Google ändert Nutzungsbedingungen – was es zu beachten gilt

Heute gab Google bekannt, dass es mit Wirkung zum 11. November 2013 neue Nutzungsbedingungen in all seinen Diensten verwenden wird.

Die Zusammenfassung der Änderungen (für Personen mit, wörtlich, „Abneigung gegen Juristendeutsch“) führt als wohl aus Sicht der Nutzer wichtigsten Punkt die folgende Anpassung auf:

Zunächst erläutern wir, wie und in welchem Rahmen Ihr Profilname und Foto in Google-Produkten erscheinen kann, etwa in Erfahrungsberichten, Bewertungen, Werbung oder in anderen kommerziellen Kontexten.
Continue reading

Australien: Gesetzesreform für besseren Schutz der Privatsphäre im digitalen Zeitalter

Im Juni 2013 erhielt die Australian Law Reform Commission (ALRC; eine Bundesbehörde, die Rechtsfragen des Justizministers beantwortet und Vorschläge für Modernisierungen des geltenden Rechts unterbreitet) den Auftrag, eine Untersuchung durchzuführen, inwieweit das australische Recht dahingehend angepasst werden kann, um schwere Eingriffe in die Privatsphäre zu verhindern und zu entschädigen.

Hierzu hat die ALRC nun ein erstes Themenpapier mit dem Titel „Serious Invasions of Privacy in the Digital Era“ veröffentlicht. Definiert sind darin zum einen 28 konkrete Fragen zu bestimmten Bereichen des Persönlichkeitsschutzes im digitalen Zeitalter und wie das geltende Recht hierauf reagieren kann. Zudem hat die ALRC in dem Themenpapier bereits den Status quo dargestellt und auch einige eigene Vorschläge unterbreitet.
Continue reading

Safe Harbor – LIBE Untersuchungsausschuss fordert Aussetzung

In der heutigen Anhörung des LIBE Untersuchungsausschusses zu den Überwachungstätigkeiten amerikanischer Geheimdienste und dem Zugriff dieser Dienste auf in die USA übermittelte Daten europäischer Bürger ging es vor allem um die Auswirkungen auf die Safe Harbor Entscheidung der Europäischen Kommission (zum Inhalt von Safe Harbor habe ich bereits hier etwas geschrieben). Hier eine kurze Einschätzung der Sitzung, ohne auf alle aufgeworfenen Fragen eingehen zu können.
Continue reading

Twitter’s Börsengang – Datenschutz als Investorenrisiko?

Aus dem vorläufigen Börsenprospekt von Twitter, der auf der Internetseite der amerikanischen Börsenaufsicht (SEC) abrufbar ist, lassen sich einige interessante Informationen zu dem Unternehmen selbst und seinem geplanten Börsengang entnehmen. Betrachtet man die dortigen Angaben allein aus dem Blickwinkel des Datenschutzrechts fällt auf, dass Bezugnahmen hierzu meist im Rahmen von möglichen Risiken erwähnt werden.

Grundsätzlich stellt Twitter klar, dass zu den Risiken, welche sich auf das Geschäft von Twitter und sein wirtschaftliches Wachstum auswirken können, vor allem auch Bedenken der Nutzer in Bezug auf den Datenschutz zählen:

A number of factors could potentially negatively affect user growth and engagement, including if: … there are user concerns related to privacy and communication, safety, security or other factors

Insbesondere negative öffentliche Berichterstattung über das Unternehmen, auch in Bezug auf den Datenschutz, könnten dem Ansehen von Twitter und dem Vertrauen in seine Produkte schaden:

Negative publicity about our company, including about … privacy and security practices … even if inaccurate, could adversely affect our reputation and the confidence in and the use of our products and services.

Auch die Einhaltung ausländischer Daten- und Verbraucherschutzgesetze und die Möglichkeit, gegen diese Gesetze zu verstoßen, sind ein Faktor, der zu einem Risiko für die zukünftige Entwicklung und das Wachstum des Unternehmens werden könnte.
Continue reading

Datenschutz-Grundverordnung: Kritik am Prinzip der zentralen Anlaufstelle

In einem Vermerk der litauischen Ratspräsidentschaft an die Mitglieder des Rates der europäischen Union vom 03. Oktober 2013 werden die Positionen der Mitgliedstaaten zu dem Prinzip der zentralen Anlaufstelle (one-stop-shop) der im Entwurf befindlichen Datenschutz-Grundverordnung (DS-GVO, KOM(2012) 11) zusammengefasst. Am kommenden Montag werden die Justiz- und Innenminister der Europäischen Union unter anderem auch hierüber diskutieren.

Um was geht es?
Mit dem in Art. 51 Abs. 2 DS-GVO vorgeschlagenen Prinzip der zentralen Anlaufstelle soll in Zukunft die Durchsetzung und Überwachung des Datenschutzrechts vereinfacht werden. Danach ist für Datenverarbeitungsvorgänge eines Verantwortlichen oder eines Auftragsdatenverarbeiters, der in mehreren EU-Mitgliedstaaten Niederlassungen besitzt, die Datenschutzaufsichtsbehörde desjenigen Mitgliedstaates alleine (!) zuständig, in dem sich die Hauptniederlassung des Verantwortlichen befindet. Nach Art. 4 Nr. 13 DS-GVO ist Hauptniederlassung der Ort der Niederlassung in der Union, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Das Prinzip hat damit sowohl eine Erleichterung für Unternehmen zur Folge, die sich dann nur noch einer Aufsichtsbehörde gegenüber sehen. Und auch die Rechte der betroffenen Personen sollen so (prinzipiell) besser durchsetzbar sein. Als Paradebeispiel könnte man hier etwa die Niederlassung von Facebook in Irland anführen, welche die Europazentrale des Unternehmens darstellt.

Kritik der Mitgliedstaaten
Aus dem Vermerk geht hervor, dass dieses Prinzip der zentralen Anlaufstelle zwar grundsätzliche breite Zustimmung erfährt. Die tatsächliche Ausgestaltung in ihrer derzeit geplanten Form jedoch von der Mehrheit der Mitgliedstaaten nicht befürwortet wird.

Beschwerden ja, Durchsetzung nein
So wird vorgebracht, dass zwar die Möglichkeit für betroffene Personen bestehen soll, nach Art. 73 Abs. 1 DS-GVO eine Beschwerde wegen einer unrechtmäßigen Datenverarbeitung bei jeder nationalen Datenschutzbehörde vorzubringen, also nicht nur bei der Aufsichtsbehörde der Hauptniederlassung. Aber eventuelle Maßnahmen und Sanktionen könnten dann dennoch nur durch diese Hauptaufsichtsbehörde vollzogen werden. Um am Beispiel von Facebook zu bleiben: Deutsche Nutzer könnten bei einer deutschen Datenschutzbehörde eine Beschwerde vorbringen, sich aus einer tatsächlich festgestellten Verletzung datenschutzrechtlicher Vorschriften ergebende Maßnahmen würden jedoch alleine durch die irische Datenschutzbehörde vorgenommen werden.

Gefahr für den Schutz der Betroffenen
Diese sich ergebende Schere zwischen Beschwerde und Durchsetzung sehen viele Mitgliedstaaten als eine Gefahr für die Datenschutzrechte der Betroffenen an. Denn für die Betroffenen ist die Nähe, also der kurze und effektive Kommunikationsweg, zur jeweiligen Aufsichtsbehörde von entscheidender Bedeutung. Dieser würde jedoch erschwert, wenn für die Durchsetzung ihrer Rechte und das entsprechende Verfahren eine ausländische Aufsichtsbehörde zuständig wäre. Zudem sollte es Betroffenen möglich sein, eine Entscheidung „ihrer“ Aufsichtsbehörde zu erhalten und diese Entscheidung dann eventuell vor den eigenen nationalen Gerichten anzufechten.

Lösungsvorschläge
Der Vermerk fasst einige durch die Mitgliedstaaten vorgebrachte Vorschläge zur Modifikation des Prinzips der zentralen Anlaufstelle zusammen, wobei hier nur auf einzelne eingegangen werden soll.

  • Die Hauptaufsichtsbehörde könnte prinzipiell weiter allein zuständig sein, dennoch sollten einige Befugnisse nicht exklusiv durch sie ausgeübt werden. Gerade Überwachungs- und Kontrollbefugnisse bestimmter Datenverarbeitungsvorgänge könnten auch von nationalen Behörden ausgeführt werden, gerade wenn diese auf dem Gebiet ihres Mitgliedstaates stattgefunden haben.
  • Bei Datenverarbeitungsvorgängen, die sich auf mehrere Mitgliedstaaten beziehen, könnte etwa ein Mitbestimmungsverfahren, unter Einbeziehung anderer nationaler Behörden eingeführt werden. Hier gäbe es zwar immer noch eine Hauptaufsichtsbehörde. Diese könnte Maßnahmen von über die nationalen Grenzen hinausgehender Bedeutung jedoch nicht mehr alleine, sondern nur in Abstimmung mit anderen Behörden, treffen. Zwar besteht ein ähnliches Verfahren für gemeinsame Maßnahmen bereits in Art. 56 DS-GVO. Jedoch ist dort nur das „Miteinander“ bei den Maßnahmen geregelt, also das Recht auf eine Teilnahme und nicht das Recht, selbst Maßnahmen zu treffen.
  • Zudem sollten grundsätzlich die nationalen Behörden, bei denen eine Beschwerde eingegangen ist, mehr in den Entscheidungsprozess der zu treffenden Maßnahmen eingebunden werden. So würde dem für die Betroffenen wichtigen „Näheverhältnis“ zu ihrer Behörde Rechnung getragen und die oben beschriebene Schere etwas geschlossen.
  • Bei der Beteiligung mehrerer Aufsichtsbehörden in einem Verfahren würden sich freilich nicht immer übereinstimmende Meinungen zum Vorgehen herausbilden. Hierzu könnte dann ein Verfahren bei dem einzurichtenden Europäischen Datenschutzausschuss (Art. 64 DS-GVO, ein Zusammenschluss aller nationaler Datenschutzbehörden und des Europäischen Datenschutzbeauftragen) eingeführt werden, in dem dieser eine abschließende Stellungnahme abgibt, ja eventuell sogar eine abschließende Entscheidung fällt (auch wenn er dazu dann mit entsprechender, bisher nicht vorhandener, rechtlicher Befugnis ausgestattet werden müsste).

Ausblick
Am Montag werden die Justizminister das oben beschriebene Prinzip und mögliche Änderungen beraten, jedoch noch nicht abschließend. Der Grundkonsens im Rat scheint zu sein, dass etwas geändert werden muss, um den Rechten der Betroffenen besser und vor allem praxistauglicher Geltung verschaffen zu können. Welche Variante dies sein wird, bleibt abzuwarten. Es zeigt sich jedoch auch, dass der Rat nicht unbedingt das Gesetze verwässernde und Verbraucherrechte fressende Europäische Organ ist, zu welchem er in der öffentlichen Debatte häufig gemacht wird. Vielmehr geht es bei diesen Vorschlägen vor allem um Effektivität und Durchführbarkeit. Dies ist zu begrüßen.

Deutsche Datenschützer: keine neuen Genehmigungen für Datenübermittlungen

Kommt der Datenfluss zwischen deutschen und amerikanischen Unternehmen bald zum erliegen? Wohl nicht. Dennoch könnten sich für international tätige, in Deutschland ansässige Unternehmen in den nächsten Monaten erhebliche Probleme bei der Übermittlung von personenbezogenen Daten in die USA ergeben. Denn: In einer Presseerklärung stellt die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (der sog. Düsseldorfer Kreis) fest, dass

„die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind“.
Continue reading

OLG Hamburg: Abmahnung bei fehlenden Datenschutzhinweisen

Das OLG Hamburg hat mit Urteil vom 27.06.2013 (Az. 3 U 26/12) unter anderem entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs (so die gesetzliche Pflicht aus § 13 Abs. 1 S. 1 TMG) erteilt. Fehlen diese notwendigen Informationen im Rahmen der Vorhaltung einer Eingabemöglichkeit von Nutzerdaten (hier um Informationen zu erhalten bzw. ein Blutzuckermessgerät testen zu können), so verstößt dieses Verhalten nicht nur gegen das Datenschutzrecht, sondern berechtigt Wettbewerber auch dazu, den Webseitenbetreiber abzumahnen.

Diese Entscheidung ist deshalb interessant, weil es in der Rechtsprechung und der Literatur allgemein umstritten ist, inwiefern und wenn ja welche datenschutzrechtlichen Vorschriften einen Wettbewerbsbezug aufweisen und bei einer Verletzung solcher Vorschriften der Diensteanbieter eventuell durch Wettbewerber abgemahnt werden kann.
Continue reading

EU-US Freihandelsabkommen: Eckpunkte der Zusammenarbeit im ICT Sektor

Die Bürgerrechtsorganisation „La Quadrature du net“ veröffentlichte gestern auf ihrer Homepage ein, nach ihren Angaben aus den gestern in Washington gestarteten Verhandlungen über das Freihandelsabkommen zwischen den USA und der EU (TTIP) stammendes, Dokument (PDF) (auch die Electronic Frontier Foundation berichtet hierüber). Darin geht es um mögliche Verhandlungspunkte der Parteien in Bezug auf den Informations- und Telekommunikationssektor (ICT). Man sollte derartige „Leaks“ sicher immer mit einem gesunden Misstrauen betrachten, da sie nicht unbedingt etwas über den tatsächlichen Verhandlungsstand aussagen. Dennoch lohnt sich ein Blick, um eine ungefähre Vorstellung von den Inhalten der (geheimen) Verhandlungen zu erhalten.
Continue reading

Kammergericht: „Adresse der elektronischen Post“ meint die Angabe der E-Mail-Anschrift – und nichts anderes

In einem Urteil vom 07.05.2013 (Az 5 U 32/12) hat das Kammergericht in einem Verfahren gegen die irische Fluggesellschaft Ryanair klare Worte zu der aus § 5 Abs. 1 Nr. 2 TMG folgenden (Impressums-)Pflicht für Telemediendiensteanbieter, zur Bereitstellung eine Möglichkeit zur direkten Kontaktaufnahme für Nutzer, gefunden.

Nach § 5 TMG haben die Anbieter geschäftsmäßig betriebener Telemedien gewisse Informationen für ihre Nutzer bereit zu halten, das sog. Impressum. Hierzu gehören auch „Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post“. Die Fluggesellschaft hatte auf ihrer deutschsprachigen Webseite zwar Kontaktinformationen bereitgehalten, jedoch nur eine Fax- und Telefonnummer, sowie ein Onlineformular, also eine Eingabemaske, mit fest definierten Vorgaben hinsichtlich eines bestimmten Themas und einer begrenzten Anzahl an einzugebenden Wörtern.
Continue reading

EU Kommission prüft 180 Beschwerden gegen irische Datenschutzbehörde

Nach Aussage (PDF) der österreichischen Vereinigung „europe-v-facebook“ (evf) sind derzeit über 1.000 Beschwerden gegen Facebook bei der nationalen irischen Datenschutzbehörde anhängig. Es geht dabei um die Durchsetzung des Auskunftsrechts (Art. 12 der Datenschutzrichtlinie, RL 95/46/EG) gegenüber Facebook, zu den bei dem Anbieter über sie gespeicherten personenbezogenen Daten. Da die durch das Unternehmen bereitgestellten Informationen nur unvollständig seien, habe sich ein Teil der Betroffenen an die irischen Datenschützer gewendet.

Standard E-Mail und fehlender Aktenzugang

Da jedoch auch die Behörde zum Großteil nur mit Standardschreiben auf die Beschwerden der Betroffenen antworte und weitere Informationen zum Verfahrensstand und eine Einsicht in die Akten verweigere, sind einige Betroffene einen Schritt weiter gegangen und haben eine Beschwerde bei der Europäischen Kommission über die Arbeitsweise der irischen Datenschutzbehörde eingereicht. Darin wird Irland eine mangelnde Umsetzung der Datenschutzrichtlinie vorgeworfen, indem die irische Datenschutzbehörde die Auskunftsersuchen der Betroffenen nicht konsequent bearbeite und durchsetze.
Continue reading