10. Mai 2011
Auch die staatlichen Ermittlungsbehörden entdecken die Möglichkeiten von Social Networks, wie Facebook und XING und machen im Rahmen ihrer Ermittlungen zunehmend von dort verfügbaren Informationen Gebrauch.
Zur datenschutzrechtlichen Zulässigkeit eines derartigen Vorgehens und den sich hier für die Strafverfolgungsbehörden bietenden Möglichkeiten und Grenzen nimmt Rechtsanwalt Stephan Krämer von Kinast & Partner Rechtsanwälte innerhalb des Artikels „Polizei jagt Raser via Facebook“ auf RTL.de Stellung.
Am 09.05.2011 erfolgt die erste gesamtdeutsche Volkszählung. Die letzte Volkszählung der alten Bundesrepublik fand im Jahre 1987 statt und war Gegenstand des „Volkszählungsurteils“ des Bundesverfassungsgerichts, das erstmalig das Grundrecht auf informationelle Selbstbestimmung benannte.
Es wird nun ein neues Verfahren zur Volkszählung angewandt („registergestützter Zensus“): Die statistischen Ämter des Bundes und der Länder erheben in erster Linie registergestützt Daten. Es werden vorwiegend die bei den öffentlichen Registern der Verwaltung vorhandenen Daten der Einwohner verwendet. Es sollen aber auch rund 8 Millionen Einwohner per Zufallsprinzip ausgewählt und einer direkten Befragung unterzogen werden. Gefragt wird unter anderem nach Familienstand, Wohnsituation, Bildung/Schulabschluss, Erwerbstätigkeit und Migrationshintergrund. Darüber hinaus werden die Daten von Eigentümern von Immobilien und Menschen, die in Gemeinschaftsunterkünften leben, erhoben, verarbeitet und genutzt. Die zur Befragung Auserwählten sind nach dem Zensusgesetz, welches wiederum aufgrund einer Verordnung des Europäischen Parlaments und des Rates über Volks- und Wohnungszählungen vom 09.07.2008 erlassen worden ist, zur Auskunft verpflichtet.
Ein zentrales Ergebnis des Zensus 2011 soll die amtliche Einwohnerzahl sein, die wiederum für viele Entscheidungen und Planungsprozesse in Bund, Ländern und Gemeinden – beispielsweise für die Festlegung finanzieller Zuweisungen an die Kommunen, die Bestimmung des Länderfinanzausgleichs und die Festlegung von Wahlkreisen – herangezogen werden wird. Die Ergebnisse der Auswertungen werden für Herbst 2012 erwartet.
9. Mai 2011
Ebenso wie die Vorinstanz Landgericht Berlin (dortiges Aktenzeichen 91 O 25/11) hat nun auch das Kammergericht in seinem Beschluss vom 29.04.2011, Az. 5 W 88/11 eine Verletzung wettbewerbsrechtlicher Vorschriften durch einen“Vorsprung durch Rechtsbruch“ nach § 4 Nr. 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht angenommen.
In seiner Begründung führt das Gericht aus, dass zwar einiges dafür spreche, dass die Verwendung des „Gefällt-mir“-Buttons ohne entsprechenden Hinweis in der Datenschutzerklärung gegen Unterrichtungspflichten nach § 13 des Telemediengesetzes (TMG) verstoße. So sei davon auszugehen, dass Facebook als Empfänger der Daten infolge der Verwendung des Buttons seine Mitglieder bei Nutzung der Seite unschwer über eine Kennnummer identifizieren könne. Ferner würden die Daten der Seitennutzer auch erfasst, wenn sie zum Zeitpunkt ihres Besuches nicht bei Facebook eingeloggt seien, sodass auch dann eine Identifizierbarkeit durch Facebook anhand der übermittelten IP-Adresse denkbar sei. Über diese Vorgänge müsse der Nutzer daher informiert werden. Ein Wettbewerbsverstoß folge aus dem naheliegenden Datenschutzverstoß gleichwohl nicht, da es insoweit an der erforderlichen Beeinträchtigung von Mitbewerber-Interessen fehle. Die Datenschutzvorschriften des TMG und insbesondere die Verpflichtung, eine den Anforderungen des § 13 Abs. 1 TMG genügende, umfassende und verständliche Datenschutzerklärung vorzuhalten, dienen vielmehr alleine dem Ziel, dass der Nutzer „sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann“ und somit ausschließlich dem Schutz der Persönlichkeitsrechte der Nutzer, nicht aber Interessen einzelner Wettbewerber.
Auch wenn das Kammergericht eine erfolgreiche Geltendmachung der Rechtsverstöße durch Verbraucher und/oder Verbraucherzentralen mit seinem Beschluss ausdrücklich nicht ausschließt, weist es mit der gegebenen Begründung den Unterlassungsanspruch eines Wettbewerbers zurück. Letztere sind damit – zumindest nach Ansicht der Berliner Justiz – nicht berechtigt, den Verstoß gegen die Informationsvorschriften des TMG gerichtlich oder per Abmahnung geltend zu machen.
Es fragt sich jedoch, ob der vorliegende Beschluss als „Grundsatzurteil“ gewertet werden darf, mit der Folge, dass der Verletzung der Informationspflichten des TMG grundsätzlich jede wettbewerbsrechtliche Relevanz zu versagen wäre. Zu seinem Verdikt kam das Kammergericht hier wohl auch deshalb, weil der „Wettbewerbsvorteil“, den der Verwender des „Gefällt-mir“-Buttons durch seinen Rechtsbruch zog, nicht unbedingt auf der Hand liegt. So fragt sich, ob die Erhebung und Weitergabe der Daten an Facebook Besucher der Website von der Nutzung anderer Angebote von Mitbewerbern abhalten könnte. Gerade in Bezug auf Facebook-Nutzer erörtert dies auch das Kammergericht und meint offenbar, dass diese durch ihre Bestätigung der (insoweit zitierten) Facebook-Datenschutzerklärung einer entsprechenden Datennutzung zustimmen. Interessen von nicht bei Facebook registrierten Nutzern prüft das Gericht jedoch nicht.
Ganz grundsätzlich erscheint es jedoch durchaus naheliegend, Verbraucher durch Fehlinformationen hinsichtlich der Nutzung ihrer personenbezogener Daten zumindest nicht vom Vertragsschluss oder von der Nutzung einer Website abzuhalten. In Zeiten eines zunehmenden öffentlichen Bewusstseins für den Datenschutz handelt es sich hierbei durchaus um für jeden Verbraucher relevante Informationen, die ohne weiteres zum Zuspruch zu anderen Anbietern führen kann, wenn mit einem Vertragsschluss oder der Nutzung einer Website übergebührliche Nutzungen der Nutzerdaten einhergehen. Auch die vorliegend nicht festgestellte Wettbewerbsrelevanz dürfte daher in Fällen, in denen Anbieter die Nutzung von personenbezogener Daten ihrer Nutzer durch unrichtige und/oder unklare Datenschutzerklärungen verschleiern, kaum zu verneinen sein. So geht mit dem Verbraucherinteresse an wahrheitsgemäßer und vollständiger Information zur Nutzung personenbezogener Daten durch einen Anbieter zweifelsohne auch ein wettbewerbsrechtlichen Interesse der Konkurrenz einher. Wie dessen jüngste Auszeichnung mit dem BigBrotherAward zeigt, muss sich gerade auch Facebook selbst den Vorwurf, seine Nutzer nicht ausreichend über die Nutzung seiner personenbezogenen Daten zu informieren und davon zu profitieren, immer wieder gefallen lassen. Gerade deshalb dürfte mit dem nun vorliegenden Beschluss das letzte Wort zur wettbewerbsrechtlichen Relevanz der TMG-Vorschriften noch nicht gesprochen sein.
6. Mai 2011
Bei der Verleihung der deutschen BigBrotherAwards 2011 am 1. April 2011 in Bielefeld wurden von dem Organisator FoeBuD e.V. die Apple GmbH sowie die Facebook Deutschland GmbH mit dem „Oscar für Datenkraken“ in der Kategorie „Kommunikation“ ausgezeichnet.
Apple „verdiente“ sich den Preis zwar nicht vordergründig aufgrund der in den letzten Tagen in Öffentlichkeit und Medien breit diskutierten Erhebung und Nutzung von Standortdaten seiner iPhone- und iPad-Kunden. Grund für die Preisverleihung ist nach der Begründung der Organisatoren vielmehr „die Geiselnahme ihrer Kunden mittels teurer Hardware und die darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen“. Hiernach sei es dem Nutzer im Falle einer Nichtzustimmung mit den 117-iPhone-Display-Seiten langen Regelwerken maximal möglich, dass teure und technisch potente Gerät gerade einmal zum Telefonieren zu nutzen.
Facebook wurde mit der Auszeichnung einmal mehr für seinen immensen Datenhunger und für die „gezielte Ausforschung von Menschen und ihrer persönlichen Beziehungen hinter der netten Fassade eines vorgeblichen Gratisangebots“ kritisiert. Das Unternehmen schaffe mit seinen vielfältigen zahlreichen Features und Applikationen wie „Freundefinder“, „Handy-App“ oder dem „Gefällt-mir“-Button eine „„Gated Community“ im Netz, in der Menschen auf Schritt und Tritt beobachtet werden“ und verdiene auf diese Weise mit systematischen Datenschutzverstößen Milliarden, heißt es hier weiter in der Begründung.
Wohl anlässlich der jüngst bekannt gewordenen heimlichen Erhebung von Standortdaten über iPhones forderten die deutschen Datenschutzaufsichtsbehörden die Hersteller von Betriebssystemen und Software von Smartphones auf, ihren Fokus verstärkt und bereits bei der Konzeption der Hard- und Software auf die Einhaltung von Datenschutzstandards zu legen („Privacy by Design“).
Es müsse den Nutzern leichter gemacht werden ihre Persönlichkeitsrechte zu wahren. Außerdem müsse der Grundsatz der Datensparsamkeit ernst genommen und umgesetzt werden. Dies umschließe die Schaffung von Transparenz über eine etwaige Offenbarung personenbezogener Daten, die Steuerungsmöglichkeit von Nutzern für eine Offenbarung, Einflussmöglichkeiten der Nutzer, Datenspuren zu löschen sowie die anonyme, zumindest pseudonyme Nutzung von Smartphones und über Smartphones vermittelte Dienste.
5. Mai 2011
Am 13. April 2011 hat die indische Regierung neue Bestimmungen insbesondere zum Schutz „sensitiver“ personenbezogener Informationen im IT-Umfeld vorgestellt, denen bereits jetzt eine erhebliche Bedeutung für die internationale Datenverarbeitung weltweit operierender Organisationen und Konzerne zugeschrieben wird.
Die vorgestellten Neuregelungen, deren zügiges Inkrafttreten nun zu erwarten steht, stellen eine erhebliche Verschärfung gegenüber der bestehenden Gesetzgebung dar und gelten umfassend für alle Organisationen, die in Indien Daten (auch von außerhalb Indiens befindlichen) Personen verarbeiten. Auch die Datenverarbeitung im Auftrag durch indische Auftragnehmer ist dabei wesentlichen Neuregelungen und Verschärfungen unterworfen.
Der Begriff der sensitiven personenbezogenen Informationen erfasst neben Gesundheitsdaten, Daten zur sexuellen Orientierung insbesondere auch biometrische Daten sowie Daten zu Bank- und Kreditkartenkonten, als auch Passwörter.
Danach soll die Erhebung und Verarbeitung entsprechender Daten zukünftig generell die vorherige freiwillige Einwilligung des Betroffenen erfordern, die schriftlich oder auch per E-Mail erteilt werden kann. Zusätzlich ist die Erhebung derartiger Informationen nur dann zulässig, wenn diese zu legalen Verarbeitungszwecken der verantwortlichen Stelle erforderlich ist. Weiterhin sehen die Bestimmungen für den Betroffenen die Möglichkeit eines jederzeitigen Widerrufs der gegebenen Einwilligung vor. Ergänzend ist die betroffene Person im Moment der Datenerhebung über die wesentlichen Datenverarbeitungsvorgänge und deren Zwecke zu informieren. Dies wird weiter flankiert von der Verpflichtung, eine detaillierte und verständliche Privacy Policy auf der Webseite der verantwortlichen Stelle verfügbar zu halten. Eine Datenübermittlung in Drittstaaten soll nach den Neuregelungen schließlich grundsätzlich nur dann zulässig sein, wenn im Empfängerland ein gleichwertiges Datenschutzniveau besteht und die Daten zur Durchführung eines Vertrags erforderlich sind oder wenn die betroffene Person in die Übermittlung ebenfalls eingewilligt hat.
Nach Inkrafttreten der neuen Gesetzgebung gilt es für Organisationen, die in Indien personenbezogene Daten verarbeiten, ihre Compliance mit den neuen Vorschriften grundsätzlich zu überprüfen. Dies betrifft sowohl ansässige Unternehmen, als auch solche, die die Verarbeitung personenbezogener Daten von Europäischen Standorten aus im Wege des Outsourcing an indische Dienstleister oder Datenverarbeitungscenter übertragen haben, da die neuen Regelungen zum Teil strengere Einschränkungen vorsehen, als dies nach hierzulande der einschlägigen EU-Gesetzgebung der Fall ist.Verstöße sollen in Indien fortan mit Freiheitsstrafe von bis zu zwei Jahren und/oder Geldstrafen von umgerechnet ca. 1.550,- € pro Datensatz belegt werden können, die insbesondere auch die Unternehmensführung treffen können, sofern der verantwortlichen Person der Beweis der Unkenntnis von dem Verstoß nicht gelingt. Soweit Verstöße von Auftragsdatenverarbeitern vorliegen, können sogar Freiheitsstrafen von zu drei Jahren und/oder umgerechnet ca. 3.100,- € verhängt werden.
Die Folgen der beabsichtigten Neuregelungen für betroffene Unternehmen und deren IT- und Backoffice-Zentren sind derzeit noch völlig unklar, sodass allgemein mit Spezifizierungen und Klarstellungen innerhalb der nächsten Wochen gerechnet wird.
Überprüfen Sie mit Hilfe unseres Selbsttests einfach und schnell, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt.
14. März 2011
Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).
Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.
Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:
- Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
- Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
- Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
- Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
- Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.
Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern. Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.
Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, „dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.“
Auf Grund dieser Kritik hat Google mittlerweile die Funktion „_anonymizeIp()“ hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:
„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“
Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.
Sowohl zur Frage, ob die „_anonymizeIp()“ Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.
Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion „_anonymizeIp()“ zu verwenden.
Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)
