17. Juni 2019
Der EuGH hat entschieden, dass Googles Internetdienst Gmail kein Kommunikationsdienst im Sinne der europäischen Telekommunikationsrichtlinie darstelle. Telekommunikationsdienste müssen in Deutschland Auflagen beim Datenschutz und bei der Zusammenarbeit mit Ermittlern erfüllen. Die Befürchtungen, die Bundesnetzagentur könnte zur „Megabehörde“ werden, bewahrheiten sich damit nicht. Im jahrelangen Streit zwischen Google und der Bundesnetzagentur traf das EU-Gericht eine weitreichende Entscheidung (Urt. V. 13.06.2019, Az. C-193/18).
Die Bundesnetzagentur (BNetzA) ist mit dem Versuch gescheitert, Webdienste wie Googles Gmail den deutschen Bestimmungen des Telekommunikationsgesetztes zu unterwerfen. Demnach müssen Gmail und andere Webangebote keine neuen Verpflichtungen beim Datenschutz oder der öffentlichen Sicherheit eingehen – etwa Schnittstellen für den Datenzugriff von Ermittlungsbehörden einrichten. Gmail muss zudem auch nicht der Meldepflicht aus § 6 TKG nachkommen, wonach sich gewerbliche Betreiber öffentlicher Telekommunikationsnetze bei der BNetzA melden müssen. Google argumentierte, dass Gmail als Webmail-Dienst das bestehende Internet zur Telekommunikation nutze. Der Konzern selbst „betreibe“ aber kein Telekommunikationsnetz, vermittle den Kunden keinen Zugang zum Internet und kontrolliere auch nicht die Datenübertragung.
Dem folgten die Luxemburger Richter und begründeten ihre Entscheidung damit, dass Google „nicht ganz oder ganz überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze besteht“. Zwar sei richtig, dass Gmail etwa durch die Einspeisung von empfangenen Email-Datenpaketen in das offene Internet auch Signale überträgt. Die Schwelle aber, ab der ein Online-Dienst vollständig oder ganz überwiegend Signale überträgt, sei hier noch nicht erreicht.
12. Juni 2019
Wie wir bereits berichteten hat die spanische Fußballliga Millionen Fans über eine App belauscht, in der das Mikrofon der Smartphones mit dem Ziel angezapft wurde, illegale Zuschauer aufzuspüren. Nachdem der Verband die Datenschutzerklärung aktualisierte, flog der Lauschangriff auf die Fans auf.
Jetzt hat die spanische Datenschutzbehörde AEPD ein Bußgeld in Hohe von 250.000 Euro gegen die spanische Fußball-Liga „La Liga“ verhängt. Betroffen von dem Lauschangriff sind mehr als vier Millionen Fans.
Grund für die Datenabfrage sei unter anderem der Kampf gegen Pay-TV-Betrug, da immer wieder Sportkneipen und Übertragungsorte die Gebühr für die Lizenz prellen würden, die zur öffentlichen Vorführung der Fußballturniere berechtigen.
Die Datenschützer kritisieren, dass die App-Nutzer gegen ihr Wissen als Spitzel für die wirtschaftlichen Interessen der Liga eingespannt worden sein. Der jährliche Schaden soll sich nach Angaben der spanischen Liga auf 400 Millionen Euro belaufen.
Zwar hätte aufmerksamen Lesern der Datenschutzvereinbarung der offiziellen Liga-App bereits 2019 bemerken können, dass der Anbieter unter anderem Zugriff auf das Smartphone-Mikrofon der Nutzer verlangte. Jedoch bewertete die spanische Datenschutzbehörde das Vorgehen von „La Liga“ jetzt als Verstoß gegen die geltenden Transparenzregeln und verhängte die Strafe. Zusätzlich muss die App bis zum 30.Juni entfernt werden.
Gegen diese Entscheidung wehrt sich der Fußballverband nun und wies die Vorwürfe als „unbegründet“ zurück. Sie wollen gegen die „unverhältnismäßige“ Strafe in Berufung gehen. La Liga hätte immer „verantwortungsbewusst“ und „im Einklang mit dem Gesetz“ gehandelt. Als Begründung führte sie an, dass die App das Smartphone-Mikro nur zur Sendezeit der Ligaspiele aktiviere. Die Aufzeichnung von Gesprächen oder zusammenhängenden Audio-Dateien würde nicht stattfinden und eine Gewährleistung der Privatsphäre wäre gegeben.
Die italienische
Datenschutzbehörde hat eine Geldbuße in Höhe von über 2 Millionen Euro gegen
ein Unternehmen wegen Verstößen gegen die Datenschutzgrundverordnung verhängt.
Das verantwortliche Unternehmen hat durch ein albanisches Callcenter Telemarketing und Teleselling -Aktivitäten im Auftrag eines Unternehmens des Energiesektors durchgeführt. Das verantwortliche Unternehmen hatte das albanische Callcenter angewiesen, potenzielle Kunden unter Verwendung der vom Callcenter selbst gesammelten Telefonnummern telefonisch zu kontaktieren. Nach dem ersten Kontakt durch das Callcenter wurden die Personen, die sich zur Unterzeichnung eines Vertrages bereit erklärt hatten, vom Unternehmen zurückgerufen.
Die zuständige Behörde hatte nach Ermittlungen festgestellt, dass die kontaktierten betroffenen Personen weder ordnungsgemäß über ihre Rechte informiert wurden, noch eine schriftliche Einwilligung zur Erhebung und Verarbeitung der Daten zu Marketingzwecken vorlag.
Für die Bestimmung der Geldbuße berücksichtigte die italienische Datenschutzbehörde zum einen die hohe Anzahl der Datenschutzverstöße sowie die Einstellung des Unternehmens zum Datenschutz. Das Unternehmen soll je 6.000 €/Verstoß für 78 Verstöße gegen das Erhebungsverbot und je 10.000 €/Verstoß für 155 Verstöße gegen das Verarbeitungsverbot zahlen. Die Höhe des Bußgeldes berücksichtigt unter anderem die Schwere des Verhaltens des Unternehmens, bei dem ein ausgeprägtes Desinteresse an der Einhaltung datenschutzrechtlicher Bestimmungen vorlag.
Der Lebensmitteldiscounter Lidl will das Verhalten seiner Kunden auswerten. Mittels einer App sollen den Lidl-Kunden Rabattcoupons für bestimmte Produkte bei ihrem Einkauf im Laden angezeigt werden. Die dafür entwickelte Lidl Plus App kann ab dem 13. Juni in etwa 250 Filialen in Berlin und Brandenburg getestet werden. Ziel ist es das Kaufverhalten des Nutzers zu analysieren und so Angebote zu personalisieren. Die Kassen in allen Lidl-Filialen sind bereits mit Scannern ausgestattet, die die „digitale Kundenkarte“ lesen sollen. Nach einer Testphase ist eine deutschlandweite Nutzung der App für 2020 geplant. Für die Verarbeitung der Verhaltensdaten holt sich Lidl in der App oder auf der Webseite eine Einwilligung der Nutzer.
Dieser Ansatz zur Auswertung von Kundenverhalten im
Supermarkt ist in der Branche durchaus umstritten. Da jeder Kunde individuelle
Preisnachlässe bekommt, variiert der Preis z.B. für eine Packung Milch oder
Kaffee. Es bleibt abzuwarten, wie es bei den Kunden ankommt, wenn sie
unterschiedlich viel für bestimmte Produkte zahlen müssen. Mit Hilfe eines
5-Euro-Rabattcoupons bei einem Einkaufwert von 25 Euro beim Herunterladen der
App, setzt Lidl bereits den ersten Anreiz. Grundsätzlich ist die Auswertung des
Kundenverhaltens in Online-Shops gängige Praxis, neu hingegen ist, dass dies in
einer „stationären“ Ladenfiliale eines Supermarkts durchgeführt wird.
11. Juni 2019
Mit einem neuen Referentenentwurf zum „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ (kurz: Digitale Versorgung Gesetz) will Bundesgesundheitsminister Spahn die digitale Versorgung verbessern.
Patienten sollen telemedizinische Angebote wie etwa Gesundheits-Apps und Videosprechstunden einfacher nutzen können. Auch Überweisungen, Bescheinigung von Arbeitsunfähigkeit oder Verschreibungen ohne Vor-Ort-Besuch einer Praxis sollen ermöglicht werden. Außerdem sollen sich Daten der Patienten in absehbarer Zeit in einer elektronischen Patientenakte speichern lassen. Dies sind wesentliche Ziele des Referentenentwurfes.
Bei diesen digitalen Anwendungen werden sog. Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO besonders schützenswert sind.
Laut Ehrenpräsident der Bundesärztekammer Frank Ulrich Montgomery wird diesem Umstand Rechnung getragen: „ Höchste Priorität haben hier der Datenschutz und eine Einwilligung der Patienten in digitale Prozesse.“ sagte er gegenüber der Deutschen Presse-Agentur in Berlin.
Bundesgesundheitsminister Spahn sieht die Digitalisierung im Gesundheitswesen auf einem guten Weg: „Ich möchte, dass wir mit unserem Datenschutz, unserer Datensicherheit und vor allem auf deutschen Servern digitale Angebote entwickeln.“
Inzwischen haben fast alle Landesärztekammern ihre Berufsordnungen entsprechend angepasst.
6. Juni 2019
Der Kläger hat vor dem Verwaltungsgericht (VG) Wiesbaden (Beschluss vom 28.03.2019 – 6 K 1016/15) Klage erhoben, da der beklagte Präsident des Hessischen Landtags das Begehren auf Auskunft bzw. Akteneinsicht über die beim Petitionsausschuss des Hessischen Landtags gespeicherten personenbezogenen Daten des Klägers ablehnte.
Grundsätzlich stünde dem Kläger ein Auskunftsanspruch nach Art. 15 DSGVO zu, wenn der Petitionsausschuss unter den Anwendungsbereich von Art. 2 Abs. 1 DSGVO fällt und es sich bei ihm um eine Behörde i.S.v. Art. 4 Nr. 7 DSGVO handeln würde.
Danach sind Behörden alle öffentlichen Stellen, die Aufgaben der öffentlichen Verwaltung wahrnehmen. Das Gericht ist der Ansicht, dass es sich bei dem Petitionsausschuss um eine eigenständige Stelle, d.h. um eine Behörde im organisationsrechtlichen Sinne handelt.
Aus diesem Grund bestünden keine Versagungsgründe einer Auskunft nach Art. 15 DSGVO. Der Petent hat somit nach Ansicht des Gerichts einen Anspruch auf Auskunft über die über ihn gespeicherten personenbezogenen Daten.
Das Verfahren wurde ausgesetzt und gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union vorgelegt.
Das Landgericht Stuttgart hat sich in seinem Urteil vom 20.05.2019 – 35 O 68/18 KfH mit der Frage der Abmahnfähigkeit von Verstößen gegen die Vorschriften der Datenschutzgrundverordnung (DSGVO) befasst.
Der dem Urteil zugrunde liegender Rechtsstreit betraf folgenden Sachverhalt:
Der Kläger ist ein Interessenverband der Online-Unternehmer, welcher etwa 2.500 Mitglieder hat. Der Beklagte vertreibt Kraftfahrzeugzubehör über die Handelsplattform eBay. Der Kläger macht gegen den Beklagten einen wettbewerbsrechtlichen Unterlassungsanspruch wegen eines behaupteten Verstoßes gegen datenschutzrechtliche Bestimmungen geltend. Der Beklagte habe gegen § 13 TMG verstoßen, da er die Nutzer nicht über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten unterrichtete.
Das Landgericht Stuttgart wies die Klage ab. Einem Anspruch aus § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG stehe entgegen , dass § 13 TMG aufgrund der seit dem 25.05.2018 geltenden DSGVO keinen Anwendungsbereich mehr hat. Diese habe unmittelbare Geltung in allen Mitgliedesstaaten mit der Folge, dass nationale Regelungen vollständig verdrängt werden, soweit sie in den Anwendungsbereich des europäischen Rechts fallen. Dies ist für die Regelung des § 13 Abs. 1 TMG anzunehmen, nachdem auch Art. 13 DSGVO Regelungen zu Informationspflichten bei der Erhebung von personenbezogenen Daten enthält. Daher konnte der Beklagte nicht mehr gegen § 13 TMG verstoßen haben.
Die Frage, ob die DSGVO eine abschließende Regelung der Sanktionen enthält, ist streitig und höchstrichterlich noch nicht geklärt. Nach dem Urteil des Landgerichts Stuttgart seien Regelungen der DSGVO hinsichtlich der Sanktionen von Verstößen abschließend und der Kläger demnach nicht berechtigt, Unterlassungsansprüche weder nach dem UWG (Gesetz gegen den unlauteren Wettbewerb) noch nach dem UKlaG (Unterlassungsklagengesetz) geltend zu machen. Dies begründet das Gericht mit einer detaillierten Regelung der Sanktionen durch die DSGVO in den Art. 77 – 84 DSGVO. Dadurch komme zum Ausdruck, dass der europäische Gesetzgeber eine eigenmächtige Verfolgung von Verstößen durch Dritte nur zulassen will, wenn die in Art. 80 DSGVO genannten Voraussetzungen erfüllt sind und der nationale Gesetzgeber dies geregelt hat. Eine solche Regelung zur eigenmächtigen Verfolgung von Verstößen hat der deutsche Gesetzgeber jedoch gerade nicht getroffen.
5. Juni 2019
Ein Vorbereitungsgremium des Europäischen Rates, die Gruppe „Telekommunikation und Informationsgesellschaft“, befasst sich am 07.06.2019 mit dem Fortschrittsbericht zu einer künftigen Verordnung „über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ (ePrivacy-VO-E).
Entstehung
Bereits im Jahr 2009 wurde das datenschutzrechtliche Normengefüge im Kontext elektronischer Kommunikation durch die sog. Cookie-Richtlinie erweitert. Diese normiert unter Anderem Anforderungen an Einwilligung sowie Aufklärung der Nutzer im Kontext von Cookies auf Webseiten. Die Richtlinie wurde vom deutschen Gesetzgeber mittels Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt.
Künftig wird die ePrivacy-VO dieses Normengefüge erweitern und Aspekte elektronischer Kommunikationsdienste normieren sowie die zuvor aufgeführte Richtlinie ersetzen. Die konkrete Ausgestaltung der Verordnung ist nun Gegenstand des politischen (sowie rechtlichen) Diskurses innerhalb Europas und wird im weiteren Gesetzgebungsverfahren finalisiert.
Frühzeitige Implementation sinnvoll
Nichtsdestotrotz sollten Unternehmen dies nicht als Anlass zu übermäßiger Gelassenheit nehmen. So lehrte die (teilweise) verspätete und daraus resultierende hektische sowie mangelhafte Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO) seit Mai des letzten Jahres, dass auch Gelassenheit bisweilen ein Fehler ist. Da die fehlerhafte Umsetzung überdies ein Haftungsrisiko birgt, sollten Unternehmen keinesfalls zu lange warten, bis Sie die kommenden Regelungen der ePrivacy-VO in ihre Datenschutz-Compliance implementieren.
Apple bringt seinen eigenen Login-Service raus, mit dem sich Apple-User einfacher bei anderen Diensten und Apps registrieren können. Anstatt sich einen neuen Account für jeden neuen Dienst anzulegen, können Apple-User nun „Anmelden mit Apple“ wählen. Nach Authentifizierung mit Face ID oder Touch ID, haben die User Zugang zu den Diensten. Für die Nutzung dieses Services muss Apples „Zwei-Faktor-Authentifizierung“ aktiviert sein.
Als Option bietet Apple an, die eigene E-Mailadresse mit einer von Apple generierten zu ersetzen, um sie dem Empfänger nicht mitzuteilen. Außerdem sammelt Apple nach eigenen Aussagen keine Daten seiner User mit diesem Login-Service. Sie sollen eine Alternative zu den Login-Services von Facebook und Google sein. Apps im App Store, die die Anmeldung mit einem Log-Service anbieten, sollen ab Herbst auch den hauseigenen Apple Login-Service aufnehmen. Hierfür änderte Apple die App-Store-Policy.
Apples Login-Dienst reiht sich in Apples Datenschutz-Kampagne ein: „We’re moving privacy protections forward“, betonte Tim Cook in einem Interview. Bisher konnten Nutzer sich bei vielen Webseiten oder Apps mit ihrer Google-Mailadresse oder ihrem Facebook-Account anmelden ohne einen neunen Account erstellen zu müssen. Beide Giganten stehen immer wieder in der Kritik unrechtmäßig Nutzerdaten zu sammeln. In Deutschland wurde aus diesem Grund ebenfalls der Login-Dienst „Verimi“ geschaffen.
Laut einer Beschlussvorlage für die anstehende Innenministerkonferenz der Länder, die dem Redaktionsnetzwerk Deutschland (RND) vorliegt, sollen Daten von Smart Home Geräten als Beweismittel vor Gericht zugelassen werden. Wenn es nach den Innenministern der Länder geht könnten die digitalen Spuren zukünftig bei der Aufklärung von Verbrechen, vor allem im Bereich von Kapitalverbrechen und terroristischen Bedrohungslagen, helfen.
Wegen dieser, für die Sicherheitsbehörden, wertvollen Daten möchten die Innenminister nun verfassungsrechtliche Bedenken aus dem Weg räumen. Laut der Beschlussvorlage soll in Zukunft eine richterliche Zustimmung ausreichend sein. Allerdings erwarten die Innenpolitiker Kritik und Widerstand von den Datenschutzbeauftragten sowohl der Länder als auch des Bundes.
Smart Home Geräte sind technische Geräte wie zum Beispiel Fernseher, Kühlschränke oder Sprachassistenten, die mit dem Internet verbunden sind. Sie werden auch unter dem Begriff Internet of the Things (IoT) zusammengefasst, können über das Smartphone gesteuert werden und dem Benutzer den Alltag erleichtern. Dabei werden viele Daten gespeichert und verarbeitet.
Wir berichteten bereits mehrfach über die Vor-und Nachteile von Smart Home Geräten, unter anderem auch darüber, dass in den USA Daten von Smart Home Geräten bereits bei der Aufklärung von Verbrechen geholfen haben.
Es ist nicht von der Hand zu weisen, dass Daten von Smart Home Geräten (unter Umständen) dabei helfen können Straftaten aufzuklären, jedoch darf nicht vernachlässigt werden, dass aufgrund der technischen Ausgestaltung eine 100%ig verlässliche Aussage nicht getroffen werden kann. Ein einfaches Beispiel ist folgendes: ob der Hausherr tatsächlich zum fraglichen Zeitpunkt zu Hause war oder noch auf dem Weg nach Hause oder nur den Eindruck erwecken wollte, er sei zu Hause, während er in Wahrheit auf der anderen Seite der Welt verweilte, kann aufgrund der Daten von Smart Home Geräten nicht festgestellt werden. Aufgrund der Möglichkeit der Steuerung mit dem Smartphone kann der Benutzer zum Beispiel das Licht-/Heizungsmanagement jederzeit von überall bedienen.
Darüber hinaus ist zu Bedenken, dass der Mensch durch solche Eingriffe, bzw. die bloße Eingriffsmöglichkeit in seinem Recht auf informationelle Selbstbestimmung verletzt wird/werden kann und gerade dem Schutz dieses grundgesetzlichen geschützten Rechts hat sich der Datenschutz verschrieben.
Außerdem gilt der verfassungsrechtlich gesicherte Grundsatz, dass sich Beschuldigte nicht selbst belasten müssen.
Update: Die 210. Innenministerkonferenz ist zwischenzeitig zu Ende gegangen und eine Zulassung von Smart Home-Daten wurde abgelehnt. Die Beschlüsse der Konferenz finden Sie hier.
