Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) haben eine Orientierungshilfe zu den Datenschutzanforderung an Smart-TV-Dienste veröffentlicht (pdf, Stand: September 2015). Diese Orientierungshilfe richtet sich, so das Papier, an Anbieter von Smart-TV-Diensten und -Produkten. Hierzu gehören unter anderem Gerätehersteller App-Anbieter und Anbieter von HbbTV-Angeboten.
Nachfolgend möchte ich einen kurzen Überblick über einige in dem Papier behandelte Themen geben.
Was sind personenbezogene Daten?
Die Aufsichtsbehörden nennen in dem Papier Beispiele für ihrer Auffassung nach personenbezogene Daten im Umfeld von Smart-TVs. Hierzu gehören die IP-Adresse des Nutzers und Geräte-IDs, die dauerhaft mit dem Gerät verbunden sind. Nach Ansicht der Behörden ist hierbei unerheblich, dass eventuell mehrere Personen ein Fernsehgerät nutzen. Im Zweifel gehen die Behörden daher von einem Personenbezug aus. Weitere Beispiele sind Audiodaten, Foto -und Filmaufnahmen, das Fernsehanstalten oder Registrierungsdaten.
Wer ist datenschutzrechtlich verantwortlich?
Regelmäßig datenschutzrechtlich verantwortlich sind vor allem die Gerätehersteller, die etwa Updates auf Geräte aufspielen oder Statistiken über die Bedienung des Gerätes erstellen. Ebenfalls datenschutzrechtlich verantwortlich können App-Anbieter sein. Auch die Anbieter von HbbTV-Zusatzangeboten können oft als datenschutzrechtlich verantwortliche Stelle und Diensteanbieter im Sinne des Telemedienrechts qualifiziert werden.
Welches Recht gilt?
Grundsätzlich gilt das deutsche Datenschutzrecht, beim Umgang mit personenbezogenen Daten durch stellen mit Sitz in Deutschland. Nach Auffassung der Behörden gilt das deutsche Datenschutzrecht auch, wenn ein Anbieter, der außerhalb des europäischen Wirtschaftsraums niedergelassen ist, personenbezogene Daten im Inland erhebt. Interessant ist die Ansicht der Aufsichtsbehörden, dass das deutsche Datenschutzrecht nicht gilt, wenn ein Anbieter in einem anderen Mitgliedstaat des europäischen Wirtschaftsraums niedergelassen ist und in Deutschland personenbezogene Daten erhebt und dies nicht durch eine Niederlassung in Deutschland erfolgt. Dann gilt das Recht des jeweiligen Mitgliedstaates. Nach Auffassung des Düsseldorfer Kreises scheint also allein die Existenz einer Niederlassung in Deutschland (richtigerweise) noch nicht zur Anwendbarkeit deutschen Datenschutzrechts zu führen.
Rechtsgrundlagen der Datenverarbeitung
Danach geht die Orientierungshilfe auf die verschiedenen Erlaubnistatbestände des TMG zum Umgang mit personenbezogenen Daten ein. Das TMG stellt gerade im Bereich der Datenverarbeitung über Smart-TVs das gegenüber dem Bundesdatenschutzgesetz speziellere Gesetz dar.
Die Aufsichtsbehörden geben verschiedene Beispiele für die im TMG angesprochenen Bestands- und Nutzungsdaten. Nach Auffassung der Behörden stellen Bestandsdaten im Sinne des § 14 Abs. 1 TMG etwa Registrierungsdaten in einem online Portal dar. Nutzungsdaten im Sinne des§ 15 Abs. 1 TMG sind unter anderem die IP-Adresse und eindeutige Kennnummern.
Auch befasst sich die Orientierungshilfe mit dem Thema der pseudonymisierten Nutzungsprofile (§ 15 Abs. 3 TMG). Der erforderliche Hinweis auf die Erstellung solcher Nutzungsprofile muss nach Auffassung der Behörden zumindest in der Datenschutzerklärung erfolgen. Die Widerspruchsmöglichkeit (Opt-Out) kann in Form eines Links oder der Möglichkeit des Auskreuzens bereitgestellt werden. Nach Ansicht des Düsseldorfer Kreises genügt jedoch die Möglichkeit, per E-Mail oder per Post ein Opt-Out zu erklären, den gesetzlichen Anforderungen nicht.
Die Orientierungshilfe setzt sich im weiteren mit den Themen „Reichweitenmessung“ und „werbefinanzierte Dienste“ auseinander.
Datenschutzerklärung
Die Aufsichtsbehörden geben auch Hinweise dazu, wie die Nutzer von Smart-TVs wirksam über stattfindende Datenverarbeitungen zu informieren sind. Informationspflichten der Anbieter ergeben sich aus § 13 Abs. 1 TMG. Nach Auffassung der Behörden besteht für verantwortliche Stellen die Verpflichtung, die Datenschutzhinweise derart zu verankern, dass der Nutzer zwangsläufig und so frühzeitig wie möglich mit diesen in Berührung gelangt. Fraglich ist, wie der Begriff „zwangsläufig“ zu verstehen ist. Gehen die Behörden davon aus, dass Datenschutzerklärung per Popup eingeblendet werden müssen? In jedem Fall genügt eine Information, die im Impressum oder den Allgemeinen Geschäftsbedingungen erfolgt, nicht den Anforderungen an die Transparenz. Wichtig ist auch der Hinweis der Behörden, dass nicht sonstige Textbausteine, die häufig für herkömmliche Webseiten erstellt werden, genutzt werden dürfen. Nicht ausreichend sind ebenso die Wiedergabe gesetzlicher Normen oder allgemeine Floskeln zur Wichtigkeit des Datenschutzrechts.
Anforderungen an die IT-Sicherheit
Nach Auffassung der Behörden müssen die verantwortlichen Stellen regelmäßig Sicherheitsupdates für die eingesetzten Geräte anbieten. Zudem sollen personenbezogene Daten nach dem Stand der Technik verschlüsselt werden als Orientierung verweist der Düsseldorfer Kreis auf Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem formuliert das Papier Mindestanforderungen. Hierzu gehören: HTTPS, Perfect Forward Secrecy, kein SSL2/SSL3, mindestens 2048-Bit beim X.509 Zertifikat, keine RC4-Verschlüsselung, kein SHA1-Hashverfahren.
Hinweise für jeden Beteiligten
Im letzten Abschnitt des Papiers gehen die Behörden auf die konkreten Situationen und Probleme ein, die sich für den jeweiligen Verantwortlichen bei der Datenverarbeitung stellen. Sowohl für Gerätehersteller, App- oder HbbTV-Anbieter werden konkrete Szenarien des Umgangs mit personenbezogenen Daten betrachtet und analysiert.