Das Recht auf informationelle Selbstbestimmung ist ein sonstiges Recht i.S. § 823 BGB, mit dessen Hilfe die personenbezogenen Daten genauso geschützt werden wie die körperliche Unversehrtheit oder das Eigentum. Daraus kann der Betreiber einer Website, der gegen den Datenschutz verstößt, auf Schadenersatz in Anspruch genommen werden. Besonders zu beachten ist hier die aus dem BDSG folgende Beweislastumkehr zu Lasten des Anbieters (s. § 8 BDSG):

"Macht ein Betroffener gegenüber einer nicht-öffentlichen Stelle einen Anspruch auf Schadensersatz wegen einer nach diesem Gesetz oder anderen Vorschriften über den Datenschutz unzulässigen oder unrichtigen automatisierten Datenverarbeitung geltend und ist streitig, ob der Schaden die Folge eines von der speichernden Stelle zu vertretenden Umstandes ist, so trifft die Beweislast die speichernde Stelle."

Die o.g. Fälle der unkorrekten Einwilligungsklausel dürften das für § 823 BGB notwendige Verschulden begründen. Das Nichtwissen über die geänderte Gesetzeslage kann den Betreiber dabei nicht schützen. Zudem gibt es auch im BDSG einen strafrechtlichen Schutz (s. § 43 BDSG):

Wer unbefugt von diesem Gesetz geschützte personenbezogene Daten [...],
1. speichert, verändert oder übermittelt [...] wird mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft.

Ebenso wird bestraft, wer
1. die Übermittlung von durch dieses Gesetz geschützten Daten, [...], durch unrichtige Angaben erschleicht [...]

Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe.

Die Strafbarkeitsschwelle setzt somit sehr niedrig ein, also schon bei der Datenspeicherung ohne Einwilligung. Soweit ersichtlich ist noch keine gerichtliche Entscheidung ergangen, die klärt, ob die Bereicherungsabsicht bei gewerblichen Anbietern regelmäßig vorliegt oder ob dies erst beim Verkauf der erlangten Daten an z.B. einen Adreßverlag gegeben ist. Die im Oktober 1995 von der EU erlassene Datenschutzrichtlinie hat in den einzelnen Ländern ohne Umsetzung in nationale Gesetze der Mitgliedstaaten keine direkte Wirkung. Hierzu wurde den nationalen Gesetzgebern eine Frist von drei Jahren eingeräumt.

Voraussichtliche Folge der Umsetzung der Datenschutzrichtlinie wird die Einführung eines Umgehensverbotes sein, mit dem ein Ausweichen eines Anbieters auf ein außerhalb der EU liegendes Land mit niedrigerem Datenschutzniveau uninteressant wird, weil auch dann deutsches Recht zur Anwendung kommt. Weitere Auswirkungen sind für den deutschen Rechtsraum nicht zu erwarten, da die übrigen Vorschriften teilweise schärfer in nationalen Gesetzen bereits geregelt sind. Allerdings bleibt die Frage offen, wie angesichts der weltweiten Dislozierung von Information und der technologischen Weiterentwicklung mit dem Schwerpunkt der Beherrschbarkeit ohne tiefgehendes Fachwissen ein solches Umgehungsverbot durchgesetzt werden soll.

Kapitel 7: Konflikte mit Auslandsbezug.

© 1998-2002 Ulrich Werner