Neue Datenschutzerklärung – Windows verwendet E-Mail-Inhalte nicht für Werbung

Windows hat seinen Dienstleistungsvertrag (MSA) und seine Datenschutzerklärung für Windows-Dienste überarbeitet (eine Übersicht findet sich hier).

MSA
In Bezug auf Änderungen an seinem Dienstleistungsvertrag erläutert Microsoft, dass

Inhalte von E-Mails, Chats, Videoanrufen oder Voicemails nicht für gezielte Werbung

verwendet werden. Ebenso werden auch keine Dokumente, Fotos oder andere persönlichen Dateien der Kunden für gezielte Werbung genutzt.

Zudem hat Microsoft Verhaltensregeln in den Dienstleistungsvertrag aufgenommen (Ziff. 1.2) und aktualisiert (siehe auch Ziff. 3.5). Diese leicht verständlichen Richtlinien sollen für Nutzer festlegen, welche Verhaltensweisen etwa Maßnahmen am Microsoft-Konto zur Folge haben können, wenn sie gegen die Verhaltensregeln verstoßen. Hierbei geht es z. B. um pornographische Inhalte, die Verletzung der Privatsphäre anderer Nutzer oder auch der Einsatz von Schadsoftware.

Das vollständig überarbeitete MSA findet man hier.

Datenschutzerklärung
Zu den Änderungen an der Datenschutzerklärung führt das Unternehmen aus, dass jeweils eigene Datenschutzerklärungen für das Microsoft-Konto, Outlook.com, OneDrive und Familiy Safety erstellt wurden.

Die neue Datenschutzerklärung der Windows-Dienste ist dabei recht übersichtlich aufgemacht. Der Nutzer erhält zu den wichtigen Themen Vorabinformationen und kann, bei Wunsch, jeweils über einen Klick weitere Details zu den einzelnen Diensten nachlesen. Dies dürfte sich durchaus positiv auf die Akzeptanz des bei Verbrauchern oft ungeliebten „Kleingedruckten“ auswirken. Denn die Datenschutzerklärung verläuft damit nicht mehr einfach monoton über mehrere Seiten hinweg, sondern stellt sich in ihrer Grundform als kompakte Informationsbasis dar. Zudem erhält jedes Produkt von Microsoft eine eigene Datenschutzerklärung, womit die jeweiligen Informationen für Nutzer leichter auffindbar sein sollen. Dieser Ansatz unterscheidet sich damit etwa von demjenigen von Google, welches eine gemeinsame Datenschutzerklärung für all seine Dienste verwendet.

Die neuen Bestimmungen treten am 31. Juli 2014 in Kraft.

Hessischer Datenschützer: Hinweise zur Android-Apps und deren Entwicklung

Der Hessische Datenschutzbeauftragte hat auf seiner Internetseite ein Dokument (PDF) bereitgestellt, in dem die datenschutzrechtliche Situation bei Android-Apps und die erforderlichen Berechtigungen für den Zugriff auf personenbezogene Daten näher beleuchtet wird.

Hintergrund des Appells, „Aufgabe für App-Anbieter – Transparenz für Android App-Nutzer herstellen!“ sind Beschwerden von Nutzern, die sich auf Berechtigungen von Apps beziehen. Die hessische Behörde prüfte daher unter anderem, ob Android-Apps unzulässig personenbezogene Daten nutzen oder die Bedeutung und Funktionsweise von systeminternen Berechtigungen – die eine App unter Android-OS benötigt – von den Betroffenen missverstanden werden.

In seiner Erläuterung geht der Datenschutzbeauftragte zunächst auf die allgemeine Funktion von Berechtigungen von Apps unter Android ein. Anhand des Beispiels einer Navigations-App werden dann verschiedene Berechtigungen analysiert und nach ihrer Erforderlichkeit für die Erbringung des Dienstes gefragt. Diese Frage ist datenschutzrechtlich relevant. Zum einen wenn keine Einwilligung zur Nutzung der Daten vorliegt, um die Daten im Rahmen von gesetzlichen Erlaubnistatbeständen rechtmäßig verarbeiten zu können. Zum anderen aber auch aufgrund allgemeiner datenschutzrechtlicher Prinzipien, wie demjenigen der Datensparsamkeit, auf welches von Seiten der Datenschutzbehörden häufig hingewiesen wird.

In dem Dokument weist der Datenschutzbeauftragte daraufhin, dass aus seiner Sicht nicht die Beschreibung der Verwendungsmöglichkeiten dieser Berechtigungen in den Informationen oder Nutzungsbedingungen ausschlaggebend für die datenschutzrechtliche Bewertung sei, sondern die tatsächliche Verwendung der eingeräumten Berechtigungen. Diese werde durch seine Behörde geprüft und an den gesetzlichen Maßstäben gemessen.

Wichtig erscheint ein weiterer Hinweis des Datenschutzbeauftragten: damit neue Apps auch abwärtskompatibel sind, also mit älteren Android-Versionen funktionieren, muss eine App teilweise mehr Berechtigungen verlangen, als für ihre Nutzung unter der aktuellsten Version eigentlich erforderlich sind.

Zum Schluss gibt das Dokument App-Anbietern noch einige allgemeine Hinweise mit auf den Weg. Diese sollten in der Beschreibung ihrer App im Google Play Store detailliert und vollständig folgende Angaben machen oder darauf verlinken:

  • Welche Berechtigungen werden für welche Softwarefunktionalität gebraucht?
  • Wie werden die dadurch gewonnen Daten verarbeitet?

Zudem sollten diese Angaben nach Ansicht der Behörde auch Teil der Datenschutzerklärung der jeweiligen App sein.

OVG Berlin-Brandenburg: Ein Blitzerfoto darf im Internet zur Einsicht bereitgehalten werden

Das OVG Berlin-Brandenburg (OVG BB) hat mit Beschluss vom 29.4.2014 (Az. 12 S 23.14) entschieden, dass die im Land Brandenburg eröffnete Möglichkeit, das zum Nachweis einer Verkehrsordnungswidrigkeit gefertigte Beweisfoto im Internet nach Eingabe individueller Zugangsdaten abzurufen, keine Verletzung des Rechts auf informationelle Selbstbestimmung darstellt. Dies auch nicht wegen der bloßen Befürchtung, Dritte könnten sich illegal Zugang zu dem Bild verschaffen. Ein Unterlassungs- oder Löschanspruch des Betroffenen bestehe nicht.

Sachverhalt
Dem Antragsteller (der wegen überhöhter Geschwindigkeit geblitzt wurde) war die Möglichkeit eingeräumt worden, das Beweisfoto online einzusehen. Dazu wurden dem Antragsteller im Anhörungsschreiben von der Behörde Zugangsdaten per Post übermittelt, mit denen er den Zugang freischalten konnte.
Dieses konkrete Foto wurde im Laufe des Verfahrens entfernt. Jedoch wollte der Antragsteller in einem Unterlassungsanspruch für die Zukunft gelten machen, dass Lichtbilder des Antragstellers und seiner Fahrzeuge, die im Zusammenhang mit der Verfolgung von Verkehrsordnungswidrigkeiten angefertigt werden, in der Zukunft nicht derart abrufbar sind.

Entscheidung
Das Gericht bezweifelt bereits ein Rechtsschutzbedürfnis für den Antrag. Denn der Antragsteller habe es selbst in der Hand, einen Konflikt mit der Behörde über derartige Fotos zu vermeiden. Er kann sich nämlich einfach an die Verkehrsvorschriften halten, so dass er nicht mehr geblitzt werde.
Da der Antragsteller jedoch anscheinend freimütig vor dem OVG BB erklärte, dass er sich auch „künftig verkehrsordnungswidrig verhalten“ wolle und daher eventuell mit weiteren Fotos zu rechnen sei, machte das OVG BB zudem Ausführungen zu einer fehlenden Verletzung des Rechts auf informationelle Selbstbestimmung.

Das Gericht stellt fest, dass der Eingriff, der zur Existenz des Fotos führt, auf einer hinreichenden Rechtsgrundlage beruhe, in diesem Fall § 100h Abs. 1 S.1 Nr. 1 StPO iVm § 46 Abs. 1 OWiG. Der Antragsteller sei zudem nicht in seinem Grundrecht verletzt.

Zudem verweist das OVG BB auf die rechtliche Möglichkeit, dass Verfahrensakten im Ordnungswidrigkeitenverfahren elektronisch geführt werden dürfen, § 110b OWiG. Entsprechende Bildunterlagen seien als Bestandteil dieser Verfahrensakten anzusehen. Die Akteneinsicht könne nach § 110d Abs. 2 Satz 1 OWiG auch durch Übermittlung von elektronischen Dokumenten oder deren Wiedergabe auf einem Bildschirm erfolgen.
Der Antragsteller brachte vor, dass dies nur für das Akteneinsichtsrecht des Verteidigers gelte. Das Gericht wies diese Sichtweise jedoch zurück. Diese Akteneinsicht zwischen Behörde und Verteidiger gelte nur für die Regelung in § 110d Abs. 2 Satz 3 OWiG, die hier jedoch nicht zur Anwendung gelange. Die Möglichkeit, sich das Beweisfoto auf einer Internetseite anzuschauen, finde nach dem OVG BB ihre Grundlage in den Bestimmungen der §§ 49 Abs. 1, 110d Abs. 2 S. 1 OWiG.

Dabei sei das Verfahren so ausgestaltet, dass nur derjenige, der über die Zugangsdaten verfüge, auf das Bild zugreifen könne. Damit werde keine öffentliche oder potentiell öffentliche Zugriffsmöglichkeit geschaffen, sondern die Vertraulichkeit im Verhältnis zu dem Empfänger des Anhörungsschreibens, das die Zugangsdaten enthält, gewahrt. Mit einem solchen Verfahren werde der Zugang grundsätzlich auf die berechtigten Nutzer beschränkt.
Das Vorbringen des Antragstellers, dass sich Dritte eventuell Zugang zu dem Bild verschaffen könnten, lies das Gericht ebenfalls nicht als Argument gelten. Denn soweit eine solche Möglichkeit in der Sphäre des Betroffenen besteht (z. B. weil das Schreiben offen verwahrt werde), könne dies der Behörde nicht entgegengehalten werden.

Zuletzt macht das OVG BB interessante Ausführungen zur Datensicherheit im Internet.

Die Möglichkeit, dass sich besonders versierte Nutzer in illegaler Weise Kenntnis von den Zugangsdaten verschaffen könnten, indem sie etwa Sicherheitslücken in der Technik des Antragsgegners, des Betroffenen oder Dritter, die in den Übermittlungsvorgang eingeschaltet sind, nutzen, um den Datenverkehr auszuspähen, schließt den Gebrauch einer grundsätzlich auf Vertraulichkeit angelegten, gesetzlich zugelassenen Abruftechnik nicht aus. Der Antragsgegner hat nur dafür zu sorgen, dass er eine auf Wahrung der Datensicherheit ausgelegte Informationstechnik verwendet und erkannte Sicherheitslücken schließt, soweit diese in seiner Einflusssphäre liegen.

Diese Anforderungen waren vorliegend erfüllt bzw. wurde nichts anderes glaubhaft gemacht.

Fazit
Das OVG BB erkennt also eine Art von relativem Datensicherheitsstandard im Internet an. Eine öffentliche Stelle kann sich nicht auf jegliches illegale Zugriffsszenario vorbereiten. Diese Sichtweise erscheint praxisnah. Die totale Sicherheit im Internet wird es nicht geben. Ist jedoch der Behörde gesetzlich die Möglichkeit eingeräumt, elektronisch gegenüber dem Bürger aufzutreten, so hat sie hierbei nach dem Gericht 1)dafür zu sorgen, dass eine auf Wahrung der Datensicherheit ausgelegte Informationstechnik verwendet wird und 2) erkannte Sicherheitslücken geschlossen werden, die in ihrer Einflusssphäre liegen.

Spanien: Datenschützer verhängen Bußgeld gegen Google wegen Cookies auf Blogspot

Mit Beschluss vom 14. Mai 2014 hat die spanische Datenschutzbehörde (AEPD) ein Bußgeld in Höhe von 25.000 € gegen Google verhängt (hier der Beschluss im Original (Spanisch), PDF).

In dem Verfahren ging es um die datenschutzrechtliche Prüfung von Cookies, welche über Blogs verbreitet wurden, die auf der Plattform „Blogger“ und unter Adressen wie „Beispiel.blogspot.com“ betrieben wurden. Dabei ging es jedoch nicht um die Verantwortlichkeit des Blogbetreibers, sondern um diejenige der Google Inc.

Untersucht wurden von den Datenschützern vor allem Analyse-Cookies (die im Rahmen von Google-Analytics arbeiteten) und solche für Zwecke der Schaltung von personalisierter Werbeanzeigen.

Nach Ansicht der Datenschützer verletzte der Einsatz der Cookies vorliegend die Vorgaben des spanischen Datenschutzrechts, insbesondere diejenige einer Einwilligung entsprechend Art. 5 Abs. 3 der Richtlinie 2002/58/EG (PDF) (ePrivacyRL, in der Fassung durch Richtlinie 2009/136/EG). Art. 5 Abs. 3 ePrivacyRL sieht für die Speicherung von Informationen oder den Zugriff auf Informationen auf Endgeräten des Nutzers (oder Teilnehmers) eine Einwilligung in Kenntnis der Sachlage vor. Diese Vorschrift gilt freilich nicht nur für Cookies, wird in der Praxis aber gerade für diese relevant. Von dem Einwilligungserfordernis gibt es jedoch Ausnahmen, unter anderem dann, wenn der Zugriff oder die Speicherung der Informationen unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Laut den tatsächlichen Feststellungen in dem Beschluss, wurden auf den Rechnern von Nutzern, die einen Blog unter einer „blogspot“-Adresse besuchten, unter anderem Analyse-Cookies und solche für Werbezwecke gesetzt. Der Einsatz der Cookies wurde dabei durch Google selbst festgelegt und konnte durch den Blogbetreiber nicht unterbunden werden.

Die Behörde beanstandet, dass es zwar Informationen zu dem Einsatz von Cookies und auch von Analyse-Cookies im speziellen in der Datenschutzerklärung von Google gebe. Diese seien für die Besucher des jeweiligen Blogs jedoch schwierig aufzufinden. Zudem würden die Besucher nicht darauf hingewiesen, dass Cookies zum Einsatz kämen und wo sie hierzu Informationen finden könnten. Auch würden entsprechende Informationen etwa nicht den Blogbetreibern zur Verfügung gestellt, die diese dann an ihre Besucher weiterleiten könnten.

Google brachte unter anderem vor, dass für den Einsatz der Cookies keine Einwilligung der Nutzer nötig sei, da er für die Zurverfügungstellung des Dienstes unbedingt erforderlich sei. Diese Sichtweise wies die Behörde jedoch zurück. Sie begründet ihren Beschluss damit, dass sowohl die Werbe-Cookies als auch die Analyse-Cookies nicht unbedingt erforderlich seien, damit die Plattform zum einen den Bloggern (für das Erstellen von Blogs) und auch deren Besuchern zur Verfügung gestellt werden könne.

Fazit
Wann Cookies (und damit der Zugriff bzw. die Speicherung von Informationen; Achtung, nicht nur „personenbezogene“ Informationen!) unbedingt erforderlich sind, lässt sich kaum generell sagen, sondern hängt stark von dem jeweiligen Einzelfall ab. Die europäischen Datenschutzbehörden haben in einer Stellungnahme aus dem Jahre 2012 (WP 194, PDF) jedoch zumindest einige Leitlinien aufgestellt, wann nach ihrer Ansicht die Einwilligung beim Einsatz von Cookies entbehrlich sein kann.

Recht auf Vergessen – Google setzt EuGH-Entscheidung um und möchte europäischer werden

Nach der EuGH-Entscheidung im Streit zwischen der spanischen Datenschutzbehörde und Google um ein sog. „Recht auf Vergessen werden“ im Internet, hat das Unternehmen am Freitag ein Webformular bereitgestellt, durch welches Nutzer nun Löschantrage für Suchergebnisse einreichen können.

Auf der Hilfeseite des Unternehmens gibt Google weitere Informationen zu dem Verfahren. Danach müsse jede Anfrage individuell geprüft und zwischen dem Recht des Einzelnen auf Schutz seiner personenbezogenen Daten und dem Recht der Öffentlichkeit auf Auskunft und Informationsweitergabe abgewogen werden. Zu den Prüfkriterien gibt Google an, dass man bei der Bearbeitung eines Antrags prüfe,

ob die Ergebnisse veraltete Informationen über Ihr Privatleben enthalten. Wir untersuchen außerdem, ob ein öffentliches Interesse an den in unseren Suchergebnissen verbleibenden Informationen besteht, zum Beispiel, ob es um finanzielle Betrugsfälle, Berufsvergehen oder Amtsmissbrauch, strafrechtliche Verurteilungen oder Ihr öffentliches Verhalten als (gewählter oder nicht gewählter) Regierungsbeamter geht.

Das Unternehmen stellt klar, dass dies schwierige Entscheidungen seien, die man als privater Konzern nicht in jedem Fall zweifelsfrei treffen könne. Unter Umständen könne dies durch die lokale Datenschutzbehörde besser beurteilt werden. Obwohl Google den Auswirkungen des Urteils kritisch gegenüberstehe, respektiere man die Entscheidung des EuGH. Man arbeite zudem intensiv an der Entwicklung eines gesetzeskonformen Prozesses, unter anderem mit Datenschutzbehörden und anderen Stellen. Gemeint sein könnten hiermit auch die bekanntgewordenen Pläne des Bundesinnenministeriums, für Löschanfragen eine Schlichtungsstelle zu schaffen (hierzu Thomas Stadler in seinem Blog).

In einem Interview mit der Financial Times hat Google Mitgründer Larry Page zudem angekündigt, dass man ein neues Expertengremium schaffen werde, welches das Unternehmen in Fragen des Datenschutzes in Europa beraten soll. Page versprach zudem eine neue Art des Engagements von Google in Europa. Er bedauere, dass man in der Vergangenheit nicht stärker in einer wirklichen Debatte um den Datenschutz involviert war. Dies wolle man nun ändern. Google wird versuchen „europäischer“ zu werden und bestimmte Themen aus dem europäischen Blickwinkel betrachten.

Nach weltweiter Prüfung: Auch deutsche Datenschützer stellen rechtliche Mängel bei Apps fest

Im Rahmen des „Privacy Sweep 2014“ haben Datenschutzbehörden auf der ganzen Welt in der Woche vom 12. bis 18. Mai 2014 Apps und deren Anbieter datenschutzrechtlich überprüft.

In Deutschland nahm u. a. der Landesdatenschutzbeauftragte aus Baden-Württemberg an der koordinierten Aktion teil und prüfte Apps die in Baden-Württemberg entwickelt wurden oder deren Anbieter dort ansässig sind.

Laut der offiziellen Pressemitteilung (PDF) des Landesdatenschützers wurde dabei festgestellt, „dass die meisten Apps die notwendige Transparenz im Umgang mit personenbezogenen Daten vermissen ließen“. Kritikpunkt ist vor allem das Fehlen einer Datenschutzerklärung, aus der für die Nutzer hervorgehen muss, welche Daten zur Nutzung des Dienstes erforderlich sind und verarbeitet werden.

App-Anbieter haben in Deutschland vor allem die datenschutzrechtlichen Vorgaben des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Bereits vor einem Jahr hatte das bayerische Landesamt für Datenschutz eine Prüfung von Apps und deren Betreibern durchgeführt und teils erhebliche rechtliche Mängel festgestellt (hierzu mein Beitrag). Die Pflicht eine Datenschutzerklärung vorzuhalten, ergibt sich für App-Betreiber aus § 13 Abs. 1 TMG. Auch der Zusammenschluss der europäischen Datenschutzbehörden (Art. 29 Gruppe) hatte in einer Stellungnahme aus dem Jahre 2013 (WP 202, PDF) auf die rechtliche Pflicht zur Information der App-Nutzer durch den Betreiber hingewiesen, bevor dieser Informationen auf dem Smartphone des Nutzers speichert oder auf dieses über die App zugreift.

Für Betreiber von Apps dürfte zudem interessant sein, dass der baden-württembergische Landesdatenschutzbeauftragte angekündigt hat, in Zukunft derartige Kontrollaktionen gerne wiederholen zu wollen. Angesichts der durchgeführten Prüfaktionen der Behörden in Deutschland (und der Gefahr, bei datenschutzrechtlichen Verstößen gemäß § 16 Abs. 2 TMG eine Ordnungswidrigkeit zu begehen, die nach § 16 Abs. 3 TMG mit einem Bußgeld bis zu 50.000€ geahndet werden kann) sollten App-Betreiber stets die Konformität ihrer Datenschutzerklärung prüfen bzw. eine solche für ihre Dienste erstellen.

Update vom 27.5.2014:

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat an der diesjährigen Prüfaktion von Apps teilgenommen. Laut der Pressemitteilung wurden 15 internationale iOS und Android-Apps sowie 15 bayerische iOS und Android-Apss untersucht. Bei der Prüfung wurden „erhebliche Mängel beim Datenschutz“ festgestellt. Thomas Kranig, Präsident des BayLDA, stellt fest, dass „die schlechte datenschutzrechtliche Bewertung insbesondere der bayerischen iOS-Apps zeigt, dass die datenschutzrechtlichen Anforderungen durch bayerische App-Anbieter nicht ausreichend wahrgenommen werden„. Wie auch sein baden-württembergischer Kollege zieht Kranig für die zukünftige Arbeit seiner Behörde hieraus den Schluss, dass „nach dieser eher allgemeinen Prüfung eine noch intensivere Prüfung von Apps nach den Maßstäben deutscher Datenschutzgesetze und eine Ahndung von Verstößen notwendig ist„.

 

 

Datenschutzreform: Bundesrat sieht weiterhin Nachbesserungsbedarf

Der Deutsche Bundesrat hat in seiner heutigen Sitzung zu der Mitteilung der Europäischen Kommission mit dem Titel „Ein offenes und sicheres Europa – Praktische Umsetzung“ (KOM(2014) 154 endg., PDF) Stellung genommen. In dem hierzu verabschiedeten Beschluss (BR-Drs. 123/14, PDF) bedauert der Bundesrat, dass in der Mitteilung die weitere Entwicklung des europäischen Datenschutzrechts nicht in den Blick genommen wurde.

Dies vor allem deshalb, weil aus Sicht des Bundesrates die anhaltenden Beratungen um die europäische Datenschutzreform „bereits weitreichend Reformerfordernisse aufgezeigt haben“. Für den Bundesrat stellt dabei die Verwirklichung wirksamer Garantien zum Schutz personenbezogener Daten, gerade unter den Bedingungen global vernetzter Kommunikation, eine der zentralen strategischen Aufgaben einer dem Schutz ihrer Bürgerinnen und Bürger verpflichteten Europäischen Union dar.

Wichtig ist dem Bundesrat dabei jedoch, dass ein zukünftig modernisiertes europäisches Datenschutzrecht „vor allem den unterschiedlichen Regelungsbedarfen des öffentlichen und des privaten Sektors Rechnung tragen“ muss. Die zu entwickelnden Vorgaben dürften nicht hinter bereits bestehende nationale Regelungen und den geltenden Rechtsakt der Union für den Datenschutz bei der grenzüberschreitenden Zusammenarbeit von Polizei und Justiz zurückfallen.

Der Bundesrat verweist des weiteren auf seine Stellungnahmen zu der vorgeschlagenen Datenschutz-Grundverordnung (BR-Drs. 52/12 und (2), PDF) und der Richtlinie für den Datenschutz bei Polizei und Justizbehörden (BR-Drs. 51/12 und (2), PDF) aus dem Jahre 2012. Die in diesen Beschlüssen aufgezeigten Nachbesserungserfordernisse würden weiterhin gelten.

Diese Forderungen, insbesondere das Kernanliegen zur Gewährleistung ausreichender Spielräume für nationale Datenschutzregelungen im öffentlichen Bereich, gelten fort.

Zwar erkennt der Bundesrat den Fortschritt der Verhandlungen auf europäischer Ebene, wie etwa die gemeinsame Position des Europäischen Parlaments vom März 2014, an. „Dennoch sieht der Bundesrat Klarstellungsbedarf insbesondere mit Blick auf die Möglichkeiten, in den Mitgliedstaaten besondere Anforderungen bei der Verarbeitung personenbezogener Daten vorzusehen“.

Erforderlich sei daher eine rasche Klärung der noch offenen Fragen im Rat der Europäischen Union. Dabei betont der Bundesrat, dass es unerlässlich sei, zeitnah einen einheitlichen Rechtsrahmen für den Datenschutz auf EU-Ebene zu finden.

Daneben ist dem Bundesrat jedoch wichtig, den Dialog und die Zusammenarbeit mit Drittstaaten auszubauen. Nur so könne gemeinsam den Herausforderungen des Datenschutzes in einer vernetzten Welt entgegengetreten werden. Er bedauere,

dass die bisherigen Anstrengungen der EU hierzu, zum Beispiel beim Dialog über Datenschutzfragen mit den Vereinigten Staaten von Amerika über die Safe-Harbor-Grundsätze oder ein Datenschutz-Rahmenabkommen im Bereich der Strafverfolgung, trotz unstreitigen Handlungsbedarfs bislang nur zu langsamen Fortschritten geführt haben.

Datenschutz bei Smart-TVs: Datenschützer legen Voraussetzungen fest

Der Zusammenschluss der deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (Düsseldorfer Kreis) hat zusammen mit den Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten eine gemeinsame Position zum Datenschutz bei sog. Smart-TVs veröffentlicht (Gemeinsame Position: Smartes Fernsehen nur mit smartem Datenschutz, PDF).

In ihrer Position weisen die Datenschützer darauf hin, dass im Alltag immer mehr internetfähige Fernsehgeräte benutzt werden. Hierbei entsteht, neben dem normalen Fernsehsignal, ein Rückkanal an den Hersteller des Gerätes oder zum Fernsehsender über das Internet. Über diesen Kanal ist es grundsätzlich möglich, das Nutzungsverhalten der Zuschauer zu erfassen. Die Datenschützer sehen in dieser Möglichkeit der Aufzeichnung des Nutzerverhaltens eine Gefahr für das Recht auf freien Informationszugang, welches „empfindlich beeinträchtigt“ werden könnte.

Die Datenschutzbehörden stellen daher folgende Anforderungen an einen datenschutzrechtskonformen Einsatz von Smart-TVs und der Datenverarbeitung:

Eine Profilbildung über das individuelle Fernsehverhalten der Nutzer ist ohne informierte und ausdrückliche Einwilligung der Zuschauer unzulässig.

Web- oder HbbTV-Dienste unterliegen als Telemedien dem TMG und dessen datenschutzrechtlichen Anforderungen. Die Mindestvorgaben an Hersteller, Sendeanstalten oder andere Dritte lauten hierbei: auch personenbeziehbare Daten der Nutzer dürfen nur verwendet werden, wenn dies zur Erbringung des jeweiligen Dienstes erforderlich ist. Zudem müssen Betroffene zu Beginn der Nutzung über die Datenerhebung informiert werden.

Grundsätzlich dürfen Nutzungsprofile nur mit Pseudonymen erstellt werden und die Nutzer dürfen der Profilerstellung nicht widersprochen haben. Zu beachten ist, dass nach Ansicht der Datenschützer IP-Adressen und Gerätekennungen keine Pseudonyme i. S. d. TMG darstellen.

Zudem haben nach Ansicht der Datenschützer die Gerätehersteller und Diensteanbieter das Prinzip des „Privacy by Default“ zu beachten. Es solle eine anonyme Nutzung der Dienste ermöglicht werden. Eine Nutzung der Webdienste dürfe erst nach einer umfassenden Information der Nutzer erfolgen. Zudem müssten die Nutzer die Kontrolle über die auf den Geräten gespeicherten Daten besitzen (z. B. Verwaltung von Cookies).

Zuletzt weisen die Datenschutzbehörden darauf hin, dass nach ihrer Auffassung die Gerätehersteller, Fernsehsender oder sonstige Web-Dienste über sicherheitstechnische Mechanismen verfügen müssten, die die Geräte und den Datenverkehr vor dem Zugriff unbefugter Dritter schützen.

Datenschutzreform: neue Ratsdokumente belegen anhaltenden Diskussionsbedarf

Unter EUDataP-links.com, einer Unterseite dieses Blogs, habe ich neue Dokumente aus der DAPIX (die für den Datenschutz zuständige Ratsarbeitsgruppe) zur Datenschutzreform verlinkt. Thematisch geht es dabei vor allem um den Dauerbrenner „one-stop-shop“ und den Datentransfer in Drittstaaten.

Wie sich aus den Dokumenten ergibt, besteht weiterhin anhaltender Diskussionsbedarf zwischen den europäischen Mitgliedstaaten in Bezug auf das Streben nach einer gemeinsamen Position zur geplanten Datenschutz-Grundverordnung (DS-GVO). Die Dokumente datieren von Ende April 2014, bilden daher wohl nicht den aktuellsten Stand der Verhandlungen ab.

Dennoch zeigt ein Blick in die Papiere und dabei insbesondere in die Fußnoten, dass Mitgliedstaaten teilweise erheblichen Diskussions- und Änderungsbedarf hinsichtlich elementarer Grundsätze der geplanten DS-GVO sehen. Beispielhaft möchte ich kurz auf das Dokument zu Datentransfers in Drittstaaten eingehen (8087/1/14 REV 1, PDF).

Einige Mitgliedstaaten zweifeln die Wirksamkeit des Prinzips der Angemessenheitsentscheidungen durch die Europäische Kommission an (siehe Fn. 13). Diese Angemessenheitsentscheidungen werden von der Kommission getroffen, um einem Drittland oder auch nur einem bestimmten Industriebereich eines Drittlandes, ein angemessenes Datenschutzniveau zu attestieren und damit Datentransfers aus der EU dorthin zu ermöglichen. Frankreich möchte zudem wissen, ob Datenübermittlungen im Rahmen des Cloud-Computing nach Ansicht der Kommission ebenfalls einen internationalen Datentransfer darstellen. Deutschland schlägt vor, dass in der DS-GVO Regelungen für die Einrichtung von Selbstverpflichtungsmechanismen in Drittstaaten (wie etwa Safe Harbor in den USA) aufgenommen werden.

Zudem werden in dem Ratsdokument auch neue Anforderungen an die den Datentransfers zugrundeliegenden Instrumenten gestellt. So sollen in unternehmensweit geltende Richtlinien (BCRs), welche durch die nationalen Datenschutzbehörden freigegeben werden müssen, nach Art. 43 Abs. 2 (l) auch Hinweise auf die in einem Konzern vorgehaltenen Mechanismen gegeben werden, welche dort existieren, um eine Datenschutzbehörde auf Anforderungen des Rechts eines Drittstaates hinzuweisen, die ein Unternehmen des Konzerns verpflichten und sich negativ auf den durch die BCRs gewährten Schutz der personenbezogenen Daten auswirken können. Im Blick hatte man hierbei wohl vor allem Anfragen und Herausgabeverlangen von drittstaatlichen Behörden.

Auf Vorschlag der deutschen Delegation (Fn. 75) wurde zudem die Voraussetzung einer „ausdrücklichen“ Einwilligung in Art. 44 Abs. 1 (a) eingefügt, die als Grundlage einer Datenübermittlung in einen Drittstaat dienen kann. Vorher war hier nur von einer „Einwilligung“ die Rede.

Bereits ein Blick in dieses Dokument zu einem besonderen Themenbereich zeigt, dass die Diskussionen im Rat weiter anhalten, Vorschläge gemacht und Änderungen eingearbeitet werden. Wenn man die Fußnoten und damit die Anmerkungen der Mitgliedstaaten liest, dann fällt zudem auf, dass Deutschland einer der aktivsten Diskussionsteilnehmer ist, sei es nun durch das Einbringen eigener Vorschläge oder kritische Anmerkungen.

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen?

Mit Urteil vom heutigen Tage hat der EuGH (Az. C-131/12) verschiedene wichtige Entscheidungen in Bezug auf die zukünftige Anwendung und Durchsetzung des europäischen Datenschutzrechts getroffen. Zur Entscheidung lag ihm dabei ein Verfahren zwischen Google und der spanischen Datenschutzbehörde (AEPD) vor. Die von einem spanischen Gericht vorgelegten Fragen betreffen grob folgende Themenkomplexe: 1. den räumlichen Anwendungsbereich der geltenden Datenschutzrichtlinie (DS-RL, RL 95/46/EG, PDF); 2. die Verantwortlichkeit von Suchmaschinenbetreibern für durch sie indexierte Webseiten und darauf befindliche Daten; 3. die Reichweite des Rechts auf Löschung von personenbezogenen Daten.

Sachverhalt
Der dem Urteil zugrunde liegender Sachverhalt stellt sich grob wie folgt dar: gegen einen Betroffenen wurden, aufgrund von Schulden bei der Sozialversicherung, Immobilienversteigerungen betrieben. Diese wurden in einer Zeitung zunächst offline und später auch online veröffentlicht. Die Bekanntmachung erfolgte dabei auf einer gesetzlichen Grundlage. Die AEPD lehnte daher Löschungsansprüche des Betroffenen gegen die online abrufbaren Bekanntmachungen gegen das Presseunternehmen ab. Jedoch wandte sich der Betroffene auch an Google und verlangte, dass die betreffenden Seiten aus dem Index der Suchmaschine zu nehmen seien. Dieser Beschwerde gab die AEPD statt und forderte Google auf, die Seiten aus dem Index zu entfernen. Hiergegen wendete sich Google.

Schlussanträge des Generalanwalts
Am 25.6.2013 präsentierte der zuständige Generalanwalt (GA) am EuGH, Jääskinen, seine Schlussanträge zu dem Verfahren. Hierzu hatte ich bereits einmal gebloggt. Die Ergebnisse der rechtlichen Analyse des GA waren die folgenden:

  • Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der DS-RL ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

(Diese Auslegung stieß vielfach auf Kritik, da sie über den Wortlaut der Richtlinie hinausgehe und allein das Vorhandensein einer Niederlassung in einem europäischen Land ausreichen lassen würde, um das dortige Datenschutzrecht zur Anwendung zu bringen, auch wenn diese Niederlassung überhaupt nicht in der entscheidungserheblichen Datenverarbeitung beteiligt ist. Der Anwendungsbereich der DS-RL würde damit massiv ausgeweitet.)

  • Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, „verarbeitet“ personenbezogene Daten im Sinne von Art. 2 Buchst. b der DS-RL, wenn die Informationen personenbezogene Daten enthalten.
  • Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der „für die Verarbeitung Verantwortliche“ angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers.
  • Das in Art. 12 Buchst. b der DS-RL geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der DS-RL vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden.

Das Urteil des EuGH
Der EuGH geht in seinem Urteil über die vom GA vorgeschlagene rechtliche Lösung hinaus. Man wird wohl bereits jetzt sagen können, dass dieses Urteil in Zukunft teils erhebliche Auswirkungen auf das Geschäftsmodell jeglichen Suchdienstes im Internet haben wird. Thomas Stadler spricht in einem Blogbeitrag davon, dass Urteil habe das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken.

1. anwendbares Recht
Hier folgt der EuGH (leider) im Prinzip der Lösung des GA. Der Begriff „im Rahmen der Tätigkeit“ einer Niederlassung i. S. d. Art. 4 Abs. 1 Buchst. a DS-RL sei weit auszulegen. Der durch die DS-RL gewährleistete Schutz dürfe nicht umgangen werden, nur weil ein Diensteanbieter in einem Drittstaat ansässig sei. Daher werden auch Verarbeitungsvorgänge eines Anbieters in einem Drittstaat (hier von Google Search in den USA) „im Rahmen der Tätigkeit“ einer in einem EU Staat befindlichen Niederlassung ausgeführt, wenn diese Niederlassung die Aufgabe hat, in dem Mitgliedstaat für den Verkauf von Werbeanzeigen auf der Internetseite des Anbieters und damit die allgemeine Rentabilität des Unternehmens zu sorgen. Die Tätigkeiten des ausländischen Unternehmens und der europäischen Niederlassung seien dann untrennbar miteinander verbunden.
Diese weite Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL ist aus meiner Sicht kritikwürdig. Denn zum einen besitzt die DS-RL in Art. 4 Abs. 1 Buchst. c einen Tatbestand, der einen Anbieter aus einem Drittstaat europäischen Recht unterwerfen würde, wenn er auf Mittel in der EU zurückgreift. Diese Mittel könnten zB Computer oder aber auch Niederlassungen selbst sein. Mit der weiten Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL durch den EuGH wird diese Tatbestandsalternative praktisch kaum noch relevant werden, obwohl sie aus meiner Sicht gerade diese Konstellationen (Anbieter aus Drittland erhebt Daten im Inland) im Blick hatte. Zum anderen scheint die weite Auslegung des EuGH einfach etwas zu weit zu gehen. Denn die hier relevanten Verarbeitungsprozess (Indexierung und Crawlen) werden eben nicht im „Rahmen der Tätigkeit“ der spanischen Niederlassung durchgeführt. Im Prinzip liest der EuGH den Art. 4 Abs. 1 Buchst. a DS-RL wie „die im wirtschaftlichen Zusammenhang mit den Tätigkeiten der Niederlassung stehe“.

2. Verantwortlichkeit von Google
Der EuGH erkennt, wie der GA, in der Suche, Speicherung und Indexierung von Informationen und eben auch personenbezogenen Daten im Internet durch Google eine „Verarbeitung personenbezogener Daten“ i. S. d. Art. 2 Buchst. b DS-RL. Jedoch geht das Gericht nicht mit der Auslegung des GA konform, dass Google nur dann für die Verarbeitung verantwortlich sei, wenn es um die Daten im Index selbst gehe oder entgegen von technischen Sperren personenbezogene Daten gecrawled habe. Google sei vielmehr für alle selbst ausgeführten Tätigkeiten in Bezug auf personenbezogene Daten auf Webseiten von Dritten verantwortlich. Denn die Tätigkeit der Suchmaschine unterscheide sich von derjenigen der ursprünglichen Herausgeber. Begründet wird diese weite Auslegung des Begriffes der Verantwortlichkeit jedoch auch mit Motiven, die nicht direkt etwas mit dem Verarbeitungsvorgang zu tun haben. Die Tätigkeit von Suchmaschinen habe Anteil an der weltweiten Verbreitung personenbezogener Daten. Sie machen Daten auch solchen Nutzern zugänglich, die die Originalwebseite eventuell gar nicht gefunden hätten. Zudem bestehe die Gefahr, dass bei einer Auflistung von Informationen zu einer Person (die, wohl gemerkt, frei im Netz verfügbar sind) und einer Suche anhand ihres Namens, die Suchenden einen strukturierten Überblick über die betreffende Person erhalten, anhand dessen sie ein Profil dieser Person erstellen können.

3. Löschpflichten
Ist danach klar, dass Google grundsätzlich verantwortlich ist, sobald es mit eigenen Mechanismen Informationen aus dem Netz zusammensucht und als Ergebnislisten darstellt, stellte sich die Frage, ob Google zu einer Löschung von Links in Ergebnislisten auf Webseiten Dritter verpflichtet ist, selbst wenn die Veröffentlichung rechtmäßig erfolgte. Diese Löschpflicht kann sich aus Art. 12 Buchst. b DS-RL ergeben. Dazu müsste ihre Verarbeitung nicht den Bestimmungen der DS-RL entsprechen.

Der EuGH prüft zunächst die Rechtsgrundlage der Datenverarbeitungsvorgänge von Google. Hierbei bezieht er sich auf Art. 7 Buchst. f DS-RL. Diese Grundlage stellt auf die „berechtigten Interessen“ des für die Verarbeitung Verantwortlichen oder Dritten ab. Jedoch dürfen das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Erforderlich ist also eine Abwägung der sich gegenüberstehenden Rechte und Interessen. Nach dem EuGH

kann eine von einem Suchmaschinenbetreiber ausgeführte Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigen, wenn die Suche mit dieser Suchmaschine anhand des Namens einer natürlichen Person durchgeführt wird, da diese Verarbeitung es jedem Internetnutzer ermöglicht, mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen zu erhalten, die potenziell zahlreiche Aspekte von deren Privatleben betreffen und ohne die betreffende Suchmaschine nicht oder nur sehr schwer hätten miteinander verknüpft werden können, und somit ein mehr oder weniger detailliertes Profil der Person zu erstellen.

Zudem steigere die Rolle des Internets und damit der weltweite Abruf der Informationen noch die Eingriffsintensität. Nun kommt das Gericht zu den berechtigten Interessen von Google. Hier führt es aus, dass wegen seiner potenziellen Schwere, ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden könne. Die Interessen von Google bügelt der EuGH damit in einem Satz ab.

Jedoch stellt der EuGH dann fest, dass eine Löschung aus den Ergebnislisten die berechtigten Interessen von Dritten, nämlich der Internetnutzer, beeinträchtigen könnte. Nun muss also eine Interessenabwägung in diesem Verhältnis vorgenommen werden. Hierbei stellt der EuGH jedoch als Ausgangspunkt klar:

Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen gegenüber dem Interesse der Internetnutzer;

Jedoch könne der nötige Ausgleich in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren. Im Prinzip lässt der EuGH hier eine (meines Erachtens bedenkliche) Tendenz erkennen. Nämlich dass Informationen dann zu löschen sind bzw. das Interesse der betroffenen Person zunächst einmal grundsätzlich überwiege und eben nur in besonderen Fällen, etwa bei Prominenten oder tagesaktuellen oder historischen Geschehnissen, hinter dem Informationsinteresse der Internetnutzer zurückzutreten habe. Damit besteht also im Ausgangspunkt eine Löschpflicht, selbst bei rechtmäßiger Weise veröffentlichten Informationen, wenn die Interessen des Betroffenen überwiegen. Dies ist nach dem EuGH grundsätzlich der Fall, außer in besonderen Situationen. Wohlgemerkt beziehen sich die Ausführungen des Gerichts auf Suchmaschinenbetreiber und die von ihnen generierten Ergebnislisten, vor allem wenn nach Namen von Personen gesucht werden.

4. Recht auf Vergessen werden
Zum Schluss befasst sich der EuGH mit der Frage, ob ein Betroffener ein Recht darauf hat, das Informationen zu ihm, die im Internet veröffentlicht wurden, irgendwann vergessen werden müssen.

Hierzu stellt der EuGH fest, dass Daten nach Art. 12 Buchst. b DS-RL auch dann zu löschen sind, wenn sie nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich. Hieraus ergebe sich, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind.

Im Rahmen der Prüfung des Löschungsrechts nach Art. 12 Buchst. b DS-RL gelte es auch die Voraussetzungen des Art. 6 Abs. 1 DS-RL zu beachten, insbesondere, dass Daten nicht mehr den ursprünglichen Zwecken entsprechen. Wenn sich herausstelle, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links der Ergebnisliste gelöscht werden, so das Gericht. Daher müsse auch geprüft werden, ob die betroffene Person ein Recht darauf habe, dass die betreffenden Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Hierbei weist der EuGH darauf hin, dass die Feststellung eines solchen Rechts nicht voraus setze, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entstehe.

Und auch hier rückt der EuGH nicht von seiner eingeschlagenen Linie (des grundsätzlichen Vorrangs des Schutzes der Privatsphäre vor Informationsinteressen) ab. Er stellt vielmehr ausdrücklich klar, dass wenn die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, ist davon auszugehen, dass diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit daran, die Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche zu finden, überwiegen.

Fazit
Die Entscheidung des EuGH übertrifft wohl sämtliche Erwartungen an das Verfahren. Nicht nur weil das Gericht über die Linie des GA hinausgegangen ist, sondern vor allem mit welcher Deutlichkeit dies geschieht. Die Tendenz, dem Recht auf Schutz personenbezogener Daten grundsätzlich einen Vorrang einzuräumen und nur in besonderen Situationen eine Veröffentlichung zuzulassen, sollte man kritisch betrachten. Zudem scheint sich das Urteil vielerorts weniger durch juristische oder an Datenverarbeitungsprozessen ausgerichteten faktischen Feststellungen, sondern oft auch die allgemeine, aus Sicht der EuGH, negative Wirkung und das Geschäftsmodell von Google und dessen Suche in den Blick zu nehmen.