Deutsche und Europäische Datenschutzregulierung bei neuen elektronischen Diensten

Dr. Alexander Dix, LL.M.

Wer heutzutage über Regulierung spricht oder ihr gar das Wort redet, muss sich darauf gefasst machen, als Verhinderer des freien Wettbewerbs kritisiert zu werden. Sogar der Präsident der deutschen Regulierungsbehörde für Post und Telekommunikation, deren Hauptaufgabe die Herstellung und Sicherung des Wettbewerbs ist, hat kürzlich in einem Zeitungsinterview¹ die Bedingungen skizziert, unter denen seine Behörde sich gewissermassen selbst überflüssig machen wird: wenn nämlich freier Wettbewerb auf dem Telekommunikationsmarkt auch im Ortsnetz herrschen wird, was gegenwärtig erst in Ansätzen der Fall sei.

Regulierung wird mit Bürokratie assoziiert, sie dient manchen im außereuropäischen Ausland, insbesondere in den USA, als abschreckender Topos, um "Schwellen" und "Strassensperren" auf dem globalen Datenhighway zu bezeichnen. Deregulierung und Verschlankung des Staates sind politisch en vogue. In der Tat hatte eine Dokumentation der Europäischen Kommission zur EG-Telekommunikationspolitik vom Januar 1996 mit allen Empfehlungen, Beschlüssen und Richtlinien der Gemeinschaftsorgane seit 1984 einen größeren Umfang als das Telefonbuch der Brandenburgischen Landeshauptstadt Potsdam. Inzwischen wird diese Dokumentation nicht mehr in Papierform aktualisiert, was zwei Gründe haben dürfte: zum einen kann die weitere Entwicklung der europäischen Telekommunikationspolitik auf den verschiedenen Websites der Europäischen Kommission online verfolgt werden; zum anderen hat die Gemeinschaft ihre Regulierungstätigkeit mit der vollständigen Liberalisierung des Telekommunikationsmarktes in Europa naturgemäß eingeschränkt.

Dies entspricht zugleich dem Subsidiaritätsprinzip, das von den Mitglied- staaten immer stärker einer überbordenden Rechtsetzung durch die Gemeinschaft entgegengehalten wird. Das Aufbrechen der Monopole erforderte regulatorische Maßnahmen zur Harmonisierung im Binnenmarkt und zur Festlegung der Wettbewerbsbedingungen. Nach Öffnung dieses Marktes seit Anfang 1998 ist jetzt weniger die Aufstellung neuer Regeln nötig als vielmehr die Durchsetzung und Überwachung der vorhandenen: eben dies ist die national die Aufgabe der sog. Regulierungsbehörden, deren Bezeichnung insofern irreführend ist, als sie Regeln allenfalls im untergesetzlichen Bereich z.B. durch Genehmigung von Tarifen aufstellt.

Das gesamte sekundäre Gemeinschaftsrecht wird gegenwärtig von der Kommission im Rahmen des sog. "Review 1999" daraufhin überprüft, inwieweit die zahlreichen und unübersichtlichen Regeln zum offenen Netzzugang, zur Endgeräte-Zulassung und zur Zusammenschaltung von Netzen vereinfacht werden können. Man spricht in diesem Zusammenhang von einem "Restregulierungsbedarf²" , aber auch von einer "Re-Regulierung³" im liberalisierten europäischen Telekommunikationsmarkt Weitgehend werden die besonderen Regulierungen vom allgemeinen Wettbewerbsrecht ersetzt.

Treffen diese Beobachtungen aber auch auf den Datenschutz im Telekommunikationsbereich zu ? Mit anderen Worten: Können auch die Datenschutzbeauftragten und Aufsichtsbehörden in Europa, im Bund und in den Ländern ihre Tätigkeit jedenfalls in diesem Sektor einstellen, sobald vollständiger Wettbewerb herrschen wird ? Die Antwort auf diese Frage könnte sich ergeben aus einer Analyse der speziellen Regulierung zum Datenschutz bei neuen elektronischen Diensten auf europäischer und deutscher Ebene. Naturgemäß kann eine solche Analyse hier nicht im Detail, sondern nur summarisch erfolgen.

Unter "neuen elektronischen Diensten" verstehe ich dabei alle Tele- und Mediendienste, die mit Hilfe von Telekommunikationsnetzen in Anspruch genommen werden können. Die Telekommunikation selbst und auch der Sprachtelefondienst gehören nicht zu den neuen elektronischen Diensten.

Dabei beginne ich abweichend von der Themenstellung im Programm mit der europäischen Regulierung und wende mich abschließend dem spezifischen Datenschutzrecht für neue elektronische Dienste in Deutschland zu.

Europa

Spezielle Regeln zum Datenschutz in der Telekommunikation finden sich auf europäischer Ebene eher spärlich. Der Datenschutz macht nur einen Bruchteil der voluminösen Regelwerke aus, die die EU-Kommission bei der Liberalisierung des Telekommunikationsmarktes produziert hat.

Neben der allgemeinen Datenschutzrichtlinie 95/46/EG vom Oktober 1995 ist in erster Linie die Telekommunikations-Richtlinie (früher: ISDN-Richtlinie) 97/66/EG vom Dezember 1997 zu nennen. Beide Richtlinien müssen zusammen gelesen werden: die allgemeine Richtlinie gilt als Querschnittsregelung auch im Telekommunikationssektor, während die spätere Richtlinie nur zusätzliche Normen zum Schutz vor speziellen Risiken für den Datenschutz in diesem Bereich enthält. Besonders geregelt werden vor allem der Umgang mit Verkehrs- und Gebührendaten sowie Fragen des Einzelverbindungsnachweises, der Rufnummernanzeige, der Anrufweiterschaltung und der Führung von Teilnehmerverzeichnissen.

Interessant ist im Zusammenhang mit unserem heutigen Thema die Frage, inwieweit die Telekommunikations-Richtlinie überhaupt auf neue elektronische Dienste anwendbar ist. Im Vordergrund des Anwendungsbereichs dieser Richtlinie stehen die Sprachtelefonie und der Faxverkehr. Allerdings bezeichnet die Richtlinie in einem Erwägungsgrund auch das interaktive Fernsehen und video-on demand als neue Dienste, deren Weiterentwicklung durch harmonsierte Anforderungen nicht behindert werden soll. Zweifelhaft ist, ob e-mail unter den Anwendungsbereich der Telekommunikationsrichtlinie fällt. Die Diktion der Richtlinie spricht eher dagegen. Das zeigt sich etwa bei der Regelung zum telekommunikativen Direktmarketing (Art. 10), die von "unerbetenen Anrufen" spricht und damit das auch in Europa immer drängendere Problem des "spamming", der Überschwemmung von Computern mit Werbe-Mails, ungeregelt lässt. Dieses Problem hat in den USA und weltweit im Internet bereits zu heftigen Diskussionen geführt, weil es im Extremfall zu einem "denial of service" führen kann, also dazu, dass ein Nutzer keinen Netzzugang mehr erhält erhält, weil sein Rechner mit elektronischem Müll ("junk mail") verstopft ist.

Andererseits ist es sinnvoll, die Regeln über die begrenzte Speicherung von personenbezogenen Verkehrs- und Abrechnungsdaten auf die Nutzung des Internets zu erstrecken. Dies hat auch die Europäische Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezo- gener Daten in der Empfehlung 1/99⁴ auf Vorschlag ihrer Internet Task Force getan. Sie hat zu Recht darauf hingewiesen, dass der weit verbreitete Einsatz von Cookies ohne entsprechende Warnung und andere intransparente Formen der Verwendung von Nutzerdaten im Internet der Telekommunikationsrichtlinie von 1997 widersprechen.

Beide Richtlinien hätten bis zum Oktober vergangenen Jahres in nationales Recht umgesetzt werden müssen. Dass dies zumindest in Deutschland bisher nicht geschehen ist, hat die Europäische Kommission dazu veranlasst, "blaue Briefe" an die Bundesregierung zu richten, die die erste Stufe eines Vertragsverletzungsverfahrens sind, an dessen Ende eine Verurteilung durch den Europäischen Gerichtshof stehen könnte. Ob in diesem Verfahren auch die Nichtumsetzung der Telekommunikationsrichtlinie gerügt worden ist, ließ sich der Presse nicht entnehmen, ich gehe aber davon aus, dass dies der Fall ist.

Während die Telekommunikationsrichtlinie die Datenverarbeitung auf der Ebene des physikalischen Netzes, also gewissermassen für das Strassen- und Schienennetz, aber auch - bei extensiver Auslegung für die Dienste-Ebene ("Transportbehälter-Ebene") regelt, befasst sich die allgemeine Datenschutzrichtlinie von 1995 mit dem Inhalt der Transportbe- hälter. Um dies am Beispiel des Online-Banking zu illustrieren: die Verarbeitung von Bestands- und Verbindungsdaten durch den Access-Provider oder Online-Dienst bei einer Transaktion im Netz richtet sich nach der Telekommunikationsrichtlinie, während die Bank, bei der der Kunde sein Konto online führt, die Daten des Kunden und der jeweiligen Verfügung auf der Grundlage der allgemeinen Datenschutzrichtlinie von 1995 und in deren Grenzen verarbeiten darf. Dies führt zu einer unterschiedlichen Behandlung der Zweckentfremdung von Kundendaten für Marketingzwecke, je nachdem auf welcher Ebene sie anfallen. Denn während die allgemeine Datenschutzrichtlinie dem Kunden lediglich ein kostenloses Widerspruchsrecht gegen eine solche Zweckentfremdung einräumt (Art. 14 (2)), macht die Telekommunikationsrichtlinie die Zweckentfremdung von Abrechnungsdaten sogar dann von der Einwilligung des Kunden abhängig, wenn der Anbieter lediglich für seine eigenen Dienste werben will (Art. 6(3)). Dieser Wertungswiderspruch sollte vom europäischen Gesetzgeber dahingehend aufgelöst werden, dass in jedem Fall die Zweckentfremdung von personenbezogenen Daten für Marketingzwecke von der Einwilligung der Betroffenen abhängig gemacht wird, gleichviel, ob sie auf der Transport- oder Inhaltsebene angefallen sind.

Inzwischen haben das Europäische Parlament und der Rat eine Reihe weiterer Richtlinien erlassen oder werden die Beratungen über entsprechende Entwürfe in Kürze abschliessen, die zwar nicht in erster Linie den Datenschutz bei neuen elektronischen Diensten regeln, wohl aber mehr oder weniger direkte Auswirkungen auf die informationelle Selbstbestimmung der Marktbürger des globalen Marktplatzes haben werden.

Dabei geht es vor allem um die Nutzung neuer Internet-gestützter Dienste wie Finanzdienstleistungen oder online-Börsen, die Teilnahme an Auktionen im Netz, den Besuch virtueller Kaufhäuser, den Abschluss von Rechtsgeschäften und neuerdings sogar die Führung von Prozessen über das Netz, um nur einige Beispiele zu nennen. All dies wird landläufig mit dem Etikett "e-commerce" (electronic commerce) versehen. Ich verzichte an dieser Stelle darauf, die euphorischen Prognosen über die Gewinnerwartungen im Internet zu zitieren. Ein Blick auf die Kursentwicklung bei Aktien in diesem Bereich belegt, dass hier noch immer ein erhebliches wirtschaftliches Wachstumspotential gesehen wird.

Den Einsatz von Telekommunikation zum Erwerb von Konsumgütern hat schon die europäische Fernabsatz-Richtlinie (97/7/EG) vom Mai 1997 zum Gegenstand. Dabei stehen zwar Fragen des Verbraucherschutzes im Vordergrund, aber zum ersten Mal enthält diese Richtlinie – die bis zum Frühjahr 2000 in den Mitgliedstaaten umzusetzen ist – eine indirekte Regelung zu "Spam". Artikel 10 dieser Richtlinie spricht von "Fernkom- munikationstechniken", die nach dem Vorbild der "unerbetenen Anrufe" oder "cold calls" im Sinne der Telekommunikationsrichtlinie nur dann für Angebots- oder Werbezwecke angewandt werden dürfen, wenn der Kun- de entweder die Möglichkeit des "opt-in" oder zumindest des "opt-out" hatte. Lediglich für den Einsatz von Voice Mail und Telefax für Marketingzwecke ist stets die Einwilligung (opt-in) erforderlich. Im Bereich der son- stigen Fernkommunikationstechniken, also insbesondere auch bei e-mail, steht es den Mitgliedstaaten frei, diese generell von der vorherigen Einwilligung der Empfänger (opt-in) abhängig zu machen. Allerdings darf dies nicht den freien Dienstleistungsverkehr im Binnenmarkt behindern⁵.

Wir haben es also wie bei der allgemeinen Datenschutzrichtlinie nur mit einem gemeinschaftsrechtlichen Mindeststandard zu tun, der von den Mitgliedstaaten zugunsten der Bürger durchaus überschritten werden darf.

Eine entsprechende Vorschrift enthält der noch nicht beschlossene Richtlinienentwurf der Kommission über den Fernabsatz für Finanzdienstleistungen an Verbraucher⁶ (Art. 10).

Dagegen sieht der Vorschlag der Kommission für eine Richtlinie über bestimmte rechtliche Aspekte des elektronischen Geschäftsverkehrs im Binnenmarkt (sog. e-commerce-Richtlinie)⁷ für "unerbetene kommerzielle Kommunikationen" nur noch eine klare und unzweideutige Kennzeichnung von "junk mail" vor (Art. 7). Dies hat im Vorfeld der ersten Lesung dieser Richtlinie im Europäischen Parlament in diesem Frühjahr auch in Deutschland zu einer heftigen Diskussion zum Thema "Spam" geführt. Die deutsche Direkt-Marketing-Branche hatte zeitweise die Auffassung vertreten, der Richtlinienentwurf erleichtere unaufgeforderte e-mail-Werbung und verlange als einzige Zulässigkeitsvoraussetzung deren Kennzeichnung. Demgegenüber hat die Kommission stets betont, dass die e-commerce-Richtlinie lediglich als Ergänzung der Fernabsatz-Richtlinie zu verstehen sei, die ihrerseits die Zulässigkeit von e-mail-Werbung regele bzw. den Mitgliedstaaten das Recht einräume, sie ent- weder nach dem opt-in- oder nach dem opt-out-Modell zu regeln⁸.

Das Verhältnis der e-commerce-Richtlinie zu den Datenschutzrichtlinien von 1995 und 1997 ist allerdings weniger klar. Die e-commerce-Richtlinie will insbesondere den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten sicherstellen (Art. 1). Unter "Diensten der Informationsgesellschaft" versteht der Entwurf "jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung" (Art. 2a)).

Der Entwurf der Kommission enthält aber die zweideutige Aussage, diese Richtlinie finde keine Anwendung auf den von der allgemeinen Datenschutzrichtlinie erfaßten Bereich (Art. 22 1)b)). In der Gruppe zum Schutz personenbezogener Daten nach Art. 29 der Datenschutzrichtlinie ist das Fehlen spezieller Regelungen zum Datenschutz im Entwurf der e-commerce-Richtlinie einhellig und mit Recht kritisiert worden. Zum einen wird die Telekommunikationsrichtlinie nicht einmal erwähnt und das Verhältnis zu ihr bleibt daher erst recht unklar. Zum anderen sieht der Richtlinienentwurf keine Optionen zur anonymen oder pseudonymen Nutzung von virtuellen Shopping Malls vor. Gerade diese Möglichkeit ist aber entscheidende Voraussetzung dafür, dass Internet-Nutzer von den neuen Konsummöglichkeiten online in größerem Umfang Gebrauch machen. Es muss möglich sein, sich auf dem globalen Marktplatz genauso spurlos zu bewegen wie auf dem realen Marktplatz im eigenen Kiez. Wenn diese Möglichkeit nicht besteht und jeder gewärtigen muss, dass sein Verhalten im Netz von interessierter Seite analysiert und registriert wird, kann der elektronische Handel das nötige Vertrauen der potentiellen Kunden nicht gewinnen. Diese Voraussetzung ist ebenso wichtig wie die Herstellung der notwendigen Datensicherheit im Internet. Ein Zwang zur Identifikation kann nur für den Verkäufer bestehen, nicht aber für den Käufer. Das gilt zumindest bei digitalen Gütern (Software etc.), für deren Auslieferung es keiner Postanschrift bedarf und deren Bezahlung just-in-time erfolgt.

Deshalb liegt ein entscheidender Mangel des Entwurfs der e-commerce-Richtlinie darin, dass er keine Optionen zur anonymen oder pseudonymen Nutzung und Bezahlung der Angebote des elektronischen Handels vorsieht.

Ich gehe an dieser Stelle nicht auf den Entwurf für eine Europäische Signaturrichtlinie ein, für die bereits ein Gemeinsamer Standpunkt des Rates vorliegt. Wenngleich auch diese Richtlinie erhebliche Auswirkungen für die Entwicklung der neuen elektronischen Dienste haben wird, würde ihre Behandlung hier zu weit führen.

Als erster deutscher Informationszugangsbeauftragter sollte ich in diesem Zusammenhang aber darauf hinweisen, dass die Europäische Kommission mit der Veröffentlichung des Grünbuchs "Informationen des öffentlichen Sektors - eine Schlüsselressource für Europa⁹" im vergangenen Jahr angedeutet hat, dass sie auch in diesem Bereich den Erlass von sekundärem Gemeinschaftsrecht prüft. In diesem Grünbuch hat sie dem Daten- schutz aber nur einen vergleichsweise lakonischen Abschnitt gewidmet. Die Probleme der informationellen Selbstbestimmung, die vor einer Einstellung amtlicher Register in das Internet gelöst werden müssen, sind noch keineswegs abschließend geklärt. Ich halte sie aber durchaus für lösbar. Der Zugang zumindest zu bestimmten bei der öffentlichen Verwaltung vorhandenen Informationen könnte deshalb in nächster Zeit ein weiterer interessanter elektronischer Dienst werden.

Deutschland

Wendet man sich der rechtlichen Einordnung neuer elektronischer Dienste in Deutschland zu, so stößt man auf vergleichbare Regelungsebenen wie im europäischen Gemeinschaftsrecht:

Das Telekommunikationsrecht regelt die Datenverarbeitung auf der Ebene des physikalischen Transports, der Netze, aber auch im Sprachtelefondienst, während für die bei der Nutzung des jeweiligen Tele- und Mediendienstes (eben der neuen elektronischen Dienste) entstehenden Daten das Informations- und Kommunikationsdienste-Gesetz des Bundes und der Mediendienstestaatsvertrag der Länder von 1997 gilt. Diese sog. Multimedia-Gesetze waren beim letzten Symposium auf der Internationa- len Funkausstellung 1997 bereits Gegenstand der Diskussion¹⁰. Die Datenverarbeitung auf der inhaltlichen Ebene unterliegt wiederum dem allgemeinen Datenschutzrecht, also dem dringend novellierungsbedürftigen, weil noch immer nicht der EG-Datenschutzrichtlinie angepassten Bundesdatenschutzgesetz.

Auch auf nationaler Ebene begegnen wir bei der Behandlung der Zweckentfremdung von Nutzerdaten für Marketingzwecke einem vergleichbaren Wertungswiderspruch wie auf der Ebene des Gemeinschaftsrechts: Während Bestands-, Verbindungs- und Abrechnungsdaten bei Tele- und Mediendiensten stets nur aufgrund der informierten Einwilligung des Nutzers für Werbezwecke des Anbieters verwendet werden dürfen und Nutzungsprofile nur bei Verwendung von Pseudonymen zulässig sind¹¹, gilt auf der Inhaltsebene noch immer die Widerspruchslösung des allgemeinen Datenschutzrechts¹², die dringend revisionsbedürftig ist.

Es mag ja Gründe für eine unterschiedliche Behandlung des Umgangs mit personenbezogenen Daten auf der Netz- und Diensteebene einerseits und auf der Inhaltsebene andererseits geben. In diesem Punkt, der Zweckentfremdung für Werbezwecke, ist eine unterschiedliche Behandlung dagegen durch nichts zu rechtfertigen. Der Bundesgesetzgeber sollte die jetzt überfällige Novellierung des Bundesdatenschutzgesetzes dazu nutzen, um die Privilegierung des Adresshandels und der Werbewirtschaft in datenschutzrechtlicher Hinsicht endlich zu beenden. Die Multimedia-Gesetzgebung von Bund und Ländern hat den Weg in die richtige Richtung, nämlich zur konsequenten Einwilligungs- (opt-in) Lösung gewiesen. Die allgemeine Datenschutzgesetzgebung sollte diesem Beispiel jetzt folgen. Wer das virtuelle Warenhaus betritt, sollte selbst darüber entscheiden können, ob er überhaupt Spuren dort hinterläßt und ob diese Spuren im globalen Data Warehouse ausgewertet werden dürfen.

Was das Problem "Spam" betrifft, so hat zwar nicht der Gesetzgeber in Deutschland, wohl aber die Rechtsprechung zumindest der Untergerichte konsequent die Grundsätze der höchstrichterlichen Rechtsprechung zu unaufgefordert zugesandter Werbepost (via "snail mail") auch auf "junk e-mail" übertragen¹³. Danach liegt in unaufgefordert übermittelter elektronischer Post eine unerlaubte Handlung, die zum Schadensersatz ver- pflichtet. Es gibt keine Anzeichen dafür, dass die Obergerichte dies korri- gieren werden.

Diese Rechtsprechung ist zu begrüssen, denn schon die von einer einzelnen unerbetenen e-mail ausgehende Belästigung kann intensiver sein als bei der Beförderung der papierenen Werbepost in den Abfalleimer. Der Aufwand des Empfängers von e-mail an Zeit, Energie und anderen Ressourcen dürfte ungleich höher sein. Zugleich ist aber auch die Verfügbarkeit des Internet-Zugangs in Gefahr, wenn der elektronische Briefkasten mit junk mail verstopft wird. Dies kann weitaus gravierendere Kon- sequenzen für den Empfänger haben. Sollte die Rechtsprechung deshalb den bisherigen Kurs aufgeben, so wäre auch hier der Gesetzgeber gefordert.

Die Multimedia-Gesetzgebung von Bund und Ländern ist auf Veranlassung des Bundestages von der Bundesregierung evaluiert worden¹⁴; die Ergebnisse dieser Evaluation deuten daraufhin, dass sowohl die Entwicklung und kommerzielle Erschließung der Teledienste als auch die Umsetzung des speziellen Datenschutzrechts in diesem Bereich sich noch in der Anlaufphase befinden. Sowohl die Wirtschaft als auch die zuständigen Aufsichtsbehörden der Länder müssen sich auf die zum Teil grundlegend neuen Konzepte dieser Gesetzgebung wie z.B. dem Systemdatenschutz, dem Prinzip der Datenvermeidung, der Eröffnung einer anonymen oder pseudonymen Nutzungsoption und der Möglichkeit der elektronischen Einwilligung, offenbar noch einstellen und mit ihnen Erfahrungen sammeln.

Sollten sich allerdings Presseberichte bestätigen, wonach deutsche Unternehmen nach anfänglicher Zurückhaltung inzwischen zunehmend dem Beispiel amerikanischer Unternehmen folgen und Cookies ohne die gesetzlich vorgeschriebene Information dem Nutzer ihrer Angebote aufdrängen oder heimlich auf seiner Festplatte hinterlassen¹⁵, so würde dies auf eine gravierende Fehleinschätzung, aber auch auf ein Vollzugsdefizit hinweisen, das die Aufsichtsbehörden auf den Plan rufen müßte. Offenbar ist auch bei den Nutzern das Teledienstedatenschutzgesetz noch nicht hinreichend bekannt. Die Unternehmen wären aber schlecht beraten, wenn sie sich erst dann an die gesetzlichen Vorgaben halten wollten, nachdem sie von einer Aufsichtsbehörde oder einem Gericht dazu aufgefordert worden sind. Die Gesetzeslage ist klar, ein "Verbotsirrtum" ist insoweit ausgeschlossen, und Verbraucher, die einmal hinters Licht geführt worden sind, könnten das anfängliche Interesse an neuen elektronischen Diensten schnell wieder verlieren.

Dass Werbung auch beim Abruf von Seiten aus dem WorldWideWeb zunehmend auf Ablehnung stößt, zeigt die Popularität von sog. Web-washern, die die WWW-Seiten von eingeblendeten Werbe-Bannern säubern. Dies hat zu Protesten nicht nur der Werbewirtschaft, sondern auch mancher Content Provider geführt, die ihre Angebot nur deshalb kostenlos dem Nutzer zur Verfügung stellen können, weil sie werbefinanziert sind. Manche Online-Anbieter lassen inzwischen deshalb den Zugriff auf ihre Seiten von solchen Rechnern aus nicht zu, auf denen Webwasher installiert sind.

Wie dieser Konflikt ausgeht, ist gegenwärtig offen. Regelungen hierzu enthält das deutsche Recht nur insofern, als die Weitergabe von Nutzerdaten an den Betreiber von Banner-Servern, auf denen die Werbebanner liegen, ohne Einwilligung der Betroffenen ebenso unzulässig ist, wie die gezielte Verwendung solcher Daten zur Erstellung von personenbezogenen Nutzungsprofilen.

Positiv zu vermerken ist jedenfalls, dass eine Reihe von modernen Datenschutzkonzepten aus der Multimedia-Gesetzgebung wie Sytemdatenschutz, Datensparsamkeit und Datenschutz-Audit inzwischen auch Eingang in die allgemeine Datenschutzgesetzgebung von Bund und Ländern¹⁶ findet.Entsprechend der allgemeinen EG-Datenschutzrichtlinie wird auch in Deutschland der gesetzliche Mindeststandard demnächst ergänzt um Formen der Selbstregulierung wie Codes of Conduct, die als datenschutzrechtliches "soft law" eine wichtige Funktion haben können.

Fazit

Die Frage, ob der europäische und speziell der deutsche Telekommunikationsmarkt überreguliert ist, kann bezogen auf den Datenschutz nur verneint werden. Die datenschutzrechtlichen Regelungen machen einen verschwindend geringen Teil der gesamten Vorschriften auf der Ebene des Gemeinschaftsrechts und des nationalen Rechts aus. Gewiss ist die Forderung nach Vereinheitlichung und Vereinfachung der zum Teil inkohärenten Regelungen berechtigt. Die Harmonisierung der Regelungen etwa zur Zweckentfremdung von Nutzerdaten für Werbezwecke sollte aber in der Weise erfolgen, dass die informationelle Selbstbestimmung der Nutzer gestärkt wird.

Die eingangs gestellte Frage, ob die Datenschutzbeauftragten und Aufsichtsbehörden in Europa und Deutschland ihre Tätigkeit dann werden einstellen können, wenn auf dem Markt für Telekommunikations- und andere elektronische Dienste vollständiger Wettbewerb herrscht, ist ebenfalls negativ zu beantworten. Gerade die beschriebenen Probleme des Direktmarketings und der gezielten Werbung im WorldWideWeb machen deutlich, dass der Markt nicht von allein dafür sorgen wird, dass Surfer unregistriert das Netz nutzen können. Vielmehr dringen starke wirtschaft- liche Interessen darauf, die Bewegungen der Nutzer in diesen "neuen Medien" durch systematische Beobachtung und Auswertung zu kontrollie- ren.

So paradox es klingt: Dem werden der europäische und der nationale Gesetzgeber weiterhin entgegentreten müssen, wenn das Internet als Plattform für vielfältige elektronische Dienste wirklich so erfolgreich werden soll, wie Unternehmen und Regierungen dies erhoffen. Effektiver Grundrechtsschutz - und um den geht es hier - war noch nie das Resultat des freien Wettbewerbs, sondern er muss durch Festlegung und unabhängige Durchsetzung von gesetzlichen Mindeststandards gesichert werden.