Kategorie: Aufsichtsbehördliche Maßnahmen

Die Verbraucherzentrale und das Smart-TV

16. Juni 2016

Wie die Verbraucherzentrale NRW mitgeteilt hat, hat das Landgericht Frankfurt ihrer Klage gegen die Samsung Electronics GmbG statt gegeben.

Grund waren die Datenschutzbestimmungen des Smart-TVs von Samsung, die nach Auffassung der Verbraucherzentrale und des Landgerichts intransparent sind und nicht den gesetzlichen Bestimmungen entsprechen. Konkret heißt es: “Datenschutzbestimmungen, die auf 56 Bildschirmseiten eines Smart-TV im Fließtext ohne Verwendung von Abschnitten und Überschriften dargestellt werden, sind wegen ihrer Länge und Unübersichtlichkeit intransparent und keine geeignete Grundlage für eine Einwilligung in die Datenerhebung und -verwendung.”

Darüber hinaus hat das Gericht (das die 56 Smart-TV-großen Seiten ja auch lesen musste), einzelne Klauseln beanstandet, insbesondere die verwendete Einwilligungsklausel, die nach Ansicht des Gerichts nicht den gesetzlichen Anforderungen entsprach.

Damit hat die Verbraucherzentrale NRW erfolgreich von der Änderung des Unterlassungsklagegesetzes Gebrauch gemacht, wonach neuerdings auch Verbraucherzentralen Datenschutzverstöße mahnen und ahnden dürfen.

Lesenswerte Broschüre zum Datenschutz im Krankenhaus

Der Bayrische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, hat eine Broschüre zum Datenschutz im Krankenhaus veröffentlicht. Was zunächst recht träge klingt, ist anschaulich, lebendig und verständlich geschrieben. Die Broschüre begleitet einen (fiktiven) Patienten bei seinem Krankenhausbesuch. Dabei werden selbstverständlich verschiedene Daten des Patienten erfasst und verarbeitet, teilweise aber auch schon vorhandene Daten wieder aufgerufen oder an andere Stellen übermittelt. Die Fragen, die sich dem Patienten dabei stellen, werden in der Broschüre kurz und übersichtich beantwortet.

Insgesamt hat es der Bayrische Landesbeauftragte für den Dateschutz damit geschafft, eine durchaus lesenswerte Lektüre zu erstellen, nicht nur für Patienten.

Erste Bußgelder wegen fehlerhafter Datenübermittlung in die USA

8. Juni 2016

Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.

Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.

Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.

Urteil: WhatsApp AGB müssen auf Deutsch angeboten werden

19. Mai 2016

Der zu Facebook gehörende Messenger-Dienst WhatsApp bietet eine deutschsprachige Internetseite an, auf der der Messenger und seine Funktionen ausführlich dargestellt und beworben wird. Die juristischen Einzelheiten, zu denen auch die immer wieder im Fokus stehenden Datenschutzbestimmungen gehören, die hinter der Technik stecken, finden sich – wie üblich – in den Allgemeinen Geschäftsbedingungen (AGB). Ausgerechnet die für den Laien ohnehin meist schwer verständlichen AGB sind als einziger Teil der Webpräsenz auf Englisch.

Der Bundesverband der Verbraucherzentralen (VZBV) kritisiert die fremdsprachlichen AGB und streitet bereits seit zwei Jahren mit dem Betreiber des Messengers vor deutschen Gerichten über die Notwendigkeit einer deutschen Version der AGB. Wie der Verbraucherverband mitteilte, hat nach dem Landgericht Berlin nun auch das Berliner Kammergericht festgestellt, dass die AGB auf englischer Sprache ungültig seinen, da es für den Verbraucher nicht zumutbar sei, seitenlange AGB mit einer Fülle an Fachausdrücken in englischer Sprache umfangreich und richtig erfassen zu können.

Das Kammergericht stellte bei der Überprüfung der AGB zudem einen Verstoß gegen das Telemediengesetz fest, gemäß diesem mindestens zwei Möglichkeiten zur Kontaktaufnahme angeboten werden müssen, z.B. neben einer E-Mail-Adresse auch eine Telefonnummer oder ein Kontaktformular.

Eine Revision gegen das Urteil haben die Berliner Richter nicht zugelassen. Einzige Möglichkeit für den Betreiber von WhatsApp hiergegen vorzugehen, stellt eine Nichtzulassungsbeschwerde vor dem Bundesgerichtshof (BGH) dar, ansonsten wird das Urteil rechtskräftig und WhatsApp wird seine AGB auch auf Deutsch zur Verfügung stellen müssen. Wird dem nicht nachgekommen, droht dem Unternehmen ein Ordnungsgeld von bis zu 250.000 €.

Das Urteil des Berliner Kammergerichts sei zugleich auch ein wichtiges Signal an andere international agierende Unternehmen, wie die Verbraucherzentrale positiv feststellend zitiert wird.

Ja, Nein, Vielleicht? Ein How-To für Einwilligungserklärungen

2. Mai 2016

Einwilligungserklärungen zur Verwendung von Daten finden sich häufig – auf Websites, in Formularen oder bei Verträgen. Häufig sind diese Einwilligungserklärungen jedoch nicht datenschutzkonform gestaltet: mal ist die Einwilligung als Bestandteil des Vertrages im Vertragstext “versteckt”, mal ist keine Widerrufsmöglichkeit angegeben.

Um diesen praktischen Problemen zu begegnen, hat der Düsseldorfer Kreis (also die datenschutzrechtlichen Aufsichtsbehörden der Länder) eine “Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen” herausgegeben. Hier werden die elf wichtigsten Punkte einer Einwilligungserklärung aufgeführt und erklärt.

Dies ist nicht die erste praktische Hilfe des Düsseldorfer Kreises: Hinsichtlich Einwilligungen zu Werbung sei auf den entsprechenden Leitfaden verwiesen, der die Fallstricke und Gestaltungsmöglichkeiten aufzeigt.

Bundesinnenminister Thomas de Maizière für europäischen Datenaustausch

6. April 2016

Nach den Terroranschlägen von Brüssel hat sich Bundesninnenminister Thomas de Maizière (CDU) erneut für eine stärkere Verknüpfung der europäischen Behörden ausgesprochen. “Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang”, konstatierte Bundesinnenminister Thomas de Maizière in den Tagesthemen der ARD. “An den Außengrenzen des Schengenraums sind zu viele Lücken.” so de Maizière weiter, “Wir brauchen ein Ein- und Ausreiseregister für den Schengenraum.” De Maizière reiht sich mit seinen Forderungen in eine traditionelle Riege seiner Amtsvorgänger ein, die mit ähnlichen Aussagen bereits den Datenschutz gegenüber den Sicherheitsaspekten zurück stehen lassen wollten. So hatte etwa Hans-Peter Friedrich (CDU) im Jahr 2013 den Begriff des “Supergrundrechts” für die Sicherheit der Bürger intoniert und sich dabei seinerseits auf seinen Amtsvorgänger Otto Schily (SPD) und dessen Aussagen aus dem Jahr 1997 berufen. Gegenwind bekommt de Maizière unter anderem von Peter Schaar. Der ehemalige Bundesdatenschutzbeauftragte erklärte gegenüber dem Tagesspiegel: “Ich finde es falsch, den Datenschutz hier zum Prügelknaben zu machen”. Schaar konstatierte weiter, dass sofern es bei der Kooperation hapere, dies oft daran liege, dass “das Meldeverhalten der nationalen Behörden an europäische Institutionen, etwa an das Schengen-Informationssystem oder an Europol, von Land zu Land höchst unterschiedlich” sei.

Landgericht erklärt Facebook-Like-Button für unzulässig

9. März 2016

Über das Verfahren vor dem Landgericht Düsseldorf, das über die Zulässigkeit eines Facebook-Like-Buttons entscheiden muss(te), hatten wir bereits berichtet. Es ging um die Klage der Verbraucherzentrale NRW gegen den Bekleidungshändler Peek&Cloppenburg wegen der Einbindung des Facebook-Like-Buttons auf der Website des Unternehmens.

Der Like-Button, ein social Plug-In, leitet bei seiner Einbindung in eine Website Daten über das Surfverhalten des Besuchers  schon beim schlichten Aufrufen der Website unmittelbar an Facebook weiter, ohne dass der Besucher dies beeinflussen oder gar verhindern kann.

Wie ZEIT Online , die Süddeutsche Zeitung und die Verbraucherzentrale berichten, hat das Landgericht Düsseldorf nun der Verbraucherzentrale weitgehend Recht gegeben. Es erklärte am heutigen Mittwoch, dass Unternehmen die Besucher ihrer Websites über die Weitergabe der Daten aufklären müssen. Die Integration des Like-Buttons verletze Datenschutzvorschriften, weil dadurch unter anderem die IP-Adresse des Nutzers ohne ausdrückliche Zustimmung an Facebook weitergeleitet werde, so das Gericht.

Auf der Webseite “Fashion ID” von Peek&Cloppenburg, die Anlass der Klage war, findet sich inzwischen die sog. Zwei-Klick-Lösung, bei der der Besucher das social Plug-In explizit aktivieren muss und dabei in die Datenübertragung an Facebook einwilligt. Zur datenschutzrechtlichen Zulässigkeit dieser Zwei-Klick-Lösung hat das Landgericht nach bisherigem Erkenntnisstand keine Stellung bezogen. Das Urteil ist (noch) nicht rechtskräftig.

Unternehmen sollten das Urteil des Landgerichts zum Anlass nehmen und ihre Websites auf social Plug-Ins und deren Einbindung überprüfen.

 

EuGH beschäftigt sich mit Facebook-Fanpage

26. Februar 2016

Nachdem wir vor kurzem in diesem Blog berichtet haben, dass das Bundesverwaltungsgericht am 25.02.2016 ein Urteil bzgl. sog. Fanpages bei Facebook fällen wird, wollen wir nun natürlich berichten wie es weiter geht.

Aber zunächst kurz zur Erinnerung der Hintergrund: Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte im November 2011 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH die Deaktivierung deren Fanpage auf Facebook angeordnet. Nach Auffassung des ULD verletze der Betrieb der Facebook-Fanpage europäisches und nationales Datenschutzrecht.

Der Rechtsstreit zwischen dem ULD und der Wirtschaftsakademie beschäftigte seit 2011 das Schleswig-Holsteinische Verwaltungsgericht (09.10.2013) und das Schleswig-Holsteinische Oberverwaltungsgericht (04.09.2014). Im Wesentlichen geht es um die Frage der Verantwortlichkeit von Unternehmen für die Datenverarbeitung auf von ihnen betriebenen Facebook-Fanpages.

Die Frage ist deshalb so spannend, weil die Antwort weitreichende Konsequenzen haben kann. Wenn ein Unternehmen als verantwortliche Stelle für die Datenverarbeitung auf seiner Fanpage bei Facebook gilt, steht es vor der interessanten Frage, wie es diese Verantwortlichkeit innerhalb der Facebook-Umgebung, auf deren technische Ausgestaltung es faktisch keinen Einfluss hat, ausüben soll. In letzter Konsequenz müsste das Unternehmen seine Fanpage bei Facebook deaktivieren – oder Facebook seine technische und organisatorische Struktur ändern.

Das Bundesverwaltungsgericht hat nun gestern (25.02.2016) kein Urteil gesprochen, sondern die wesentlichen Fragen dem EuGH zum Vorabentscheid vorgelegt. Bis zu deren Beantwortung wird das Revisionsverfahren ausgesetzt.

Marit Hansen, die Leiterin des ULD, bedauert einerseits, dass nun immer noch keine Entscheidung vorliegt, freut sich aber gleichzeitig darüber, “dass das Bundesverwaltungsgericht in der Verhandlung die Wirksamkeit der Grundrechte auch in komplexen Verarbeitungszusammenhängen im Internet betont hat“.

Für die Unternehmen bedeutet die Vorlage der Fragen an den EuGH, dass nun noch einige Zeit vergehen wird, bis über die Verantwortklichkeit der Datenverarbeitung bei Facebook-Fanpages endgültig entschieden wird.

Gleichzeitig zeigt sich auch hier wieder, dass beim Thema Datenschutz auf europäischer und nationaler Ebene momentan sehr viel Bewegung herrscht und jedes Unternehmen gut beraten ist, einen Schwerpunkt auf Datenschutz (und dessen praktische Umsetzung) in der Unternehmensstrategie zu setzen.

 

 

Datenschtz als Verbraucherschutz – Änderung des UKlaG (oder: warum man sich von langen Gesetzesnamen nicht abschrecken lassen sollte)

25. Februar 2016

Schon seit einiger Zeit kursieren Meldungen, dass das Unterlassungsklagegesetz (UKlaG) geändert wird, auch wir haben darüber berichtet. Warum das uns als Datenschützer interessiert? Weil mit dieser recht unscheinbar wirkenden Änderung, die vor allem Verbraucherschutzverbände betrifft, ein weiterer Schritt zur Stärkung des Datenschutzes getan wird.

Hier nun kurz die Hintergründe: Am 29.01.2016 hat der Bundesrat beschlossen, “zu dem vom Deutschen Bundestag am 17. Dezember 2015 verabschiedeten Gesetz einen Antrag gemäß Artikel 77 Absatz 2 des Grundgesetzes nicht zu stellen”. Das wiederum heißt, dass das “Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts” ohne weiteren Zwischenschritt vom Bundespräsidenten ausgefertigt und im Bundesgesetzblatt verkündet werden kann. Die Ausfertigung geschah letzte Woche, die Verkündung im Bundesgesetzblatt vorgestern (23.02.2016).

Was sehr lang und umständlich klingt, heißt übersetzt folgendes: Seit gestern (24.02.2016) können auch Verbraucherschutzverbände Datenschutzverstöße abmahnen und gerichtlich gegen sie vorgehen.

Dass Datenschutz auch dem Verbraucherschutz dient, schien manch einem zwar logisch und richtig, war aber keineswegs klar geregelt sondern vielfach umstritten. Das seit gestern geltende Gesetz regelt (unter anderem) Änderungen im UKlaG, sodass auch verbraucherschützenden Verbänden Klagebefugnis zukommt. Nach dem nunmehr neuen § 2 Abs. 2 Nr. 11 UKlaG können unter anderem solche Datenschutzverstöße abgemahnt und gerichtlich verfolgt werden, die Datensammlungen zu Werbezwecken, für das Erstellens von Persönlichkeits- und Nutzungsprofilen, den sonstigen Datenhandel oder zu vergleichbaren kommerziellen Zwecken betreffen.

Dies dürfte vor allem die Verbraucherzentrale Bundesverband und die Wettbewerbszentrale freuen, die beide als sog. qualifizierte Einrichtungen gelten und damit klagebefugt sind (um eine Abmahnwelle zu vermeiden, ist nämlich nicht jeder ohne Weiteres klagebefugt). Die Wichtigkeit von Datenschutz wird damit einmal mehr betont.

Für Unternehmen ist diese Neuerung ein weiterer Anreiz, sich (noch) stärker mit dem Datenschutz zu befassen. Neben den Bewegungen im internationalen Datenverkehr nach der “Safe-Harbour”-Rechtsprechung des EuGH und dem künftigen“Privacy Shield” sowie der 2018 in Kraft tretenden EU-Datenschutzgrundverordnung ist durch die Änderung des UKlaG ein weiterer Grund hinzugekommen, das Thema Datenschutz in der Unternehmensstrategie als Priorität zu behandeln.

 

Zwei Männer, ein Thema, zwei Welten

24. Februar 2016

Es ist ein Zufall, wie er manchmal in der Berichterstattung vorkommt, und er verdeutlicht, wie unterschiedlich die Welten und Ansichten sind wenn es um das Thema Datenschutz geht.

Innerhalb von 5 Stunden veröffentlichte heise online gestern erst die Nachricht über das “düstere Fazit” des Datenschutzbeauftragten von Sachsen-Anhalt, Harald von Bose, und anschließend die Forderung des Kanzleramtsministers Peter Altmaier (CDU), die Grenzen der Datensparsamkeit zu erkennen und das Konzept der informationellen Selbstbestimmung neu zu denken.

Beide Männer haben somit dasselbe Thema, nämlich Datenschutz, aber die Ansichten und Forderungen könnten unterschiedlicher nicht sein.

Während Peter Altmaier die (in solchen Fällen gerne genannte) Terror-Bedrohung als Allzweck-Argument für die massenhafte Erhebung, Verarbeitung und Speicherung von Meta- wie auch persönlichen Daten (und deren Verknüpfung untereinander) heranzieht, sieht Harald von Bose in genau jenem Argument lediglich einen Vorwand, der vor allem dazu diene, den Sicherheitsbehörden (noch) mehr Befugnisse zu geben.

In seinem Tätigkeitsbericht sieht der sachsen-anhaltische Datenschutzbeauftragte Widersprüche zwischen Anspruch und Wirklichkeit. Zwar habe der Europäische Gerichtshof in seinen Entscheidungen zum “Recht auf Vergessen” und zum Verhältnis von EU und USA als nicht sicherem Datenhafen die Grundrechte gestärkt. Umsetzungen in der Praxis ließen aber vielfach auf sich warten. Stattdessen würden die Menschen immer gläserner, ob als Bürger, als Verbraucher, als Kunde, im Verhältnis zum Staat, zu Unternehmen und zu anderen Menschen, auch als Autofahrer, als Patient, zu Hause, am Arbeitsplatz oder in der Öffentlichkeit. Algorithmen erfassen und steuern zunehmend das Verhalten bis hinein in die Gedankenfreiheit, so Harald von Bose in seiner Pressemitteilung vom 23.02.2016.

Im Verhältnis von Freiheit und Sicherheit sieht er den Staat eindeutig auf der Seite der (vermeintlichen) Sicherheit und in der Übermacht. Das, was Harald von Bose also als Gefährdung der Privatsphäre und damit der freien Gesellschaft insgesamt sieht, stellt für Peter Altmaier den aus seiner Sicht wohl wünschenswerten Anfang des Endes der Datensparsamkeit dar. Nach seinen Forderungen sollten sämtliche Daten von sämtlichen Stellen den Sicherheitsbehörden zur Verfügung gestellt und das Konzept der informationellen Selbstbestimmung neu gedacht werden. Man darf davon ausgehen, dass ein solches “neu denken” des Konzepts der informationellen Selbstbestimmung wohl kaum zu mehr Datenschutz für die Bürger führen würde.

Die beiden konträren Ansichten zweier Männer über ein Thema an einem Tag zeigen Fragen auf, die sich Viele stellen:

In welcher digitalen Welt wollen wir leben? Können und wollen wir die digitale Zukunft (und Gegenwart) mitbestimmen? Es sind auch grundsätzliche und persönliche Fragen, die manchen vielleicht an die ein oder andere Schulstunde erinnern: War ich Fan oder Gegner von George Orwells “1984” und Aldous Huxleys “Brave New World”?

Hier geht es um Fragen, die in Form von verschiedenen Themen immer wieder in den Nachrichten oder Foren auftauchen. So z.B. die Übertragung von Gesundheitsdaten an Krankenkassen durch sog. Wearables, die Übertragung des Fahrverhaltens an Autohersteller oder auch die Einschränkung von Suchergebnissen in Internetsuchmaschinen.

Es sind Fragen und Entscheidungen, die möglichst frei und informiert beantwortet und getroffen werden sollten. Sowohl von Jedem einzelnen als auch der Gesellschaft als Ganzem.

 

1 24 25 26 27 28 34