Datenschutz und E-Mail Verkehr mit Google
Der Heise-Ticker berichtet über Klageverfahren Betroffener gegen Google Inc. in den USA (hier). Der Vorwurf der Google Mail Nutzer: Ihre Privatspähre und ihr Recht auf Datenschutz werde von Google verletzt, sie würden ausspioniert. Der Nachricht ist auch ein zentrales Argument von Google zu entnehmen. Die Nutzer hätten gar nicht die Erwartungshaltung, dass ihre Daten und ihre Privatsphäre geschützt seien.
Was sagt das deutsche Recht zu diesen Argumenten?
Privatspähre und Datenschutz in Deutschland
In Deutschland wurden Grundrechte in die Verfassung geschrieben, die den Bürger vor dem Staat schützen sollen. Dies geschah gerade nach den Erfahrungen eines Polizei- und Überwachungsstaates der NS-Zeit in einem sehr umfassenden Maße.
Die Privatsphäre ist Teil des Allgemeinen Persönlicheitsrechts. Nach der Rechtsprechung des Bundesverfassungsgerichts sind weitere Spähren einer Person zu unterscheiden und auch zu schützen – und zwar nach dem Prinzip: Je „näher“ die Spähre sich dem Kern der Persönlichkeit eines Menschen nähert, um so mehr bedarf jeder Eingriff eines rechtfertigenden Grundes. So bedarf es deutlicher strengerer Auflagen in die Intimspähre eines Menschen einzudringen, als etwa in seine Persönlichkeitsspähre.
Der Datenschutz ist seit dem Volkszählungsurteil als Teil des Allgemeinen Persönlichkeitsrechts definiert worden. Das abgeleitete Grundrecht auf informationelle Selbstbestimmung soll den umfassenden Schutz gewährleisten. Der Betroffene soll selbst bestimmen dürfen, wer welche Daten zu welchen Zwecken über ihn erheben, speichern, nutzen oder Dritten weitergeben darf.
Das Datenschutzrecht formuliert im Bundesdatenschutzgesetz den Grundsatz:
Personenbezogene Daten dürfen nur verarbeitet werden, wenn ein Gesetz dies ausdrücklich erlaubt oder der Betroffene ausdrücklich seine Zustimmung erklärt.
Gesetzliche Erlaubnisse finden sich beispielsweise im Strafrecht, im Steuerrecht oder auch zur Begründung und Durchführung von Verträgen. Das Telekommunikationsgesetz erlaubt bestimmte Datenverarbeitungen zum Zwecke der Abrechnung, das Telemediengesetz für den Betrieb von Telemediendiensten.
Google Argument – Erwartungshaltung des Kunden
Der Heise Beitrag verweist auf einen Präzedenzfall, auf den sich Google Inc. beruft, und es nennt das Argument, das Google seinen Nutzern vorhalten will:
Wer Google nutze habe nicht die Erwartungshaltung, dass seine Privatsphäre gewahrt und geschützt werde.
Trifft das zu? Gehen deutsche Google-Mail-Nutzer davon aus, dass ihre E-Mails „öffentlich“ seien. Ist ihnen klar, dass ihre E-Mails von Google ausgewertet werden?
Man könnte die Argumentation von Google versuchen auf das deutsche Recht zu übertragen – und zwar auf die vorgenannte Ausnahme vom Datenschutz. Der Betroffene kann seine Einwilligung erklärt haben.
In der Tat verweist Google offenbar auf seine Nutzungsbedingungen. Dort stünden entsprechende Informationen, d.h. die Betroffenen würden darüber belehrt, dass die E-Mails, die über die Google Dienste erstelle, verwaltet und versandt werden, von Google ausgewertet werden. Dies könne etwa zu werblichen Zwecken bzw. der Optimierung von Werbung geschehen.
Nach deutschem Recht wäre eine solche Regelung durchaus denkbar und gestaltbar. Allerdings wären einige Anforderungen zu beachten.
Die zentrale Hürde: Ein Betroffener kann nur dann wirksam einwilligen, wenn er zuvor umfassend und wahrheitsgemäß informiert und belehrt worden ist, um das Ausmaß seiner Einwilligung, insbesondere die Konsequenzen überblicken zu können.
Ob die Google Nutzungsbedingungen eine solche Hürde nehmen, wäre die Frage, die deutsche Gerichte zu klären hätten.
Hinzu käme, dass es die Rechtsnatur solcher Nutzungsbedingungen zu klären gilt. Handelt es sich um vertragliche Regeln, die einseitig vorformuliert und insoweit dem Nutzer gestellt werden, würde es sich um Allgemeine Geschäftsbedingungen im Sinne des Gesetzes handeln.
Damit aber findet das Recht über die Prüfung und Kontrolle von Allgemeinen Geschäftsbedingungen nach Maßgabe des Bürgerlichen Gesetzbuches Anwendung (vgl. hier ab §§ 305 ff BGB). Und dort gibt es z.B. auch den Schutz vor überraschenden Klauseln, die greifen könnten, weil deutsche Verbraucher nicht damit rechnen drüften, dass ihre E-Mails systematisch von ihrem Provider ausgelesen und ausgewertet werden.
Noch dürfte jedenfalls in Deutschland von dem Vertrauensgrundsatz ausgegangen werden, dass sich Anbieter an die geltenden Gesetze halten, so dass Verbraucher nicht davon ausgehen, dass eine solche Auswertung stattfindet.
In einem Punkt aber würde die Argumentation in Deutschland vor nahezu unlösbare Probleme des Verbraucherschutz- und Datenschutzrechts gestellt: Wie will Google ein Einverständnis zur Datenspeicherung und -nutzung von den E-Mail-Adressaten und Kommunikationspartnern erlangen, die z.B. in Deutschland an deutsche Goole-Mail-Nutzer E-Mail-Nachrichten übermitteln wollen. Deren E-Mail Korrespondenz wird auch gespeichert und ausgewertet und für diese Betroffenen ist Google ein Dritter im Sinne des Rechts. Mit diesen Nutzern unterhält Google keine Nutzungsbedingungen bzw. Vertragsverhältnisse.
Wie will Google hier argumentieren?
Oder soll das Argument wirklich dem Wortlaut entsprechend uneingeschränkt lauten – wer irgendwie mit Google arbeitet hat auf seine Privatsphäre verzichtet?
Konsequenz für deutsche Nutzer
Eine zentrale Konsequenz der us-amerikanischen Klagen besteht zweifellos darin, dass auch und gerade deutsche Nutzer, seien es Verbraucher oder seien es Unternehmer, gut beraten sind, die Nutzungsbedingungen nicht nur von Google Inc. genauestens durchzulesen.
Entsprechen die dortigen Regeln dem, was gewünscht ist?
Werden Geschäfts- und Betriebsgeheimnisse gewahrt oder gefährdet?
Müssen Google-Mail Konten sowohl von Nutzern, aber auch von denjenigen, die an diese Nachrichten übermitteln wollen, deutlich kritischer beurteilt und womöglich aus den Kontakten und Adressbeständen gelöscht werden, um etwa den deutschen Anforderungen gerecht werden zu können?
Die Herausforderung für Compliance- und Datenschutzbeauftragte dürfte es sein, mit Standards und Abläufen auf derartig eindeutige Datennutzungen zu reagieren.
Ein sehr interessanter Artikel!
Wie ist in diesem Zusammenhang die Ankündigung von Google einzustufen, EU-konforme „additional compliance options“ anzubieten (nach Richtlinie ?
https://googleenterprise.blogspot.co.uk/2012/06/google-apps-to-offer-additional.html
Könnte hierdurch eine Verwendung von Google Mail auf Business App Ebene für deutsche Unternehmen in Frage kommen?