Der Axel Springer Verlag versucht sich an einem Sonderweg: Auf Grund zahlreicher Auskunftsbegehren zu gespeicherten Daten von Betroffenen, versucht man dem nach meiner Lesart nun wohl wie folgt Herr zu werden:
- Es wird darauf verwiesen, dass möglicherweise eine strafbare Computersabotage vorliegt
- Es stellt sich zwischen den Zeilen die Frage, ob das Auskunftsbegehren rechtsmissbräuchlich ist
- Es wird die Kopie des Personalausweises verlangt, um den Anspruchsteller „zu identifizieren“
Im Folgenden die kurze Prüfung, ob das so stimmt – denn losgelöst vom Einzelfall geht es hier um grundsätzliche Fragen, die sich immer wieder stellen und hier auch (mal abgesehen von Frage 1) zum Alltag gehören.
Hintergrund: Die datenschutzrechtliche Auskunft
Im Bundesdatenschutzgesetz ist die Auskunft des Betroffenen hinsichtlich der von ihm gespeichterten Daten im §34 BDSG fest verankert. Bei diesem Recht, mit dem man jederzeit in Erfahrung bringen kann wer welche Daten über einen gespeichert hat, handelt es sich mit §6 BDSG um ein unverzichtbares Recht, das nicht ausgeschlossen werden kann (etwa in AGB). Das unterstreicht die Bedeutung nochmals, wobei inzwischen eine unentgeltliche Auskunft ebenfalls gesetzlich fest verankert ist. Details zum Auskunftsanspruch, samt einer Vorlage, finden sich in diesem Beitrag von mir.
Darf eine Ausweiskopie verlangt werden?
Wer schon einmal eine Auskunft auf elektronischem Wege gestellt hat (Mail), dem wird eine Aufforderung der entsprechenden Stelle nicht fremd sein, dass man eine Ausweiskopie vorzulegen hat. Das ist keineswegs grundsätzlich rechtswidrig!
Hierzu muss an folgendes gedacht werden: Zum einen besteht eindeutig ein Anspruch auf Auskunft, der auch nicht untergraben werden darf. Zum anderen aber, wenn die datenverarbeitende Stelle einem Dritten unberechtigt Einblick in die Daten gibt, begeht sie einen datenschutzrechtlichen Verstoß. Sie ist damit zwingend gehalten, die Identität des Anspruchstellers eindeutig zu klären und nicht einfach Daten mitzuteilen. Insofern ist das Begehren, überhaupt eine Identifizierung zu verlangen, nicht nur vernünftig, sondern sogar zwingend! Aber: Weiterhin gilt der Grundsatz der Datensparsamkeit, den die verarbeitende Stelle zu beachten hat. Sie darf also nicht einfach weitere Daten erheben (wozu der Personalausweis gehört), sondern muss den Weg des schonendsten Eingriffs gehen. Wenn also etwa eine Postanschrift vorhanden ist und schriftlich Auskunft zu erteilen ist, wobei der Auskunftsteller die gleiche Postanschrift in seiner Anfrage nennt, so ist das Verlangen nach einer Personalausweiskopie für mich nicht mehr vertretbar. Letztlich wird es auf den Einzelfall ankommen, wobei in der vielleicht vorgelegten Ausweiskopie all das, was nicht alleine der Identifizierung dient, geschwärzt werden darf – hierzu wird auch das Foto gehören.
Interessant finde ich die Anmerkung bei Heise von Joerg Heidrich:
Bei dem seit 2010 verteilten neuen Ausweis darf eine Kopie nur für die im Personalausweisgesetz genannten Zwecke angefertigt werden. Die Identifikation zu Zwecken der Auskunft bei einem Privatunternehmen gehört nicht dazu.
Das ist so vertretbar, denn §14 PAuswG verweist diesbezüglich auf die §§18-20 PAuswG. Mit dem §14 PAuswG gilt, dass „die Erhebung und Verwendung personenbezogener Daten aus dem Ausweis oder mithilfe des Ausweises“ ausschließlich auf Grund der §§18-20 PAuswG erfolgen darf. Insofern muss hier ausdrücklich erlaubt sein, was gemacht werden soll. Eine Ablichtung ist hier nicht ausdrücklich erwähnt und nach §20 I PAuswG gilt:
Der Inhaber kann den Ausweis bei öffentlichen und nichtöffentlichen Stellen als Identitätsnachweis und Legitimationspapier verwenden.
Nun ist sauberes Lesen gefragt: Dort steht ausdrücklich, das „der Ausweis“ als Nachweis genutzt werden kann, nicht aber ist von Ablichtungen davon die Rede. Hieraus den Rückschluss zu ziehen, dass das Anfertigen von Kopien nicht erlaubt ist, ist nicht nur nicht abwegig, sondern drängt sich geradezu auf. Diese bisher nicht angesprochene Problematik kann in der Zukunft durchaus noch relevant sein. Gleichwohl könnte man als Gegenargument heranziehen, dass die §§14, 18-20 PAuswG alleine den Umgang mit dem Ausweis als Papier und gerade nicht den Umgang mit davon erstellten (und erlaubten!) Fotokopien regelt. Da desweiteren ausdrücklich geregelt wird, dass allein der Gewahrsam des Ausweisinhabers absolut geschützt ist (§1 PAuswG), bin ich mit dieser Lesart im Ergebnis eher skeptisch und sehe hier kein zwingendes Argument gegen die Möglichkeit, sich mit einer Ausweiskopie zu identifizieren.
Ist ein rechtsmissbräuchliches Auskunftsbegehren denkbar?
Wie zu Beginn erwähnt ist das Auskunftsbegehren ein sehr hoch gestelltes und geschütztes Recht. Was ist nun wenn, wie hier vermutet, das Begehren gar nicht der Durchsetzung von datenschutzrechtlichen Ansprüchen dient, sondern vielmehr irgendein anderes Motiv (noch) eine Rolle spielt – etwa das Verlangen, reine Schikane zu betreiben?
Nach meinem Dafürhalten sind andere Motive vollkommen irrelevant! Ausweislich des Gesetzestextes, kommt es einzig und alleine auf das geäußerte Verlangen des Betroffenen an, auf eine Interessenslage oder eine rechtsmissbrauchsklausel wurde ausdrücklich verzichtet. Auch den Gedanken, die Ausübungskontrolle im Zuge des §242 BGB heran zu ziehen, sehe ich sehr kritisch, da der sehr lange §34 BDSG genügend Kontrollmechanismen vorsieht, die als spezielle Regelung Vorrang genießen. Dazu gehört z.B. die Entgeltpflicht im Einzelfall (§34 VIII BDSG) oder die Unzumutbarkeit (§§34 VII, 33 II BDSG). Hinzu kommt, dass ein Anspruch nur für „Betroffene“ besteht, wobei Betroffener nur sein kann, wer zumindest ernstzunehmende Anhaltspunkte hat, dass über ihn Daten gespeichert wurden. Vor diesem Gesamtbild erscheint es mir nicht nötig, einen Missbrauchstatbestand zu erkene. Wobei es nicht möglich sein wird, trotz des eindeutigen Abstellens alleine auf das „Verlangen“ im Gesetz, dies hintenrum durch ein „Motiv“ wieder auszuhebeln.
Strafbare Computersabotage durch eine datenschutzrechtliche Auskunft?
Der Gedanke hier ist wohl, dass eine wahre Email-Flut einem Denial-of-Service-Angriff gleich stehen würde. Das stimmt soweit auch, insofern kann ich auf meine Ausführungen zur Strafbarkeit von DDoS-Attacken verweisen. Mit Blick auf den Gesetzestext, der sehr weit formuliert ist, ist der §303a StGB auch keinesfalls selten bei solchen Handlungen zu erkennen:
Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er […] Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt […] wird […] bestraft.
Das einzig wahre Korrektiv ist – neben dem Vorsatz insgesamt – hier die gesondert geforderte „Nachteilszufügungsabsicht“. Das heisst, derjenige der handelt, muss in dem Bewusstsein handeln, dass der eintretende Nachteil notwendige Folge des Handelns ist. An dieser Stelle muss man nun unterscheiden zwischen den Beteiligten: Da ist in diesem Fall einmal der, der dazu aufruft die Auskünfte zu verlangen und dann der jeweils Anfragende.
Derjenige, der selber anfragt, handelt um Auskunft über seine Daten zu erhalten. Ihm muss nachgewiesen werden, dass er nicht nur die Möglichkeit in Betracht gezogen hat, erhebliche Störungen zu verursachen, sondern dass dies für ihn im Fall seiner abgeschickten Mail sogar notwendige Folge seiner einzelnen Mail ist. Vollkommen abwegig.
Interessanter wird es bei dem, der den Aufruf platziert. Hier kann es spannend sein, zu prüfen, ob er wirklich alleine auf die datenschutzrechtlichen Möglichkeiten hinweisen wollte, oder nicht vielmehr die Anfragenden als „Werkzeuge“ benutzt, um letztlich den Mailserver des Empfängers lahm zu legen. Eine solche Koordination eines DDoS durch einen Hintermann, während die tatsächlich handelnden rechtmässig handeln, kann durchaus strafrechtliche Relevanz haben. Gleichwohl muss auch hier dem „Hintermann“ nachgewiesen werden, den Vorsatz gehabt zu haben, einen solchen Angriff führen zu lassen. Sofern man in seinen Aufruf nicht genau das hinein schreibt, wird das eher schwierig.
- Captagon im deutschen Strafrecht: Ein Überblick - 8. Oktober 2024
- Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht - 7. Oktober 2024
- Datenschutzverstöße durch E-Mail-Weiterleitung: Haftungsrisiken für Geschäftsführer - 6. Oktober 2024