Bundespolizei: Einsatz von Bodycams

21. März 2016

Zeitungsberichten zufolge soll die Bundespolizei in Zukunft mit sogenannten Bodycams ausgestattet werden. Es handelt sich dabei um Minikameras, die über der Schulter der Polizeibeamten befestigt werden. „Bodycams können bei der Aufklärung von Übergriffen oder bei der Deeskalation bestimmter Situationen helfen“, sagte der innenpolitische Sprecher der SPD-Bundestagsfraktion, Burkhard Lischka, der Rheinischen Post gegenüber.

Erstmals getestet wurde der Einsatz solcher Schulterkameras 2013 im Frankfurter Stadtteil Sachsenhausen. Es folgten andere Bundesländer wie z. B. Baden-Württemberg oder Berlin. Die Länder hätten dabei bisher positive Erfahrungen gemacht; die Zahl der Übergriffe auf Polizisten sei deutlich zurückgegangen. Seit Januar 2016 testen auch Polizeibeamte an den Düsseldorfer und Kölner Hauptbahnhöfen die Bodycams. Beim Einsatz tragen die Polizisten ein Schild mit der Aufschrift „Videoüberwachung“. Die Videoaufzeichnung erfolgt auf Knopfdruck, eine Tonaufnahme hingegen findet nicht statt. Die Aufnahmen werden lediglich zu Zwecken der Strafverfolgung verwendet. Hierfür nicht erforderliche Aufzeichnungen werden in Absprache mit den Vorgesetzten gelöscht.

Aus datenschutzrechtlicher Sicht ist der Einsatz der Bodycams dennoch kritisch, da bei der Ausgestaltung noch großer Klärungsbedarf besteht. Fraglich ist namentlich, auf welchen Servern und für wie lange die Daten gespeichert werden. Weiter ist nicht geklärt, was mit den Daten Unbeteiligter geschehe. So besteht z. B. die Gefahr, dass täglich Bilder von Pendlern aufgezeichnet werden.

Kategorien: Allgemein
Schlagwörter: ,

Generalanwalt des EuGH: Keine Haftung von WLAN-Anbietern für Rechtsverletzungen Dritter

18. März 2016

Stellt ein Unternehmen ein kostenloses, offenes WLAN-Netz zur Verfügung, so haftet dieses nicht für durch Nutzer begangene Urheberrechtsverletzungen. Das ist der Tenor eines Gutachtens des Generalanwalts des Europäischen Gerichtshofs, welches am 16.3.2016 verkündet wurde.

Bisher ist es vor allem das Instrument der sogenannten Störerhaftung, das dem flächendeckenden, offenen Ausbau von öffentlichen WLAN-Netzen verhindert. Dabei haftet der Anbieter für Rechtsverstöße, welche ein Nutzer des bereitgestellten Netzwerks begeht, so zum Beispiel im Falle illegalen Downloads von Musik- oder Videodateien im Rahmen von urheberechtsgesetzlichen Haftungsnormen.

Nach Auffassung des Generalanwalts kann der Betreiber des WLAN-Netzes zwar zu einer Beendigung oder künftigen Verhinderung der Rechtsverletzung verpflichtet werden, soweit Nutzer wie beispielsweise Kunden eines Gastronomiebetriebs über dessen offenes Netz illegal Dateien downloaden. Der Betreiber eines kostenlosen WLAN-Netzes kann vom Rechteinhaber aber nicht verpflichtet werden, dieses stillzulegen, durch ein Passwort zu schützen oder die Kommunikationsvorgänge zu überwachen; auch Schadensersatzansprüche oder eine Geltendmachung der Mahn- und Gerichtskosten bestehen demnach gegen den Betreiber nicht.

Hintergrund des Gutachtens ist der Rechtstreit zwischen Sony und einem Geschäftsinhaber, der in seinem Betrieb ein für Kunden offenes WLAN anbietet. Über dieses wurde ein Musikwerk illegal heruntergeladen, für das Gericht glaubhaft aber nicht vom Betreiber selbst, sondern von einem anderen Nutzer. Das zuständige Landgericht München hatte den Europäischen Gerichtshof um Hilfe bei der Auslegung der Europäischen Richtlinie über den Elektronischen Rechtsverkehr dahingehend gebeten, ob diese auch auf Betriebe anzuwenden sei, die ein WLAN-Netz bloß im Rahmen einer anderen Hauptdienstleistung „nebenbei“ anbieten.

Der Auslegung des Generalanwalts muss der Europäische Gerichtshof zwar nicht folgen. Ein abweichendes Urteil wäre jedoch die Ausnahme.

27 Bürgerrechtsorgansisationen stellen sich gegen Privacy Shield

Der von der Europäische Union vorgelegte Entwurf des Privay-Shields als Nachfolger des Safe-Harbor-Abkommens ist von 27 Bürgerrechtsorgansisationen geschlossen abgelehnt worden. In einem offenem Brief an Isabelle Falque-Pierrotin, Chairman der Art.29-Gruppe der EU, das EU-Parlament und den Ministerrat bezeichneten sie den Entwurf als nicht mit den EuGH-Vorgaben vereinbar und lehnen diesen daher ab. Privacy Shield gefährde die betroffenen Nutzer und verletze Menschenrechte, unter anderem mit den Überwachungsprogrammen des US-Geheimdienstes NSA. Substanzielle Reformen wären nicht erkennbar. Das neue vorgeschlagene Abkommen weise diesselben Schwächen auf, die dazu führten, dass der Europäische Gerichtshof das vorherige Safe-Harbor-Abkommen für ungültig erklärte. Unterzeichner des Schreibens waren unter Anderem die American Civil Liberties Union (ACLU), Amnesty International, der Verein Digitale Gesellschaft, die Electronic Frontier Foundation (EFF), die Initiative European Digital Rights (EDRi) und La Quadrature du Net.

Barmer GEK: Online-Zugriff auf Patientendaten erschleichbar

14. März 2016

Medienberichten zufolge gibt es bei Deutschlands zweitgrößter Krankenkasse Barmer GEK ein Datenleck. Unbefugte könnten durch das Vortäuschen einer falschen Identität mit wenigen Telefonaten und ein paar Mausklicks Details zu Diagnosen, verordneten Arzneien, Klinikaufenthalten und andere intime Informationen abfragen. Einem von einer Zeitung beauftragten Tester sei es gelungen, sich über einen Online-Zugang der Kasse in Patientendaten einzuloggen. Der Tester habe ausschließlich den Namen, das Geburtsdatum und die Versichertennummer des Datenopfers zur Verfügung gehabt. Die Kasse soll der Darstellung, Unbefugte könnten sich mühelos Zugriff auf Versichertendaten im Internet verschaffen, widersprochen haben. Bei der Aktion habe es sich „eher um einen simulierten Diebstahl einer Versichertenkarte, gegen die sich keine Institution wehren kann“ gehandelt, so der Sprecher der Krankenkasse. In dem konkreten Fall habe der Sprecher aber eine Panne eingeräumt. Der Tester der Zeitung sei bei einem Telefonanruf nicht – wie sonst vorgeschrieben –  zusätzlich nach den letzten vier Ziffern der Kontonummer des Versicherten gefragt worden, dessen Identität er vorgetäuscht habe. Dadurch habe er sich Zugang zu den Daten verschaffen können.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff ist nach dem Medienbericht alarmiert. Sie werde „beim Bundesversicherungsamt nochmals dringend anregen, die Thematik im Rahmen seiner Zuständigkeit zu untersuchen“. Außerdem wolle sie den Fall zum Anlass nehmen, den Datenschutz der Kassen bei telefonischen Kundenkontakten, insb. das Authentifizierungsverfahren bei telefonischen Kundenkontakten, „grundsätzlich zu überprüfen“.

 

Landgericht erklärt Facebook-Like-Button für unzulässig

9. März 2016

Über das Verfahren vor dem Landgericht Düsseldorf, das über die Zulässigkeit eines Facebook-Like-Buttons entscheiden muss(te), hatten wir bereits berichtet. Es ging um die Klage der Verbraucherzentrale NRW gegen den Bekleidungshändler Peek&Cloppenburg wegen der Einbindung des Facebook-Like-Buttons auf der Website des Unternehmens.

Der Like-Button, ein social Plug-In, leitet bei seiner Einbindung in eine Website Daten über das Surfverhalten des Besuchers  schon beim schlichten Aufrufen der Website unmittelbar an Facebook weiter, ohne dass der Besucher dies beeinflussen oder gar verhindern kann.

Wie ZEIT Online , die Süddeutsche Zeitung und die Verbraucherzentrale berichten, hat das Landgericht Düsseldorf nun der Verbraucherzentrale weitgehend Recht gegeben. Es erklärte am heutigen Mittwoch, dass Unternehmen die Besucher ihrer Websites über die Weitergabe der Daten aufklären müssen. Die Integration des Like-Buttons verletze Datenschutzvorschriften, weil dadurch unter anderem die IP-Adresse des Nutzers ohne ausdrückliche Zustimmung an Facebook weitergeleitet werde, so das Gericht.

Auf der Webseite „Fashion ID“ von Peek&Cloppenburg, die Anlass der Klage war, findet sich inzwischen die sog. Zwei-Klick-Lösung, bei der der Besucher das social Plug-In explizit aktivieren muss und dabei in die Datenübertragung an Facebook einwilligt. Zur datenschutzrechtlichen Zulässigkeit dieser Zwei-Klick-Lösung hat das Landgericht nach bisherigem Erkenntnisstand keine Stellung bezogen. Das Urteil ist (noch) nicht rechtskräftig.

Unternehmen sollten das Urteil des Landgerichts zum Anlass nehmen und ihre Websites auf social Plug-Ins und deren Einbindung überprüfen.

 

Bundeskartellamt eröffnet Verfahren gegen Facebook

8. März 2016

Das Bundeskartellamt hat ein Verfahren gegen die Facebook Inc. mit Sitz in den USA sowie deren Tochterunternehmen in Irland und die Facebook Germany GmbH in Hamburg eröffnet. Es bestehe der Verdacht, Facebook missbrauche seine Marktstellung dazu, durch datenschutzrechtlich unzulässige Vertragsbedingungen an Nutzerdaten zu gelangen und diese z. B. zu Werbezwecken auszuwerten.

Die Behörde ist der Ansicht, es könne sich hierbei um einen kartellrechtlich relevanten Konditionenmissbrauch seitens Facebook handeln. Sie möchte überprüfen, welcher Zusammenhang zwischen der möglichen marktherrschenden Stellung Facebooks und den rechtswidrigen Nutzungsbedingungen bestehe.

Der Präsident des Bundeskartellamts Andreas Mundt äußerte sich dazu wie folgt: „Marktbeherrschende Unternehmen unterliegen besonderen Pflichten. Dazu gehört es auch, angemessene Vertragsbedingungen zu verwenden, soweit diese marktrelevant sind. Für werbefinanzierte Internetdienste wie Facebook haben die Nutzerdaten eine herausragende Bedeutung. Gerade deshalb muss auch unter dem Gesichtspunkt des Missbrauchs von Marktmacht untersucht werden, ob die Verbraucher über die Art und den Umfang der Datenerhebung hinreichend aufgeklärt werden.“

Facebook erhebe in großem Maße personenbezogene Daten seiner Nutzer und erstelle auf dieser Grundlage Nutzerprofile, die der Werbebranche für gezielte Werbung dienen. Die Verarbeitung der Daten erfolgt durch die Einwilligung der Nutzer. Problematisch ist, dass die Nutzer sich mit den Nutzungsbedingungen einverstanden erklären, obwohl das Ausmaß der Einwilligungserklärung für die Nutzer schwer nachzuvollziehen sein dürfte. Datenschützer kritisierten daher bereits mehrfach die Nutzungsbedingungen des Unternehmens. Das Vorgehen des Bundeskartellamts ist aus datenschutzrechtlicher Sicht zu begrüßen, zumal das Bundeskartellamt wesentlich höhere Strafen vorsieht, als das Bundesdatenschutzgesetz.

Kategorien: Allgemein · Wettbewerbsrecht
Schlagwörter:

Google: Recht auf Vergessenwerden durch Geoblocking

7. März 2016

Ab dieser Woche wird Google nach eigenen Angaben das Urteil des Europäischen Gerichtshofs auf das sog. Recht auf Vergessenwerden auf seiner .com-Domain und anderen internationalen Suchseiten umsetzen.

Man werde fortan zusätzlich zu der bestehenden Praxis Geolocation-Signale (wie z. B. IP-Adressen) nutzen, um den Zugriff auf die gesperrten URLs auf allen Google-Suchdomains, einschließlich Google.com, zu beschränken, wenn sie aus dem Land der Person aufgerufen wird, welche die Löschung beantragt hat (Geoblocking). Die Filterung der beanstandeten Suchergebnisse erfolge dann anhand der IP-Adresse eines Nutzers, die Google verrät, in welchem Land er sich befindet.

Wenn nun z. B. ein deutscher Anwender einen Antrag auf Sperrung einer URL beantragt und dem Antrag von Google nachgekommen wird, habe das Geoblocking zur Folge, dass keinem Anwender in Deutschland mehr diese konkrete URL im Zusammenhang mit dessen Namen in den Suchergebnissen angezeigt wird. Anwendern außerhalb Deutschlands werde jedoch die fragliche URL bei einer Namenssuche weiterhin über alle nicht europäischen Google-Suchseiten bei Abruf angezeigt.

Ob diese Umstellung den europäischen Datenschutzbehörden genügen wird, bleibt abzuwarten. So wurde ursprünglich insbesondere von der französischen Aufsichtsbehörde CNIL gefordert, dass das Recht auf Vergessenwerden weltweit umgesetzt wird, die Links also nicht nur in Europa, sondern weltweit gelöscht werden.

 

Kategorien: Allgemein
Schlagwörter: , ,

EU-Kommission stellt Legislativpakt zum Privacy Shield vor

2. März 2016

Zu Beginn dieser Woche veröffentlichte die EU-Kommission in einer Pressemitteilung verschiedene Dokumente hinsichtlich des EU-US Privacy Shields`.
Nachdem der EuGH in seinem Urteil vom 06.10.2015 das Safe-Harbor-Abkommen für ungültig erklärte, obliegt es dem europäischen Gesetzgeber eine neue Rechtsgrundlage zu entwerfen, die den Datentransfer zwischen den EU-Mitgliedsstaaten und den USA legitimiert und dessen Grundsätze und Voraussetzungen regelt. Wie in einem früheren Blogbeitrag berichtet, stellte die EU-Kommission Anfang Februar die Rahmenbedingungen des neuen Regelungswerks – namentlich des EU-US Privacy Shields` – vor.
Das Privacy Shield enthält zum einen strenge Regularien für US-Unternehmen. Diese sollen demnach unter anderem verpflichtet werden, sich regelmäßig ihre Datenschutzkonformität zu bescheinigen, ihre Datenschutzerklärung im Internet zur Verfügung zu stellen und innerhalb von 45 Tagen auf Beschwerden zu reagieren. Bei Verstößen oder Nichtbeachtung drohen Sanktionen. Weiterhin sollen EU-Bürgen zukünftig auf verschiedenen Wegen Rechtsschutz garantiert werden, so dass sie bei Verletzung ihrer Datenschutzrechte gegen US- Behörden und Unternehmen gerichtlich und außergerichtlich vorgehen können. Ein weiteres neues Element in des Privacy Shields´ sind Verbote dahingehend, dass US-Behörden nur unter festgelegten Voraussetzungen personenbezogene Daten speichern dürfen.
Die EU-Kommission nahm außerdem einen sogenannten Angemessenheitsbeschluss an. Der Angemessenheitsbeschluss bescheinigt, dass die USA den Schutz von personenbezogenen Daten überzeugend zugesichert haben. In verschiedenen Dokumenten versichert die US-Regierung (Annexe I-VII), dass konkrete Auflagen für US-Unternehmen gelten und diese konsequent durchgesetzt werden, der Zugriff auf Daten von EU-Bürgern durch US-Behörden eindeutigen Beschränkungen unterliegen, EU-Bürger ihre Datenschutzrechte sowohl gegen US-Unternehmen als auch US-Behörden geltend machen können und somit hinreichend Rechtsschutz gewährleistet ist. Die Einhaltung und Umsetzung des Privacy Shields‘ wird zudem überwacht und regelmäßig geprüft.
Für EU-Bürger sollen durch diese Mechanismen vor allem mehr Transparenz hinsichtlich des Datentransfers sowie ein besserer Schutz ihrer Daten und eine vereinfachte Durchsetzung ihrer Rechte entstehen.
In den USA hat zwischenzeitlich der US-Präsident Obama den Judicial Redress Act unterzeichnet. Dieser garantiert EU-Bürgern Rechtsschutz in den USA. Außerdem werden in den USA nun weitere Vorkehrungen getroffen werden, um die vereinbarten Maßnahmen zu realisieren. Auf europäischer Seite wird nun die Artikel-29-Datenschutzgruppe zu den von der EU-Kommission vorgelegten Dokumenten beraten, bevor abschließend über das EU-US Privacy Shield entschieden wird.
Ob die vereinbarten Maßnahmen und deren Umsetzung tatsächlich zu einem besseren Datenschutzniveau beitragen werden, bleibt abzuwarten.

EuGH beschäftigt sich mit Facebook-Fanpage

26. Februar 2016

Nachdem wir vor kurzem in diesem Blog berichtet haben, dass das Bundesverwaltungsgericht am 25.02.2016 ein Urteil bzgl. sog. Fanpages bei Facebook fällen wird, wollen wir nun natürlich berichten wie es weiter geht.

Aber zunächst kurz zur Erinnerung der Hintergrund: Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte im November 2011 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH die Deaktivierung deren Fanpage auf Facebook angeordnet. Nach Auffassung des ULD verletze der Betrieb der Facebook-Fanpage europäisches und nationales Datenschutzrecht.

Der Rechtsstreit zwischen dem ULD und der Wirtschaftsakademie beschäftigte seit 2011 das Schleswig-Holsteinische Verwaltungsgericht (09.10.2013) und das Schleswig-Holsteinische Oberverwaltungsgericht (04.09.2014). Im Wesentlichen geht es um die Frage der Verantwortlichkeit von Unternehmen für die Datenverarbeitung auf von ihnen betriebenen Facebook-Fanpages.

Die Frage ist deshalb so spannend, weil die Antwort weitreichende Konsequenzen haben kann. Wenn ein Unternehmen als verantwortliche Stelle für die Datenverarbeitung auf seiner Fanpage bei Facebook gilt, steht es vor der interessanten Frage, wie es diese Verantwortlichkeit innerhalb der Facebook-Umgebung, auf deren technische Ausgestaltung es faktisch keinen Einfluss hat, ausüben soll. In letzter Konsequenz müsste das Unternehmen seine Fanpage bei Facebook deaktivieren – oder Facebook seine technische und organisatorische Struktur ändern.

Das Bundesverwaltungsgericht hat nun gestern (25.02.2016) kein Urteil gesprochen, sondern die wesentlichen Fragen dem EuGH zum Vorabentscheid vorgelegt. Bis zu deren Beantwortung wird das Revisionsverfahren ausgesetzt.

Marit Hansen, die Leiterin des ULD, bedauert einerseits, dass nun immer noch keine Entscheidung vorliegt, freut sich aber gleichzeitig darüber, „dass das Bundesverwaltungsgericht in der Verhandlung die Wirksamkeit der Grundrechte auch in komplexen Verarbeitungszusammenhängen im Internet betont hat“.

Für die Unternehmen bedeutet die Vorlage der Fragen an den EuGH, dass nun noch einige Zeit vergehen wird, bis über die Verantwortklichkeit der Datenverarbeitung bei Facebook-Fanpages endgültig entschieden wird.

Gleichzeitig zeigt sich auch hier wieder, dass beim Thema Datenschutz auf europäischer und nationaler Ebene momentan sehr viel Bewegung herrscht und jedes Unternehmen gut beraten ist, einen Schwerpunkt auf Datenschutz (und dessen praktische Umsetzung) in der Unternehmensstrategie zu setzen.

 

 

Datenschtz als Verbraucherschutz – Änderung des UKlaG (oder: warum man sich von langen Gesetzesnamen nicht abschrecken lassen sollte)

25. Februar 2016

Schon seit einiger Zeit kursieren Meldungen, dass das Unterlassungsklagegesetz (UKlaG) geändert wird, auch wir haben darüber berichtet. Warum das uns als Datenschützer interessiert? Weil mit dieser recht unscheinbar wirkenden Änderung, die vor allem Verbraucherschutzverbände betrifft, ein weiterer Schritt zur Stärkung des Datenschutzes getan wird.

Hier nun kurz die Hintergründe: Am 29.01.2016 hat der Bundesrat beschlossen, „zu dem vom Deutschen Bundestag am 17. Dezember 2015 verabschiedeten Gesetz einen Antrag gemäß Artikel 77 Absatz 2 des Grundgesetzes nicht zu stellen“. Das wiederum heißt, dass das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ ohne weiteren Zwischenschritt vom Bundespräsidenten ausgefertigt und im Bundesgesetzblatt verkündet werden kann. Die Ausfertigung geschah letzte Woche, die Verkündung im Bundesgesetzblatt vorgestern (23.02.2016).

Was sehr lang und umständlich klingt, heißt übersetzt folgendes: Seit gestern (24.02.2016) können auch Verbraucherschutzverbände Datenschutzverstöße abmahnen und gerichtlich gegen sie vorgehen.

Dass Datenschutz auch dem Verbraucherschutz dient, schien manch einem zwar logisch und richtig, war aber keineswegs klar geregelt sondern vielfach umstritten. Das seit gestern geltende Gesetz regelt (unter anderem) Änderungen im UKlaG, sodass auch verbraucherschützenden Verbänden Klagebefugnis zukommt. Nach dem nunmehr neuen § 2 Abs. 2 Nr. 11 UKlaG können unter anderem solche Datenschutzverstöße abgemahnt und gerichtlich verfolgt werden, die Datensammlungen zu Werbezwecken, für das Erstellens von Persönlichkeits- und Nutzungsprofilen, den sonstigen Datenhandel oder zu vergleichbaren kommerziellen Zwecken betreffen.

Dies dürfte vor allem die Verbraucherzentrale Bundesverband und die Wettbewerbszentrale freuen, die beide als sog. qualifizierte Einrichtungen gelten und damit klagebefugt sind (um eine Abmahnwelle zu vermeiden, ist nämlich nicht jeder ohne Weiteres klagebefugt). Die Wichtigkeit von Datenschutz wird damit einmal mehr betont.

Für Unternehmen ist diese Neuerung ein weiterer Anreiz, sich (noch) stärker mit dem Datenschutz zu befassen. Neben den Bewegungen im internationalen Datenverkehr nach der „Safe-Harbour“-Rechtsprechung des EuGH und dem künftigen„Privacy Shield“ sowie der 2018 in Kraft tretenden EU-Datenschutzgrundverordnung ist durch die Änderung des UKlaG ein weiterer Grund hinzugekommen, das Thema Datenschutz in der Unternehmensstrategie als Priorität zu behandeln.

 

1 17 18 19 20 21 138