende Regeln von Datenschutz und Datensicherheit. In diesem Spannungsverhältnis Marketing, PR oder E-Commerce zu betreiben, ist nicht ganz einfach. Probleme mit dem Datenschutz zu missachten, kann in jedem Fall sehr unangenehm werden, wenn nicht sogar existentielle Folgen für ein Angebot haben.

Welche Veränderungen ergeben sich durch mobile Medien?
Mobile Computing in seinen unterschiedlichsten Ausprägungen katapultiert Datenschutzfragen aus dem Rechenzentrum in die Hand- oder Jackentasche. Dazu addieren sich Geo-Daten und die Möglichkeit des Zugriffs z.B. auf Telefonverbindungsdaten, die als sehr sensibel angesehen werden und die früher nicht nur einen “touch” voneinander entfernt waren.

Welches sind die häufigsten Fehler im unternehmerischen Verhalten im Internet?
Datenschutzfragen zu ignorieren und nicht schon beim Design einer Anwendung zu berücksichtigen. Probleme der Datensicherheit auszublenden und sich auf mögliche Probleme und kritische (behördliche) Nachfragen nicht angemessen vorzubereiten.

Die Präsentation des Workshops ist hier abrufbar: Depak Tagung Corporate Media Datenschutz

Wer die Videos, Webseiten und Quellen nachlesen will, findet hier auch

Quellen, Hinweise und Links:

• http://www.takethislollipop.com/
• http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten

• Carsten Ulbricht http://www.rechtzweinull.de/index.php?/archives/175-Social-Media-Monitoring-Datenschutz-Was-Unternehmen-beim-Durchsuchen-des-Social-Web-beachten-sollten.html
• http://www.edps.europa.eu
• http://www.mobilebusiness.de/nc/home/news-detail/article/sind-handy-und-internetanbieter-vertrauenswuerdig.html
• http://www.datenschutz-hamburg.de/ihr-recht-auf-datenschutz/internet/google-street-view.html
• http://blogs.wsj.com/wtk-mobile/
• http://netzwertig.com/2011/10/27/whatsapp-kik-und-viber-datenschutz-als-bremsklotz-der-vernetzung/
• http://www.bitkom.org/de/presse/8477_67099.aspx
• http://www.artegic.de/eCRM/DE/Aktuelles/Checkliste_-22-Fragen-zu-E-Mail-Marketing-und-Recht_0cq-3xm.html
• Praxisratgeber Datenschutz und Datensicherheit, Loseblattsammlung, Mensch und Medien Verlag 2011
• “Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“ des „Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein“ (ULD) vom 19.08.2011
• Niko Härting, „Öffentlichkeitsarbeit einer Landesbehörde Warum die ‚Facebook-Kampagne„ des ULD verfassungswidrig ist“; http://www.computerundrecht.de/media/2011_08-22_Haerting_Oeffentlichkeitsarbeit_einer_Landesbehoerde.pdf (22.08.2011)
• Stephan Schmidt: „Verstößt die Verwendung des ‚Gefällt mir„-Buttons wirklich gegen deutsches Datenschutzrecht?“; http://www.internet-law.de/2011/08/verstost-die-verwendung-des-%E2%80%9Egefallt-mir%E2%80%9C-buttons-wirklich-gegen-deutsches-datenschutzrecht.html (20.08.2011)
• Flemming Moos, „Dem ULD gefällt es gar nicht“; http://www.kommunikationundrecht.de/delegate/resources/ae1a273bea0b99c489a050cd236cc6ee_kur.pdf?fileid=ae1a273bea0b99c489a050cd236cc6ee_kur&type=articlepdf (K&R 10/2011)
• Jan A. Strunk, Stephan Dirks „Stellungnahme zum ‚Facebook„-Boykott-Aufruf vom 19. August 2011 durch die schleswig-holsteinische Datenschutzbehörde ULD“; http://blawg.legalit.de/wp-content/uploads/2011/08/PM-SDP_ULD201108251.pdf (28.08.2011)
• Schleswig-Holsteinischer Landtag, Umdruck 17/2988 http://www.landtag.ltsh.de/infothek/wahl17/umdrucke/2900/umdruck-17-2988.pdf
• Cocom, Artegic Studie – http://www.artegic.de/eCRM/DE/Aktuelles/Die-Mobile-Nutzung-von-Social-Media-waechst-in-Deutschland-und-Europa-deutlich_0cq-3zn.htm
• Thomas Schwenke „Usability VS Datenschutz – Datenschutzrechtliche Einwilligung ohne Opt-In?“ http://spreerecht.de/datenschutz/2011-04/usability-vs-datenschutz-datenschutzrechtliche-einwilligung-ohne-opt-in
• Datenschutzbeauftragter „iPhone Datenschutz: Der (un)heimliche Sender“http://www.datenschutzbeauftragter-info.de/iphone-datenschutz-der-unheimliche-sender/

Bundesinnenminister Hans-Peter Friedrich hat mit undifferenzierten Äußerungen zur Anonymität im Internet einmal mehr die Vorurteile bestätigt, Politiker wie er wären “Internetausdrucker” und nicht in der Lage, die tatsächlichen Probleme des globalen Netzes zutreffend zu beschreiben, geschweige denn sachgerecht und in einer der Demokratie und Freiheit verträglichen Sinne zu lösen. So sehr ich die Kritik an den undifferenzierten Gedankengängen des Ministers teile, so sehr ärgere ich mich zugleich aber über ebenso falsche und undifferenzierte Gegenargumente. Daher ein kurzer Zwischenruf:

Im Interview mit dem SPIEGEL forderte Bundesinnenminister Hans-Peter Friedrich sinngemäß ein “Ende der Anonymität im Internet” und stellte dabei auch die Frage “Warum müssen ,Fjordman’ und andere anonyme Blogger ihre wahre Identität nicht offenbaren?” Anstatt ihm jedoch darauf einfach zu antworten: “Wussten Sie nicht? Müssen die doch schon längst, jedenfalls wenn für einen Norweger wie ,Fjordman’ deutsches Recht gelten würde”, auf die Impressumspflicht der §§ 5 TMG, 55 RStV hinzuweisen und anschließend nachzufragen, was er denn eigentlich meint, denn Pseudonymität ist im Internet nicht allein schon aufgrund der technischen Bedingungen die Regel, sondern sie ist wie die Anonymität sogar vom deutschen Gesetzgeber ausdrücklich erwünscht (siehe §§13 TMG VI und §47a RStV), gehen statt dessen aber die Diskussionsbeiträge so mancher Kritiker wieder einmal in eine Richtung, die es Minister Friedrich für meinen Geschmack anschließend viel zu leicht machen, vor dem “Chaos der Gesetzlosigkeit” zu warnen und von “dümmlichen Reaktionen” und “intellektueller Plattheit” zu sprechen und sich so auch noch Zustimmung organisieren zu können.

So sehr ich die Kritik an den undifferenzierten Gedankengängen des Ministers daher teile, so sehr ärgere ich mich daher zugleich über ebenso falsche und undifferenzierte Gegenargumente. So krankt beispielsweise die Pro-und-Contra-Diskussion zwischen Falk Lüke und Christian Füller in der TAZ daran, dass beide ihre Argumente ausgerechnet aus untauglichen Beispielen ableiten:

Falk Lüke erklärt sein “PRO” im wesentlichen damit, dass Anonymität der Standard wäre, mit dem wir uns auch auf der Straße bewegen würden und Christian Füller sein “CONTRA”, dass ein Anonymus z.B. in Wikipedia in seinem Artikel einfach so alle neuen Textteile löschen und ihm auch sonst unerkannt nachstellen könnte.

Beides aber trifft nicht: In der “realen Welt” gibt es überhaupt keine Anonymität, die mit dem im Internet möglichen Maß fehlender Zuordenbarkeit einer Handlung zu einer Person vergleichbar wäre. Denn auch wenn wir “auf der Straße kein Namensschild tragen”, so sind wir dort NIEMALS anonym unterwegs. Denn wir haben mit unserem Körper nicht nur zwingend DAS “Biometrische Merkmal” schlechthin dabei, sondern sind im Konfliktfall selbst dann “in persona” greifbar, wenn wir unser Gesicht vermummen. Namen erleichtern insoweit lediglich die Zuordnung zu einer Person, ihr Fehlen ist jedoch nicht mit mangelnder Identifizierbarkeit, also Anonymität gleichzusetzen. Zudem macht das Fehlen eines Namensschildes auf der Straße die Zuordnung einer Handlung zu einer Person nicht unmöglich. Auch ohne Namen bleibe ich dort immer greifbar und damit ggfs. auch ohne meinen Willen später einem Namen zuordenbar. Konsequent gilt daher beispielsweise als “Fahrerflucht” im Sinne des §142 StGB das “Unerlaubte Entfernen vom Unfallort” und nicht etwa der Umstand, dass der Unfallbeteiligte nicht seinen Namen nennt oder gar einen Ausweis vorgezeigt hätte. Selbst ein namenloser Mensch kann in “real world” für eine Tat haftbar, verurteilt und bestraft werden, wenn seine Identität als Täter feststeht.

In der körperlosen Welt des Internet ist Pseudonymität dagegen schon aufgrund der technischen Bedingungen die Regel und selbst Anonymität sogar vom deutschen Gesetzgeber erwünscht und in §§13 TMG VI und §47a RStV sogar dem Diensteanbieter vorgeschrieben. Das kann aber eben nur für Nutzer, nicht für Anbieter im Internet gelten! Denn Anonymität kann zwar der Meinungsfreiheit dienen, darf aber nicht zur völliger Verantwortungslosigkeit führen. Das würde weder der Freiheit, noch dem Recht dienen und allein einseitig die Opfer anonymer Taten belasten.

Natürlich kann man behaupten, schon die Impressumspflicht widerspräche dem Grundgedanken der anonymen Nutzung des Internet und der freien Meinungsäußerung. Diese Behauptung ignoriert aber, dass die Impressumspflicht nur für diejenigen gilt, die Dienste anbieten, nicht aber für alle Personen, die das Internet und seine Dienste aktiv nutzen. Man kann zudem im Internet auf zahlreiche Arten seine freie Meinung äußern, ohne dass man dafür gleich selbst Anbieter eines Dienste werden muss. Um seine Meinung kundzutun, ist es nicht erforderlich, eigene Webseiten anzubieten, Blogs oder gar öffentliche Foren zu betreiben. Es gibt zahlreiche andere Möglichkeiten im Internet, wie man als Teilnehmer anonym mit anderen diskutieren kann. Und es gibt zahlreiche andere gute Gründe als nur problematische Inhalte, warum der Betreiber eines Dienstes nicht anonym bleiben darf: Ohne Kenntnis des Betreibers lässt sich auch nicht kontrollieren, ob er Datenschutzbestimmungen oder andere Gesetze zum Schutze der Nutzer überhaupt einhält. Zudem führt auch in “real live” die Identifizierbarkeit eines Sprechers nicht etwa dazu, das “Minderheiten verstummen” würden. Um Meinungsfreiheit nachhaltig auch dort durchzusetzen, wo sie bislang unterdrückt wird, bedarf es vielmehr mutiger Menschen, die mit ihrem Namen und ihrem Gesicht auch öffentlich darum politisch kämpfen. Aus der Anonymität heraus lassen sich jedenfalls keine Demokratien errichten oder auch nur bewahren.

Gerade wenn man für die Beibehaltung von Anonymität im Internet weltweit streitet, muss man also im Umkehrschluss akzeptieren, dass dann (eben auch weltweit!) der Anbieter (also auch der Betreiber eines Forums oder Blogs) einer Impressumspflicht nachzukommen hat und ihn dann zugleich auch eine (eingeschränkte) Verantwortung für den von ihm betriebenen Dienst und die von ihm verbreiteten Inhalte trifft.

Wikipedia eignet sich demgegenüber nicht als Gegenbeispiel. Denn hier will der Betreiber, die Wikipedia Foundation mit den sie finanzierenden Wikimedia-Vereinen, gerade KEINE entsprechende Verantwortung für den eigenen Dienst übernehmen und verweist daher bislang im Konfliktfall stattdessen auf die individuellen IP- und Anmeldedaten des Nutzers hinter seinem Pseudonym. Gerade die IP-Adresse aber ist ein Datum, das anders als in Deutschland und hier nicht zuletzt nur aus Gründen des Datenschutzes, in vielen anderen Ländern der Welt eben keine Anonymität bedeutet. In der Konsequenz des “Computer-Decency-Acts” der in den USA den Diensteanbieter als “Intermediär” freistellt, werden die Daten über die Nutzer umfassend gespeichert und beauskunftet. Risiko und Kosten der eigenen Inhalte verlagern Ebay & Co. somit auf die Nutzer. Kein nachahmenswertes Modell, wie ich finde.

Da Wikipedia also diesbezüglich beides leugnet, sowohl eine eigene Verantwortung, als auch einen wirksamen Schutz ihrer Autoren durch Gewährleistung echter Anonymität, lässt sich mit diesem Beispiel umgekehrt aber nicht begründen, warum Anonymität im Internet künftig gar nicht mehr gestattet sein sollte, sondern höchstens, dass sich Wikipedia zukünftig nicht mehr auf ihre “Wiki-Immunity” berufen (dürfen) sollte.

Sowohl die Argumente für Pro, als auch die Argumente für Contra, führen daher in die Irre und sind nicht geeignet, das zu widerlegen oder zu stützen, was der Innenminister vielleicht im Kern eigentlich nur ausdrücken wollte:

Auch im Internet sollte man zu seiner Meinung stehen müssen, wenn man sie nicht am Stammtisch oder im Familienkreis, sondern öffentlich und weltweit verbreitet. Wenn der Nutzer aber anonym bleiben können soll, dann muss im Konfliktfall zumindest sonst jemand als Verantwortlicher identifizierbar bleiben, der vielleicht nichts “dafür”, aber wenigstens etwas “dagegen” tun kann, um bestehende Konflikte zu lösen. Und notfalls eben dazu auch verpflichtet werden kann.

So verstanden würde die Forderung von Minister Friedrich nichts anderes bedeuten, als das, was (nicht nur) in Deutschland schon gilt, auch international als Standard zu vereinbaren: Wenn jemand in seinem Internetangebot anonyme Äußerungen/ Inhalte Dritter (z.B. Kommentare wie hier) zulassen will, dann ist eben er als Seitenbetreiber dafür (beschränkt im Rahmen des technisch möglich und auch sonst zumutbaren) verantwortlich. Und wenn der Seitenbetreiber anonym agiert, ist in letzter Konsequenz eben der Host-Provider in Anspruch zu nehmen, der dieses zulässt.

Allein in solch einem System der Verantwortung des “Intermediär” lässt sich auch nachhaltig rechtfertigen, warum es dann umgekehrt nicht nur die Möglichkeit, sondern vielleicht auch überall ein RECHT auf Pseudonymität oder gar Anonymität der Nutzer im Internet geben sollte. Und so wäre nicht nur der Freiheit, sondern auch der Verantwortung geholfen – ohne Schaden für Bürgerrechte und Demokratie. Aber, vielleicht meinen das ja alle schon so und nur ich habe Minister Friedrich, seine Kritiker und Unterstützer mit ihren Argumenten einfach noch nicht richtig verstanden…

Neue Techniken bedeuten in vielen Fällen auch rechtliche Risiken. Wie ist zum Beispiel mit persönlichen Informationen aus sozialen Netzwerken, E-Mails der Mitarbeiter, Telefongesprächen oder Videoaufzeichnungen umzugehen? Die Novellierung des Arbeitnehmerdatenschutzes regelt Vorgehensweisen für Personalverantwortliche, deren Missachtung teils empfindliche Konsequenzen haben kann. Auf dem Personalmanagement-Kongress 2011 habe ich in einem Vortrag am 30. Juni 2011 die diskutierten Neuerungen des Datenschutzes im Spannungsverhältnis zu Compliance Management und Verbrechensbekämpfung anhand einiger konkreter Beispiele zu erläutern versucht. Die Prezi des Vortrages ist hier abrufbar.

Auch Vereine unterliegen den Vorgaben des Bundesdatenschutzgesetzes (BDSG). Der Vorstand eines Vereins ist in Bezug auf die Verwaltung der Daten seiner Mitglieder verantwortliche Stelle im Sinne des §3 Abs. 7 BDSG. Satzungsgemäß berufene Funktionsträger des Vereins haben daher zur Erfüllung ihrer Aufgaben für den Verein berechtigten Zugriff auf die Mitgliederdaten und können diese auch im Rahmen der Satzung und Beschlüsse nutzen. Vereinsmitglieder, die im Verein keine Funktionen ausüben, sind datenschutzrechtlich im Verhältnis zum Verein dagegen „Dritte“ im Sinne des §3 Abs. 8 Satz 2 BDSG. Jede Weitergabe von Mitgliederdaten an sie stellt – genauso wie die Weitergabe an Personen außerhalb des Vereins – daher eine Datenübermittlung im Sinne des §3 Abs. 4 Nr. 3 BDSG dar. Dieses aber ist nur unter bestimmten Umständen zulässig. Bei vorliegen besonderem „berechtigten Interesse“ kann nach Ansicht mancher Gerichte unter Umständen ein einzelnes Mitglied selbst in großen Vereinen die Nutzung aller E-Mail-Adressen aller anderen Mitglieder verlangen. Eine Rechtsprechung, die besonders für große Organisationen ungeheure Sprengkraft für den Vereinsfrieden entfalten kann.

Vereine unterliegen den Vorgaben des Bundesdatenschutzgesetzes (BDSG). Gem. § 4 Abs. 1 BDSG dürfen personenbezogene Daten von einem Verein nur erhoben, verarbeitet oder genutzt werden, wenn eine Vorschrift des BDSG oder eine sonstige Rechtsvorschrift dies erlaubt oder soweit die Betroffenen eingewilligt haben.

Bei einer Mitgliedschaft im Verein handelt es sich um ein rechtsgeschäftsähnliches Schuldverhältnis im Sinne des § 28 Abs. 1 Satz 1 Nr. 1 BDSG. Die genaue Ausgestaltung dieses Rechtsverhältnisses ergibt sich durch die Satzung des Vereins und die in dem Verein geltenden Regeln, soweit sie sich aus (schriftlichen) Beschlüssen, Geschäftsordnungen oder der im Verein gepflegten Praxis ergeben. Aus der Rechtsbeziehung folgt, dass sowohl der Verein gegenüber den Mitgliedern, aber auch die Mitglieder untereinander und dem Verein gegenüber die Interessen des jeweils Anderen angemessen berücksichtigen müssen. Dieses gilt insbesondere auch bei der Erhebung, Verarbeitung und Nutzung von Daten, bei der das informationelle Selbstbestimmungsrecht der Betroffenen angemessen zu berücksichtigen ist.

Der Vorstand eines Vereins ist in Bezug auf die Verwaltung der Daten seiner Mitglieder verantwortliche Stelle im Sinne des §3 Abs. 7 BDSG. Satzungsgemäß berufene Funktionsträger des Vereins haben daher im Rahmen der Erfüllung ihrer Aufgaben für den Verein Zugriff auf die Mitgliederdaten und können diese auch im Rahmen der Satzung und Beschlüsse nutzen.

Vereinsmitglieder, die im Verein keine Funktionen ausüben, sind datenschutzrechtlich im Verhältnis zum Verein dagegen „Dritte“ im Sinne des §3 Abs. 8 Satz 2 BDSG. Jede Weitergabe von Mitgliederdaten an sie stellt – genauso wie die Weitergabe an Personen außerhalb des Vereins – daher eine Datenübermittlung im Sinne des §3 Abs. 4 Nr. 3 BDSG dar. Dieses aber ist nur unter bestimmten Umständen zulässig:

1. Mitgliederdaten dürfen nach den Vorschriften den BDSG zunächst selbstverständlich an Dritte herausgegeben werden, wenn die beispielsweise auf einer Liste verzeichneten Mitglieder damit einverstanden sind. Dazu bedarf es regelmäßig dem Vorliegen einer Einwilligung, die gem. §4a Abs. 1 BDSG der Schriftform bedarf und den sonstigen Vorgaben der Vorschrift genügt.
2. Einer gesonderten schriftlichen Zustimmungserklärung bedarf es dagegen in aller Regel nicht, wenn es in dem Verein üblich und dem Mitglied (bei Eintritt) bekannt oder sogar in der Satzung geregelt ist, dass Mitgliederverzeichnisse veröffentlicht werden oder Daten zur Erfüllung des Vereinszwecks an Dritte übermittelt werden, gerade dann, wenn dieses der Erfüllung des Vereinszweckes dient (Fördervereine, berufliche Netzwerke, Singleclubs etc.). Dann ist die Übermittlung von Daten in dem Umfange (aber auch nur in diesem) an Dritte ohne weiteres möglich, wie in dem vom Mitglied akzeptierten Verzeichnis Daten enthalten sind. Sind aber in diesem öffentlichen Verzeichnis nur Firmenanschriften verzeichnet, wäre die Übermittlung der Privatadresse von der Einwilligung z.B. aber nicht umfasst.
3. Schließlich kann die Übermittlung noch aus den weiteren, in § 28 BDSG genannten Gründen gestattet sein, insbesondere zur Wahrung berechtigter Interessen eines Dritten gem. § 28 Abs. 2a BDSG.

Wenn funktionslose Mitglieder den Vorstand eines Vereines um Auskunft über Daten anderer Mitglieder ersuchen, ohne dass eine Einwilligung der Betroffenen vorliegt und es auch in dem Verein nicht Praxis ist, die Adressdaten aller Mitglieder (vereinsintern) zu veröffentlichen, beurteilt sich die Zulässigkeit der Datenübermittlung allein nach §28 Abs. 2a BDSG, also danach, ob das auskunftsersuchende Vereinsmitglied ein berechtigtes Interesse an der Kenntnis der Daten hat und ob bei pauschaler Abwägung keine schutzwürdigen Interessen der betroffenen Mitglieder der Datenübermittlung entgegenstehen. Hierbei handelt es sich um eine Einzelfallentscheidung, die der Vereinsvorstand auf die konkrete Situation bezogen zu treffen hat.

Ein berechtigtes Interesse im Sinne des § 28 Abs. 2 a BDSG ist ein „nach vernünftigen Erwägungen durch die Sachlage gerechtfertigtes, also tatsächliches Interesse, das wirtschaftlicher oder ideeller Natur sein kann“ (vgl. Auernhammer, BDSG 90 § 28 Rn. 18). Das OLG Saarbrücken (AZ: 1 U 450/07-142, Urteil vom 02.04.2008) hat unter Zugrundelegung des gleichen Rechtsgedanken und aus allgemeinen vereinsrechtlichen Grundsätzen bei Vorliegen solcher berechtigter Interessen weitergehend nicht nur ein Recht, sondern sogar einen Anspruch auf diese Daten gefolgert: „Der Anspruch (auf Herausgabe der Kontaktdaten) beruht darauf, dass sich der Einzelne bei privatrechtlichen Vereinen freiwillig dem Verein angeschlossen hat und damit mit den anderen Mitgliedern in eine gewollte Rechtsgemeinschaft eingetreten ist, die von ihm auch fordert, dass er den anderen Mitgliedern bei berechtigtem Interesse derselben den Kontakt mit ihm durch Angabe seiner Personalien ermöglicht“ (so auch: Bayerischer VGH München, Beschluss vom 5.10.1998 Az.: 21 ZE 98.2707).

Entscheidend für die Rechtfertigung, zugleich aber auch Anspruchsvoraussetzung für die Übermittlung der Daten, ist damit ein im Einzelfall „berechtigtes Interesse“ eines Mitgliedes an diesen Informationen über die anderen Mitglieder, das entgegenstehende Interessen des Vereins und der Betroffenen überwiegt.

Das Gesetz kennt lediglich dafür den Fall des konkreten Minderheitenbegehrens gem. § 37 BGB: Aus der Weigerung eines Vorstandes, ein bestimmtes Begehren zeitnah auf einer Mitgliederversammlung zu besprechen und dazu einzuladen, kann sich selbstverständlich ein Anspruch ergeben, die Adressen der übrigen Mitglieder zu erfahren, um das für eine außerordentliche Versammlung nötige Quorum überhaupt erreichen zu können.

Darüber hinaus hat die Rechtsprechung ein berechtigtes Interesse aber auch aus „allgemeinen vereinsrechtlichen Grundsätzen“ in anderen Gründen bejaht, unabhängig von einem konkreten Minderheitenbegehren:

Im einem vom OLG Hamburg entschiedenen Fall (Az.: 6 U 38/08, Urteil vom 03. 01.2008) wurde ein solches berechtigtes Interesse beispielsweise in einem Fall angenommen, bei dem es konkreten Streit zwischen dem Vorstand und einigen Mitgliedern insbesondere um die Gültigkeit von Satzungsänderungen und die Gültigkeit von Beschlüssen von Mitgliederversammlungen gab, was von den Klägern als „falsche Kursänderung“ betrachtet wurde. Hier sah das Gericht ein berechtigtes Interesse auf Herausgabe der Mitgliederlisten an einen Treuhänder an, damit die klagenden Mitglieder – auch ohne eine außerordentliche Mitgliederversammlung anzustreben – durch Kenntnis der Daten der übrigen Mitglieder der Organisation für die Mitgliederversammlung auf eigene Kosten eine Opposition gegen die Vereinsführung, einschließlich einer Kandidatur für Führungspositionen, gegen den bestehenden Vorstand organisieren können. Das  OLG Saarbrücken (AZ: 1 U 450/07-142, Urteil vom 02.04.2008) bejahte einen Anspruch in einem ähnlichen Fall, in dem insbesondere die Gültigkeit von Wahlen zur Debatte stand und dem Kläger keine vergleichbaren Möglichkeiten der Wahlwerbung eröffnet waren, während ein anderes Mitglied unter Verletzung des Gebotes der Chancengleichheit die Mitgliederdaten für seine Wahlwerbung genutzt hat.

Soweit im Einzelfall kein berechtigtes Interesse gegeben ist, ist dagegen grundsätzlich ein entgegenstehendes Interesse der von der Übermittlung betroffenen übrigen Mitglieder anzunehmen, dass die Übermittlung der Mitgliederdaten an Dritte verbietet.

Während bei Vereinen, bei denen nach Größe und Vereinszweck eine besondere persönliche Verbundenheit zwischen den Vereinsmitgliedern besteht oder bei denen die Pflege des persönlichen Kontakts sogar einen wesentlichen Bestandteil des Vereinszwecks darstellt, die Weitergabe der Mitgliederdaten ggf. auf die Grundlage des § 28 Abs. 2 a BDSG oder sogar des §28 Abs. 1 S. 1Nr. 1 gestützt werden kann, stellt sich das besonders bei größeren Vereinen anders dar:

Wer in bundesweit agierende Vereine mit mehreren tausend Mitgliedern eingetreten ist oder gar in „Massenorganisationen“ wie beispielsweise Amnesty International, Greenpeace oder auch dem ADAC, ist sich darüber bewusst, dass dort die Mitglieder grundsätzlich nicht alle anderen Mitglieder des Vereins kennen und diese Kenntnis auch nicht erforderlich ist, um am „Vereinsleben“ teilzunehmen. Hier kann auch nicht von vornherein angenommen werden, dass alle Vereinsmitglieder schon allein wegen der Tatsache ihrer gemeinsamen Mitgliedschaft in dem besagten Verein ein Interesse an der Übermittlung oder Nutzung ihrer Daten durch andere, funktionslose Mitglieder hätten. Im Gegenteil – gerade in solchen Vereinen würden es die meisten Mitglieder als unzulässigen „SPAM“ ansehen, wenn sie unverlangt E-Mails ihnen gänzlich unbekannter, funktionsloser Mitglieder erhalten würden. Die Nutzung oder gar Herausgabe einer Liste mit den Daten aller Mitglieder des Vereins an ein Einzelmitglied kann sich daher nur als datenschutzrechtlich unzulässig erweisen, wenn nicht wie in den zuvor beschriebenen Urteilen konkret berechtigte Interessen vorgetragen werden, die demgegenüber überwiegen.     

Insofern überrascht aktuell das Landgericht Münster mit einem, wenn auch nur im Eilverfahren gefassten und auch noch nicht rechtskräftigen Beschluss: In diesem lässt die erkennende Kammer erkennen, dass es ihr für den Anspruch auf die Nutzung aller E-Mail-Adressen offenbar bereits genügt, wenn ein Mitglied lediglich die Absicht hat, bei einer bereits ordnungsgemäß einberufenen Mitgliederversammlung für ein Vorstandsamt zu kandidieren. Anders als in den vorgenannten obergerichtlichen Verfahren treten in diesem konkreten Fall Umstände wie Chancenungleichheiten oder gar die Notwendigkeit des Aufbaus einer Opposition etc. nicht hinzu und werden auch noch nicht mal behauptet.

Würde aber bereits die bloße Kandidatur für ein Vorstandsamt bei großen Vereinen genügen, einem einfachen Mitglied einen Anspruch auf die Übermittlung oder Nutzung aller (E-Mail-) Adressen des Vereins zu vermitteln, hätte dieses erhebliche negative Auswirkungen gerade für große, mitgliederstarke Vereine:

Absehbare Folge ist, dass nicht nur besonders datensensible Personen davon zurückschrecken werden, überhaupt einem Verein beizutreten oder in ihm zu verbleiben, wenn ihre Daten vom Vorstand vor Wahlen möglicherweise an eine Vielzahl von Bewerbern zur Nutzung überlassen werden müssen und sie damit rechnen dürften, auch von diesen eine Vielzahl unverlangter (E-Mail-) Nachrichten zu erhalten. Unter dem Aspekt der Chancengleichheit würde zudem schon der erfolgreiche Anspruch eines Mitgliedes genügen, um auch den weiteren Kandidaten diese Möglichkeit einräumen zu müssen. In der Mehrheit dürften die Mitglieder von großen Vereinen wenigstens die generelle Löschung ihrer E-Mail-Adresse aus den Verzeichnissen des Vorstandes verlangen und damit gerade großen Organisationen eine „Explosion“ bei den Portokosten bescheren.

Die wie vom OLG Hamburg gewählte Lösung, einer missbräuchlichen Nutzung zu begegnen, indem die Daten nicht an das Mitglied direkt übermittelt, sondern an einen Treuhänder übergeben werden, der die Nachrichten des einfachen Mitglieds versendet und sie vorher auf strafbare Inhalte oder gegen kommerziell werbende Botschaften prüft, ändert aus Sicht der übrigen Mitglieder des Vereins nichts: Schließlich erhalten sie auch dann eigentlich unerwünschte „Zwangsbenachrichtigung“ ihnen unbekannter Mitglieder, gegen deren (erstmaligen oder weiteren) Erhalt sie sich jeweils gesondert durch Widersprüche erwehren müssen. Auch die (vorherige) Bekanntgabe des Urteils durch den Verein oder den Treuhänder reduziert in der Praxis die Belastung für die Betroffenen nicht.

Dabei erweist sich die Vermittlung eines Anspruches auf Nutzung gerade von E-Mail-Adressen als fatal: Im Unterschied zur Nutzung einer Liste von Postadresse aller Vereinsmitglieder, ist mit der Versendung von Nachrichten keine nennenswerte logistische und gar kostenmäßige Hürde verbunden. Die Herstellung und Versendung Tausender, Hundertausender oder gar Millionen von Briefen durch „notorische Querulanten“, wie sie jede Massenorganisation in ihren Reihen erdulden muss, ist schon wegen der damit verbundenen hohen Portokosten weitaus weniger wahrscheinlich, als die Versendung einer gleichen Zahl von E-Mail-Nachrichten.

Die Wertung der Gerichte zur belästigenden Wirkung von SPAM-Mails ist ansonsten daher auch sehr eindeutig: Unverlangte Mails im E-Mail-Postfach werden als stärkere Belastung angesehen, als unverlangte Werbung im Post-Briefkasten. Bereits die einmalige Zusendung unverlangter E-Mail-Werbung kann daher – selbst wenn es um die Werbung politischer Parteien im Vorfeld einer demokratischen Wahl geht – als unzulässiger SPAM und damit als Verletzung der Persönlichkeitsrechte der Betroffenen bewertet werden (vgl. BGH, Beschluss vom 20.05.2009 – Az. I ZR 218/07). Zu keiner anderen Wertung wird man dann aber kommen können, wenn es nur um die Wahlwerbung von Kandidaten für einen Vereinsvorstand geht, ohne dass ein besonderer Grund ausnahmsweise hinzutritt.

Das ausnahmsweise berechtigte Interesse eines einzelnen Mitgliedes die grundsätzlichen Interessen der übrigen Mitglieder überwiegen können und es dann auch in ihrem (mittelbaren) Interesse ist, von ihnen Unbekannten unverlangte Nachrichten über den Verein zu erhalten, dürfte weitgehender juristischer Konsens sein, auch wenn eine grundsätzliche Klärung dieser Frage durch den BGH bislang nicht erfolgt ist. Je größer der Verein ist und je weniger die Mitglieder direkten kommunikativen Austausch „aller mit allen“ erwarten, umso konkreter und schwerer muss dabei aber auch das Interesse wiegen, aus dem sich ausnahmsweise ein Anspruch des Einzelnen funktionslosen Mitgliedes ergeben soll, allen anderen Mitgliedern seine persönliche Nachrichten aufdrängen zu dürfen. Eine normale Kandidatur für eine normale Vereinswahl kann dabei jedenfalls nicht ausreichen.

Der Einsatz des auch bei Pressesprechern beliebten, gebührenfreien Marktforschungs- und Webanalyse-Tools „Google-Analytics“ sei nach Ansicht des Landesbeauftragten für den Datenschutz Rheinland-Pfalz in der gegenwärtigen rechtlichen und technischen Ausgestaltung nicht datenschutzkonform. Kern seiner Kritik ist die Übermittlung von vollständigen IP-Adressen an den US-Konzern, der verdächtigt wird, diese mit bei ihm vorhandenen Daten des Nutzers zusammenzuführen, der dagegen nicht widersprechen kann. Rechtlich ist die Situation aber weniger eindeutig, als die Datenschützer behaupten: Konflikte sind daher vorprogrammiert.

In den kürzlich vom Datenschutzbeauftragten Rheinland-Pfalz veröffentlichten  Hinweisen zum Einsatz von Google Analytics bei Internet-Angeboten wird die Kritik im wesentlichen mit der Übermittlung von vollständigen IP-Adressen an das US-Unternehmen begründet: „Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist“.

Die Frage, ob IP-Adressen als personenbezogene Daten oder als Pseudonyme verstanden werden können, ist jedoch umstritten: Während der informelle Gesprächskreis der Datenschützer, der sog. „Düsseldorfer Kreis“ bereits seit geraumer Zeit eine sehr weitreichende Auffassung vertritt, dass IP-Adressen als „personenbeziehbare“ Daten gelten müssten und daher nicht als Pseudonyme verstanden werden können (So auch: AG Mitte Urteil. v. 27.3.2007 – 5 C 314/06), wurde dieses gerichtlich jedoch in der Vergangenheit auch schon anders beurteilt (AG München, Urteil vom 30. 9. 2008, Az. 133 C 5677/08).

Auch sonst erscheint die Auffassung des „Düsseldorfer Kreis“ als zu weitgehend, da letztlich jedes technische Datum auf eine Person bezogen werden kann, wenn alle Umstände der Kommunikation sowie die persönlichen Stammdaten bekannt sind. Dieses ist jedoch ein theoretisches Problem. Entscheidend ist im vorliegenden Fall der Umstand, sich der konkrete Personenbezug nämlich nicht allein aus der Kenntnis der IP-Adresse herleiten lässt, sondern, dass es stets weiterer Angaben bedarf um die IP-Adresse auf eine bestimmte Person zurückzuführen. Da Google-Analytics ausschließlich die IP-Adressse des Webseiten Besuchers erhebt und – jedenfalls nach Angaben des Unternehmens – keine weiteren persönlichen Daten erhebt oder mit diesem Datum kombiniert, darf man davon ausgehen, dass die Auswertung auf Grund anonymer Daten erfolgt, da faktisch keine Möglichkeit besteht, den Bezug zu einer benennbaren Person (dem konkreten Besucher der Seite) herzustellen. Die Nutzung von Google Analytics in Deutschland ist dann aber nicht gesetzwidrig. 

Beim Einsatz von Google Analytics oder ähnlichen Webanalyse Systemen, die IP-Adressen speichern, ist der Website-Betreiber aber in jedem Fall verpflichtet, einen entsprechenden Hinweis bezüglich der Erfassung und Nutzung der Daten auf der Webseite zu platzieren – da sich dieses aber auch schon aus den Nutzungsbedingungen von Google, sollte dieses nicht übersehen werden!

Fazit: Die Diskussion um die rechtliche Einordnung von IP-Adressen dürfte noch eine Weile andauern. Der von den Datenschutzbeauftragte verwendete Begriff der “personenbeziehbarkeit” von IP-Adressen erweist sich bei näherer Betrachtung als ”Kampfbegriff” gegen Google und schießt über das (gerechtfertigte) Ziel hinaus, Google zu mehr datenschutzrechtlicher Transparenz zu zwingen. Wer es aus Web Analyse Sicht braucht, sollte Google Analytics deswegen noch nicht abschalten. Dennoch sollte sich Google um eine Lösung bemühen, damit nicht die Nutzer des Dienstes den Rechtsstreit austragen müssen, falls es tatsächlich zu ersten Bußgeldverfahren kommen sollte. Wer will, kann aber auch mit Diensten wie  analytics-anonym selber die IP-Adresse vor Übermittlung an Gogle anonymisieren lassen.

Eine Klausel in einem Anmeldeformular, mit der ein Verbraucher in die Zusendung von Postwerbung einwilligt, wenn er die Klausel nicht durchstreicht (sog. Opt-Out-Regelung), ist wirksam, wenn sie dem Hervorhebungserfordernis in § 4a Abs. 1 BDSG entspricht. Daran hat sich nach Ansicht des BGH auch durch die Änderung des Bundesdatenschutzgesetzes mit Wirkung vom 01.09.2009 nichts geändert. Nach § 28 Abs. 3 Satz 1 BDSG nF ist die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung zulässig, soweit der Betroffene eingewilligt hat. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist diese nach § 28 Abs. 3a Satz 2 BDSG nF in drucktechnisch deutlicher Gestaltung besonders hervorzuheben (BGH, Urteil vom 11.11.2009, Az. VIII ZR 12/08).

Zu den wichtigsten Änderungen gehört, dass Anbieter von Kommunikationsdiensten oder Internetangeboten verpflichtet werden, betroffene Personen zu informieren, sofern deren persönliche Daten durch sogenannte Datenpannen (data breaches) nicht mehr als gesichert erscheinen können. Mit den Unterrichtspflichten einher gehen Verpflichtungen, die dem Anbieter auferlegt werden, um eine höhere Sicherheit der persönlichen Daten zu gewährleisten. Mit Hilfe der neuen Richtlinie sollen Verbraucher außerdem besser über den Einsatz von Cookies informiert werden, um ihnen die Möglichkeit einzuräumen deren Einsatz selbst zu kontrollieren. Der Verbraucherschutz soll zusätzlich durch einen effektiveren Rechtsschutz gegen Spammer gestärkt werden (Text der Richtlinienänderung erhältlich unter )