Category Archives: Gesetze

Wichtige Änderung bei Google: Einwilligung beim Einsatz von AdSense und DoubleClick erforderlich

Posted on by

Am 27. Juli 2015 hat Google wichtige Änderungen seiner Produkte AdSense und DoubleClick bekanntgegeben (hier der offizielle Beitrag im AdSense-Blog. Diese Änderungen betreffen alle Webseitenbetreiber, die an den benannten Programmen teilnehmen.

Die Änderungen beziehen sich auf das Erfordernis der Einholung einer datenschutzrechtlichen Einwilligung von Webseitenbesuchern. Google hat im Zuge dessen eine neue „Richtlinie über die Zustimmung der Nutzer in der EU“ veröffentlicht. Wenn ein Webseitenbetreiber ein Google-Produkt verwendet, für das diese Richtlinie gilt, muss der Webseitenbetreiber in Zukunft Endnutzern in der Europäischen Union zum einen bestimmte Informationen offenlegen und es müssen zum anderen Einwilligungen der Endnutzer in die Datenverarbeitung eingeholt werden.

Welche Werbeprodukte für Publisher sind betroffen?
Nach Angaben von Google müssen alle Publisher die Richtlinie über die Zustimmung der Nutzer in der EU befolgen, einschließlich aller Nutzer von AdSense, DoubleClick Ad Exchange und DoubleClick for Publishers.

Was verlangt Google?
Die „Richtlinie zur Einwilligung der Nutzer in der EU“ besteht aus zwei Maßnahmen.

  • Zum einen müssen Publisher wirtschaftlich vertretbare Maßnahmen ergreifen, damit jegliche Datenerfassung, -weitergabe und -nutzung klar offengelegt wird, die auf Websites, in Apps, E-Mails oder anderen Inhalten infolge Ihrer Verwendung von Google-Produkten erfolgt, und sie müssen eine entsprechende Einwilligung einholen.
  • Zum anderen müssen wirtschaftlich angemessene Maßnahmen ergriffen werden, um sicherzustellen, dass ein Endnutzer verständliche und umfassende Informationen zur Speicherung von und zum Zugriff auf Cookies und Daten auf dem Gerät des Endnutzers erhält und diesen Aktivitäten zustimmt, wenn derartige Aktivitäten im Zusammenhang mit der Verwendung eines Produkts erfolgen, für das die Richtlinie gilt.

Bin ich zur Umsetzung der Maßnahmen verpflichtet?
Bei der Antwort auf diese Frage sollte man eine gesetzliche Verpflichtung auf der einen Seite und eine vertragliche Verpflichtung (gegenüber Google) auf der anderen Seite unterscheiden.

Ob man als Webseitenbetreiber, der an ein entsprechendes Google-Produkt nutzt, tatsächlich gesetzlich dazu verpflichtet ist, die Einwilligung der Nutzer in die Datenverarbeitung einzuholen, ist meines Erachtens zumindest diskutabel. Google verweist in den Informationen im AdSense-Blog auf Forderungen der europäischen Datenschützer, die eine Anpassung der bestehenden Umstände zur Einholung einer Einwilligung der Nutzer verlangen. Diesen Forderungen möchte Google nun anscheinend nachkommen. Zu beachten ist, dass es sich hierbei um Anforderungen an die Datenverarbeitung durch Google, bzw. durch seine Produkte, handelt. Mein Eindruck ist, dass die von Google nun verlangte Einholung der Einwilligung also nicht den Webseitenbetreiber als Adressaten der Erlaubnis betrifft, sondern Google selbst. Die Einwilligung wird dann von Google über die Webseitenbetreiber an die teilnehmenden Publisher sozusagen weitergereicht.

Dass Webseitenbetreiber selbst keine datenschutzrechtliche Pflicht zur Einholung einer Einwilligung besitzen, wenn auf ihrer Webseite Anzeigen geschaltet sind, die von einem Anbieter eines Werbenetzwerks mit Inhalten befüllt werden, haben die europäischen Datenschütze in einer Stellungnahme aus dem Jahre 2010 festgesellt (WP 171, PDF). Informationspflichten dazu, ob Cookies gesetzt werden und wenn ja, welche Arten von Informationen in dem Cookie gespeichert werden, sollen für Webseitenbetreiber aber in jedem Fall bestehen.

Wichtig ist jedoch auch die vertragliche Ebene zu betrachten. Google selbst informiert die teilnehmenden Publisher, dass wenn sie Google-Produkte wie Google AdSense oder DoubleClick for Publishers verwenden, sie vertraglich gegenüber Google dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen. Unabhängig von gesetzlichen Pflichten, besteht also eine vertragliche Pflicht gegenüber Google, wenn man ein entsprechendes Produkt verwendet.

Wie muss man die Anforderungen umsetzen?
Google selbst bietet hierzu Informationen auf einer Hilfe-Seite an. Dort finden sich Lösungen dazu, wie Zustimmungsmechanismen in Webseiten und Apps integriert werden können. Außerdem sind hier Beispieltexte für Nachrichten verfügbar, mit denen die Einwilligung der Nutzer eingeholt werden kann. Dort wird auch deutlich, dass Google mit den nun vorgestellten Änderungen die Anforderungen der Datenschutzbehörden beim Einsatz von Cookies auf Webseiten umsetzen möchte. Diese Forderung, beim Einsatz von bestimmten Cookies eine Einwilligung einzuholen, entspringt einer europäischen Richtlinie (2002/58/EG, sog. ePrivacy Richtlinie). Die Umsetzung der ePrivacy Richtlinie in den europäischen Mitgliedstaaten ist jedoch recht unterschiedlich erfolgt. Teilweise wird von dem Erfordernis eines Opt-ins, teilweise von einem Opt-out ausgegangen.

Fazit
Die nun von Google vorgestellten Änderungen betreffen alle Webseiten/App-Betreiber, die bestimmte Google-Produkte nutzen. Unabhängig von der Frage einer gesetzlichen Verpflichtung zur Einholung einer Einwilligung, sind die Betreiber vertraglich zur Umsetzung der Vorgaben verpflichtet. Google selbst macht mit diesem Anpassungsprozess meines Erachtens einen großen Schritt auf die europäischen Datenschützer und deren Forderungen zu.

Update
Der Kollege Thomas Schwenke informiert in seinem Blog ebenfalls über die Änderungen bei Google.

Achtung Webseitenbetreiber: Ab Samstag gelten erhöhte Anforderungen an die technische Sicherheit

Posted on by

Am 25. Juli 2015, also morgen, tritt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz PDF) in Kraft getreten. Das Gesetz richtet sich zwar insbesondere an die Betreiber Kritischer Infrastrukturen (z.B. von Atomkraftwerken), aber auch Betreiber von Webseiten und Telekommunikationsdiensteanbieter sind betroffen. Das Gesetz legt diesen neue gesetzliche Pflichten zum technischen und organisatorischen Schutz ihrer Angebote auf. Nachfolgend ein grober Überblick zu den Änderungen, die für Webseitenbetreiber gelten:

Nach dem neuen § 13 Abs. 7 Telemediengesetz (TMG), werden die Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. „Geschäftsmäßig“ ist ein Webangebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht. Die Gesetzesbegründung (S. 34, PDF) zum IT-Sicherheitsgesetz geht davon aus, dass bei einem entgeltlichen Dienst diese Voraussetzung regelmäßig erfüllt ist. Dies soll auch für werbefinanzierte Webseiten gelten.

Maßnahmen, die zu treffen sind
Anbieter einer geschäftsmäßig betriebenen Webseite (also etwa eines Webshops), haben, soweit ihnen dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen (also Ihre Server und das gesamte Backend) möglich ist (§ 13 Abs. 7 S. 1 Nr. 1 TMG) und

gesichert sind. Diese technischen und organisatorischen Vorkehrungen müssen den Stand der Technik berücksichtigen. Dies bedeutet, dass die Vorkehrungen auf einem aktuellen Stand gehalten und nötigenfalls aktualisiert werden müssen.

Das Gesetz stellt die Umsetzung dieser Maßnahmen unter einen Zumutbarkeitsvorbehalt. Hierdurch soll sichergestellt werden, dass nur solche Vorkehrungen zu treffen sind, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Jeder Webseitenbetreiber wird also prüfen müssen, ob er etwa besonders sensible Daten (z. B. Gesundheitsdaten und Zahlungsinformationen) verarbeitet oder allein mit „normalen“ personenbezogenen Daten in Kontakt kommt und anhand dieser Prüfung dann eventuell neue oder weitere technische Sicherheitsvorkerhungen treffen müssen. Vom Schutzzweck einerseits und den anfallenden Kosten andererseits hängt dann der auf Aufwand ab, den Anbieter betreiben müssen, um entsprechende technische Vorkehrungen umzusetzen. Zu den technischen Vorkehrungen zählt die Gesetzesbegründung beispielhaft die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens oder angemessener Authentifizierungsverfahren.

Es geht dem Gesetzgeber jedoch nicht nur um technische, sondern auch um organisatorische Maßnahmen. Ausdrücklich erwähnt die Gesetzesbegründung als Beispiel für solche Maßnahmen, dass  Vertragspartner (z. B. ein Werbedienstleister, dem Sie Werbeflächen auf Ihrer Webseite eingeräumt haben) zu notwendigen Schutzmaßnahmen zu verpflichten sind.

Und was sind mögliche Folgen bei mangelnder Beaxhtung der neuen Vorgaben?
Nach dem neuen § 16 Abs. 2 Nr. 3 TMG können Verstöße gegen die Vorgaben des § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 Buchst. a TMG mit einem Bußgeld bis zu 50.000 EUR geahndet werden. Laut der Gesetzesbegrünung ist gerade auch der Einsatz technischer und organisatorischer Maßnahmen durch Diensteanbieter, die nicht den Stand der Technik berücksichtigen, bußgeldbewehrt. Ob es in der Praxis jedoch direkt zu Bußgeldverfahren kommt, ist eine andere Frage.

Datenschutz im vernetzten Auto: Neuer Gesetzesvorschlag aus den USA

Posted on by

Das Thema „Datenschutz und Datensicherheit im vernetzten Auto“ stellt sowohl die Wirtschaft als auch die Politik vor gewisse Herausforderungen. Viele der geltenden gesetzlichen Regelungen passen nicht mehr eins zu eins auf Informationsflüsse, die in einem „Smart Car“ stattfinden. Zudem wird auch darüber nachgedacht, ob es neuer Grundsätze und Prinzipien bedarf, um einen angemessenen Ausgleich zwischen den berechtigten Interessen der Beteiligten, der Wirtschaft (Nutzung und Verwertung der Daten) und den Betroffenen (Schutz der personenbezogenen Daten), herzustellen.

In Deutschland hat sich zuletzt Bundesjustizminister Maas öffentlich zu dem Thema geäußert und aus seiner Sicht wichtige Prinzipien aufgestellt, die in Zukunft beim Betrieb eines Smart Car beachtet werden sollten. So schlägt der Minister vor, schon bei der Entwicklung von neuen Fahrzeugen den Datenschutz zu berücksichtigen (Privacy by Design). Auch Prinzipien der Datenvermeidung und Datensparsamkeit müssen seiner Ansicht nach leitende Grundsätze sein. Zudem müsse es immer einen Aus-Knopf geben. Halter und Fahrer sollten das Recht und die Möglichkeit haben, Datenübermittlung zu erkennen, zu kontrollieren und gegebenenfalls auch zu stoppen.

Bereits im November 2014 veröffentlichte der Verband der Automobilindustrie (VDA) seine „Datenschutz-Prinzipien für vernetzte Fahrzeuge“ (PDF). Zweck dieser Prinzipien ist es, ergänzend zu den bestehenden gesetzlichen Regelungen in Deutschland, gemeinsame Datenschutz-Prinzipien für vernetzte Fahrzeuge aufzustellen. Die Prinzipien umfassen drei Kernpunkte: Transparenz, Selbstbestimmung und Datensicherheit.

In den USA haben nun zwei Senatoren einen Gesetzentwurf vorgelegt, um Verbraucher vor Gefahren für die Privatsphäre und die Sicherheit des vernetzten Autos zu schützen, den „Security and Privacy in Your Car Act of 2015“ oder kurz: SPY Car Act (PDF; über die Angemessenheit der Namenswahl lässt sich sicher streiten). Nachfolgend möchte ich einen kurzen Überblick zu den vorgeschlagenen Regelungen des SPY Car Act geben.

Die Vorgaben des Gesetzesentwurfs gliedern sich in zwei Obergruppen. Vorschriften zur Datensicherheit und Vorgaben zum Umgang mit personenbezogenen Daten, die beim Betrieb eines vernetzten Fahrzeugs entstehen.

Datensicherheit
Jegliches Fahrzeug, welches zum Vertrieb in den USA bestimmt ist, soll gewisse Sicherheitsstandards erfüllen. So müssen alle Zugangspunkte, durch die auf Daten aus dem Fahrzeug direkt oder indirekt zugegriffen werden kann, in einer angemessenen Art und Weise gegen unbefugten Zugriff geschützt werden. Hierzu gehört auch die Vorgabe, Systeme mit besonders kritischer Infrastruktur getrennt von anderen Komponenten zu verwenden. Auch eine Pflicht zur ständigen Prüfung der technischen Schutzvorkehrungen durch die Hersteller wird vorgesehen.

Im und am Fahrzeug, etwa durch Sensoren, gesammelte Daten, müssen des weiteren gegen unbefugten Zugriff geschützt sein. Dies gilt sowohl für ihre Speicherung im Fahrzeug selbst, als auch für ihre Übermittlung an Dritte und den Transportweg.

Zudem soll jedes Fahrzeug verpflichtend ein sog. „Cyber Dashboard“ enthalten, eine Übersicht zu den durch den Hersteller implementierten Sicherheitsvorkehrungen, die zum Schutz der Daten im Fahrzeug getroffen wurden. Die Informationen sollen in der Form einer standardisierten und leicht verständlichen Grafik dargeboten werden.

Datenschutz
Mit Blick auf den Schutz personenbezogener Daten und die Verarbeitung eben dieser, sieht der Entwurf vor, dass bestimmte Prinzipien zu beachten sind. Hier ähnelt der Vorschlag den Datenschutz-Prinzipien des VDA.

Transparenz: In jedem Fahrzeug sollen dem Eigentümer oder Mieter/Leasingnehmer verständliche und in einfacher Sprache abgefasste Informationen präsentiert werden, in denen über die Datenerhebung, -übermittlung, -speicherung und –nutzung aufgeklärt wird.

Kontrolle: Zudem soll es in jedem Fahrzeug die Möglichkeit für die Betroffenen geben, die Datenerhebung und –speicherung zu unterbinden. Gleichzeitig wird jedoch vorgegeben, dass durch eine solche Unterbindung, Bundesjustizminister Maas würde von dem „Aus-Knopf“ sprechen, keinen Einfluss auf die Nutzung des Navigationssystems oder anderer Funktionen haben soll. Zumindest soweit dies technisch möglich ist.

Datennutzungsbeschränkungen: Zuletzt sieht der Gesetzesentwurf vor, dass der Autohersteller und auch der Zulieferer die aus einem Fahrzeug erhobenen Daten nur dann für Werbe- und Marketingzwecke nutzen dürfen, wenn der Betroffene zuvor ausdrücklich eingewilligt hat. Der SPY Car Act definiert auch die Voraussetzungen zur Einholung der Einwilligung. Diese muss deutlich sichtbar und eindeutig erfolgen. Zudem muss sie von einfacher und leicht verständlicher Sprache begleitet sein. Und zuletzt darf die Erteilung der Einwilligung nicht Voraussetzung für die Nutzung von Funktionen des Fahrzeugs sein, die keinen Werbezwecken dienen.

Fazit
Gerade die Vorgaben zur Datensicherheit erinnern an in Deutschland und Europa bereits bekannte Prinzipien der sog. technischen und organisatorischen Maßnahmen (§ 9 BDSG und Anlage sowie Artikel 17 der Datenschutz-Richtlinie (RL 95/46/EG)). Auch dort werden für den Umgang mit personenbezogenen Daten auf technischer Ebene gewisse Vorgaben festgeschrieben. Dies jedoch abhängig von der jeweiligen Situation und orientiert am Prinzip der Verhältnismäßigkeit. Spezielle, auf das Smart Car abgestimmte Vorgaben existieren in Deutschland jedoch nicht.

Auch die Vorschriften zum Umgang mit personenbezogenen Daten dürften in Europa und Deutschland nicht für totales Erstaunen sorgen. Denn bereits derzeit gelten Prinzipien wie die Transparenz der Datenverarbeitung oder auch die Vorgaben an eine wirksame Einwilligung auch bei uns.

Datenschutzreform: Bundesratsausschüsse fordern weitere Anpassungen

Posted on by

Nachdem sich der Rat der Europäischen Union am 15. Juni 2015 auf eine allgemeine Ausrichtung zur geplanten Datenschutz-Grundverordnung (DS-GVO) verständigt hat und die Trilog-Verhandlungen zwischen Kommission, Parlament und Rat bereits begonnen haben (hierzu mein Beitrag mit einem Überblick zu dem Zeitplan sowie zu den ersten Verhandlungen), hat sich auch erneut der deutsche Bundesrat mit der DS-GVO befasst.

Der Bundesrat wird in seiner Sitzung am 10. Juli 2015 über neue Empfehlungen (PDF) des EU- und Innenausschuss beraten. Die beiden Ausschüsse empfehlen dem Bundesrat, zur DS-GVO erneut Stellung zu nehmen.

Nachfolgend möchte ich auf einige der Änderungsforderungen des Bundesrates eingehen.

DS-GVO für den „digitalen Binnenmarkt“?
Zunächst begrüßen die Ausschüsse, dass das Rechtsetzungsverfahren zur DS-GVO möglichst noch bis Ende 2015 abgeschlossen werden soll

um damit rechtssichere Grundlagen für den digitalen Binnenmarkt zu schaffen.

Die Ausschüsse richten ihr Hauptaugenmerk offensichtlich, wie dies in der öffentlichen Diskussion im Übrigen fast auch immer der Fall ist, auf die digitale Wirtschaft. Man kann jedoch nicht oft genug betonen, dass die DS-GVO eben gerade kein spezielles Gesetz für das Internet oder digitale Dienste darstellt, sondern jede Behörde, jedes Unternehmen, jeden Verein oder auch jede Privatperson betrifft, die personenbezogene Daten verarbeiten. Unabhängig von einem digitalen Handlungsfeld. Wichtig erscheint mir bei der nun stattfindenden Diskussion auf der Zielgeraden, diesen Effekt der DS-GVO nicht aus den Augen zu verlieren.

Pseudonyme
Kritisch beleuchten die Ausschüsse den stiefmütterlichen Umgang mit dem Instrument der Pseudonymisierung in der DS-GVO. Die Empfehlung bedauert,

dass im Standpunkt des Rates nur punktuell Anreize zur Verarbeitung pseudonymisierter Daten aufgenommen wurden.

Gerade vor dem Hintergrund, dass Datenanalysen einen wichtigen Bestandteil der zukünftigen Wirtschaft darstellen und nach Ansicht der Ausschüsse sogar von „elementarer Bedeutung“ sind, fordern die Ausschüsse die Bundesregierung dazu auf, sich auch in den Trilog-Verhandlungen dafür einzusetzen, dass neue Verfahren zur Verarbeitung pseudonymisierter Daten gefördert werden.

Zweckänderung
Einer der besonders umstrittenen Punkte in der DS-GVO ist die Möglichkeit einer Zweckänderung von Datenverarbeitungen. Hierzu fordern die Ausschüsse die Bundesregierung dazu auf, bei den

weiteren Beratungen einer Verschlechterung des durch die geltende Datenschutzrichtlinie 95/46/EG gewährleisteten Schutzniveaus konsequent entgegenzutreten.

Diese Forderung ist durchaus verständlich und wird auch von vielen Beteiligten in den Verhandlungen geteilt. Eine Datenschutzreform, die das geltende Schutzniveau unterschreitet, soll nicht das Ergebnis sein.

Meines Erachtens ziemlich spektakulär ist jedoch die zusätzliche Forderung der Bundesratsausschüsse.

Sie appellieren an die Bundesregierung

dafür Sorge zu tragen, dass die schutzwürdigen Interessen der Betroffenen Vorrang vor einer kommerziellen Weiterverwendung ihrer Daten für Big-Data-Konzepte und vor anderen Beeinträchtigungen ihrer Persönlichkeit erhalten.

Damit würde eine Interessenabwägung im Fall von kommerziellen „Big-Data-Konzepten“ (dieser Begriff ist freilich nirgends definiert) stets zu einer Unzulässigkeit der Datenverarbeitung führen. Ein solches Postulat ist jedoch meines Erachtens brandgefährlich. Dies aus mehreren Gründen: nirgends wird erläutert, was unter „Big Data“ oder „Big Data Konzepten“ zu verstehen ist? Wer wäre hiervon also betroffen? Jedes Unternehmen, welches ein CRM-System einsetzt?

Desweiteren stellt sich die Frage, welche Unternehmen denn nicht „kommerziell“ tätig werden und Daten verarbeiten? Die Wirtschaft handelt grundsätzlich aus kommerziellen Interessen. Ein Unternehmen kann nun einmal nicht von Luft und Liebe leben und muss Geld verdienen, um Mitarbeiter, Lieferanten, etc. zu bezahlen.

Der per-se etablierte Vorrang von schutzwürdigen Interessen der Betroffenen würde den Erlaubnistatbestand der Interessenabwägung im Datenschutzrecht für den „Big-Data“-Bereich (wie auch immer dieser verstanden wird) praktisch entleeren. Eine Verarbeitung von Daten wäre dann etwa nur auf der Grundlage einer Einwilligung oder eines Vertrages möglich.

Minderjährige
Zudem sprechen sich die Ausschüsse für eine Stärkung des Minderjährigenschutzes aus. Die Bundesregierung soll

sich dafür einzusetzen, dass personenbezogene Daten Minderjähriger nicht für Zwecke der Werbung und zur Profilbildung verwendet werden dürfen.

Also ein Postulat des absoluten Verarbeitungsverbots für diese Fälle. Eine Einwilligung würde nicht helfen. Selbst wenn also ein Minderjähriger (also alle Personen unter 18 Jahren!) mit personalisierter Werbung im Internet einverstanden wäre, so dürfte ein Unternehmen wie Youtube oder Facebook diese Werbung nicht auf der Grundlage von Daten über diesen Jugendlichen ausspielen. Eine solche Forderung verkennt meines Erachtens die Realitäten (gerade im Internet) und lässt zudem von einem informationellen Selbst(!)Bestimmungsrecht nichts mehr übrig.

Datenschutzbeauftragter
Auch dem Thema Pflicht zur Bestellung eines Datenschutzbeauftragten widmen sich die Ausschüsse. Nach der Empfehlung soll sich

die Bundesregierung dafür einsetzen, weiterhin für das in Deutschland bewährte Modell betriebsinterner Datenschutzkontrolle zu werben, dessen Vorzüge auch im Standpunkt des Europäischen Parlaments aufgegriffen wurden.

Man möchte also die Bestellpflicht direkt in der DS-GVO geregelt wissen. Falls eine verbindliche Bestellungspflicht nicht in die DS-GVO hineinzuverhandeln sei und es den Mitgliedstaaten und ihrem nationalen Recht überlassen bleibt, eine Bestellpflicht vorzusehen, so halten es die Ausschüsse jedoch

für erforderlich, auch auf die verbliebenen unionrechtlichen Detailanforderungen an die Ausgestaltung dieser Aufgaben (vergleiche Artikel 35 Absatz 2 bis Artikel 37) zu verzichten.

Denn selbst wenn es den nationalen Datenschutzgesetzen vorbehalten bliebe, die Voraussetzungen der verbindlichen Bestellungen eines Datenschutzbeauftragten vorzugeben, so sieht der Ratsentwurf der DS-GVO derzeit doch daneben umfängliche (und verbindliche) Anforderungen an die Bestellung eines Datenschutzbeauftragten vor.

Datenschutzreform: Die Schlussverhandlungen starten. Überblick zu den ersten Themen.

Posted on by

Am 14. Juli wird das nächste Treffen von Vertretern der EU-Kommission, des EU-Parlaments und des Rates im Rahmen der Trilog-Verhandlungen stattfinden.

Bereits am 24. Juni hat man sich erstmals zusammengesetzt und die Arbeitsweise und einen groben „Fahrplan“ für die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) erarbeitet und abgestimmt.

In einem nun veröffentlichten Dokument  (PDF) der kommenden luxemburgischen Ratspräsidentschaft an die Arbeitsgruppe „Datenschutz“ (DAPIX) im Rat, werden die Themen des nächsten Trilog-Treffens und die verschiedenen Verhandlungspositionen dargestellt.

Aus dem Verhandlungsdokument geht hervor, dass sich alle beteiligten Parteien darauf verständigt haben, als gemeinsames Ziel einen Abschluss der Verhandlungen bis Ende 2015 zu erreichen. In diesem Punkt scheint daher schon einmal Einigkeit zu herrschen. Und das Signal ist klar: die Datenschutzreform soll so schnell wie möglich kommen.

Inhaltliche Arbeit ist nur noch punktuell möglich

Der dadurch verursachte Zeitdruck auf die Beteiligten wird freilich auch Folgen auf den Inhalt der Verhandlungen haben. Das sollte man jedoch nicht als etwas Außergewöhnliches ansehen, sondern als eine logische Folge der in den vergangenen Wochen gefällten politischen Entscheidungen. Was dies für die Datenschutz-Grundverordnung selbst (also die Inhalte) bedeutet, kann man nur vermuten. Meines Erachtens muss es jedoch darauf hinauslaufen, dass die Trilog-Verhandlungen zumindest teilweise zu einer „ich gebe dir, du gibst mir“-Veranstaltung werden. Es ist einfach schlicht unmöglich, noch einmal groß inhaltlich in jeden Artikel der Verordnung einzusteigen. Dafür fehlt die Zeit, wenn man Ende 2015 fertig sein möchte (zumal der Dezember ja praktisch auch nur ein halber Arbeitsmonat ist). Dass Positionen aufgegeben werden müssen, um an anderer Stelle seinen Willen zu bekommen, ist meines Erachtens per se auch nichts Schlimmes. Wichtig hierbei ist natürlich, auf eine ausgewogene Balance zu achten. Und vor allem, dass jede Partei verhandlungsbereit ist. Wenn sich ein Trilog-Spieler weigert und jegliche Kooperation ablehnt, dann sehe ich das Ziel „Ende 2015“ in weite Ferne rücken.

Zur anstehenden Verhandlungsrunde

Dennoch wird man sich freilich auch mit den Spezifikationen einzelner wichtiger Artikel befassen müssen. Bei dem nächsten Treffen sollen dies vor allem Themen des räumlichen Anwendungsbereichs und der internationalen Datentransfers (auch in Drittstaaten) sein. Zu diesen und den abweichenden Positionen der Verhandlungsparteien, ein paar kurze Anmerkungen.

Beim Thema „räumlicher Anwendungsbereich“ (Art. 3 DS-GVO)  dürfte von Interesse sein, dass das Parlament in seinem Entwurf in Art. 3 Abs. 2, also dem Sachverhalt, dass eine verantwortliche Stelle außerhalb des EWR sitzt, die DS-GVO auch auf außerhalb des EWR sitzende Auftragsverarbeiter erstrecken möchte. Kommission und Rat beziehen sich allein auf die verantwortliche Stelle.

Beim Thema „Drittstaatentransfers“ müssen sich die Parteien des Trilogs auch Gedanken drüber machen, was mit alten (also unter der geltenden Datenschutz-Richtlinie) gefassten Angemessenheitsbeschlüssen durch die Kommission und auch mit Genehmigung von Transfers durch nationale Aufsichtsbehörden (z.B. Binding Corporate Rules oder auch speziell erarbeitet Verträge) geschieht, wenn die DS-GVO in Kraft ist. Denn die Voraussetzungen für Angemessenheitsbeschlüsse oder auch Genehmigungen von Aufsichtsbehörden, werden sich natürlich verändern.

Hier unterscheiden sich die Positionen von Rat und Kommission einerseits und dem Parlament andererseits (vgl. Art. 41). Rat und Kommission schlagen vor, dass bestehende Angemessenheitsbeschlüsse wirksam bleiben, bis sie angepasst oder aufgehoben werden. Das Parlament möchte derartigen Angemessenheitsbeschlüssen daneben jedoch ein fixes Ablaufdatum aufdrücken. Spätestens 5 Jahre nach in Kraft treten der DS-GVO würden die Beschlüsse unwirksam, es sei denn, sie werden vorher aufgehoben oder angepasst.

Hiervon betroffen wäre etwa der in der Praxis wichtige Safe Harbor-Beschluss der Kommission, der Datenübermittlung zu selbstzertifizierten Stellen in den USA ermöglicht.

Die DS-GVO ist auf der Zielgeraden. Wie lang der Schlusssprint jedoch wird, dies wird sich erst in den nächsten Monaten zeigen. Denn zu Beginn der Trilog-Verhandlungen wird man sich vor allem mit Themen befassen, bei denen es im Groben keine Fundamentalunterschiede gibt. Zum Ende hin, kommen dann „Klopper“ auf den Tisch. Spannende Zeiten für den europäischen Datenschutz stehen also bevor.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Posted on by

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Datenschutzreform: Das gesamte deutsche Datenschutzrecht muss überprüft werden

Posted on by

Gestern hat sich der Rat der Europäischen Union auf eine gemeinsame Position zur Datenschutz-Grundverordnung (DS-GVO) verständigt. Damit können nun die Trilog-Verhandlungen zwischen Kommission, Rat und europäischem Parlament beginnen (mein Beitrag hierzu bei LTO).

Für Deutschland waren die Minister Maas und de Maiziére in Luxemburg und nahmen an der Verhandlung teil. Erklärtes Ziel der deutschen Minister ist es, einen abgestimmten Gesetzestext möglichst bis Ende 2015 zu verhandeln, so dass die DS-GVO Ende 2017/Anfang 2018, nach zweijähriger Übergangsfrist, in Kraft treten kann.

Welche Auswirkungen die Datenschutzreform gerade auch für das Datenschutzrecht in Deutschland besitzt, darüber hat Innenminister de Maizière seine Fraktionskollegen der CDU/CSU-Bundestagsfraktion in einem Informationsschreiben vom 15. Juni 2015 unterrichtet, welches mir vorliegt.

Zentral beginnt das Schreiben des Ministers mit der Klarstellung:

Das deutsche Datenschutzrecht wird durch EU-Recht ersetzt.

Mit Blick auf die nun anstehenden Trilog-Verhandlungen (einen vorläufigen Zeitplan findet man hier) kündigt der Innenminister an, dass man auch im Trilog entschlossen auf eine zügige Einigung hinarbeiten wolle. Die Verhandlungen sollen noch im Jahr 2015 abgeschlossen werden.

In Deutschland werden sich viele Unternehmen, Vereine, Behörden unter andere Organisationen die Frage stellen, ob in der zweijährigen Übergangsfrist noch Veränderungen anstehen oder ob man eventuell einfach abwartet, bis es soweit ist.

Die Antwort des Ministers ist klar:

In dieser Zeit müssen wir in Deutschland das gesamte Datenschutzrecht sorgfältig überprüfen und die notwendigen Anpassungen auf den Weg bringen, damit sie gleichzeitig mit der Grundverordnung wirksam werden können.

Minister de Maizière spielt hier vor allem auf die Auswirkungen von Öffnungsklauseln in der DS-GVO an, die es den Mitgliedstaaten (in gewissen Bereichen) erlauben werden, spezifische Regelungen für bestimmte Themenbereiche (etwa den Arbeitnehmer- oder Sozialdatenschutz) zu erlassen.

Die Folgen der DS-GVO dürften praktisch in jedem Lebens- und vor allem Wirtschaftsbereich zu spüren sein. Zumindest soweit sich die neuen Regelungen von bereits jetzt bestehenden unterscheiden.

Der Minister stellt daher richterweise fest:

Die EU-Datenschutzreform wird große Auswirkungen für Bürger, Wirtschaft, Staat und Verwaltung haben.

Gleichzeitig verweist er jedoch darauf, dass viele bekannte Vorgaben und Prinzipien aus der geltenden EU-Datenschutzrichtlinie und dem deutschen Datenschutzrecht nicht einfach verschwinden werden.

Mit der Datenschutzreform wird das Rad nicht neu erfunden.

Man darf also gespannt sein, wie letztlich die fertige DS-GVO aussieht. Der deutsche Gesetzgeber wird in jedem Fall in der nahen Zukunft mit einer kompletten Prüfung und erforderlichenfalls Überarbeitung des deutschen Datenschutzrechts befasst sein.

AG Charlottenburg zu Filesharing: Anschlussinhaber nicht Störer bei Überlassung des Anschlusses an Dritte

Posted on by

In einem von der Kanzlei JBB Rechtsanwälte betreuten Verfahren vor dem Amtsgericht Charlottenburg, konnte die Klage gegen einen privaten Anschlussinhaber in einem sog. „Filesharing“-Verfahren erfolgreich abgewehrt werden. Das Urteil vom 21. Mai 2015 ist hier abrufbar (PDF).

In dem Verfahren ging es um das angebliche Angebot eines Filmes zum Download über den Internetanschluss des Beklagten. Der Anschlussinhaber konnte glaubhaft darlegen, dass er zur von der Klägerseite vorgetragen Tatzeit nicht zu Hause war. Seine mit ihm zusammenlebende Ehefrau, die ebenfalls Zugriff auf das mit einem Passwort gesicherte WLAN hatte, gab an, den Film nicht hochgeladen zu haben.

Das Amtsgericht sieht damit die sekundäre Darlegungslast des Beklagten im Rahmen einer möglichen Haftung als Täter einer Urheberrechtsverletzung als erfüllt an. Das Gericht führt aus:

Für die Entkräftung der Vermutung der Täterschaft ist es auch nicht erforderlich, dass die andere Person die Rechtsverletzung einräumt. Denn wenn die Möglichkeit besteht, dass eine von zwei Personen die Rechtsverletzung begangen hat, es jedoch beide bestreiten, gibt es grundsätzlich keine größere Wahrscheinlichkeit dafür, dass es trotzdem der Anschlussinhaber selbst war und nicht die andere Person. Denn bei der Vermutung der Täterschaft des Anschlussinhabers handelt es sich gerade nicht um einen Anscheinsbeweis.

Auch eine Störerhaftung des Beklagten verneint das Gericht. Für eine Störerhaftung reiche es nicht aus, dass der Beklagte den Anschluss anderen Personen zur Nutzung überlassen habe. Zwar hafte nach der Rechtsprechung des Bundesgerichtshofs der Inhaber eines ungesicherten WLAN-Anschlusses für Rechtsverletzungen als Störer, welche von seinem Anschluss aus begangen werden. Vorliegend war der Anschluss jedoch durch ein Passwort gesichert. Das Amtsgericht in seiner Begründung weiter:

zum anderen gilt dieser Grundsatz dann nicht, wenn es sich bei diesen Personen um die Ehefrau oder dem Anschlussinhaber gut bekannte Gäste handelt, bezüglich derer der Anschlussinhaber keinen Anlass hatte, davon auszugehen, dass diese Rechtsverletzungen begehen würden.

Apps für Kinder: Datenschutzbehörde bemängelt fehlende Transparenz

Posted on by

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Rahmen einer international koordinierten Prüfung insgesamt 50 Apps, die sich an Kinder richten, auf ihre Datenschutzkonformität hin geprüft. Das Ergebnis der Prüfung wird in der Pressemitteilung (PDF) des BayLDA wie folgt zusammengefasst:

Hierbei offenbarten sich Mängel in der Transparenz und den Möglichkeiten für Eltern, bestimmte Datenflüsse zu steuern bzw. zu unterbinden.

Untersucht wurden 25 iOS- und 25 Android-Apps. 20 der geprüften Apps werden durch bayerische Unternehmen angeboten, für die das BayLDA die zuständige Aufsichtsbehörde ist.

Besonders kritisiert der Präsident des BayLDA, dass die Apps selbst in deutscher Sprache verfügbar seien, jedoch die Datenschutzerklärung (soweit sie denn überhaupt vorhanden war) nur auf Englisch bereitgestellt wurde.

Aus diesem Grund kündigt das BayLDA auch an, dass alle bayerischen App-Anbieter, die ihr Angebot an das deutsche Zielpublikum richten und nur eine englischsprachige Datenschutzerklärungen vorhalten, gezwungen werden sollen, diese auch auf Deutsch anzubieten. Eine Zusammenfassung der Prüfung durch das BayLDA findet sich in diesem Dokument (PDF).

App-Entwickler und App-Anbieter sollten darauf achten, innerhalb Ihrer App Informationen zum Umgang mit personenbezogenen Daten bereitzustellen. Die hierfür zu erstellende Datenschutzerklärung muss auch innerhalb der App (und nicht etwa nur beim Download) jederzeit für den Nutzer abrufbar sein. Das BayLDA hat im Jahre 2014 eine ausführliche Orientierungshilfe zu den Datenschutzanforderungen an Apps veröffentlicht (PDF).

Die inhaltlichen und auch formellen Anforderungen an die Datenschutzerklärung leiten sich aus dem Telemediengesetz (TMG), genauer aus § 13 Abs. 1 TMG, ab. Danach hat der Diensteanbieter (also der App-Betreiber) den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Wichtig ist insbesondere die Anforderung an die „allgemein verständliche Form“. Diese dürfte im Einzelfall nicht vorliegen, wenn die Hinweise in der Datenschutzerklärung nur auf Englisch verfügbar sind, obwohl sich die App an deutsche Nutzer richtet. Denn nicht jedem Nutzer, noch dazu wie in diesem Fall Kindern, ist es möglich, englische Umschreibungen der Datenverarbeitung zu verstehen. An einer „Verständlichkeit“ könnte es daher fehlen.
Die Ankündigung des BayLDA, bayerische App-Anbieter „zwingen“ zu wollen, deutsche Datenschutzerklärungen vorzuhalten, deutete zudem darauf hin, dass die Aufsichtsbehörde notfalls auch verwaltungsrechtlich gegen Anbieter vorgehen würde.

Abmahnung wegen Like-Button? Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht

Posted on by

Heute vermeldete die Verbraucherzentrale NRW, dass sie insgesamt 6 Unternehmen wegen der Verwendung des Like-Buttons von Facebook und angeblicher datenschutzrechtlicher Verstöße der Webseitenbetreiber gegen das Telemediengesetz (TMG) abgemahnt habe. Gegen Peek & Cloppenburg (Landgericht Düsseldorf) und Payback (Landgericht München) habe man inzwischen Klage eingereicht.

Was wird bemängelt?
Das wird aus den öffentlichen Informationen nicht völlig deutlich. Die Verbraucherzentrale stört sich daran, dass „schon allein durch die Einbindung des Like-Buttons“ Facebook „automatisch bei jedem bloßen Aufruf dieser Seiten“ mitlesen würde. „Darüber werden Besucher jedoch vorher weder ausdrücklich informiert noch können sie der Datenweitergabe widersprechen“.

Nach Ansicht der Verbraucherschützer stellt das Verhalten der Webseitenbetreiber

unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz

dar. Weiter führt die Verbraucherzentrale aus, dass ein „bloßer Hinweis der Anbieter in ihren Datenschutzbestimmungen, dass eine solche Weiterleitung der Daten an Facebook erfolgt“ nicht genüge. Auch den Hinweis in Datenschutzerklärungen, dass der Webseitenbetreiber „keinen Einfluss auf den Umfang der Daten hat“, sei nicht ausreichend. Die Verbraucherschützer fordern: „Notwendig ist eine echte Aufklärung über die Datensammlung und –verwertung“.

Im Kern scheint den Verbraucherschützern also die Übertragung von Daten an Facebook und Datenverarbeitungsvorgänge zu missfallen, die im Verantwortungsbereich des sozialen Netzwerkbetreibers liegen könnten. Da diesbezügliche Gerichtsverfahren in Schleswig-Holstein durch die Datenschutzbehörde jedoch bisher recht erfolglos verliefen (vgl. die Mitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zu den Beschlüssen des OVG Schleswig aus den Jahren 2013), versucht man in NRW nun wohl die Unternehmen anzugehen, die Social Plugins einsetzen.

Ich möchte hier nicht in die tiefere juristische Bewertung einsteigen. Das Thema war bereits vor ca. 4 Jahren aktuell (vgl. etwa den Blogbeitrag von Thomas Stadler, u.a. mit einem Verweis auf meinen Aufsatz in der Zeitschrift Computer und Recht). Es geht vor allem um die Frage der datenschutzrechtlichen Verantwortlichkeit der Webseitenbetreiber und die Pflicht, Informationen über eingebundene Dienste Dritter zu erteilen, obwohl man als Webseitenbetreiber für die Datenverarbeitung über diese Dienste nicht verantwortlich ist. Auch die Frage nach einer „Störerhaftung“ im Datenschutzrecht könnte insofern auftauchen (hierzu mein Aufsatz in der Kommunikation und Recht aus 2014). Diese Thematik ist derzeit unter anderem Gegenstand eines gerichtlichen Verfahrens zum Einsatz von Facebook Fanpages zwischen dem ULD und der Wirtschaftsakademie Schleswig-Holstein GmbH (vgl. die Pressemitteilung des ULD), welches derzeit vor dem Bundesverwaltungsgericht anhängig ist.

Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht
In gewisser Weise ironisch wenn nicht gar humoristische mutet jedoch folgende Tatsache an: Die Verbraucherzentrale NRW verstößt selbst gegen datenschutzrechtliche Vorgaben. Und zwar gegen eben jene Pflichten, deren Umsetzung von den Unternehmen verlangt wird.

Auf ihrer Webseite bewerben die Verbraucherschützer im Zusammenhang mit den Abmahnungen ihr Jugendportal „checked4you“. Die Verbraucherzentrale hierzu: „Einen Favoriten setzen in Sachen Datenschutz sollten sich Internetnutzer derweil bei Webseiten, die es so wie die Verbraucherzentrale NRW machen“.

Und was findet man auf dieser Webseite?

Zum einen das Analysetool Piwik. Wie dieses kostenlose Statistiktool datenschutzrechtlich konform, zumindest aus Sicht des ULD, einzusetzen ist, hat die Datenschutzbehörde 2011 in einem Gutachten dargestellt (PDF). Vor allem geht das ULD davon aus, dass auch bei einer eingeschalteten Anonymisierungsfunktion im Ergebnis nur Pseudonyme für eine statistische Auswertung erstellt werden. Dann gilt § 15 Abs. 3 TMG. Danach dürfen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellet werden, sofern der Nutzer dem nicht widerspricht. Eine Aussage in dem Gutachten hierzu:

Der Einsatz von Reichweitenanalysediensten ohne Widerspruchsmöglichkeit stellt einen Verstoß gegen § 15 Abs. 3 TMG dar. Der Einsatz des Analysedienstes ohne die angebotene Widerpruchsmöglichkeit ist datenschutzrechtlich unzulässig.

Man ahnt, was nun folgt. Die Webseite „checked4you“ der Verbrauchzentrale NRW weist zwar in einem kleinen Abschnitt „Datenschutzhinweise“ auf den Einsatz von Piwik hin. Auf die nach dem TMG einzuräumende Widerspruchsmöglichkeit (sei es nun per Browser-Plugin oder etwa durch einen Opt-out Cookie) wird zwar in Textform hingewiesen: “können Sie die Analyse durch das Statistiktool auf der folgenden Seite blockieren“. Jedoch gibt es keinen Link zu einer „folgenden Seite“, kein Hinweis auf ein Opt-out Cookie oder ähnliches. Also, der derzeitige Einsatz von Piwik auf der Webseite der Verbrauchzentrale wäre (zumindest nach Ansicht der Datenschutzbehörde aus Schleswig-Holstein) datenschutzrechtlich unzulässig. Der von der Verbraucherzentrale NRW erhobene Vorwurf könnte also genauso zurückgespielt werden: „unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz“.

Und ein weiteres Schmankerl. Bei näherem Hinsehen stellt sich heraus, dass „checked4you“ drei Cookies setzt.

cookie NRW

Wozu werden diese Cookies genutzt? Welche Informationen sind in diesen Cookies gespeichert? Etwa IP-Adressen? Oder werden zumindest Cookie-IDs erzeugt, um einen Besucher wiederzuerkennen? Mindestens in diesen beiden Fällen müssten Informationen zum Einsatz der Cookies gegeben werden. Hierzu fehlt in den Datenschutzhinweisen der Verbraucherzentrale aber jegliche Angabe. Interessant ist auch, dass ein Cookie nicht nur für eine Sitzung gesetzt wird, sondern für über 1 Jahr.

blog cookie lang

Wozu? Keine Informationen.

Fazit
Was möchte ich mit diesem Beitrag zeigen? Datenschutzrechtlich absolut konformes Handeln ist in der heutigen Zeit mit schnellen technologischen Entwicklungen, neuen Features für Webseiten und Analysediensten nur schwer möglich. Sowohl für Unternehmen, als auch für Verbraucherschützer. Eine gerichtliche Klärung der Frage des datenschutzkonformen Einsatzes von social Plugins wäre aus praktischer Sicht indes sicherlich zu begrüßen.

Update vom 22. Mai 2015:
Die Verbraucherzentrale NRW hat schnell reagiert und in den Datenschutzhinweisen auf der Webseite „checked4you“ nun einen Link eingefügt, der Nutzer auf eine Webseite führt, auf der man seinen Widerspruch zur Analyse durch Piwik erklären kann.