IT-Sicherheitsgesetz: Geplante Änderungen und Auswirkungen für Webseitenbetreiber

Posted on 22. Dezember 2014 by Carlo Piltz

Am 17.12.2014 hat die Bundesregierung den Entwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, PDF) beschlossen. Nach der Pressemitteilung des federführend zuständigen Bundesinnenministeriums, werden in den Entwurf, zur Steigerung der IT-Sicherheit im Internet, die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie sollen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten.

Geplant sind auch Änderungen des Telemediengesetzes (TMG), welches im Grundsatz für alle Webseiten oder andere Internetangebote, aber etwa auch Apps gilt. Die Begründung des Gesetzentwurfes führt einleitend zu den vorgeschlagenen Anpassungen des TMG aus, dass wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste, die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt werden.

Nach dem Entwurf des IT-Sicherheitsgesetzes wird in § 13 TMG ein neuer Absatz 7 eingefügt (nachfolgend § 13 Abs. 7 TMG-E), der folgenden Wortlaut hat:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

„Geschäftsmäßig“
Die neuen Verpflichtungen zur Implementierung technischer und organisatorischen Maßnahmen sollen nur für „geschäftsmäßig angebotene Telemedien“ gelten. Nach der Gesetzesbegründung ist ein Angebot dann geschäftsmäßig, „wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt“. Bei gegen Entgelt angebotenen Telemedien ist diese Voraussetzung regelmäßig erfüllt. Die Begründung führt beispielhaft „werbefinanzierte Webseiten“ an. Ausdrücklich ausgeschlossen von dem Anwendungsbereich des neuen § 13 Abs. 7 TMG-E soll jedoch das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“ sein. Daher dürfte etwa ein privat betriebener Blog nicht der neuen Pflicht unterliegen, selbst wenn dieser mit gewisser Nachhaltigkeit und auch planmäßig betrieben wird. Denn nach der Gesetzesbegründung reicht es für die Nicht-Anwendbarkeit des neuen Abs. 7 aus, dass das Angebot nicht-kommerziell durch einen Privaten betrieben wird.

Zumutbarkeit von Schutzmaßnahmen
Nach dem geplanten Abs. 7 müssen Diensteanbieter (also etwa Webseitenbetreiber von Onlineshops) kumulativ (!) sicherstellen, dass 1) kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist, 2) diese gegen Verletzungen des Schutzes personenbezogener Daten und 3) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Die drei Schutzpflichten sind mit dem Wort „und“ verbunden, woraus sich eine notwendige Erfüllung aller drei Voraussetzungen ergibt. Ein Diensteanbieter wird sich also grundsätzlich nicht darauf berufen können, er habe seinen Dienst doch besonders gegen unerlaubte Zugriffe geschützt und dass dies ausreichen müsse.

Da der damit einhergehende tatsächliche Aufwand für Diensteanbieter, je nach den bereits implementierten Schutzmaßnahmen, nicht unerheblich sein dürfte, sieht Abs. 7 jedoch als Tatbestandsvoraussetzung ebenso das Kriterium der „Zumutbarkeit“ für den Diensteanbieter vor. Die entsprechenden Vorkehrungen müssen für den konkreten Diensteanbieter technisch möglich und wirtschaftlich zumutbar sind. Zu hohe Umsetzungskosten stellen daher etwa ein Kriterium dar, welcher der Webseitenbetreiber rechtmäßigerweise anführen darf, um nur diejenigen technischen und organisatorischen Maßnahmen umzusetzen, die er sich auch wirklich leisten kann. Der Betreiber einer Webseite oder eine anderen Internetdienstes ist also nicht dazu verpflichtet, sein Unternehmen mit finanziellen Verlusten zu belasten, die das Angebot selbst unrentabel machen würde oder gar seine Existenz gefährden. Laut der Begründung des Gesetzentwurfes müssen die „Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen“.

Pflicht zur Anpassung von Kooperationsverträgen?
Im Hinblick auf Webseiten führt die Begründung des Gesetzentwurfes aus, dass es ein wesentliches Ziel des neuen Abs. 7 ist, das unbemerkte Herunterladen von Schadsoftware beim Besuch einer präparierten Webseite zu unterbinden. Webseitenbetreiber sollten daher regelmäßig die für die Erstellung und den Betrieb der Webseite verwendete Software aktualisieren, da hierdurch die Sicherheit erhöht werde.

Häufig finanzieren Webseitenbetreiber ihr Angebot mit Werbeanzeigen. Der Inhalt der Werbebanner ist jedoch meist nicht ein originär eigener. Vielmehr wird dieser über Dritte, etwa die Betreiber von Werbenetzwerken, bezogen. Der Webseitenbetreiber hat also auf den Inhalt der Werbebanner meist keinen direkten, insbesondere technischen Einfluss (außer das Banner komplett zu entfernen). Es besteht jedoch technisch die Möglichkeit, dass über die Werbeanzeigen schädliche Inhalte geladen werden. Auch in dieser Konstellation sieht der Gesetzesentwurf den Webseitenbetreiber jedoch zumindest in einer Teilpflicht. Gegen das Laden und Einspeisen schädlicher Skripte oder von Software über Drittinhalte innerhalb des eigenen Angebotes, sind nach der Begründung des Gesetzesentwurfs „organisatorische Vorkehrungen zu treffen“. Nach Auffassung der Bundesregierung gehört hierzu beispielsweise, dass Werbedienstleister, denen Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen verpflichtet werden.

Bußgeldbewährung
Ein fahrlässiger oder vorsätzlicher Verstoß gegen § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 a) TMG-E (nicht die Nr. 2 b)) soll zudem eine Ordnungswidrigkeit darstellen (§ 16 Abs. 2 Nr. 3 TMG) und nach § 16 Abs. 3 TMG die Möglichkeit eines Bußgeldes in Höhe von 50.000 EUR nach sich ziehen. Beachtlich ist insofern, dass damit nicht nur das komplette Fehlen von technischen und organisatorischen Maßnahmen eine Ordnungswidrigkeit darstellt. Die Begründung des Gesetzesentwurfs spricht ausdrücklich davon, dass „damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“ bußgeldbewährt sein soll.

Europäischer Gerichtshof zur Haftung eines Zeitungsverlages für Online-Artikel

Posted on 28. Oktober 2014 by Carlo Piltz

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 11. September 2014 (C-291/13, derzeit nicht auf Deutsch verfügbar) entschieden, dass ein Zeitungsverlag, der eine Webseite betreibt, über die eine Online-Version der herausgegebenen Zeitung abrufbar ist, sich unter gewissen Voraussetzungen nicht auf die Haftungsprivilegierungen der Art. 12 bis 14 der Richtlinie 2000/31/EG (sog. eCommerce-Richtlinie) (in Deutschland umgesetzt in den §§ 7 – 10 TMG) berufen kann.

Der Entscheidung lagen mehrere Vorlagefragen eines zypriotischen Gerichts zugrunde. Der dortige Kläger wandte sich mit Schadenersatz- und Unterlassungsklagen gegen einen online abrufbaren Zeitungsartikel, in dem er seiner Ansicht nach diffamiert wurde.

Entgeltlichkeit bei Online-Werbung
In seiner Entscheidung legt der EuGH zunächst dar, dass der Anwendungsbereich der eCommerce-Richtlinie dann eröffnet ist, wenn es sich um Tätigkeiten eines „Dienstes der Informationsgesellschaft“ handelt. Nach Erwägungsgrund 18 umfassen diese Dienste der Informationsgesellschaft einen weiten Bereich von wirtschaftlichen Tätigkeiten, die online vonstattengehen. Art. 2 a) eCommerce-Richtlinie verweist für die Definition des Begriffs zudem auf Art. 1 Nr. 2 der Richtlinie 98/34/EG (PDF). Danach ist ein „Dienst“ eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Der EuGH stellt in seinem Urteil klar, dass das Entgelt nicht von dem Empfänger des Dienstes selbst stammen muss. Es reichen hierfür auch Einnahmen aus Werbeanzeigen aus, die auf einer Webseite vom Betreiber eingesetzt werden.

Keine Haftungsprivilegierung
Zudem befasste sich der EuGH mit der Frage, inwieweit sich der Zeitungsverlag auf die Haftungsprivilegierungen der Art. 12 bis 14 eCommerce-Richtlinie berufen kann, wenn er eine Webseite betreibt, auf der Zeitungsartikel erscheinen, die von angestellten oder freiberuflichen Journalisten verfasst wurden und der Verlag seine Vergütung auch aus den Einnahmen der Einbindung von Online-Werbeanzeigen auf der Webseite generiert.

Der EuGH verweist zunächst auf seine frühere Rechtsprechung (u.a. C-236/08), wonach sich aus Erwägungsgrund 42 der eCommerce-Richtlinie ergibt, dass die hinsichtlich der Verantwortlichkeit festgelegten Ausnahmen nur Fälle erfassen, in denen die Tätigkeit des Anbieters von Diensten der Informationsgesellschaft „rein technischer, automatischer und passiver Art“ ist. Dies bedeutet, dass der Anbieter „weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt“. Erforderlich für eine Antwort auf die Frage, ob ein Diensteanbieter sich auf die Haftungsprivilegierung des Art. 14 eCommerce-Richtlinie, also die reine Speicherung von fremden Informationen (umgesetzt in § 10 TMG), berufen kann, ist nach dem EuGH die Feststellung, ob die Rolle dieses Anbieters insofern neutral ist, als sein Verhalten rein technischer, automatischer und passiver Art ist und er weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt.

Für den hier vorliegenden Sachverhalt begründet der EuGH die mangelnde Haftungsprivilegierung wie folgt: Da der Zeitungsverlag grundsätzlich Kenntnis von denjenigen Informationen besitzt, die im Rahmen des Online-Angebotes in Form der Artikel bereitgestellt werden und über die Artikel und die in ihnen enthaltenen Informationen auch eine faktische Kontrolle ausübt, kann der Verlag hier nicht als „Vermittler“ im Sinne der eCommerce-Richtlinie angesehen werden. Dies unabhängig davon, ob der Zugang zu der Webseite kostenlos oder kostenpflichtig ausgestaltet ist.

Internet der Dinge und Datenschutz: Anforderungen an die Einwilligung

Posted on 22. Oktober 2014 by Carlo Piltz

Industrie 4.0, Internet der Dinge, Smart Car und mehr. Die Schlagworte, unter denen der Trend beschrieben wird, dass immer mehr Alltagsgegenstände einen Anschluss an das Internet erhalten und damit selbst „online sein können“, sind mannigfaltig. Daten- und Verbraucherschützer betrachten diese Entwicklung zum Teil kritisch. Die Nutzer von intelligenten Lampen, Kühlschränken oder Rauchmeldern wüssten nämlich häufig gar nicht, ob und wenn ja, welche Daten erhoben, gespeichert und womöglich übertragen werden.

Vor dem Hintergrund dieses, der technischen Entwicklung nun einmal geschuldeten Fehlens von Informationsmöglichkeiten an jedem vernetzten Haushaltsgerät (man denke an einen mehrseitigen Papierzettel, der von einem an der Decke hängenden intelligenten Rauchmelder baumelt), stellt sich aus datenschutzrechtlicher Sicht die Frage, wie man als verantwortliche Stelle, also etwa Gerätehersteller und -vertreiber, bei einer Verarbeitung personenbezogener Daten seinen Informationspflichten (§ 33 Abs. 1 BDSG oder § 13 Abs. 1 TMG) gerecht werden kann.

Fehlende Informationen für Nutzer
Die Problematik, dass sich auch in diesem Bereich rechtliche Anforderungen von den tatsächlichen Entwicklungen am Markt immer mehr entfernen, haben zuletzt die europäischen Datenschützer (versammelt in der sog. Artikel 29 Datenschutzgruppe) erkannt und in einer Stellungnahme zum „Internet der Dinge“ (WP 223, PDF) erste Einschätzungen zum Thema Datenschutz und vernetzte Geräte gegeben (hierzu bereits mein Blogbeitrag).

Nach Ansicht der Datenschützer besteht für Betroffene etwa die Gefahr, dass sie durch die für sie unsichtbare und nicht beherrschbare Datenverarbeitung die Kontrolle über ihre Daten verlieren. Zudem wüssten viele Nutzer nicht, dass die intelligenten Geräte auch untereinander kommunizieren und sich möglicherweise gegenseitig Daten zusenden. Die Artikel 29 Datenschutzgruppe befürchtet daher, dass die Betroffenen an der effektiven Ausübung ihrer Rechte gehindert werden könnten (vgl. S. 6, WP 223).

Unwirksamkeit der Einwilligung?
Dieser Mangel an Informationen darüber, dass personenbezogene Daten verarbeitet werden und wie die geschieht, würde im Falle des Erfordernisses einer Einwilligung, wenn also die Datenverarbeitung z. B. nicht auf ein Vertragsverhältnis gestützt werden könnte, möglicherweise zu deren Unwirksamkeit führen. Denn eine Einwilligung, etwa nach § 13 Abs. 2 TMG, setzt voraus, dass der Nutzer Kenntnis davon hat, worin er einwilligt. Er muss also zumindest darüber informiert werden, auf welche Daten sich die Einwilligung bezieht und welche Verwendungszwecke sie umfasst.

Die Artikel 29 Datenschutzgruppe folgert in ihrer Stellungnahme deshalb, dass in solchen Fällen die Einwilligung keine wirksame Grundlage für eine Datenverarbeitung darstellen könne (S. 7, WP 223).

Ein alternativer Ansatz
Interessanterweise stellt die Artikel 29 Datenschutzgruppe jedoch in einem anderen, kürzlich veröffentlichten Dokument (welches sich per se gar nicht auf das Internet der Dinge bezieht) dar, wie ihrer Ansicht nach eine Einwilligung möglicherweise doch wirksam eingeholt werden könnte. Es handelt sich um das „Hausaufgabenheft“ zur Datenschutzerklärung von Google (PDF). Dort führen die Datenschützer aus, wie ihrer Ansicht nach eine Datenschutzerklärung aufgebaut und präsentiert werden kann, um den gesetzlichen Anforderungen zu genügen.

Die Artikel 29 Datenschutzgruppe verweist in dem Dokument darauf, dass für die verantwortliche Stelle datenschutzrechtliche Informationspflichten bestehen und diese auch dann eingehalten werden müssen, der Betroffene verschiedene Arten von Endgeräten nutzt, wie etwa einen PC, ein Handy oder ein Tablet. Wenn jedoch das Endgerät aufgrund seiner Konstruktion nicht die Möglichkeit bietet, die erforderlichen Informationen zur Datenverarbeitung anzuzeigen (etwa aufgrund eines fehlenden Monitors), so sehen es die europäischen Datenschützer durchaus als gangbare Alternative an, wenn die Informationen auf demjenigen Endgerät angezeigt werden und abrufbar sind, auf dem der Nutzer das intelligente Gerät konfigurieren kann (S. 3).

Die Datenschützer erwähnen explizit Geräte des Unternehmens Nest, welches intelligente Rauchmelder oder Thermostate vertreibt. Auf diese Weise böte sich damit natürlich auch die Möglichkeit, auf dem „Konfigurationsgerät“ die Einwilligung der Nutzer für eine Datenverarbeitung einzuholen. Die so vorgeschlagene Vorgehensweise lässt sich in jedem Fall begrüßen und bietet für Unternehmen, die Produkte für das Internet der Dinge herstellen und vertreiben eine interessante Alternative, um ihren datenschutzrechtlichen Pflichten nachzukommen.

Datenschutz-Grundverordnung: Gefährlicher Einfluss des Google-Urteils

Posted on 21. September 2014 by Carlo Piltz

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) im Mai 2014 in Sachen Google (C-131/12), haben sich selbstverständlich auf die Mitgliedstaaten im Rat der Europäischen Union mit den möglichen Konsequenzen der Entscheidung für die in Planung befindliche Datenschutz-Grundverordnung (DS-GVO) befasst.

In der letzten Woche wurden mehrere Dokumente aus der zuständigen Ratsarbeitsgruppe (Dapix) zu dem Thema veröffentlicht (diese und viele andere Dokumente finden sich auf einer Übersichtsseite hier im Blog). Aus den Papieren geht zum Teil hervor, wie die verschiedenen Mitgliedstaat den Einfluss der Entscheidung des EuGH auf die DS-GVO bewerten und welche Änderungen die derzeitige italienische Ratspräsidentschaft an dem Gesetzesentwurf vorschlägt.

Gesetzliche Festschreibung des Vorrangs des Datenschutzes
In einem Arbeitsdokument (11289/1/14 REV 1, PDF) vom 3. September 2014, welches sich direkt mit dem Urteil des EuGH befasst, geht es vor allem um mögliche Änderungen des geplanten Art. 17 DS-GVO (dem sog. Recht auf Vergessenwerden). Die Ratspräsidentschaft schlägt in diesem Dokument neue Änderungen am Gesetzestext vor. Aus meiner Sicht völlig unverständlich ist die Idee, einen neuen Erwägungsgrund 53a) in die DS-GVO einzufügen. Inhalt dieses Erwägungsgrundes (Seite 6 des PDF) soll die Klarstellung sein, dass es, im Fall der Ausübung des „Rechts auf Vergessenwerden“, eines angemessenen Ausgleichs bedarf, zwischen den Grundrechten aus Art. 7 und 8 der Grundrechtecharta der Betroffenen und den Interesse der Internetnutzer an einem freiem Informationszugang. Soweit so gut. Jedoch möchte die Ratspräsidentschaft, unter wörtlicher Übernahme der Ausführungen des EuGH in seinem Urteil, in Erwägungsgrund 53a) festschreiben, dass „im Allgemeinen“ die Grundrechte der Betroffenen den Interessen der Internetnutzer an einem freien Informationszugang vorgehen. Im Zweifel also pro Datenschutz. Im Zweifel müssen Suchmaschinenbetreiber also Löschen.

Dass ich diese Aussage des EuGH für falsch, ja mit den Vorgaben der Grundrechtecharta nicht für vereinbar, halte, habe ich bereits in meinem Beitrag zu dem Urteil dargelegt. Allein bin ich mit dieser Ansicht auch nicht (eine Übersicht von Beiträgen gibt es bei Thomas Stadler im Blog). Sollte dieser generelle Vorrang des Datenschutzes nun auch noch gesetzlich festgeschrieben werden und eine Abwägung der Rechte und Interessen nur in Ausnahmefällen zu Gunsten der Internet- und Suchmaschinennutzer ausfallen, so würde man meines Erachtens eine gefährliche Tendenz in der Rechtsprechung, nämlich dem Datenschutz als eine Art „Supergrundrecht“ den Vorrang einzuräumen, für die Zukunft zementieren. Hier besteht sicherlich die Gefahr, dass bei einer zukünftigen Gesetzesanwendung und –auslegung Gerichte nicht nur bei der Abwägung von Datenschutz und Informationsfreiheit, sondern auch bei der Kollision anderer Grundrechte mit dem Datenschutz auf den neuen Erwägungsgrund 53a) mit dem Argument referenzieren würden „Da steht es doch. Der Datenschutz überwiegt im Allgemeinen“.

Stellungnahmen der Mitgliedstaaten
In einem weiteren Dokument (12274/2/14 REV 2, PDF) vom 3. September 2014, sind die Stellungnahmen von verschiedenen Mitgliedstaaten in der Ratsarbeitsgruppe zu den möglichen Auswirkungen des Google-Urteils und zu konkreten Fragen der Ratspräsidentschaft zusammengefasst. Die Lektüre des Arbeitspapiers und der Kommentare der einzelnen Delegationen ist durchaus lesenswert, da man hier erkennt, dass die gezogenen Schlüsse teilweise doch stark voneinander abweichen. So stellt etwa die Delegation des Vereinigten Königreichs grundsätzlich klar, dass ihrer Ansicht nach die Entscheidung des EuGH nicht den Inhalt und die Arbeit an der DS-GVO bestimmen dürfe. Das Urteil biete hilfreiche Anhaltspunkte für die gemeinsame Arbeit. Jedoch befürchtet die Delegation, dass der Richterspruch (der zur derzeit geltenden Datenschutz-Richtlinie 95/46/EG ergangen ist), als eine Art Leitlinie für die Arbeit an der DS-GVO genutzt werden könnte. Dies sollte nicht der Fall sein.

Relativ einig sind sich die Mitgliedstaaten darin, dass es grundsätzlich den nationalen Gesetzgebern überlassen sein muss, die Leitlinien für erforderliche Abwägung des Rechts auf den Schutz personenbezogener Daten mit dem Recht auf Meinungs- und Pressefreiheit vorzugeben. Dies kann nicht in der DS-GVO erfolgen. Ebenfalls weitgehend einig ist man sich darin, dass es in Zukunft nicht eine Art „Zweit-Verantwortlichen“ geben soll, wenn öffentlich zugängliche Informationen weiterverbreitet werden, etwa durch einen Suchmaschinenbetreiber. Aus älteren Ratsdokumenten geht hervor, dass über eine Art abgestufte Verantwortlichkeit nachgedacht wurde und der Betroffene sich zunächst immer an den Erst-Verantwortlichen mit seinen Löschansprüchen wenden müsse. Dieser Gedanke scheint nach den Kommentaren der Delegationen nicht weiter verfolgt werden zu sollen.

Man wird abwarten müssen, welche Folgen das Google-Urteil tatsächlich für den Entwurf der DS-GVO des Rates haben wird. Es zeigt sich, dass die Diskussionen hier im vollen Gange sind und wenig überraschend nicht immer einheitlich sind. Die Stellungnahme der deutschen Delegation ist in dem zuletzt erwähnten Dokument leider nicht enthalten.

Nach weltweiter Prüfung: Auch deutsche Datenschützer stellen rechtliche Mängel bei Apps fest

Posted on 26. Mai 2014 by Carlo Piltz

Im Rahmen des „Privacy Sweep 2014“ haben Datenschutzbehörden auf der ganzen Welt in der Woche vom 12. bis 18. Mai 2014 Apps und deren Anbieter datenschutzrechtlich überprüft.

In Deutschland nahm u. a. der Landesdatenschutzbeauftragte aus Baden-Württemberg an der koordinierten Aktion teil und prüfte Apps die in Baden-Württemberg entwickelt wurden oder deren Anbieter dort ansässig sind.

Laut der offiziellen Pressemitteilung (PDF) des Landesdatenschützers wurde dabei festgestellt, „dass die meisten Apps die notwendige Transparenz im Umgang mit personenbezogenen Daten vermissen ließen“. Kritikpunkt ist vor allem das Fehlen einer Datenschutzerklärung, aus der für die Nutzer hervorgehen muss, welche Daten zur Nutzung des Dienstes erforderlich sind und verarbeitet werden.

App-Anbieter haben in Deutschland vor allem die datenschutzrechtlichen Vorgaben des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Bereits vor einem Jahr hatte das bayerische Landesamt für Datenschutz eine Prüfung von Apps und deren Betreibern durchgeführt und teils erhebliche rechtliche Mängel festgestellt (hierzu mein Beitrag). Die Pflicht eine Datenschutzerklärung vorzuhalten, ergibt sich für App-Betreiber aus § 13 Abs. 1 TMG. Auch der Zusammenschluss der europäischen Datenschutzbehörden (Art. 29 Gruppe) hatte in einer Stellungnahme aus dem Jahre 2013 (WP 202, PDF) auf die rechtliche Pflicht zur Information der App-Nutzer durch den Betreiber hingewiesen, bevor dieser Informationen auf dem Smartphone des Nutzers speichert oder auf dieses über die App zugreift.

Für Betreiber von Apps dürfte zudem interessant sein, dass der baden-württembergische Landesdatenschutzbeauftragte angekündigt hat, in Zukunft derartige Kontrollaktionen gerne wiederholen zu wollen. Angesichts der durchgeführten Prüfaktionen der Behörden in Deutschland (und der Gefahr, bei datenschutzrechtlichen Verstößen gemäß § 16 Abs. 2 TMG eine Ordnungswidrigkeit zu begehen, die nach § 16 Abs. 3 TMG mit einem Bußgeld bis zu 50.000€ geahndet werden kann) sollten App-Betreiber stets die Konformität ihrer Datenschutzerklärung prüfen bzw. eine solche für ihre Dienste erstellen.

Update vom 27.5.2014:

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat an der diesjährigen Prüfaktion von Apps teilgenommen. Laut der Pressemitteilung wurden 15 internationale iOS und Android-Apps sowie 15 bayerische iOS und Android-Apss untersucht. Bei der Prüfung wurden „erhebliche Mängel beim Datenschutz“ festgestellt. Thomas Kranig, Präsident des BayLDA, stellt fest, dass „die schlechte datenschutzrechtliche Bewertung insbesondere der bayerischen iOS-Apps zeigt, dass die datenschutzrechtlichen Anforderungen durch bayerische App-Anbieter nicht ausreichend wahrgenommen werden„. Wie auch sein baden-württembergischer Kollege zieht Kranig für die zukünftige Arbeit seiner Behörde hieraus den Schluss, dass „nach dieser eher allgemeinen Prüfung eine noch intensivere Prüfung von Apps nach den Maßstäben deutscher Datenschutzgesetze und eine Ahndung von Verstößen notwendig ist„.

Europäische Datenschutzbehörden zur Benachrichtigungspflicht bei Datenschutzverletzungen

Posted on 31. März 2014 by Carlo Piltz

Wer ist zu benachrichtigen, wenn unberechtigterweise auf personenbezogene Daten zugegriffen wird? Wann sind nicht nur die jeweils zuständige Datenschutzbehörde, sondern auch die Betroffenen selbst zu informieren?

Die Art. 29 Datenschutzgruppe (der Zusammenschluss der europäischen Datenschutzbehörden) hat sich in ihrer neuesten Stellungnahme (WP 213, PDF) einer Erläuterung der Pflichten von datenverarbeitenden Stellen angenommen, die jeweiligen Datenschutzbehörden und eventuell auch die Betroffenen zu informieren, wenn der Schutz personenbezogener Daten verletzt wird („data breach notification“).

Europarechtliche Grundlage der Benachrichtigungspflicht ist Art. 4 Abs. 3 (RL 2002/58/EG, in ihrer Fassung durch RL 2009/136/EG, Datenschutzrichtlinie für die elektronische Kommunikation). Danach hat der Betreiber von öffentlich zugänglichen elektronischen Kommunikationsdiensten, im Fall einer Verletzung des Schutzes personenbezogener Daten, die zuständige nationale Behörde von der Verletzung unverzüglich zu benachrichtigen. Art. 2 lit. i) RL 2002/58/EG definiert die Verletzung des Schutzes personenbezogener Daten als

eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur
Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.

Für Unternehmen von besonderer Bedeutung ist zudem, welche Informationen der Behörde mitgeteilt werden müssen. Die Anforderungen hieran finden sich in der Verordnung 2013/611/EG (PDF).

Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auf die verschiedenen Problembereiche rund um eine Benachrichtigungspflicht ein.

Für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste besteht bei einer Verletzung des Schutzes personenbezogener Daten eine Mitteilungspflicht an die Datenschutzbehörde. Eine Ausnahme ist nicht vorgesehen. Sie hat grundsätzlich innerhalb von 24 Stunden zu erfolgen, Art. 2 Abs. 2 Verordnung 2013/611/EG. Diese 24 Stunden Frist verlängert sich auf eine 72 Stunden Frist, wenn der Betreiber innerhalb der 24 Stunden nicht alle für die Meldung erforderlichen Informationen bereitstellen kann. Dann ist innerhalb der ersten 24 Stunden eine „Erstbenachrichtigung“ an die Behörde ausreichend, Art. 2 Abs. 3 Verordnung 611/2013/EG. Nach dieser Erstbenachrichtigung beginnen die weiteren 72 Stunden, in denen der Betreiber die restlichen Informationen sammeln kann.

Etwas anders stellt sich die Situation in Bezug auf die Benachrichtigung der Betroffenen dar. Diese ist nach Art. 4 Abs. 1 RL 2002/58/EG nur vorzunehmen, wenn „durch die Verletzung personenbezogener Daten die personenbezogenen Daten, oder Teilnehmer oder Personen in ihrer Privatsphäre, beeinträchtigt werden“. Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auf einige Beispiele ein, wann der Fall einer solchen „Beeinträchtigung“ vorliegt.

Von dieser Benachrichtigungspflicht der Betroffenen besteht jedoch erneut eine Rückausnahme für die Betreiber, wenn er nämlich nach Art. 4 Abs. 3 RL 2002/58/EG

zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden.

Insbesondere erwähnt die Richtlinie eine Verschlüsselung der Daten. Die Art. 29 Datenschutzgruppe weist darauf hin, dass freilich auch bei einer ausreichenden Verschlüsselung der Daten die Behörde zu benachrichtigen ist. Wenn jedoch die Vertraulichkeit des Schlüssels gewährleistet ist, dann gehen die Datenschützer davon aus, dass eine „Beeinträchtigung“ der Betroffenen nicht vorliegt und diese daher nicht benachrichtigt werden müssen. Selbst jedoch bei tauglicher Verschlüsselung kann eine Benachrichtigungspflicht an die Betroffenen entstehen. Dann nämlich, wenn etwa ein Verlust von Daten negative Auswirkungen haben kann (z. B. wenn der Betreiber keine Sicherheitskopien bereithält).

Die Art. 29 Datenschutzgruppe ist daher der Auffassung, dass es für die Verantwortlichen von entscheidender Bedeutung ist, vorausschauend zu planen und zu handeln. Sie weist zudem auf die Pflicht für Betreiber zur Ergreifung geeigneter technischer und organisatorischer Maßnahmen hin, Art. 4 Abs. 1 RL 2002/58/EG (siehe auch Art. 17 der RL 95/46/EG, PDF). Eine Erfüllung dieser Sicherheitspflichten wird auch dazu führen, dass die Gefahr der Verletzung des Schutzes personenbezogener Daten verringert wird, wie auch eine mögliche negative Folge für die Betroffenen, sollte dieser Fall dennoch eintreten.

Insgesamt dürfte die neue Stellungnahme der europäischen Datenschützer eine willkommene Handreichung für Datenschutzpraktiker darstellen, da sie sowohl abstrakt als auch konkret einzelne (evtl. unklare) Problembereiche in Bezug auf die Benachrichtigungspflichten anspricht und die Sichtweise der Behörden erläutert.

Bundesregierung zu Redtube: Gutes Maß an Rechtssicherheit erreicht.

Posted on 17. März 2014 by Carlo Piltz

Die Bundesregierung hat auf eine kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN zum Thema „Klarheit für Verbraucherinnen und Verbraucher im Zusammenhang mit den Redtube-Abmahnungen“ (BT-Drs. 18/751, PDF) geantwortet. In einer ersten Antwort auf eine kleine Anfrage der DIE LINKE hatte die Bundesregierung zu den Redtube-Abmahnungen ausgeführt, dass aus ihrer Sicht die „Vervielfältigung, die bei Betrachten eines Videostreams erfolgt, unter den Voraussetzungen des § 53 Abs. 1 UrhG (so genannte Privatkopie-Schranke) zulässig“ sei (BT-Drs. 18/246).

Da jedoch zum Tatbestand des § 53 Abs. 1 UrhG auch die Voraussetzung erfüllt sein muss, dass „zur Vervielfältigung keine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage verwendet“ wird, obliegt es den Nutzern zu beurteilen, ob es sich um eine solche Vorlage handelt. Die Fragesteller sehen hierin eine Rechtsunsicherheit für Verbraucher, da es für diese als juristische Laien kaum zu beurteilen sei, ob die Vorlage entweder offensichtlich rechtswidrig hergestellt oder aber offensichtlich rechtswidrig öffentlich zugänglich gemacht worden ist. Daher erbeten die Grünen u. a. eine Antwort darauf, ob die Bundesregierung hier gesetzgeberischen Handlungsbedarf sieht.

In der Öffentlichkeit wurde in Bezug auf die Redtube-Verfahren unter anderem auch darüber diskutiert, inwieweit es den beteiligten Richtern am LG Köln an technischer Expertise gemangelt haben könnte, um ein vorgelegtes Gutachten richtig beurteilen zu können. Die Bundesregierung geht in ihrer Antwort davon aus, dass

der hier angesprochene Sachverhalt […] nicht den Schluss zu[lässt], dass deutsche Gerichte mit den in technischer Hinsicht aufgeworfenen Fragen überfordert seien.

Hinsichtlich der Voraussetzungen des § 53 Abs. 1 UrhG, insbesondere in Bezug auf den oben beschrieben Halbsatz, weißt die Bundesregierung auf die Gesetzgebungsgeschichte der Vorschrift hin und führt aus:

Zugleich sollte aber mit dieser Einschränkung auch der Verbraucher geschützt werden. Er sollte nicht mit unerfüllbaren Prüfpflichten belastet werden. Denn die Einschränkung des letzten Halbsatzes ist so formuliert, dass es im Streitfall dem Rechtsinhaber – und nicht dem Verbraucher – obliegt zu beweisen, dass die Vorlage offensichtlich rechtswidrig hergestellt oder offensichtlich unerlaubt öffentlich zugänglich gemacht worden ist.

Auch geht die Bundesregierung jedoch davon aus, dass man diesbezüglich auf den jeweiligen Verbraucher und seinen individuellen Bildungs- und Kenntnisstand abstellen müsse. Für diesen müsse erkennbar sein, dass die Vorlage eine offensichtliche rechtswidrige Quelle war. Konkreter müssten nach der Bundesregierung hierbei die für den Verbraucher erkennbaren Gesamtumstände des Angebots berücksichtigt werden. Wann ein, aus der Sicht des jeweiligen Verbrauchers, legales Angebot vorliegt, hängt daher vom Einzelfall ab.

Allein das Vorhandensein eines Rechtsverletzungsmanagements zur Durchführung des sog. Notice-and-Take-Down-Verfahrens lässt daher noch nicht auf ein legales Angebot schließen, wenn alle anderen Umstände eine offensichtlich unerlaubt zugänglich gemachte Vorlage erkennen lassen.

Jedoch erklärt die Bundesregierung auch, dass eine Pflicht zu aktiven Nachforschungen durch den Verbraucher nicht besteht. Daher sei die geltende Rechtslageaus Sicht der Bundesregierung bereits verbraucherfreundlich ausgestaltet. Eine rechtssichere Klarstellung könne jedoch nur auf europäischer Ebene erfolgen.
Zuletzt merkt die Bundesregierung an, dass das LG Köln den Beschwerden gegen die zunächst ergangenen Beschlüsse zur Auskunft über die Anschlussinhaber stattgegeben habe. Damit habe das Gericht die Auffassung der Bundesregierung bestätigt.

Damit ist bereits ein gutes Maß an Rechtssicherheit erreicht.

Bundesrat möchte Datenhehlerei unter Strafe stellen

Posted on 14. März 2014 by Carlo Piltz

In seiner heutigen Sitzung hat der Deutsche Bundesrat einen Gesetzesentwurf zur Einführung des Straftatbestandes der Datenhehlerei beschlossen (BR-Drs. 70/14). Der Gesetzentwurf wurde bereits einmal im Jahre 2013 über den Bundesrat in den Bundestag eingebracht, fiel dann aber aufgrund der Wahlen dem Grundsatz der Diskontinuität zum Opfer (hier der Gesetzentwurf: BR-Drs. 284/13 (B)).

Eingeführt werden soll ein neuer § 202d StGB „Datenhehlerei“. Ziel des Entwurfes ist es, Strafbarkeitslücken beim Handel mit rechtswidrig erlangten Daten zu schließen. Mit einer Freiheitsstrafe von immerhin bis zu 5 Jahren oder Geldstrafe soll nach § 202d Abs. 1 StGB-E bestraft werden,

Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder
sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen

Der Gesetzentwurf enthält jedoch insoweit eine Einschränkung, als dass von der Regelung nur die Daten, an deren Nichtweiterverwendung ein schutzwürdiges Interesse besteht und die nicht aus allgemein zugänglichen Quellen entnommen werden können, erfasst werden sollen. Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen, sollen nicht vom Tatbestand der Datenhehlerei erfasst werden. Hierdurch soll ausdrücklich klargestellt werden, dass Amtsträger oder deren Beauftragte beim Ankauf von Datenmaterial zur ausschließlichen Verwendung in einem Besteuerungsverfahren (Stichwort: Steuerdaten-CD), einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren nicht mit Strafe bedroht werden dürfen. Ausdrücklich wird in § 202d Abs. 4 StGB-E auch der Versuch der Datenhehlerei unter Strafe gestellt.

Zudem soll durch den Gesetzentwurf die Strafprozessordnung (StPO) in der Art angepasst werden, dass den Strafverfolgungsbehörden im Rahmen der Untersuchung und Verfolgung einer Datenhehlerei als notwendige Ermittlungsmaßnahmen ohne Wissen der Betroffenen die Überwachung und Aufzeichnung der Telekommunikation (§ 100a StPO) und das Abhören und Aufzeichnen des in einer Wohnung nichtöffentlich gesprochenen Wortes mit technischen Mitteln (§ 100c StPO) zur Verfügung stehen.

Der Gesetzentwurf wird nun der Bundesregierung zugeleitet, die diesen in den Bundestag einbringt. Hierbei können sich freilich noch Änderungen an dem vorgeschlagenen Gesetzestext ergeben und es bleibt abzuwarten, wie sich die endgültige Fassung darstellen wird.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Posted on 26. Februar 2014 by Carlo Piltz

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.

OLG Hamburg: Keine Sperrpflicht der Telekom bei Urheberrechtsverletzung auf Internetseiten

Posted on 7. Februar 2014 by Carlo Piltz

Continue reading →

Page 3 of 41 234

de lege data

Datenschutz – Privacy – Web 2.0

Category Archives: Haftung