Jusletter IT

Google Street View ist ein Kartendienst von Google, welcher Straßenansichten im Internet zugänglich macht. Unterwww.google.com lässt sich unter dem Link «maps» der Dienst des Google Street View abrufen. Unter Eingabe einer Adresse wird weltweit virtuell die Ansicht einer bestimmten Straße, eines Ortes oder Platzes dargestellt. Mit den von Google zur Verfügung gestellten Tools lassen sich die Treffer in einer 360 Grad Ansicht darstellen, wodurch der User eine «Rundumdarstellung» des gewählten Platzes oder Ortes geboten bekommt, z.B. das Kolosseum in Rom:

Abbildung 1: Quelle:www.street-view-maps.de (abgerufen am 14. Januar 2011)

Sämtliche Städte, Orte, Plätze und Straßenansichten öffentlicher Straßen wurden von Google fotografiert, online gestellt und damit allgemein zugänglich gemacht. Am Dach der Google-Fahrzeuge waren Kameras montiert, wobei es (nach Aussagen von Google) für den 360 Grad Rundblick insgesamt 8 Kameras benötigte; daneben wurden Lasermessgeräte zu dreidimensionalen Vermessung eingesetzt.¹

Aus datenschutzrechlicher Sicht bedenklich und von Datenschutzbehörden wiederholt aufgegriffen wird die Tatsache, dass im Zuge der von Google angefertigten Fotografien von Straßen und Plätzen, auch Häuser, Personen und Fahrzeuge abgelichtet werden. Durch das Uploaden dieser Fotografien können bildlich festgehaltene Personen/Häuser/Fahrzeuge von jedem belieben User weltweit abgerufen werden. Durch die von Google Street View zur Verfügung gestellten Tools lässt sich jede Abbildung stark vergrößern; man erhält daher auch von den abgelichteten Personen oder Fahrzeugen stark vergrößerte Aufnahmen. Google hat darauf reagiert und die Gesichter von Passanten sowie Autokennzeichen unkenntlich gemacht.² Dadurch lassen sich zwar keine Details mehr erkennen, immer noch klar ersichtlich bleibt jedoch z.B. die Haut- und Haarfarbe, der Umstand, ob eine Person eine Behinderung aufweist (z.B. Rollstuhl, Krücken etc.) sowie die Kleidung und mitgeführte Gegenstände. Informationen über die Hautfarbe von Personen betreffen einen sensiblen Bereich («sensible Daten») und sind grundsätzlich geheim zu halten.

Abgesehen davon wurde Google vorgeworfen, dass im Zuge der Erstellung der Ablichtungen auch WLAN-Daten aufgezeichnet wurden und dadurch Daten ermittelt, erfasst und/oder gespeichert wurden. Wireless Local Area Network (WLAN) ist ein lokales Funknetz mit hohen Sendeleistungen und Reichweiten zu allgemein höheren Datenübertragungsraten.³ Ohne Maßnahmen zur Erhöhung der Informationssicherheit sind derart drahtlose Netzwerke permanenten Angriffen ausgesetzt; es bedarf daher einer Verschlüsselung bzw. einer Authentifizierung durch Kennwörter. Google wurde in diesem Zusammenhang vorgeworfen, neben der Verschlüsselungsart der Geräte zumindest auch die jeweiligen MAC-Adressen zu scannen und zu speichern, örtlich sollen sich die WLAN-Netze auf einzelne Privathaushalte zuordnen lassen, weshalb personenbezogene Daten im Sinne des Datenschutzgesetzes (DSG) betroffen sein sollen. Daher bleibt der Google Street View Dienst, obwohl er bereits nahezu weltweit gestartet ist, umstritten.

Im Zuge der Aufnahme diverser Straßenansichten wurden – wie oben dargestellt – Personen abgelichtet. Fraglich ist primär, ob es sich bei Fotografien um personenbezogene Daten im Sinne des § 4 Z. 1 DSG handelt und bejahendenfalls, ob durch das Onlinestellen der Fotografien im Zuge des Google Street View Dienstes personenbezogene Daten verletzt werden.

§ 4 Z. 1 DSG definiertpersonenbezogene Daten alsAngaben über Betroffene, deren Identität bestimmt oder bestimmbar ist . Bestimmt bedeutet, dass die Daten einer Person so zugeordnet sind, dass deren Identität direkt ersichtlich ist. Dies ist zum Beispiel bei Vorliegen von Namen und Geburtsdatum eindeutig der Fall. Dabei ist jedoch der Grad, der für die Identifizierung als ausreichend beurteilt wird, vom Kontext der jeweiligen Situation abhängig. Zur Identifizierung einer bestimmten Person reicht ein sehr häufig vorkommender Familienname nicht aus; die Identifizierbarkeit der Person auf die sich die Information bezieht, ist daher abhängig von den jeweiligen Begleitumständen.⁴ Bei den von Google angefertigten Fotografien steht primär eine Straße bzw. ein Ort oder eine Sehenswürdigkeit im Vordergrund; auf diese Darstellung zielt der Street View Dienst ab. Abgebildete Personen, die sich zufällig dort befunden haben, sind zwar sichtbar, jedoch durch die verzerrte Darstellung der Gesichtsfelder anonymisiert; das Gesicht ist dadurch nicht erkennbar, die Hautfarbe und der Körper schon. Erkennbar – wenn auch nur von Personen, die den Betroffenen selbst kennen – bleibt die abgebildete Person.⁵ Die Identität von Personen ist dadurch zumindest bestimmbar, weshalb personenbezogene Daten durch den Street View Dienst betroffen sind.

Da auf den Ablichtungen mitunter die rassische Herkunft einer natürlichen Person ersichtlich ist, stellt sich die Frage, ob dadurch sensible Daten im Sinne des § 4 Z 2 DSG verletzt bzw. tangiert werden. Sensible Daten im Sinne des § 4 Z 2 DSG sindDaten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben ; es handelt sich dabei um besonders schutzwürdige Daten.

Die Street View Ablichtungen sind Bilddaten und keine Echtzeitaufnahmen oder Videodaten. Was Bilddaten anbelangt, herrscht keine Einigkeit darüber, ob diese grundsätzlich (immer) als sensible Daten zu betrachten sind, weil sie Informationen über die Rasse bzw. ethnische Herkunft der abgebildeten Personen (beispielsweise weiße oder schwarze Hautfarbe) liefern sowie unter Umständen auch Hinweise auf gesundheitsrelevante Sachverhalte (z.B. sichtbare Behinderung) enthalten.⁶

Gerade bei Online-Diensten wie Street View stellt sich die Frage, ob nicht der Kontext zu beachten ist, in welchem sich der Betroffene befindet und inwiefern die Sensibilität von Bedeutung ist.⁷ LautJahnel deutet die Datenschutzrichtlinie⁸ auf eine eher abstrakte objektive Auslegung hin, wonach es auf den Verwendungszusammenhang nicht ankommen soll.

Gerade der Dienst des Google Street View ist ein Beispiel dafür, dass der Kontext zu berücksichtigen ist; bei Google Street View handelt es sich um Momentaufnahmen, zielgerichtet auf Straßen, Objekte und Plätze. Dabei «mitfotografierte» Personen haben die Möglichkeit, eine vollständige Unkenntlichmachung zu beantragen (vgl. 2.3.). Entscheidend dabei ist, dass der Ablichtung von Personen keine primäre Bedeutung zukommt; dies, da keine Möglichkeit besteht, die abgelichtete Person im WWW ausfindig zu machen; die Person ist nicht derart individualisiert, dass sie etwa «gegoogelt» werden könnte. Zweck des Google Street View Dienstes ist, die Straßen und die Orte in einer 360 Grad Ansicht zu zeigen. Die Personen sind dabei nebensächlich; die Gesichter werden ohnehin von Vornherein unkenntlich gemacht. Es wird daher zwangsläufig auf den Zweckzusammenhang des Online-Dienstes abzustellen sein. Vor diesem Hintergrund spielt die Thematik der Verarbeitung sensibler Daten hier eine untergeordnete Rolle; bei teleologischer Interpretation des Street-View-Dienstes zeigt sich im Ergebnis, dass nicht die klassische Datenverarbeitung allfälliger sensibler Daten im Vordergrund steht, weshalb der Google Street View Dienst in seiner derzeitigen Ausgestaltung mit dem österreichischen Datenschutzbestimmungen vereinbar ist (vgl. dazu 2.3.).

In Österreich wurde das Fotografieren von Häusern und Straßen durch Google seitens der Datenschutzkommission vorerst eingestellt, da beim Fotografieren auch WLAN-Daten aufgenommen wurden. Ursprünglich sollten offene WLAN-Netze «kartografiert» werden, um eine Navigation mit dem Mobiltelefon ohne GPS zu ermöglichen.⁹ Google war seit Beginn des Jahres 2010 mit der Anwendung des Street View Dienstes bei der österreichischen Datenschutzkommission registriert. Erst einige Monate danach wurde bekannt, dass WLAN-Daten ermittelt wurden und dabei auch Inhaltsdaten von E-Mails aufgezeichnet wurden. Dies wurde ursprünglich nicht beantragt, weshalb grundsätzlich gemäß § 52 Abs. 2 Z. 1 DSG eine Verwaltungsstrafe zu entrichten wäre; gegenständlich hat die Datenschutzkommission ein Prüfverfahren nach § 30 DSG eingeleitet. Google hat daraufhin sämtliche Inhaltsdaten gelöscht.

Schließlich wurde seitens der Datenschutzkommission ein Mandatsbescheid wegen Verdachts derGefährdung schutzwürdiger Geheimhaltungsinteressen nach § 20 Abs. 2 DSG erlassen und Google die Weiterverwendung aller Street View Daten untersagt. Gegen diesen Bescheid wurde seitens GoogleVorstellung an die Datenschutzkommission erhoben; inzwischen hat Google erklärt, bei den Street View Fahrten keine WLAN-Daten mehr einzuheben. Da sich im Ermittlungsverfahren herausstellte, dass die Erhebung der WLAN-Daten zu einem anderen Zweck erfolgte und daher nicht der Datenanwendung Street View zuzuordnen war, wurde der Mandatsbescheid aufgehoben. Mit einem zweiten Bescheid wurde gem. § 22 Abs. 4 DSG ein Verfahren zur Feststellung des für die Erfüllung der Meldepflicht erheblichen Sachverhaltes eingeleitet («Verfahren zur Überprüfung der Registrierung»). Google wurde aufgefordert, notwendige Ergänzungen und Klarstellungen vorzubringen. Ein nach § 30 DSG eingeleitetes Prüfverfahren ist nach wie vor offen.¹⁰

WLAN-Daten lassen grundsätzlich nicht unmittelbar auf eine Person bzw. einen Betroffenen schließen; können anhand der WLAN-Daten E-Mail-Inhalte ermittelt bzw. gespeichert werden, lassen sie eine unmittelbare Assoziation zu einem Betroffenen zu. Wenn jedoch z.B. die E-Mail-Inhalte erst durch weitere technische (rechtlich nicht zulässige) Schritte ermittelt werden, handelt es sich umindirekt personenbezogene Daten . Als indirekt personenbezogene Daten werden Daten bezeichnet, bei denender Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann , z.B. pseudonymisierte Daten (in der Regel Buchstaben oder Zahlenkombinationen, ein Code); immer wieder diskutiert wurde ob sich Cookies, Logfiles und IP Adressen alsindirekt personenbezogene Daten kategorisieren lassen.¹¹ Allen diesen Datenarten ist gemeinsam, dass sie zunächst nur den Bezug zu einem bestimmten Computer ermöglichen. Wenn die gespeicherten Daten sohin mit rechtlich zulässigen Mitteln einer Person zuzuordnen sind, handelt es sich umbestimmbare personenbezogene Daten . Wäre der Personenbezug zwar möglich, ist aber dies anhand der IP-Adresse jedoch nicht mit vorhandenen rechtlich zulässigen Mitteln herzustellen, handelt es sich umindirekt personenbezogene Daten.¹² Die seitens Google gespeicherten WLAN-Daten können daher direkt personenbezogen oder indirekt personenbezogen sein. Gemäß § 7 DSG dürfen Daten nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt werden. Google hat sich verpflichtet, keine WLAN-Daten mehr zu sammeln und – zumindest in Österreich – vorhandene WLAN-Daten zu löschen. Die österreichische Datenschutzkommission scheint daher die Problematik um die Speicherung von WLAN-Daten (zumindest derzeit) in den Griff bekommen zu haben.

Durch den Google Street View Dienst sind – wie oben dargestellt – personenbezogene Daten betroffen; aufgrund der bildlichen Darstellung von Personen werden auch sensible Daten tangiert. Ob diese Technologie mit dem österreichischen Datenschutzrecht vereinbar ist, ist noch nicht abschließend geklärt; es wird die Meinung vertreten, dass schutzwürdige Interessen des Betroffenen auf Geheimhaltung ihrer sensiblen Daten verletzt werden.¹³ Unter Berücksichtigung der Rechtsfortbildung sowie unter Beachtung der Fortentwicklung neuer Technologien im Internet lässt sich gegenständlich keine Verletzung sensibler Daten begründen und folglich kein Widerspruch zum österreichischen DSG erkennen.

Dies umso mehr, als Google für Betroffene die Möglichkeit geschaffen hat, über einen Antrag bei Google diegesamte Unkenntlichmachung zu erwirken. Betroffene haben daher im Nachhinein die Möglichkeit die Verwendungsensibler Daten gänzlich zu unterbinden, indem per Antrag die vollständige Unkenntlichmachung online unterhttps://streetview-deutschland.appspot.com/submission eingebracht wird.

Allerdings ist darauf hinzuweisen, dass sich die Zulässigkeit der Verarbeitung dieser Daten ändern kann und zwar dann, wenn die Datennicht in der ursprünglichen Form verarbeitet werden.

Während in Österreich das Verfahren um die Ermittlung von personenbezogenen Daten seitens Google Street View noch anhängig ist, ist in Deutschland der Google Street View Dienst bereits seit 2. November 2010 online. Vor der Onlineschaltung hat Google jedem User ermöglicht, Einspruch gegen die Veröffentlichung seiner Wohnung oder seines Hauses zu erheben. Auch im Nachhinein besteht noch die Möglichkeit, gegen die Veröffentlichung vorzugehen und z.B. die Unkenntlichmachung des eigenen Hauses zu beantragen:¹⁴

Abbildung 2: Quelle:www.googlewatchblog.de/2010/11/street-view-verpixelte-haeuser-mit-eiern-beworfen/ (abgerufen am 14. Januar 2011)

Auch die EU Kommission hat das Thema Google Street View bereits letztes Jahr beschäftigt. Seitens der Kommission wird eine zumindest 6-wöchige Widerspruchsfrist ab dem Zeitpunkt der Freischaltung des Street View Dienstes gefordert. In Österreich wird dem Betroffenen – der Auskunft der österreichischen Datenschutzkommission zufolge – jedenfalls ein Widerspruchsrecht gem. § 28 DSG zustehen und zwar völlig unabhängig vom Ausgang des anhängigen Prüfverfahrens.¹⁵

Jahnel, Dietmar, Datenschutzrecht, Jan Sramek Verlag, Wien, (2010).
Mayer-Schönberger, Brandl Ernst O., Datenschutzgesetz 2000, Linde Verlag, (1999).
Knoll, Martin, Zur datenschutzrechtlichen (Un)Zulässigkeit von Google Street View in jusIT, Heft 1 S 16ff (2010).

---

Verena Stolz, Rechtsanwältin, PEHB Rechtsanwälte GmbH, Erzabt-Klotz-Straße 21a, 5020 Salzburg, AT,office@pehb.at

---