Cookie-Richtlinie in Deutschland doch nicht umgesetzt?

Es ist eine Neverending Story. Die Frage der (Nicht-)Umsetzung der sog. Cookie-Richtlinie (RL 2002/58/ EG, in der Fassung der RL 2009/136/EG) in Deutschland.

Im Februar 2015 kritisierten die deutschen Datenschutzbehörden die Bundesregierung wegen einer, ihrer Ansicht nach, mangelnden Umsetzung der europäischen Vorgaben im deutschen Recht (hierzu mein Blogbeitrag). Das Erfordernis der vorherigen Einwilligung nach Art. 5 Abs. 3 Cookie-Richtlinie sei nach Ansicht der Behörden im deutschen Datenschutzrecht (namentlich im TMG) nicht richtlinienkonform implementiert.

Ganz anders sah dies sowohl die Europäische Kommission und auch das Bundeswirtschaftsministerium. Im Februar 2014 erhielten die Kollegen bei Telemedicus die Information, dass die Cookie-Richtlinie sehrwohl umgesetzt sei. Über die Ungereimtheiten berichtete der Kollege Adrian Schneider.

Nun ist eine aus dem Januar 2015 stammende Studie für die Europäische Kommission zur Umsetzung der Cookie-Richtlinie in den Mitgliedstaaten veröffentlicht worden (PDF). Die Aussage dort:

When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature.

Also doch keine Umsetzung in Deutschland? Dieses Hin und Her um die Cookie-Richtlinie grenzt schon langsam an ein komödiantisches Schauspiel, wenn es dabei nicht um für die Internetwirtschaft durchaus wichtige Fragen gehen würde.

Verhältnis zur geplanten Datenschutz-Grundverordnung
Die erwähnte Studie befasst sich daneben auch mit der Frage, in welchem Verhältnis die Vorgaben der Cookie-Richtlinie zu der geplanten Datenschutz-Grundverordnung (DS-GV) stehen werden. Im Mai 2015 hatte ich bereits berichtet, dass die Europäische Kommission davon auszugehen scheint, dass die Cookie-Richtlinie (in ihrem Anwendungsbereich) der DS-GVO als Spezialgesetz (lex specialis) vorgeht.

Diese Auffassung scheint auch die veröffentlichte Studie zu stützen (ab S. 112). Jedoch wird dort darauf hingewiesen, dass eine EU-Richtlinie die zukünftige DS-GVO als EU-Verordnung nicht detaillieren oder ergänzen kann. Denn die Verordnung steht als Rechtsakt sozusagen über der Richtlinie. Aus diesem Grund soll auch durch die DS-GVO, in Art. 89 vorgeschrieben werden, dass Art. 1 Abs. 2 der Cookie-Richtlinie gestrichen wird. Dieser besagt:

Die Bestimmungen dieser Richtlinie stellen eine Detaillierung und Ergänzung der Richtlinie 95/46/EG…dar.

Eine solche Detaillierung der DS-GVO durch die Cookie-Richtlinie ist jedoch nicht möglich. Mitgliedstaaten könnten nicht durch Vorgaben einer Richtlinie dazu verpflichtet werden, von den Regelungen einer Verordnung abzuweichen. Aufgrund dessen auch die Streichung in der Cookie-Richtlinie.

Für die Zukunft schlägt die Studie vor, dass die Cookie-Richtlinie in eine Verordnung umgewandelt wird. Dies könnte das Zusammenspiel der beiden Instrumente vereinfachen, da sie dann auf einer gesetzlichen Ebene stehen.

Datenschutzreform: Das gesamte deutsche Datenschutzrecht muss überprüft werden

Gestern hat sich der Rat der Europäischen Union auf eine gemeinsame Position zur Datenschutz-Grundverordnung (DS-GVO) verständigt. Damit können nun die Trilog-Verhandlungen zwischen Kommission, Rat und europäischem Parlament beginnen (mein Beitrag hierzu bei LTO).

Für Deutschland waren die Minister Maas und de Maiziére in Luxemburg und nahmen an der Verhandlung teil. Erklärtes Ziel der deutschen Minister ist es, einen abgestimmten Gesetzestext möglichst bis Ende 2015 zu verhandeln, so dass die DS-GVO Ende 2017/Anfang 2018, nach zweijähriger Übergangsfrist, in Kraft treten kann.

Welche Auswirkungen die Datenschutzreform gerade auch für das Datenschutzrecht in Deutschland besitzt, darüber hat Innenminister de Maizière seine Fraktionskollegen der CDU/CSU-Bundestagsfraktion in einem Informationsschreiben vom 15. Juni 2015 unterrichtet, welches mir vorliegt.

Zentral beginnt das Schreiben des Ministers mit der Klarstellung:

Das deutsche Datenschutzrecht wird durch EU-Recht ersetzt.

Mit Blick auf die nun anstehenden Trilog-Verhandlungen (einen vorläufigen Zeitplan findet man hier) kündigt der Innenminister an, dass man auch im Trilog entschlossen auf eine zügige Einigung hinarbeiten wolle. Die Verhandlungen sollen noch im Jahr 2015 abgeschlossen werden.

In Deutschland werden sich viele Unternehmen, Vereine, Behörden unter andere Organisationen die Frage stellen, ob in der zweijährigen Übergangsfrist noch Veränderungen anstehen oder ob man eventuell einfach abwartet, bis es soweit ist.

Die Antwort des Ministers ist klar:

In dieser Zeit müssen wir in Deutschland das gesamte Datenschutzrecht sorgfältig überprüfen und die notwendigen Anpassungen auf den Weg bringen, damit sie gleichzeitig mit der Grundverordnung wirksam werden können.

Minister de Maizière spielt hier vor allem auf die Auswirkungen von Öffnungsklauseln in der DS-GVO an, die es den Mitgliedstaaten (in gewissen Bereichen) erlauben werden, spezifische Regelungen für bestimmte Themenbereiche (etwa den Arbeitnehmer- oder Sozialdatenschutz) zu erlassen.

Die Folgen der DS-GVO dürften praktisch in jedem Lebens- und vor allem Wirtschaftsbereich zu spüren sein. Zumindest soweit sich die neuen Regelungen von bereits jetzt bestehenden unterscheiden.

Der Minister stellt daher richterweise fest:

Die EU-Datenschutzreform wird große Auswirkungen für Bürger, Wirtschaft, Staat und Verwaltung haben.

Gleichzeitig verweist er jedoch darauf, dass viele bekannte Vorgaben und Prinzipien aus der geltenden EU-Datenschutzrichtlinie und dem deutschen Datenschutzrecht nicht einfach verschwinden werden.

Mit der Datenschutzreform wird das Rad nicht neu erfunden.

Man darf also gespannt sein, wie letztlich die fertige DS-GVO aussieht. Der deutsche Gesetzgeber wird in jedem Fall in der nahen Zukunft mit einer kompletten Prüfung und erforderlichenfalls Überarbeitung des deutschen Datenschutzrechts befasst sein.

Datenschutzreform: Vorläufiger Zeitplan für die finalen Trilog-Verhandlungen

Die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) sollen nach dem politisch erklärten Ziel der europäischen Staats- und Regierungschefs Ende 2015 abgeschlossen werden. Am 15. und 16. Juni 2015 werden sich die Innen- und Justizminister, so wie es derzeit aussieht, auf eine gemeinsame Position des Rates der Europäischen Union einigen. Danach sollen die informellen Verhandlungen zwischen der Kommission, dem Parlament und dem Rat beginnen.

Diese sog. Trilog-Verhandlungen finden nicht öffentlich statt. Bei diesen Treffen versuchen sich Vertreter der drei involvierten Organe der europäischen Gesetzgebung auf einen gemeinsamen Gesetzestext zu einigen. Über die konkreten Planungen zu diesen Verhandlungen ist, aufgrund ihrer Nicht-Öffentlichkeit, freilich wenig bekannt.

Etwas Licht ins Dunkle der Trilog-Verhandlungen bringt nun ein von der EVP-Fraktion im Europäischen Parlament veröffentlicht vorläufiger Zeitplan. Die nachfolgend genannten Daten und auch die Themen sind, wie beschrieben, zwischen den Beteiligten noch nicht fest vereinbart. Jedoch geben sie einen ersten Überblick darüber, wie die Trilog-Verhandlungen in den nächsten Wochen starten könnten. Hier der Entwurf des Zeitplans:

24. Juni 2015, Brüssel (bedarf noch der Zustimmung von Kommission und Rat)
Erstes Trilog-Treffen zur DS-GVO

Entwurf der Tagesordnung:

  1. Position des Rates zur (ebenfalls zu verhandelnden) Richtlinie
  2. Abstimmung des grundsätzlichen strategischen Fahrplans für die Trilog-Verhandlungen
  3. Generelle Methode und die Herangehensweise an delegierte Rechtsakte der Kommission

14. Juli 2015, Brüssel (bedarf noch der Zustimmung von Kommission und Rat)
Zweites Trilog-Treffen zur DS-GVO

Entwurf der Tagesordnung:

  1. Räumlicher Anwendungsbereich (Artikel 3)
  2. Internationale Datentransfers (Kapitel V)

Weitere geplante Trilog-Verhandlungen (Themenübersicht)
(bedarf noch der Zustimmung von Kommission und Rat)

September

  • Datenschutzprinzipien (Kapitel III)
  • Rechte der Betroffenen (Kapitel III)
  • Verantwortlicher und Auftragsdatenverarbeiter (Kapitel IV)

Oktober

  • Datenschutzbehörden (Kapitel VI)
  • Kooperationsmechanismen (Kapitel VII)
  • Rechtsmittel, Verantwortlichkeit und Strafen (Kapitel VIII)

November

  • Zielsetzungen und maetrieller Anwendungsbereich, Flexibilität im öffentlicher Sektor (Kapitel I)
  • Besondere Vorschriften (Kapitel IX)

Dezember

  • Deleigierte Rechtsakte (Kapitel X)
  • Schlussbestimmungen (Kapitel XI)
  • Weitere offene Themen

AG Charlottenburg zu Filesharing: Anschlussinhaber nicht Störer bei Überlassung des Anschlusses an Dritte

In einem von der Kanzlei JBB Rechtsanwälte betreuten Verfahren vor dem Amtsgericht Charlottenburg, konnte die Klage gegen einen privaten Anschlussinhaber in einem sog. „Filesharing“-Verfahren erfolgreich abgewehrt werden. Das Urteil vom 21. Mai 2015 ist hier abrufbar (PDF).

In dem Verfahren ging es um das angebliche Angebot eines Filmes zum Download über den Internetanschluss des Beklagten. Der Anschlussinhaber konnte glaubhaft darlegen, dass er zur von der Klägerseite vorgetragen Tatzeit nicht zu Hause war. Seine mit ihm zusammenlebende Ehefrau, die ebenfalls Zugriff auf das mit einem Passwort gesicherte WLAN hatte, gab an, den Film nicht hochgeladen zu haben.

Das Amtsgericht sieht damit die sekundäre Darlegungslast des Beklagten im Rahmen einer möglichen Haftung als Täter einer Urheberrechtsverletzung als erfüllt an. Das Gericht führt aus:

Für die Entkräftung der Vermutung der Täterschaft ist es auch nicht erforderlich, dass die andere Person die Rechtsverletzung einräumt. Denn wenn die Möglichkeit besteht, dass eine von zwei Personen die Rechtsverletzung begangen hat, es jedoch beide bestreiten, gibt es grundsätzlich keine größere Wahrscheinlichkeit dafür, dass es trotzdem der Anschlussinhaber selbst war und nicht die andere Person. Denn bei der Vermutung der Täterschaft des Anschlussinhabers handelt es sich gerade nicht um einen Anscheinsbeweis.

Auch eine Störerhaftung des Beklagten verneint das Gericht. Für eine Störerhaftung reiche es nicht aus, dass der Beklagte den Anschluss anderen Personen zur Nutzung überlassen habe. Zwar hafte nach der Rechtsprechung des Bundesgerichtshofs der Inhaber eines ungesicherten WLAN-Anschlusses für Rechtsverletzungen als Störer, welche von seinem Anschluss aus begangen werden. Vorliegend war der Anschluss jedoch durch ein Passwort gesichert. Das Amtsgericht in seiner Begründung weiter:

zum anderen gilt dieser Grundsatz dann nicht, wenn es sich bei diesen Personen um die Ehefrau oder dem Anschlussinhaber gut bekannte Gäste handelt, bezüglich derer der Anschlussinhaber keinen Anlass hatte, davon auszugehen, dass diese Rechtsverletzungen begehen würden.

Apps für Kinder: Datenschutzbehörde bemängelt fehlende Transparenz

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Rahmen einer international koordinierten Prüfung insgesamt 50 Apps, die sich an Kinder richten, auf ihre Datenschutzkonformität hin geprüft. Das Ergebnis der Prüfung wird in der Pressemitteilung (PDF) des BayLDA wie folgt zusammengefasst:

Hierbei offenbarten sich Mängel in der Transparenz und den Möglichkeiten für Eltern, bestimmte Datenflüsse zu steuern bzw. zu unterbinden.

Untersucht wurden 25 iOS- und 25 Android-Apps. 20 der geprüften Apps werden durch bayerische Unternehmen angeboten, für die das BayLDA die zuständige Aufsichtsbehörde ist.

Besonders kritisiert der Präsident des BayLDA, dass die Apps selbst in deutscher Sprache verfügbar seien, jedoch die Datenschutzerklärung (soweit sie denn überhaupt vorhanden war) nur auf Englisch bereitgestellt wurde.

Aus diesem Grund kündigt das BayLDA auch an, dass alle bayerischen App-Anbieter, die ihr Angebot an das deutsche Zielpublikum richten und nur eine englischsprachige Datenschutzerklärungen vorhalten, gezwungen werden sollen, diese auch auf Deutsch anzubieten. Eine Zusammenfassung der Prüfung durch das BayLDA findet sich in diesem Dokument (PDF).

App-Entwickler und App-Anbieter sollten darauf achten, innerhalb Ihrer App Informationen zum Umgang mit personenbezogenen Daten bereitzustellen. Die hierfür zu erstellende Datenschutzerklärung muss auch innerhalb der App (und nicht etwa nur beim Download) jederzeit für den Nutzer abrufbar sein. Das BayLDA hat im Jahre 2014 eine ausführliche Orientierungshilfe zu den Datenschutzanforderungen an Apps veröffentlicht (PDF).

Die inhaltlichen und auch formellen Anforderungen an die Datenschutzerklärung leiten sich aus dem Telemediengesetz (TMG), genauer aus § 13 Abs. 1 TMG, ab. Danach hat der Diensteanbieter (also der App-Betreiber) den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Wichtig ist insbesondere die Anforderung an die „allgemein verständliche Form“. Diese dürfte im Einzelfall nicht vorliegen, wenn die Hinweise in der Datenschutzerklärung nur auf Englisch verfügbar sind, obwohl sich die App an deutsche Nutzer richtet. Denn nicht jedem Nutzer, noch dazu wie in diesem Fall Kindern, ist es möglich, englische Umschreibungen der Datenverarbeitung zu verstehen. An einer „Verständlichkeit“ könnte es daher fehlen.
Die Ankündigung des BayLDA, bayerische App-Anbieter „zwingen“ zu wollen, deutsche Datenschutzerklärungen vorzuhalten, deutete zudem darauf hin, dass die Aufsichtsbehörde notfalls auch verwaltungsrechtlich gegen Anbieter vorgehen würde.

Datenschutzreform: Deutschland fordert mehr Sicherheit bei internationalen Datentransfers

Wie bereits berichtet, stehen die Verhandlungen im Rat der Europäischen Union zur geplanten Datenschutz-Grundverordnung (DS-GVO) kurz vor ihrer finalen Phase. Im Juni soll der Ministerrat den gemeinsamen Standpunkt beschließen, um danach mit der Kommission und dem europäischen Parlament in die sog. Trilog-Verhandlungen einsteigen zu können.

Die deutsche Delegation möchte die noch verbleibende Zeit für Änderungen am Gesetzestext im Gremium der Mitgliedstaaten offensichtlich so gut wie möglich nutzen und schlägt in einem Arbeitspapier vom 18. Mai 2015 (PDF) in der zuständigen Ratsarbeitsgruppe (Dapix) einige wichtige Änderungen an den geplanten zukünftigen Vorschriften zur Regelung von internationalen Datentransfers vor. Zudem sollen, nach dem Willen Deutschlands, personenbezogene Daten aus Europa besser vor einem unkontrollierten Zugriff durch Behörden aus Drittstaaten geschützt werden.

Anforderungen an einen neuen ‚Safe Harbor‘
Die deutsche Delegation möchte Artikel 41, in dem es um die Voraussetzungen für die Feststellung eines angemessenen Schutzniveaus für personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftraums geht, anpassen. Nach geltender und auch derzeit geplanter zukünftiger Rechtslage, dürfen personenbezogene Daten grundsätzlich nicht in Drittstaaten transferiert werden. Es bestehen jedoch Ausnahmen, wie etwa der Abschluss sog. Standardvertragsklauseln oder das Vorliegen eines Angemessenheitsbeschlusses der Kommission, in dem sie einen angemessenen Schutz von personenbezogenen Daten in einem Drittstaat feststellen kann. Dann sind Übermittlungen in dieses Land grundsätzlich erlaubt.

Besonders in der Kritik stand zuletzt der Angemessenheitsbeschluss der Kommission für Datentransfers in die USA, das sog. Safe Harbor-Abkommen (wobei es sich eigentlich nicht um ein internationales Abkommen handelt. Zur Rechtsnatur von Safe Harbor, hatte ich bereits gebloggt).

Deutschland möchte nun besondere Voraussetzungen in der DS-GVO festschreiben, die erfüllt sein sollten, um ein angemessenes Schutzniveau für Daten attestieren zu können. Im Prinzip also eine Art Checkliste für die Kommission. Wenn der Drittstaat eine internationale Vereinbarung zum Datenschutz oder andere internationale Verpflichtungen mit anderen Staaten eingegangen ist, so sollte sich der Drittstaat vor allem dazu verpflichten, dass

  • eine effektive Aufsicht durch Behörden, insbesondere durch die Beteiligung europäischer Datenschutzbehörden, sichergestellt ist, und
  • den Betroffenen muss die Möglichkeit effektiver Rechtsschutzmechanismen eröffnet werden.

Diese Forderungen sind nicht unkritisch. Handelt es sich doch gerade bei dem letzten Punkt um jenes Thema, welches sowohl im Rahmen der derzeitigen Verhandlungen zur Überarbeitung von Safe Harbor als auch im Rahmen des EU-US Datenschutzabkommens für den Bereich der Justiz und Strafverfolgung für den meisten Diskussionsstoff sorgt.

Eingeschränkte Anti-FISA-Klausel
Zudem schlägt die deutsche Delegation die (Wieder-)Einführung der sog. „Anti-FISA-Klausel“ vor (neuer Artikel 42a). Zumindest eingeschränkt.

Hierbei handelt es sich um eine Bestimmung, welche die Weitergabe von Daten aus Europa auf Verlangen von Gerichten und Behörden aus Drittstaaten grundsätzlich verbieten und von der Zustimmung europäischer Datenschutzbehörden abhängig machen soll. Im ersten offiziellen Entwurf der DS-GVO war diese Klausel nicht enthalten. In einer früheren inoffiziellen Fassung existierte sie noch.

Das Europäische Parlament hat die Wiedereinführung dieser Klausel ebenfalls im Rahmen seiner Stellungnahme zur DS-GVO im März 2014 gefordert (dort Artikel 43a).

Im Unterschied zum Vorschlag des Parlaments möchte Deutschland das Weitergabeverbot von Daten an Behörden aus Drittstaaten jedoch dann nicht zur Anwendung bringen, wenn diese Anfragen im Rahmen von Rechtshilfeabkommen oder anderer internationaler Vereinbarung erfolgen. Zudem soll eine Autorisierung durch eine europäische Datenschutzbehörde dann nicht erforderlich sein, wenn die Datenweitergabe dem Zweck der Aufklärung oder Verfolgung von Straftaten dient. Das Parlament sah entsprechende Ausnahmen nicht vor.

Fazit
Salopp ausgedrückt, gibt Deutschland auf den letzten Metern der Verhandlungen zur DS-GVO noch einmal Gas. Dies vor allem im Sinne einer Erhöhung der Anforderungen an den Schutz von personenbezogenen Daten. Leider stand das deutsche Verhalten im Rat in den letzten Monaten öffentlich eher in der Kritik. Vielleicht wird ja nun auch einmal über positive Vorstöße berichtet.

Datenschutzbehörde: Jede Webseite und Online-App benötigt eine Datenschutzerklärung

Jedem Webseitenbetreiber oder App-Anbieter dürfte heutzutage klar sein, dass zu einem rechtskonformen Angebot auch eine Datenschutzerklärung gehört. Also ein Hinweis und Informationen darüber, wie personenbezogene Daten verwendet werden. Für die Nutzung von Analysediensten oder das Angebot von Newslettern dürfte dies sofort einleuchten. Dort wird aus der Sicht des Anbieters aktiv mit personenbezogenen Daten umgegangen. Doch wie sieht es aus, wenn man „nur“ eine Webseite betreibt. Ohne Analysedienst, ohne Newsletter, ohne Bestellmöglichkeit?

Indirekt hat sich zu dieser Frage das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) (die Aufsichtsbehörde für den nicht-öffentlichen Bereich) in ihrem Tätigkeitsbericht für 2013/2014 (PDF) geäußert. Mit nicht zu unterschätzenden Folgen für die Praxis und jeden, der eine Online-App oder Internetseite betreibt.

Die allgemeine Informationspflicht im TMG
Nach § 13 Abs. 1 S. 1 TMG gehört zu der Informationspflicht eines Webseiten- oder App-Betreibers, dass er Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten … in allgemein verständlicher Form“ unterrichtet. Soweit so gut. Werden also personenbezogene Daten verarbeitet, muss hierüber unterrichtet werden.

Die Neverending Story: IP-Adresse
Nun gilt es jedoch zu beachten, dass insbesondere die Aufsichtsbehörden die IP-Adresse als personenbezogenes Datum i. S. d. § 3 Abs. 1 BDSG ansehen (hierauf verweist auch das BayLDA, S. 56). Diese Ansicht ist freilich nicht unumstritten, wird aber von den Behörden (i.Ü. auch einigen Gerichten und Ansichten in der juristischen Literatur) so vertreten. Nun muss man sich jedoch gleichzeitig vergegenwärtigen, dass die Erhebung und eventuell auch Verwendung der IP-Adresse eines Endgerätes als technische Steuerungsinformation zur Übertragung von Informationen im Internet zwischen dem Diensteanbieter und seinem Nutzer schlicht erforderlich ist. Sie dient als Ziel von Datenpaketen. Um im Netz zu kommunizieren, bedarf es also einer IP-Adresse.

Hinweise in der Datenschutzerklärung erforderlich
Man ahnt was nun folgt. Das BayLDA weist nun (konsequent) in seinem Tätigkeitsbericht darauf hin, dass sich

jeder Diensteanbieter … mit der Thematik einer Datenschutzerklärung im Internetauftritt bzw. in der mobilen (Online-)Applikation zu beschäftigen hat, selbst wenn ein Nutzer nicht aktiv Daten eingeben kann und auch keine Cookies o. ä. Verfahren genutzt werden.

Nach dem BayLDA muss daher eine Datenschutzerklärung zumindest zu der Erhebung und möglichen Verwendung der IP-Adresse (etwa einer Speicherung in den Log-Dateien) selbst dann entsprechende Informationen beinhalten, wenn ansonsten keine personenbezogenen Daten erhoben oder genutzt werden. Kurz gesagt: jede Internetseite oder (Online-)App bedarf zumindest einer „Mini-Datenschutzerklärung“ mit Blick auf die IP-Adresse.

Mögliche Folgen bei Nichtbeachtung
Was geschieht, wenn man diese Hinweise der Behörde nicht beachtet? Möglicherweise nichts. Zumindest solange eine Datenschutzbehörde auf das Fehlen der Datenschutzerklärung nicht aufmerksam (gemacht) wird. Nach dem Gesetz handelt es sich bei einem fehlenden oder aber fehlerhaften Hinweis zum Umgang mit personenbezogenen Daten jedoch grundsätzlich um eine Ordnungswidrigkeit. Das BayLDA weißt in seinem Tätigkeitsbericht darauf hin, dass gem. § 16 Abs. 2 Nr. 2 TMG eine Ordnungswidrigkeit begeht, wer entgegen § 13 Abs. 1 S. 1 oder 2 TMG den Nutzer vorsätzlich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert.

Zudem besteht das theoretische Risiko, von Wettbewerbern abgemahnt zu werden. Das Oberlandesgericht Hamburg hat bereits 2013 (Az. 3 U 26/12) entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs erteilt (hierzu mein Blogbeitrag).

Fazit
Potential für eine Abmahnwelle? Ich denke nicht. Auch wenn die Auffassung des BayLDA, bei Annahme des Personenbezugs der IP-Adresse von einer Informationspflicht auszugehen, konsequent erscheint, so existieren ebenfalls veritable Gegenauffassungen, die eine IP-Adresse nicht generell als personenbezogen einstufen. Zudem hatte ich erst letzte Woche im Rahmen der Abmahnung wegen Verwendung des Like-Buttons auf Webseiten darauf hingewiesen, dass absolut datenschutzrechtlich konformes Handeln heutzutage im Internet nur schwer erreichbar ist. Dies gilt im Zweifel auch für einen abmahnenden Wettbewerber.

Unabhängig hiervon fragt man sich freilich, was diese Information am Ende dem Webseitenbesucher oder App-Nutzer an Mehrwert und mit Blick auf den Schutz personenbezogener Daten tatsächlich bringt? Die Aussage ist z. B. allein: „Die IP-Adresse wird erhoben und auf unseren Servern gespeichert, weil es aufgrund der technischen Gegebenheiten des Internets einfach nicht anders geht“. Ein Gewinn an informationeller Selbstbestimmung geht damit meines Erachtens nicht einher. Außer die Alternative, Offline zu bleiben. Datenschutz im Jahre 2015.

Europäische Datenschutzbehörden fordern mehr Mittel und praxistaugliche Gesetze

Vom 18. – 20. Mai 2015 trafen sich Vertreter der Datenschutzbehörden der EU-Mitgliedstaaten und des Europarates zu einer Frühjahrskonferenz in Manchester. Diskutiert wurde über Themen von gemeinsamem Interesse. Besonders im Vordergrund stand dieses Jahr die mangelnde finanzielle als auch personelle Ausstattung staatlicher Aufsichtsbehörden und ihre Wahrnehmung in der Öffentlichkeit.

Die Vertreter der Datenschutzbehörden verabschiedeten vor diesem Hintergrund eine Resolution („Meeting data protection expectations in the digital future“, PDF), die sich eindringlich an die Mitgliedstaaten wendet und für die Tätigkeit der Aufsichtsbehörden, vor allem die Kontrolle und Durchsetzung des Grundrechts auf Schutz personenbezogener Daten in Europa, mehr finanzielle und personelle Mittel verlangt. Andernfalls könnten die Datenschützer die ihnen obliegenden Aufgaben nicht mehr wahrnehmen.

Forderung nach mehr Mitteln
Direkt an die europäischen Regierungen wendet sich die Forderung der Datenschützer, sicherzustellen, dass die finanzielle Unterstützung der Behörden ausreicht, um die weiter an ihre Arbeit gestiegenen Anforderungen erfüllen zu können. Hierzu gehöre auch eine Förderung der internationalen Zusammenarbeit von Behörden, wobei die Unabhängigkeit der Aufsichtsstellen nicht gefährdet werden dürfe. Die Datenschützer verweisen zur Untermauerung ihrer Forderung auf drei Urteile des Gerichtshofs der Europäischen Union (C-518/07; C-614/10; C-288/12), in denen die Unabhängigkeit und die finanzielle und personelle Ausstattung der Behörden als erforderliches Mittel zur Gewährleistung des Datenschutzes in Europa als Grundrecht bekräftigt wurde.

Einfaches Datenschutzrecht
Zudem wenden sich die Datenschützer an den europäischen Gesetzgeber. Dieser müsse sicherstellen, dass die nächste Generation von Datenschutzgesetzen in einer klaren und einfachen Sprache verfasst werden, so dass sie von denjenigen Adressaten verstanden und auch umgesetzt werden können, für die sich gedacht sind: Unternehmen, Betroffene und Aufsichtsbehörden. Nur so könne ein hohes Datenschutzniveau auch in der Praxis tatsächlich durchgesetzt werden.

Abmahnung wegen Like-Button? Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht

Heute vermeldete die Verbraucherzentrale NRW, dass sie insgesamt 6 Unternehmen wegen der Verwendung des Like-Buttons von Facebook und angeblicher datenschutzrechtlicher Verstöße der Webseitenbetreiber gegen das Telemediengesetz (TMG) abgemahnt habe. Gegen Peek & Cloppenburg (Landgericht Düsseldorf) und Payback (Landgericht München) habe man inzwischen Klage eingereicht.

Was wird bemängelt?
Das wird aus den öffentlichen Informationen nicht völlig deutlich. Die Verbraucherzentrale stört sich daran, dass „schon allein durch die Einbindung des Like-Buttons“ Facebook „automatisch bei jedem bloßen Aufruf dieser Seiten“ mitlesen würde. „Darüber werden Besucher jedoch vorher weder ausdrücklich informiert noch können sie der Datenweitergabe widersprechen“.

Nach Ansicht der Verbraucherschützer stellt das Verhalten der Webseitenbetreiber

unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz

dar. Weiter führt die Verbraucherzentrale aus, dass ein „bloßer Hinweis der Anbieter in ihren Datenschutzbestimmungen, dass eine solche Weiterleitung der Daten an Facebook erfolgt“ nicht genüge. Auch den Hinweis in Datenschutzerklärungen, dass der Webseitenbetreiber „keinen Einfluss auf den Umfang der Daten hat“, sei nicht ausreichend. Die Verbraucherschützer fordern: „Notwendig ist eine echte Aufklärung über die Datensammlung und –verwertung“.

Im Kern scheint den Verbraucherschützern also die Übertragung von Daten an Facebook und Datenverarbeitungsvorgänge zu missfallen, die im Verantwortungsbereich des sozialen Netzwerkbetreibers liegen könnten. Da diesbezügliche Gerichtsverfahren in Schleswig-Holstein durch die Datenschutzbehörde jedoch bisher recht erfolglos verliefen (vgl. die Mitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zu den Beschlüssen des OVG Schleswig aus den Jahren 2013), versucht man in NRW nun wohl die Unternehmen anzugehen, die Social Plugins einsetzen.

Ich möchte hier nicht in die tiefere juristische Bewertung einsteigen. Das Thema war bereits vor ca. 4 Jahren aktuell (vgl. etwa den Blogbeitrag von Thomas Stadler, u.a. mit einem Verweis auf meinen Aufsatz in der Zeitschrift Computer und Recht). Es geht vor allem um die Frage der datenschutzrechtlichen Verantwortlichkeit der Webseitenbetreiber und die Pflicht, Informationen über eingebundene Dienste Dritter zu erteilen, obwohl man als Webseitenbetreiber für die Datenverarbeitung über diese Dienste nicht verantwortlich ist. Auch die Frage nach einer „Störerhaftung“ im Datenschutzrecht könnte insofern auftauchen (hierzu mein Aufsatz in der Kommunikation und Recht aus 2014). Diese Thematik ist derzeit unter anderem Gegenstand eines gerichtlichen Verfahrens zum Einsatz von Facebook Fanpages zwischen dem ULD und der Wirtschaftsakademie Schleswig-Holstein GmbH (vgl. die Pressemitteilung des ULD), welches derzeit vor dem Bundesverwaltungsgericht anhängig ist.

Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht
In gewisser Weise ironisch wenn nicht gar humoristische mutet jedoch folgende Tatsache an: Die Verbraucherzentrale NRW verstößt selbst gegen datenschutzrechtliche Vorgaben. Und zwar gegen eben jene Pflichten, deren Umsetzung von den Unternehmen verlangt wird.

Auf ihrer Webseite bewerben die Verbraucherschützer im Zusammenhang mit den Abmahnungen ihr Jugendportal „checked4you“. Die Verbraucherzentrale hierzu: „Einen Favoriten setzen in Sachen Datenschutz sollten sich Internetnutzer derweil bei Webseiten, die es so wie die Verbraucherzentrale NRW machen“.

Und was findet man auf dieser Webseite?

Zum einen das Analysetool Piwik. Wie dieses kostenlose Statistiktool datenschutzrechtlich konform, zumindest aus Sicht des ULD, einzusetzen ist, hat die Datenschutzbehörde 2011 in einem Gutachten dargestellt (PDF). Vor allem geht das ULD davon aus, dass auch bei einer eingeschalteten Anonymisierungsfunktion im Ergebnis nur Pseudonyme für eine statistische Auswertung erstellt werden. Dann gilt § 15 Abs. 3 TMG. Danach dürfen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellet werden, sofern der Nutzer dem nicht widerspricht. Eine Aussage in dem Gutachten hierzu:

Der Einsatz von Reichweitenanalysediensten ohne Widerspruchsmöglichkeit stellt einen Verstoß gegen § 15 Abs. 3 TMG dar. Der Einsatz des Analysedienstes ohne die angebotene Widerpruchsmöglichkeit ist datenschutzrechtlich unzulässig.

Man ahnt, was nun folgt. Die Webseite „checked4you“ der Verbrauchzentrale NRW weist zwar in einem kleinen Abschnitt „Datenschutzhinweise“ auf den Einsatz von Piwik hin. Auf die nach dem TMG einzuräumende Widerspruchsmöglichkeit (sei es nun per Browser-Plugin oder etwa durch einen Opt-out Cookie) wird zwar in Textform hingewiesen: “können Sie die Analyse durch das Statistiktool auf der folgenden Seite blockieren“. Jedoch gibt es keinen Link zu einer „folgenden Seite“, kein Hinweis auf ein Opt-out Cookie oder ähnliches. Also, der derzeitige Einsatz von Piwik auf der Webseite der Verbrauchzentrale wäre (zumindest nach Ansicht der Datenschutzbehörde aus Schleswig-Holstein) datenschutzrechtlich unzulässig. Der von der Verbraucherzentrale NRW erhobene Vorwurf könnte also genauso zurückgespielt werden: „unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz“.

Und ein weiteres Schmankerl. Bei näherem Hinsehen stellt sich heraus, dass „checked4you“ drei Cookies setzt.

cookie NRW

Wozu werden diese Cookies genutzt? Welche Informationen sind in diesen Cookies gespeichert? Etwa IP-Adressen? Oder werden zumindest Cookie-IDs erzeugt, um einen Besucher wiederzuerkennen? Mindestens in diesen beiden Fällen müssten Informationen zum Einsatz der Cookies gegeben werden. Hierzu fehlt in den Datenschutzhinweisen der Verbraucherzentrale aber jegliche Angabe. Interessant ist auch, dass ein Cookie nicht nur für eine Sitzung gesetzt wird, sondern für über 1 Jahr.

blog cookie lang

Wozu? Keine Informationen.

Fazit
Was möchte ich mit diesem Beitrag zeigen? Datenschutzrechtlich absolut konformes Handeln ist in der heutigen Zeit mit schnellen technologischen Entwicklungen, neuen Features für Webseiten und Analysediensten nur schwer möglich. Sowohl für Unternehmen, als auch für Verbraucherschützer. Eine gerichtliche Klärung der Frage des datenschutzkonformen Einsatzes von social Plugins wäre aus praktischer Sicht indes sicherlich zu begrüßen.

Update vom 22. Mai 2015:
Die Verbraucherzentrale NRW hat schnell reagiert und in den Datenschutzhinweisen auf der Webseite „checked4you“ nun einen Link eingefügt, der Nutzer auf eine Webseite führt, auf der man seinen Widerspruch zur Analyse durch Piwik erklären kann.

Datenschutzreform: Wer haftet für rechtswidrige Datenverarbeitungen?

Die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) nähern sich einem wichtigen Zwischenstopp- Bei dem nächsten Treffen der Justiz- und Innenminister in Brüssel (15.16. Juni 2015), will der Rat der Europäischen Union seine gemeinsame Position zur DS-GVO verabschieden. Danach würden die Verhandlungen zwischen Kommission, Parlament und dem Rat beginnen.

Dies bedeutet gleichzeitig auch noch einmal Hochbetrieb bei den Delegationen der Mitgliedstaaten im Rat, um letzte Vorschläge für Textänderungen einzubringen.

Auch die deutsche Delegation erhöht noch einmal die Schlagzahl. In einem Dokument vom 21. April 2015 (PDF) schlägt Deutschland Anpassungen bei der Frage vor, wer unter welchen Umständen für Verstöße gegen die Vorgaben der DS-GVO haftet. Deutschland geht es, aufgrund der hohen praktischen Relevanz dieses Themas, vor allem darum, klare und verständliche Vorgaben für Unternehmen, Behörden und auch Betroffene zu schaffen.

Immaterieller Schaden

Die deutsche Delegation schlägt eine Anpassung des Artikels 77 der DS-GVO dergestalt vor, dass zunächst klar geregelt wird, dass Schadenersatzansprüche von Betroffenen sowohl materielle als auch immaterielle Schadenspositionen umfassen. Dieser Vorschlag wird vor allem das Parlament freuen, da auch dessen Position eine solche Klarstellung vorsieht. Gerade bei einem möglichen immateriellen Schaden wird sich das praktische Problem der Beweisbarkeit stellen. Wer muss also den Schaden nachweisen? Nach Ansicht der EU-Kommission obliegt es dem Betroffenen zu beweisen, dass ein materieller oder auch immaterieller Schaden vorliegt (vgl. in diesem Dokument mit einer Gegenüberstellung der Positionen aus Kommission, Parlament und Rat, S. 564, Fn. 426, PDF).

Grundsatz: Haftung des für die Verarbeitung Verantwortlichen
Nach dem Vorschlag der deutschen Delegation soll grundsätzlich der für die Verarbeitung Verantwortliche für Rechtsverstöße gegen die DS-GVO haften. Wie bereits von Kommission und auch Parlament vorgeschlagen, soll der für die Verarbeitung Verantwortliche jedoch die Möglichkeit der Exkulpation besitzen. Er kann also nachweisen, dass der entstandene Schaden nicht aufgrund seines Fehlverhaltens entstanden ist.

Haftung des Auftragsdatenverarbeiters
Ein Auftragsdatenverarbeiter soll nur dann haften, wenn er gegen direkt an ihn gerichtete Pflichten aus der DS-GVO verstoßen hat oder aber wenn er entgegen den Anweisungen des für die Verarbeitung Verantwortlichen gehandelt hat. Auch der Auftragsdatenverarbeiter hat in diesen Fällen die Möglichkeit nachzuweisen, dass der Schaden nicht auf seinem Fehlverhalten beruht. Der deutschen Delegation geht es vor allem darum, dass der für die Verarbeitung Verantwortliche sich nicht einer Haftung entziehen kann, nur weil er einen Dienstleister als Auftragsdatenverarbeiter einsetzt.

Gemeinsame Verantwortlichkeiten
Sollte die Situation eintreten, dass mehrere Verantwortliche eine Datenverarbeitung durchführen oder auch mehrere Auftragsdatenverarbeiter gemeinsam handeln, gegen Pflichten aus der DS-GVO verstoßen, die konkret sie betreffen und sie sich nicht exkulpieren können, dann sind die gemeinsam handelnden für die Verarbeitung Verantwortlichen als auch die gemeinsam handelnden Auftragsdatenverarbeiter sowohl gemeinsam als auch jeder einzeln für den entstandenen Schaden verantwortlich.