Verwaltungsgericht Köln: Keine Aussetzung der Vorratsdatenspeicherung

20. Februar 2017

Das Verwaltungsgericht Köln hat einen Eilantrag des Münchner Providers Spacenet vom Mai 2016 zurückgewiesen (Beschluss v. 25.01.2017, Az. 9 L 1009/16), mit dem dieser im Rahmen einer weitergehenden Klage vorläufig von der im nächsten Sommer greifenden Gesetzespflicht zur Vorratsdatenspeicherung ausgenommen werden wollte. Als Begründung führte es aus, dass die Voraussetzungen für den Erlass einer einstweiligen Anordnung nicht vorliegen.

Da dem Provider bei einem etwaigen Verstoß gegen die gesetzlichen Speicherpflichten ein Bußgeld in Höhe von bis zu 500.000 Euro drohe und ein Rechtsschutzbedürfnis aufgrund des erforderlichen technischen Vorlaufs bestehe, sei der Eilantrag zwar zulässig. Der Antragssteller habe diesen allerdings nicht ausreichend begründet und konnte daher nicht nachweisen, dass dem Unternehmen „schwere und unzumutbare, anders nicht abwendbare Nachteile entstünden“, die nach dem Hauptsacheverfahren nicht mehr beseitigt werden könnten. Hierfür hätte Spacenet dem Gericht glaubhaft machen müssen, dass ihr aufgrund der Pflicht zur Vorratsdatenspeicherung eine „erhebliche Grundrechtsverletzung“ drohe.

Auch wenn Spacenet bereits ihrer Pflicht zur Glaubhaftmachung nicht nachkam und der Eilantrag schon deswegen abgelehnt wurde, äußerte sich das Verwaltungsgericht auch zur Rechtmäßigkeit der Neuregelung. So spräche „Überwiegendes dafür, dass der Gesetzgeber bei der Neuregelung der sogenannten Vorratsdatenspeicherung die verfassungsrechtlichen Vorgaben hinreichend beachtet hat“.

Ob das Gesetz allerdings auch mit den Vorgaben des EU-Rechts vereinbar sei, könne „aufgrund der Komplexität der zu beantwortenden Fragen“ erst im Hauptsacheverfahren geklärt werden. Ebenso im Hauptsacheverfahren geklärt werden müsse, ob die Vorratsdatenspeicherung rechtswidrig in das Fernmeldegeheimnis der Kunden des Zugangsanbieters eingreife oder ob sie aufgrund der vorgesehenen, besonderen Schutzvorkehrungen und ihrer Funktion als „zusätzliche Ermittlungsmöglichkeit“ der Strafverfolgung gerechtfertigt sei. Diese sei für das im Eilverfahren im Vordergrund stehende Anliegen, ob die Investitions- und Bereithaltungskosten für das Protokollieren der Nutzerspuren den Telekommunikationsunternehmen auferlegt werden könnten, allerdings unerheblich.

Themenreihe Fotos: Abschlussbeitrag

In den letzten Wochen hat uns die Reihe zum Thema Fotos begleitet. Zunächst wurde herausgestellt, dass eine Einwilligung, sowohl für die Fotographie als auch für die anschließende Veröffentlichung, eingeholt werden muss. Besonders bei Kindern ist zu beachten, dass die jeweiligen Erziehungsberechtigten für die Einholung der Einwilligung die Verantwortlichen sind und Jugendliche erst mit der nötigen Einsichtsfähigkeit die Entscheidung selbst treffen können. Auch mit dem verbreiteten Irrtum, das Gruppenfotos keiner Einwilligung bedürfen, wurde aufgeräumt. Zudem ist thematisiert worden, dass bei Mitarbeiterfotos zu differenzieren ist zwischen Fotos die den Mitarbeiter als solchen vorstellen und Fotos die den Mitarbeiter als Beiwerk einer alltäglichen Situation darstellen.

Einer unserer Beiträge befasst sich zudem mit der Möglichkeit und den Folgen eines Widerrufs einer zuvor erteilten Einwilligung. Diesbezüglich lässt sich zusammenfassend sagen, dass sich die Umstände seit Erteilung der Einwilligung geändert haben müssen, sodass der Betroffene in seiner Persönlichkeit empfindlich beeinträchtigt wird, wenn das Foto weiterhin für die Öffentlichkeit zugänglich ist.

Zuletzt wurden in der vergangenen Woche die Rechtsfolgen eines Verstoßes erläutert. Diese reichen von Beseitigungs- und Unterlassungsansprüchen bis hin zu Schadensersatz und Schmerzensgeld.

Themenreihe Fotos: Welche Rechtsfolgen drohen?

16. Februar 2017

Nachdem wir Sie in den vergangenen Wochen über den Umgang mit Fotos im Internet informiert haben, möchten wir Ihnen heute die Rechtsfolgen bei Verstößen gegen die Einwilligung nahebringen.

Wie Sie bereits in den vorherigen Beiträgen erfahren haben, ist die Veröffentlichung von Fotos ohne die ausdrückliche Einwilligung des Fotografierten nicht zulässig. Der Betroffene hat bei Verstößen das Recht einen Beseitigungs- und Unterlassungsanspruch nach §§ 1004 analog, 823 Abs. 1 und 2 BGB, 22 S. 1 KUG geltend zu machen. Dieser Anspruch umfasst unter anderem die Beseitigung des entsprechenden Fotos von der betreffenden Internetseite.

Des Weiteren hat der Betroffene bei widerrechtlich angefertigten Fotos das Recht dieses vernichten zu dürfen (§ 37 Abs. 1 KUG). Alternativ kann er auch die Herausgabe des Fotomaterials gegen eine angemessene Vergütung verlangen (§ 38 KUG).

Hinsichtlich der Verletzung seines Persönlichkeitsrechtes ist der Betroffene zusätzlich befähigt einen Anspruch auf Schadensersatz- und Schmerzensgeld (§§ 823 Abs. 1 und 2, 253, § 22 S. 1 KUG) geltend zu machen.

Sollte es sich bei dem betreffenden Foto um eine Fotomontage handeln hat der Betroffene einen Gegendarstellungsanspruch.

Nach § 33 Abs. 1 KUG stellt die öffentliche zur Schau Stellung von Bildnissen eine Straftat dar, welche mit Freiheitsstrafe bis zu einem Jahr und mit Geldstrafe geahndet werden kann. Sollte das Foto im höchstpersönlichen Lebensbereich des Betroffenen aufgenommen worden sein, begeht der Fotograph darüber hinaus auch eine Straftat im Sinne des § 201 a Abs. 1 StGB.

Sie sehen, dass die Veröffentlichung von Bildnissen welcher Art auch immer eine Vielzahl rechtlicher Konsequenzen mit sich bringt.

 

Nächste Woche endet unsere Fotoreihe mit einem Abschlussbeitrag.

Bundesregierung einigt sich auf Gesetzesentwurf zur Regelung der Vorratsdatenspeicherung von Fluggastdaten

Mit dem vom Bundeskabinett befürworteten Gesetzesentwurf sollen die teils umstrittenen EU-Vorgaben zur fünfjährigen Flugpassagierdatenspeicherung ins nationale Recht implementiert werden. Ab dem, spätestens für Mai 2018, geplanten Zeitpunkt des Inkrafttretens des Gesetzes sollen Flugpassagierdaten gesammelt werden und diese in einem automatisierten Prozess mit Fahndungs- und Anti-Terror-Dateien sowie anderweitig ausgewertet werden. Erfasst werden müssen insgesamt 60 Datenkategorien, die u.a. von E-Mail- und anderen Kontaktadressen, über etwaige Vielfliegernummern, bis hin zu Essenswünschen reichen.

Diese gesammelten Daten, die sogenannten Passenger Name Records (PNR) müssen nach den Vorgaben der EU-Richtlinie für einen Zeitraum von sechs Monaten „unmaskiert“ und danach viereinhalb Jahre ohne direkten Personenbezug gespeichert werden. Eine „Re-Identifizierbarkeit“ der Daten soll aber über den gesamten Zeitraum der Speicherung möglich sein. Auch ein Datenaustausch mit anderen Mitgliedsländern, Europol und Drittstaaten soll durch weitgehende Regelungen ermöglicht werden.

Die Bundesregierung plant, neben den Daten von Fluggästen, die aus der EU reisen, auch die Daten der Fluggäste auf innereuropäischen Flügen zu speichern und auszuwerten. Auch zu den Kosten der Implementierung des Fluggastendaten-Systems und den jährlichen Betriebskosten äußerte sie sich die Regierung: Die Einrichtung soll einmal 78 Millionen Euro kosten. Hinzukommen sollen jährliche Betriebskosten in Höhe von 65 Millionen Euro. Als nationale PNR-Zentralstelle soll das Bundeskriminalamt fungieren.

Während der Europäische Gerichtshof noch prüft, ob eine derartige Form der Vorratsdatenspeicherung mit den Grundrechten vereinbar ist, begründete Bundesinnenminister Thomas de Maizière die Notwendigkeit des geplanten Gesetzes: „Terroristen und Schwerkriminelle machen nicht vor Grenzen halt. Um Straftaten zu verhindern oder jedenfalls aufzuklären, müssen wir daher wissen, wer wann die Grenzen des Schengenraums überschreitet.“

Konferenz zur IT-Sicherheitsforschung

14. Februar 2017

Heute startet in Berlin die dreitägige „Nationale Konferenz zur IT-Sicherheitsforschung“, die vom Bundesministerium für Bildung und Forschung organisiert wird. Das Programm sieht einerseits eine öffentliche Ausstellung von Projekten und Forschungsexponaten durch IT-Sicherheitsexperten vor, andererseits werden, zum Teil auch interaktiv, auch Fragen der Besucherinnen und Besucher beantwortet.

Eines der Kernthemen wird sicher das aktuelle Positionspapier zur Cyber-Sicherheit in Deutschland sein, das die drei Kompetenzzentren für IT-Sicherheitsforschung – CISPA in Saarbrücken, CRISP in Darmstadt und KASTEL in Karlsruhe – erarbeitet haben und welches am ersten Tag vorgestellt wird.

Darüber hinaus wird der russische Sicherheitsexperte Eugene Kaspersky zu den Keynote-Speakern der Konferenz gehören. In einem Interview mit der Zeitschrift „c’t – Magazin für Computer Technik“ äußerte er sich bereits recht provizierend. Datenschutz, so meint er, sei „wahrscheinlich nur noch in einem entlegenen sibirischen Dorf oder auf einer weit entfernten pazifischen Insel möglich“, ohne Internet und Sicherheitskameras. Die Diskussion darf mit Spannung erwartet werden.

Bundesrat lässt Gesetzesentwürfe zu Überwachungsmaßnahmen passieren

13. Februar 2017

Der Bundesrat hat die Gesetzesentwürfe zur Ausweitung der Videoüberwachung und zum Einsatz von Body-Cams durchgewunken. Laut dem Bundesrat bestehen grundsätzlich keine Bedenken.

Hintergrund der Entwürfe ist, dass die Bundesregierung durch die Überwachung öffentliche Anlage wie beispielsweise Einkaufszentren, Fußballstadien und den Nahverkehr sicherer machen will, indem sie die Videoüberwachung erleichtert. Dafür sollen auch private Betreiber eingebunden werden. Die Länderkammer fordert, dass diese verstärkt durch die Aufsichtsbehörden kontrolliert werden sollen.

Bereits bei Vorstellung des Sicherheitspakets durch Thomas de Maizière (CDU) und Heiko Maas (SPD) wurde Kritik geübt (wir berichteten).

Ebenso wie die Videoüberwachung wurde auch der Einsatz von Body-Cams bei der Bundespolizei vom Bundesrat genehmigt. Die Body-Cams sind kleine Kameras, die Polizisten während des Einsatzes am Körper tragen. Sie sollen dazu dienen Angriffe auf Polizisten zu dokumentieren.

Wird Privacy Shield ein (weiteres) Opfer Donald Trumps Präsidentschaft?

10. Februar 2017

Das Safe-Harbor-Abkommen wurde im Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es im Wesentlichen die Daten und somit mittelbar die Persönlichkeitsrechte von EU-Bürgern nicht ausreichend vor dem Zugriff von US-Behörden schützte.

Der Nachfolger des Abkommens, der sogenannte Privacy Shield, trat Mitte 2016 in Kraft und soll den EU-Bürgern einen höheren Schutz ihrer Daten vor dem Zugriff der US-Behörde bieten. Ob dies tatsächlich erreicht wird, wird von Datenschützern bezweifelt.

Ob der Privacy Shield den in dem Urteil zum Safe-Harbor-Abkommen vom EuGH dargelegten Grundsätzen in Zukunft gerecht wird, muss unter Trumps Präsidentschaft bezweifelt werden.

In der Executive Order vom 25. Januar 2017 zur Verbesserung der öffentlichen Sicherheit heißt es unter Section 14:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Das Dekret hat zunächst keine unmittelbaren Auswirkungen auf die Regelungen des Privacy Shield, da die Behörden ausschließlich unter Beachtung des geltenden Rechts dazu aufgefordert werden, US-Ausländer von der Anwendung der Datenschutzvorschriften des Privacy Acts auszuschließen.

Zu dem geltenden Recht gehört der Privacy Shield zwar nach wie vor, ob das Abkommen unter der Präsidentschaft Trumps Bestand haben wird, bleibt jedoch abzuwarten.

WhatsApp verhindert unbefugten Zugriff auf Konten durch 2-Faktor-Authentifizierung

Mit seiner Freischaltung der 2-Faktor-Authentifizierung für alle WhatsApp Nutzer unter iOS und Android, möchte WhatsApp den Konten seiner Nutzer einen besseren Schutz vor dem Zugriff Unbefugter gewährleisten.

Grundsätzlich wird der unbefugte Zugang zu einem Online-Konto zunächst mit einem Passwort und einem sogenannten Token, z.B. einem Smartphone, über das Sicherheitscodes empfangen werden, geschützt.

Dies war bisher bei WhatsApp jedoch nicht der Fall: Die WhatsApp Nutzerkonten konnten nicht anhand eines Passwortes geschützt werden. Vielmehr legitimierte sich der Nutzer lediglich über seine Mobilfunknummer und sein Smartphone. Mit der 2-Faktor-Authentifizierung kommt jetzt als zweiter Faktor ein PIN-Code hinzu.

Durchaus ist die Freischaltung der 2-Faktor-Authentifizierung für alle WhatsApp Nutzer aus datenschutzrechtlicher Sicht begrüßenswert. So kann ein unbefugter Dritter die SIM Karte nicht einfach in ein anderes Smartphone stecken und sich Zugriff auf ein fremdes WhatsApp-Konto zu verschaffen.

Eine Pflicht stellt die 2-Faktor-Authentifizierung für die WhatsApp Nutzer jedoch nicht dar.

Der Nutzer legt unter der Rubrik „Einstellungen > Account > Verifizierung in zwei Schritten“ einen sechsstelligen Zahlencode fest, welchen WhatsApp abfragt, sobald ein Konto auf einem neuen Smartphone eingerichtet wird. Sollte der WhatsApp Nutzer seinen Zahlencode vergessen haben, kann er zusätzlich eine E-Mail-Adresse hinterlegen, über die er die 2-Faktor-Authentifizierung wieder ausschalten kann.

 

OLG Köln: Schmerzensgeld wegen Verstoß gegen das Datenschutzrecht

9. Februar 2017

Mit Urteil vom 30.09.2016 (Az. 20 U 83/16) hat das Oberlandesgericht Köln (OLG Köln) einen Anspruch auf Schmerzensgeld aufgrund eines datenschutzrechtlichen Verstoßes bejaht. Die Beklagte hatte ein Urteil mit Gesundheitsdaten des Klägers rechtswidrig an dessen Arbeitgeber weitergegeben. Zu dem Urteil kam es, weil der Kläger mit der beklagten Versicherung über Ansprüche aus einer Berufsunfähigkeitsversicherung stritt. Die Versicherung behauptete, dass sich die Klägerin vertragswidrig Verhalten habe und verweigerte daher die Zahlung. Nachdem die Klage erstinstanzlich noch abgewiesen worden war, verglichen sich die Parteien im Berufungsverfahren auf Zahlung in Höhe von 90.000 Euro an den Kläger.

In der Zwischenzeit hatte die Beklagte das Urteil der ersten Instanz allerdings an den Arbeitgeber des Klägers, ein Unternehmen des gleichen Konzerns, weitergegeben. Der Arbeitgeber des Klägers kündigte ihm daraufhin fristlos.

In dem zu entscheidenden Fall begehrte der Kläger von der Beklagten Schadensersatz und Schmerzensgeld, da sie nach Ansicht des Klägers nicht dazu berechtigt gewesen sei, das Urteil an den Arbeitgeber weiterzugeben. Der Kläger hatte insbesondere keine Einwilligung hinsichtlich der Weitergabe erteilt.

Während das Landgericht Köln die Klage in der ersten Instanz noch abgewiesen hatte, entschied das OLG Köln im Berufungsverfahren zu Gunsten des Klägers. Als Begründung führte es aus, dass die Beklagte die Gesundheitsdaten des Klägers aus keinem rechtlichen Grund an Dritte weitergeben durfte. Vor allem sei die konzernrechtliche Bindung zwischen der Beklagten und dem Arbeitgeber des Klägers im Datenschutzrecht ohne Bedeutung. Da weder eine Einwilligung des Klägers vorgelegen habe, noch ein denkbarer Erlaubnistatbestand einschlägig sei, sei die Weitergabe des Urteils und der Gesundheitsdaten daher rechtswidrig erfolgt.

Damit verletzte die Beklagte das Recht auf informationelle Selbstbestimmung des Klägers und der Kläger könne aufgrund des dadurch erlittenen materiellen und immateriellen Schadens Schadensersatz- und Schmerzensgeldansprüche geltend machen. Da der Kläger zunächst auf die reine Feststellung des Verstoßes geklagt hatte, kann er nun noch die konkrete Höhe beziffern und die entsprechenden Beträge einfordern.

Datenschutz soll in’s Klassenzimmer

Am 07.02.2017 fand in 120 Ländern der Safer Internet Day statt. Dieser findet seit 2008 jährlich auch in Deutschland am zweiten Tag der zweiten Woche des zweiten Monats statt und verfolgt das Ziel, die Internetnutzer, insbesondere Schüler, Eltern und Lehrer für die Chancen und Risiken des Internets zu sensibilisieren.

Kinder und Jugendliche nutzen das Internet im erheblichen Umfang. Bildungspolitiker fordern daher, digitale Medien in den Schulalltag zu integrieren. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, begrüßt diese Initiativen und fordert, dass das Wissen um Datenschutz und Datensicherheit als Bestandteile von Medienkompetenz in den Schulalltag integriert werden.

Bereits jetzt stehen Lehrern online und kostenlos Informationsmaterialien zur Verfügung, mit deren Hilfe den Schülern nahegebracht werden kann, dass sie beim Surfen eine digitale Spur hinterlassen. Gemäß der Pressemitteilung der BfDI, haben laut einer Bitkom-Studie aus dem Jahr 2014 bereits 60 Prozent der Befragten 10 bis 18-jährigen die Privatsphären-Einstellungen ihrer Profile in digitalen Netzwerken so eingestellt, dass ihre Daten besser geschützt werden.

Je eher Kinder und Jugendliche lernen, dass sie den Umfang der Nutzung ihrer eigenen personenbezogenen Daten mitbeeinflussen können, desto sicherer und verantwortungsbewusster können sie sich in der digitalen Welt bewegen.

1 2 3 134