Kategorie: Allgemein

Sicherheitsbehörden dürfen online auf Passfotos zugreifen

26. Mai 2017

Der Bundestag hat in der vergangenen Woche genehmigt, dass sowohl Polizei, Geheimdienste, Steuer- und Zollfahnder als auch Ordnungsbehörden rund um die Uhr online bei den Meldeämtern biometrische Lichtbilder aus Personalausweisen und Pässen erhalten können.

Hintergrund ist, dass zum einen die eID-Funktion des Personalausweises gefördert werden soll und zum anderen die Sicherheitsbehörden flexibler und schneller an die benötigten Lichtbilder kommen, um ihrer Arbeit effektiv nachzugehen.

Der Gesetzesentwurf klingt für die Meisten wahrscheinlich erschreckend, Tatsache ist jedoch, dass die genannten Behörden bereits in der Vergangenheit online Zugriff auf die Lichtbilder hatten, wenn die Ausweis-/Passbehörde nicht erreichbar waren oder wenn Gefahr in Verzug bestand. Ganz neu ist die jetzt verabschiedete Regelung also nicht. Es stellt sich allerdings die Frage, ob es der neuen Regelung bedarf, wenn die Sicherheitsbehörden vorher schon unter den genannten Umständen auf die Fotos zugreifen durften. Außerdem steigt der Kreis der zum Abruf Berechtigten an. Bis jetzt durften nur die Ermittlungs- und Ordnungsbehörden sowie Steuer- und Zollfahnder die Lichtbilder abgreifen.

Kritik steht dem Gesetzesentwurf allerdings dennoch entgegen. Die Opposition im Bundestag hatte gegen den Entwurf gestimmt und auch Datenschützer, Informatiker und Rechtswissenschaftler äußerten ihre Bedenken. Sie befürchten eine nationale Datenbank für Lichtbilder welche verfassungsrechtlich bedenklich ist.

Im Zuge der jüngst verabschiedeten Gesetze, wie die intelligente Videoüberwachung, warnt der ehemalige Bundesdatenschutzbeauftragte Peter Schaar es sei damit zu rechnen, dass die umfassenden Abrufmöglichkeiten längerfristig dazu verwendet werden, im Rahmen der ‚intelligenten Videoüberwachung‘ alle Menschen zu identifizieren, die sich im öffentlichen Raum aufhielten. Nicht umsonst habe die Koalition kürzlich die gesetzlichen Befugnisse entsprechend aufgebohrt.

Big Brother Award 2017

22. Mai 2017

Der diesjährige Big Brother Award in der Kategorie Bildung wurde kürzlich an die Ludwig-Maximilians-Universität und die Technische Universität München verliehen.

Die Datenschutzaktivisten von Digitalcourage e.V. kritisierten die beiden Universitäten als „Datenkraken“, weil sie mit dem Online-Kursanbieter Coursera kooperieren, über den sie ihre Moocs, die „Massive Open Online Courses“, anbieten. Über diesen Dienstleister können sich Studenten der Münchener Universitäten beispielsweise ortsunabhängig Videovorlesungen anschauen.

Das US-Unternehmen Coursera ist bei Datenschützern schon länger in der Kritik, da es sich in seinem Standardvertrag vorbehält, die Daten von Studenten gezielt zu filtern und für eigene Werbekampagnen zu nutzen. Darüber hinaus werden die Daten der Studierenden in den USA gespeichert und verarbeitet. Damit dürften sie auch dem Zugriff durch US-Behörden ausgesetzt sein und können zum Beispiel Auswirkungen auf Einreisegenehmigungen usw. haben, so die Datenschutzaktivisten.

Die weiteren Preisträger sind in diesem Jahr Verteidigungsministerin Ursula von der Leyen (Kategorie Behörden), die Prudsys AG (Verbraucherschutz), die Türkisch-islamische Union Ditib (Politik), der IT-Branchenverband Bitkom (Wirtschaft) und die PLT Planung für Logistik & Transport GmbH (Arbeitswelt).

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Recycelte Speicherkarten in neuen USB-Sticks führen zu Problemen

19. Mai 2017

Käufer von USB-Sticks gehen davon aus, dass sie ein neu hergestelltes Produkt kaufen. Grundsätzlich ist diese Annahme auch richtig, allerdings sind nicht alle Teile neu. Bei der Produktion von USB-Sticks werden alte Speicherchips von ausrangierten Smartphones recycelt, weil diese zu schade zum Verschrotten sind und günstig zu erwerben sind. Smartphones werden in relativ kurzen Zyklen von nur zwei bis drei Jahren durch neuere Modelle ersetzt und selbst wenn das ausgetauschte Gerät äußerliche Schäden aufweist, ist das Innenleben, also die Prozessoren und Speicherchips, noch zu gebrauchen. Das haben auch die Hersteller von USB-Sticks erkannt. Sie kaufen die Speicherchips und bauen sie in neue USB-Sticks ein.

Das Problem an diesem Recycling ist, dass auf den Speicherkarten häufig noch Daten des Vorbesitzers gespeichert sind und diese Daten sind dann auch auf dem fabrikneuen USB-Stick enthalten.

Das ist nicht nur datenschutzrechtlich äußerst problematisch, weil beispielsweise das Recht am eigenen Bild verletzt wird, sondern bringt auch Ermittlungsbehörden in Bedrängnis. Vor dieser Entdeckung konnte davon ausgegangen werden, dass die auf USB-Stick gespeicherten Daten von dem Besitzer des USB-Sticks stammen. Dem ist jetzt nicht mehr so. Bei den Ermittlungen müssen die neuen Erkenntnisse berücksichtigt werden, wodurch von einer Indizienkette nicht mehr ausgegangen werden kann.

von den Ermittlungsbehöreden beschlagnahmte USB-Sticks müssen nun forensisch untersucht werden, um festzustellen, ob die gespeicherten Daten wirklich von dem Besitzer stammen, oder ob ein recycelter Speicherchip eine Rolle spielt.

Problematisch ist, dass der ehemalige Speicherkartenbesitzer und der jetzige USB-Stick-Besitzer nicht zwingend in demselben Land, geschweige denn auf demselben Kontinent wohnen. Das führt zu rechtlichen Problemen. Die Gesetzgebung unterscheidet sich von Land zu Land und Ermittlungen die internationaler Zusammenarbeit bedürfen sind naturgemäß komplizierter und langwieriger als nationale Ermittlungen.

Warum gibt es also keine Löschpflicht der USB-Stick-Hersteller, wenn diese Speicherkarten recyceln? Die Hersteller argumentieren, dass die Produktion dadurch teurer werden würde, weil ein zusätzlicher Arbeitsschritt notwendig wird und dadurch die Wirtschaftlichkeit sinkt.

Wer jetzt meint, dass die Problematik nur bei günstigen USB-Sticks besteht liegt falsch. Das Recycling zieht sich durch alle Preiskategorien.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , ,

110 Millionen Euro Bußgeld gegen Facebook: EU-Kommission statuiert Exempel

18. Mai 2017

Wegen falscher Angaben bei der Übernahme des Messengerdienstes WhatsApp hat die EU-Kommission gegen den Social-Media-Giganten Facebook eine Strafe in Höhe von 110 Millionen Euro verhängt. Facebook hatte im Rahmen des Kaufes 2014 angegeben und öffentlich erklärt, dass die Nutzerprofile von WhatsApp und Facebook nicht abgeglichen werden, da man hierzu schon technisch nicht in der Lage sei.

Im Sommer 2016 kündigte Facebook dann plötzlich doch an, zukünftig die Telefonnummern von WhatsApp-Nutzern mit den entsprechenden Facebook-Profilen zu verknüpfen. Ziel der Verknüpfung sei es, die angezeigte – und auf den Nutzer angepasste – Werbung zu verbessern. Durch die technische Verknüpfung der Nutzerprofile sah sich die EU-Kommission von Facebook getäuscht und verhängte das Bußgeld. Der Zahlung der Geldbuße hat Facebook bereits zugestimmt, betonte allerdings „Wir haben seit den allerersten Kontakten zur Kommission nach bestem Wissen und Gewissen gehandelt und versucht, zu jeder Zeit korrekte Informationen zu liefern.“ So seien die Fehler in den Fusionspapieren 2014 keine Absicht gewesen.

Nach Angaben der EU-Wettbewerbskommisarin Margrethe Vestager solle mit der Höhe des Bußgeldes ein Exempel statuiert werden und ein Signal an Firmen gesendet werden, bei Unternehmens-Fusionen richtige Angaben zu machen. „Der heutige Beschluss ist eine deutliche Botschaft an Unternehmen, dass sie die EU-Fusionskontrollvorschriften einhalten müssen, darunter auch die Verpflichtung, sachlich richtige Angaben zu machen. Aus diesem Grunde sieht er eine angemessene und abschreckende Geldbuße gegen Facebook vor.“

Die EU-Kommission erklärte aber auch, dass Facebooks unrichtige Angaben zwar relevant seien, für die Übernahme aber nicht ausschlaggebend. Die Kommission habe so bereits 2014 das hypothetische Szenario durchgespielt, dass ein Nutzerabgleich möglich wäre. Die Verhängung des Bußgeldes hat daher keine Auswirkungen auf die 2014 erteilte Genehmigung, den Messengerdienst übernehmen zu dürfen.

Tatsächlich hätte die Strafe mehr als doppelt so hoch ausfallen können, da die Kommission in solch einem Fall Geldbußen von bis zu ein Prozent des Jahresumsatzes verhängen kann.

 

Dynamische IP-Adressen stellen personenbezogene Daten dar

17. Mai 2017

In seinem Urteil vom 16.05.2017 (Az. VI ZR 135/13) hat sich der Bundesgerichtshof (BGH) unter anderem mit den Fragen befasst, ob eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und ob ein Webseitenbetreiber die IP-Adressen der Nutzer länger speichern darf als diese tatsächlich auf der Seite verweilen.

Anlass für dieses BGH-Urteil war, dass das Bundesministerium für Justiz und Verbraucherschutz die IP-Adressen aller Besucher seiner Webseite für eine Zeitspanne von 14 Tagen speicherte. In dieser Speicherung sah ein schleswig-holsteinischer Abgeordneter der Piratenpartei eine unzulässige Überwachung der Internetnutzer und erhob Klage gegen die Bundesrepublik als Betreiberin der Webseite. Die Bundesregierung argumentierte, dass die Speicherung nötig sei, um den sicheren Betrieb der Webseiten zu ermöglichen. Nur so könne man gegebenenfalls Hackerangriffe abwehren und die Angreifer identifizieren um strafrechtliche Schritte einleiten zu können.

Maßgeblich für die Entscheidung war die Frage, ob auch dynamische IP-Adressen personenbezogene Daten darstellen. Um im Internet agieren zu können, bekommt jedes internetfähige Endgerät vom jeweiligen Internetprovider eine eigene IP-Adresse zugewiesen. Bei diesen IP-Adressen unterscheidet man zwischen statischen und dynamischen Adressen. Im Gegensatz zu statischen IP-Adressen können sich dynamische IP-Adressen alle paar Stunden oder Tage ändern. Der Webseitenbetreiber selbst kann die Nutzer einer solchen dynamischen IP-Adresse in aller Regel nicht identifizieren. Lediglich die Internetprovider (bspw. Telekom oder Vodafon) sind hierzu in der Lage, da sie dem Nutzer die dynamische IP-Adresse zuweisen. Wenn dynamische IP-Adressen nicht als personenbezogene Daten anzusehen sind, ist eine Speicherung grundsätzlich als zulässig anzusehen. Sofern man sie jedoch als personenbezogene Daten qualifiziert, ist eine Speicherung nur nach den Maßgaben des Datenschutzrechts zulässig.

Nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Ähnlich wird dies auch in der EG-Datenschutzrichtlinie 95/46/EG definiert. Gerade bei dynamischen IP-Adressen drängt sich die Frage auf, ob auch diese eine hinreichende Bestimmbarkeit im Sinne der oben genannten Norm aufweisen. Diese Frage hat der BGH vor einiger Zeit dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt. Der EuGH hat dargelegt, dass eine dynamische IP-Adresse dann ein personenbezogenes Datum darstellt, wenn es dem Webseitenbetreiber möglich ist, mit Hilfe rechtlicher Mittel die betroffene Person hinter der dynamischen IP-Adresse zu bestimmen oder bestimmen zu lassen. In seinem Urteil folgte der BGH dieser Leitlinie und stellte fest, dass dynamische IP-Adressen für die Bundesrepublik als Webseitenbetreiber ein personenbezogenes Datum darstellen, da mit Hilfe der Strafverfolgungsbehörden der Nutzer identifiziert werden könne.

Zur Frage der Speicherung einer dynamischen IP-Adresse als personenbezogenes Datum über das Ende des Nutzungsvorgangs hinaus führte der BGH weiter aus, dass eine solche Speicherung durch den Webseitenbetreiber ohne Einwilligung des Nutzers nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz (TMG) zulässig sei. Diese Norm sei europarechtskonform dahingehend auszulegen, dass die Erhebung und Verwendung erforderlich sein müsse, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Im vorliegenden Fall konnte der BGH kein abschließendes Urteil dazu treffen, ob die Speicherung der IP-Adresse des Nutzers über das Ende des Nutzungsvorgangs hinaus durch das Bundesministerium für Justiz und Verbraucherschutz erforderlich war, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Bei der Frage der Erforderlichkeit sollen aber in einer Abwägung insbesondere das Gefahrenpotential und der „Angriffsdruck“ zu berücksichtigen sein. In einem nächsten Schritt sollen dann das Interesse an der Aufrechterhaltung und der Funktionsfähigkeit des Online-Mediendienstes mit den jeweiligen Grundrechten und Grundfreiheiten des Nutzers der Seite abgewogen und in Einklang gebracht werden.

Französische Datenschutzbehörde verhängt Strafe gegen Facebook

Wegen der „massiven Kombination“ von Nutzerdaten, der nicht widersprochen werden kann, hat die französische Datenschutzaufsichtsbehörde CNIL gegen Facebook eine Strafe in Höhe von 150.000 Euro verhängt. Damit meint die CNIL die Praxis von Facebook, die Daten der Nutzer so zu verknüpfen, dass diese gezielt mit Werbung angesprochen werden können, ohne das sich der Nutzer hiergegen wehren kann. Auch die Möglichkeit des Nutzers, dem Tracking durch Cookies zu widersprechen gäbe es nicht.

Nach Ansicht der französischen Datenschutzaufsichtsbehörde sei auch die Datenschutzerklärung nur ungenügend. So informiere Facebook die Nutzer nur unzureichend darüber, dass es auf anderen Webseiten Daten zum Surfverhalten selbst von solchen Internetnutzern sammle, die kein Konto bei dem Online-Netzwerk haben. Ferner hole das Social-Media-Unternehmen nicht die ausdrückliche Einwilligung seiner Nutzer ein, wenn diese in ihrem Profil sensible Daten, wie z.B. zu politischen und religiösen Einstellungen oder zur sexuellen Orientierung angeben.

Zur verhängten Strafe kam es erst, nachdem die CNIL Facebook im Januar 2006 aufgefordert hatte, sich an die geltenden französischen Vorschriften zu halten, Facebook dieser Forderung aber nicht innerhalb der vorgesehenen drei Monate in zufriedenstellendem Maße nachkam. Dabei ist zu beachten, dass die Strafe in Höhe von 150.000 Euro die höchstmögliche Strafe ist, die die CNIL verhängen kann. Gegen die Strafe kann Facebook innerhalb von vier Monaten Einspruch beim Staatsrat, dem obersten Verwaltungsgericht Frankreichs, einlegen.

Das Verfahren und die nun verhängte Strafe ist Teil von gemeinsamen Untersuchungen des Datenschutzes bei Facebook der Datenschutzbehörden Frankreichs, Deutschlands, der Niederlande, Belgiens sowie Spaniens. Im November 2014 hatte Facebook angekündigt, seine Datenschutzrichtlinien und dem Umgang mit den Cookies zu überarbeiten. Daraus resultierte unter anderem, dass Nutzerdaten zwischen WhatsApp und Facebook nicht ausgetauscht werden dürfen.

 

Dobrindt will als Folge von WannaCry das IT-Sicherheitsgesetz verschärfen

Der Bundesminister für digitale Infrastruktur, Alexander Dobrindt (CSU), will das IT-Sicherheitsgesetz verschärfen. Grund für seinen Vorstoß ist der Krypto-Trojaner WannaCry, der in den letzten Tagen für Aufsehen sorgte.

Der Trojaner hat weltweit hunderttausende Windows-Rechner lahmgelegt. Die Ransomware WannaCry ist ein Erpressungstrojaner. Ist der Rechner einmal befallen verschlüsselt das Programm Benutzer- und Systemdateien und fordert den Nutzer auf, einen bestimmten Betrag in Bitcoins zu zahlen, damit die die Dateien wieder freigegeben werden. Zudem versucht das Programm noch weitere Rechner zu infizieren.

Steven Wilson, der Chef der Ermittlergruppe EC3, des europäischen Cybercrimezentrums, sagt: „Das ist der größte Cyberangriff, den wir weltweit bisher gesehen haben und wir können sein Ausmaß auf die Wirtschaft nicht vorhersagen“.

Das Ausmaß des Angriffs ist enorm, auch wenn der Trojaner inzwischen durch Zufall gestoppt wurde und das erpresste Geld wahrscheinlich nicht mehr als 30.000€ einbringen wird. Der Schaden ist riesig. Betroffen sind nicht nur tausende Rechner von Privatpersonen, sondern auch beispielsweise die Deutsche Bahn, die Probleme mit den Anzeigetafeln und Ticketautomaten seit Tagen versucht wieder in den Griff zu kriegen.

Auf Grundlage dessen fordert Bundesminister Dobrindt ein schärferes IT-Sicherheitsgesetz und bringt eine Meldepflicht ins Spiel, damit Infrastrukturen besser geschützt werden. „IT-Störungen sollen zwingend dem Bundesamt für Sicherheit in der Informationstechnik gemeldet werden“.

Kann das Internet der Dinge helfen Straftaten aufzuklären

12. Mai 2017

Das Internet der Dinge (Englisch: Internet of Things – IoT) steht für vernetzte Haushaltsgeräte. Smarte Haushaltsgeräte wie der vernetzte Kühlschrank der beim Einkaufen unterstützen kann oder das smarte Licht- und Heizungsmanagement, steuerbar über das Smartphone, aber auch Amazons Echo, das über eine Sprachsteuerung funktioniert können zukünftig Ermittlungsbehörden wie der Polizei helfen Straftaten aufzuklären.

So äußerte sich zumindest der Leiter für digitale Forensik bei Scotland Yard, Mark Stokes. ,,Das Internet der Dinge schafft eine neue Form der Spurensicherung.‘‘ Die Ermittlungsbehörden erhoffen sich, dass die gespeicherten Daten der vernetzen Geräte, Rückschlüsse auf das Geschehen zu einem bestimmten Zeitpunkt zulassen und dadurch Straftaten aufgeklärt werden können.

Zum Beispiel trat die Polizei in Arkansas letztes Jahr an Amazon heran, mit der Bitte die gespeicherten Daten eines Echo-Nutzers herauszugeben. Diese sollten Hinweise auf einen Mord im Hause des Nutzers liefern. Der Echo hört über die Mikrofone jederzeit mit, damit er bei seinem Stichwort aktiv werden kann, sodass es durchaus sein kann, dass ermittlungsentscheidende Geschehnisse aufgezeichnet werden können. Jedoch musste die Polizei in Arkansas letztes Jahr den Widerstand von Amazon hinnehmen. Amazon gab nur einen Teil der Daten des Kunden heraus und stellte klar, dass der Echo zwar jederzeit zuhört, aber die sprachlichen Eingaben erst ab dem Stichwort an die Server übermittelt und dort gespeichert werden.

Grundsätzlich können die Geräte helfen Straftaten aufzuklären, sofern die rechtlichen Vorgaben einer Übermittlung der gespeicherten Daten an die Ermittlungsbehörden geklärt sind. Jedoch bleibt zu beachten, dass diese Daten manipuliert werden können. Für die Steuerung der Geräte via Smartphone muss der Nutzer nicht zu Hause sein, er kann das Licht oder die Heizung auch steuern, wenn er nicht zu Hause ist, um den Eindruck zu erwecken, er sei zu Hause. Somit steht die Verlässlichkeit der Daten wieder in Frage. Es bleibt also festzuhalten, dass das Internet der Dinge grundsätzlich bei der Aufklärung von Straftaten helfen kann, aber sich durch die gesammelten Daten auch neue Probleme ergeben, die bei der Beurteilung berücksichtigt werden müssen.

Schuss ins Blaue

4. Mai 2017

In einem kürzlich bekannt gewordenen Urteil (Urt. v. 28.10.2016, Az. 191 C 521/16) hat das Amtsgericht München die Klage einer Frau gegen ein Hotel in Halle auf Auskunftserteilung abgewiesen. Bei dieser Entscheidung spielten datenschutzrechtliche Erwägungen eine maßgebliche Rolle.

Im Juni 2010 mietete die Klägerin mit ihrem männlichen Begleiter Michael für mehrere Tage ein Zimmer in dem betreffenden Hotel in Halle. Neun Monate später brachte die Frau einen Jungen zur Welt. Für die Klägerin war es nicht ausgeschlossen, dass es sich bei ihrem damaligen Begleiter um den Vater des Kindes handelt.  Von diesem wusste sie neben dem vermeintlichen Vornamen Michael allerdings nur noch, dass sich das im Juni gebuchte Zimmer in der zweiten Etage des Hotels befand. Um den vollständigen Namen ihres Begleiters zu erhalten, wandte sich die Klägerin zunächst an die Leitung des Hotels. Sie begründete ihr Anliegen damit, dass sie die Auskünfte für die Geltendmachung von Unterhaltsansprüchen benötige und dass ihr gegen das Hotel ein Auskunftsanspruch nach dem Bundesdatenschutzgesetz zustehen würde.

Die Hotelleitung verweigerte jedoch nähergehende Angaben zu persönlichen Daten der Gäste, da in dem fraglichen Zeitpunkten in dem Hotel vier Gäste mit dem Namen Michael zu Gast gewesen seien. Da die Frau ihren Begleiter nicht näher beschreiben könne, sei es nicht möglich die betreffende Person eindeutig festzustellen.

Zur Begründung der Klageabweisung führte das Amtsgericht München an, dass das Recht der vier betroffenen Männer auf informationelle Selbstbestimmung und auf den eigenen Schutz der Ehe und Familie das Recht der Klägerin auf Schutz der Ehe und Familie und auf den Unterhaltsanspruch überwiege. Zudem sei auch das Recht der betroffenen Männer auf Achtung der Privat- und Intimsphäre zu beachten, das davor schützt, geschlechtliche Beziehungen offenbaren zu müssen. Davon sei auch umfasst, dass jedermann selbst entscheiden könne, ob, in welcher Form und wem man Einblick in die Intimsphäre und das eigene Leben gewähre. Das Gericht führte weiter aus:  „Dieses Recht ist durch die Preisgabe der Daten betroffen, weil bereits hierdurch die Möglichkeit einer geschlechtlichen Beziehung zu der Klägerin als Mutter des Kindes letztlich unwiderlegbar in den Raum gestellt ist.“ Darüber hinaus sah das Gericht die Gefahr, dass eine unzulässige Datenübermittlung ins Blaue erfolgen würde. „Der Klägerin ist es nicht möglich, weitere Umstände vorzutragen, durch die der unterhaltsverpflichtete Betroffene eingrenzbar wäre. Allein der Vorname, wobei sich die Klägerin nicht sicher ist, ob es sich um den einzigen Vornamen handelt, und die Etagenzahl sind für die erforderliche Eingrenzung nicht ausreichend. Auch ist nicht mit Sicherheit feststellbar, ob es sich bei dem Namen auch tatsächlich um den richtigen Namen des Betroffenen handelt.“

Streit um das Facebook-Konto einer Verstorbenen

2. Mai 2017

Das Kammergericht Berlin hatte sich kürzlich in einem Verfahren mit der Frage zu beschäftigen, was mit dem Facebook-Konto – insbesondere den Login-Daten und Chats einer Person nach deren Tod passiert. Konkret ging es in dem Verfahren um ein 15-jähriges Mädchen, das aus bislang ungeklärten Umständen an einem Berliner U-Bahnhof verunglückt war und später ihren Verletzungen erlag.

Nachdem Facebook selbst das Konto der Verstorbenen bereits in den Gedenkzustand versetzt hatte, forderten die Eltern des Mädchens Facebook auf, ihnen die Login-Daten herauszugeben. Dadurch hofften sie, durch Hinweise im Facebook-Profil oder den Chats, herausfinden zu können, ob es sich bei dem Unfall möglicherweise um einen Suizid gehandelt habe. Weil Facebook die Herausgabe der Zugangsdaten unter Hinweis auf seine Nutzungsbedingungen verweigerte, klagten die Eltern der Verstorbenen vor dem Landgericht Berlin. Mit Urteil vom 17.12.2015 (Az. 20 O 172/15) entschied dieses, dass Facebook die Zugangsdaten an die Eltern herauszugeben habe. Als Begründung führte es damals an, dass nach herrschender Meinung zwischen dem Nutzer und Facebook ein Vertrag mit dienst- und mietvertraglichen Elementen bestehe und dieser im Rahmen der Gesamtrechtsnachfolge gemäß § 1922 BGB auf die Erben übergehe.

Etwas anderes könne sich nur dann ergeben, wenn der Gesamtrechtsnachfolge das postmortale Persönlichkeitsrecht und der Datenschutz der Verstorbenen entgegenstehen. Allerdings hatte das Landgericht Berlin geurteilt, dass das Bundesdatenschutzgesetz bei Verstorbenen nicht anzuwenden sei und auch nicht in das postmortale Persönlichkeitsrecht eingegriffen werde, wenn Facebook den Eltern der Verstorbenen die Zugangsdaten herausgeben würden. Es schütze mithin das Ansehen der Verstorbenen, als Sachwalter des Persönlichkeitsrecht seien allerdings die Eltern legitimiert, Informationen über die Internetnutzung ihrer Kinder zu erhalten. Dies würde zumindest für das Persönlichkeitsrecht von Minderjährigen gelten. Ob dies genauso für Volljährige gelte, hatte das Landgericht Berlin genauso offen gelassen, wie die Frage nach den Rechten Dritter, die mit der verstorbenen Person bei Facebook gechattet hatten und damit grundsätzlich darauf vertrauten, dass Nachrichten nur vom Facebooknutzer selbst und keinem Dritten gelesen würden.

Gegen das Urteil legte Facebook Berufung ein und so kam der Rechtsstreit nun vor das Kammergericht Berlin. Dieses regte nun zunächst einen Vergleich an, in dem es vorschlug, die Chat-Verläufe mit geschwärztem Namen an die Eltern herauszugeben. Offen ließ das Gericht dabei, ob die Chats papiergebunden oder digital herausgegeben werden müssen, sollten die Parteien mit dem Vergleich einverstanden sein. Die Parteien haben nun zwei Wochen Zeit, sich für oder gegen den Vergleich zu entscheiden. Sollten die Parteien das Vergleichsangebot ausschlagen, ist zur Klärung des Rechtsstreits eine höchstrichterliche Entscheidung durch den Bundesgerichtshof möglich.

1 2 3 97