4. September 2018
Das Amtsgericht Bonn hatte sich in einem Gerichtsverfahren (Az. 111 C 136/17) mit der Frage der Zulässigkeit des E-Mail-Marketings zu beschäftigen. Die Entscheidung folgt der bisherigen Rechtsprechung und verdeutlicht nochmals, dass Werbung ohne Einwilligung in jeglicher Hinsicht unzulässig ist. Egal wie sie „verpackt“ ist.
Sachverhalt: Ein Rechtsanwalt vertrat einen Mandanten in einem Rechtsstreit. Der Rechtsanwalt wurde von der Gegenseite, einem Telekommunikationsunternehmen, sodann werblich kontaktiert. Das Telekommunikationsunternehmen versandte die Werbemail nicht selbst, sondern setzte dafür einen Dienstleister ein.
Es wurden zwei E-Mails versandt: In der ersten E-Mail wurde der Rechtsanwalt aufgefordert, an einer Online-Zufriedenheitsumfrage zur Servicequalität teilzunehmen. In einer weiteren E-Mail wurde um Teilnahme an einer Produktumfrage gebeten.
Urteil: Das Amtsgericht Bonn entschied, dass der Versand der E-Mails einen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb des Rechtsanwalts darstellt.
Die in den E-Mails verwendeten Links zu den Kundenzufriedenheitsumfragen wurden auch dann als Werbung eingeordnet, wenn diese lediglich in der E-Mail-Signatur eingebunden waren.
Weiter wurde entschieden, dass das Telekommunikationsunternehmen auch dann verantwortlich ist, wenn es einen Auftragsverarbeiter, hier den Dienstleister, einsetzt.
Das Gericht stellte heraus, dass bereits die einmalige Zusendung einer Werbe-Mail ohne vorherige Einwilligung ausreichend ist, um den Betriebsablauf durch Sichten unerwünschter E-Mails zu belästigen. Hierunter sind auch Zufriedenheits- und Produktumfragen zu verstehen.
Gerade beim werblichen E-Mail-Versand ist es erstaunlich, wie häufig in der Praxis noch Fragen aufkommen und rechtlich unhaltbare Werbekampagnen unwissentlich ausgerollt werden. Unternehmen ist dringend zu empfehlen, sich hier mit den (datenschutz-)rechtlichen Grundlagen vertraut zu machen.
Ab sofort kann man eine neue Browser-Version von Firefox herunterladen – Firefox 62. Diese Version verbessert den Datenschutz und stellt mehr Tab-Einstellungen zur Verfügung.
Firefox verfügt zwar schon länger über einen eingebauten Tracking-Schutz. Dieser war jedoch bisher nur im Privatmodus voreingeschaltet. Jeder, der normal im Internet surft, muss diesen sogenannten „Schutz vor Aktivitätenverfolgung“ selbst einschalten. Diese Einstellungen sind zwar nicht schwer, erfordern aber einen Besuch in den Firefox-Einstellungen. Bei Firefox 62 kann man über das zentrale Firefox-Menü und einen simplen Schalter diese Einstellungen vornehmen. Damit ist das Aktivieren dieser Funktion nicht nur schneller und einfacher möglich, sondern viele Nutzer werden zudem daran erinnert, dass es diesen Schutz überhaupt gibt.
Auch Cookies und andere Websitendaten, die gespeichert werden, können schon länger gelöscht werden. Durch Firefox 62 ist es jetzt möglich, in der Adressleiste alle Informationen zur aktuellen Seiten einzusehen. Dort kann man Informationen zur Sicherheit der Verbindung finden, ob der Schutz zur Aktivitätenverfolgung ein- oder ausgeschaltet ist und kann Berechtigungen einsehen. Darüber hinaus wurde ein Löschknopf eingebaut, der Cookie- und Websitedaten sofort löscht.
In den Tab-Einstellungen können die Nutzer von Firefox 62 jetzt festlegen, welche Details in den neuen Tabs zu sehen sein sollen. Es ist möglich, bis zu vier Zeilen in den einzelnen Rubriken einzublenden (z.B. „wichtige Seiten“ oder „Pocket-Empfehlungen“). Am schnellsten erreicht man diese Einstellungen wie gehabt über ein neu geöffnetes Tab und einen Klick oben rechts auf das Zahnradsysmbol.
Der Einsatz von Dashcams in Fahrzeugen erfreut sich immer größerer Beliebtheit, da Beweisschwierigkeiten bei Verkehrsunfällen auf diese Weise beseitigt werden. Wegen ihres datenschutzwidrigen Einsatzes wurden die Aufnahmen in der Vergangenheit in der Regel nicht als Beweis zugelassen. Nach einer Entscheidung des BGH (BGH, Urteil vom 15. Mai 2018 – VI ZR 233/17) besteht aber nun im Einzelfall die Möglichkeit, dass Videoaufzeichnungen von Dashcams als Beweismittel in Gerichtsverfahren zugelassen werden. Allerdings gibt es dafür keine Garantie. Es bedarf einer Abwägung im Einzelfall durch den Richter. Dieses Urteil eröffnet aber zumindest die Möglichkeit, dass die Videoaufzeichnungen verwendet werden. Das war zuvor nicht der Fall. Zukünftig könnten solche Videoaufzeichnungen insbesondere in den Fällen zugelassen werden, in denen eine Aufklärung der Situation anders nicht möglich ist, mangels Zeugen oder widersprüchlicher Aussagen von Zeugen etc.
Die Daschcams sollten aber eine Einstellung aufweisen, die einen maximalen Schutz von Daten Unbeteiligter möglich macht. Das bedeutet, die Videoaufzeichnungen sollten permanent überschrieben werden und nur im Falle eines Unfalls die Daten dauerhaft speichern. Je weniger in das Datenschutzrecht eingegriffen wird, desto höher ist die Wahrscheinlichkeit, dass die Videoaufzeichnungen als Beweismittel zugelassen werden.
Allerdings bleibt die Verwendung von Dashcams weiterhin eine unzulässige Verarbeitung von personenbezogenen Daten, da das permanente Filmen des Verkehrsgeschehens ohne konkreten Anlass das Persönlichkeitsrecht der Verkehrsteilnehmer verletzt. Ein Veröffentlichen oder Verbreiten solcher Aufnahmen sollte in jedem Fall zwingend unterbleiben.
Dennoch verbleibt am Ende das etwas kuriose Ergebnis, dass die Videoaufnahmen als Beweismittel im Gerichtsverfahren zugelassen werden, der Nutzer der Dashcam aber von der Datenschutzaufsichtsbehörde nach dem Datenschutzrecht sanktioniert wird. Die Sanktionen können von einem Verbot bis hin zu einem Bußgeld reichen.
30. August 2018
Unternehmen wir Facebook, Google etc. scheinen sich dem Thema Datenschutz angenommen zu haben und setzen sich laut der New York Times immer mehr für ein bundesweites Datenschutzgesetz in den USA ein.
Allerdings stehen dort andere Interessen im Vordergrund, als ausschließlich der Datenschutz. Neben der DSGVO wurde im Juni 2018 ebenfalls ein kalifornisches Datenschutzgesetz erlassen, welches vor allem Firmen, die personenbezogene Daten zur kommerziellen Zwecken nutzen, Kopfschmerzen bereitet. Dieses Gesetz soll 2020 in Kraft treten und könnte andere Staaten in den USA dazu bewegen, ähnliche Gesetze auf den Weg zu bringen und damit dem gesamten Geschäftszweig Probleme bereiten.
Der Erlass eines bundesweiten Datenschutzgesetzes könnte allerdings dazu führen, dass den einzelnen Staaten der Wind aus den Segeln genommen wird. Daher liegt der Fokus der technischen Unternehmen nicht mehr unbedingt im Verhindern von Regulationen, sondern vielmehr darauf, ein Gesetz zu erlassen, welches die eigene Handschrift mitträgt und somit „geschäftsschädigende“ Regelungen weitestgehend vermieden werden können. Ob diese Vorgehensweise erfolgreich ist, hängt überwiegend davon ab, welchen Stellenwert der Datenschutz in der amerikanischen Gesellschaft in Zukunft einnehmen wird.
Das ein unternehmensfreundliches Gesetz dabei herum kommt, ist sehr wahrscheinlich. Allerdings wäre es ein erster Schritt in Richtung mehr Datenschutz in den Staaten.
29. August 2018
Instagram wird zukünftig seine 2-Faktor-Authentifizierung ausbauen, um den Verifikationsprozes für die Mitglieder zu vereinfachen.
Zum jetzigen Zeitpunkt ist als zweiter Faktor nur die Authentifizierung via SMS möglich. Diese Methode wird jedoch als unsicher bewertet, da es potentiellen Angreifern möglich wäre, die Telefonnummern-Mitnahme zu missbrauchen, um eine Nummer einer anderen SIM-Karte zuzuschreiben. In den kommenden Wochen soll daher die App „Google Authenticator“ zu mehr Sicherheit beitragen: Diese wird einen Code produzieren, mithilfe dessen Eingabe erst die Anmeldung ermöglicht wird. Im Unterschied zu der SMS-Authentifizierung kann der Code in diesem Fall nicht auf anderen Geräten erzeugt werden.
Darüber hinaus soll in Zukunft die Überprüfung der Echtheit von Profilen für die Nutzer erleichtert werden: Ein weißes Häkchen auf blauem Grund wird die Echtheit eines Profils bestätigen und somit die Account-Verifikation erweitern. Für die Nutzer bedeutet das konkret, dass sie eine Verifikation selbst über einen entsprechenden Button anfordern und mithilfe ihres Personalausweisfotos sodann ihre Identität bestätigen können.
Auch wenn bei Instagram in datenschutzrechtlicher Hinsicht noch viel Optimierungspotential besteht, so sind diese beiden Modifizierungen gleichwohl als Schritt in die richtige Richtung zu werten.
24. August 2018
Das besagt zumindest die europäische Verbraucherschutzorganisation BEUC, die in einer Studie gemeinsam mit der Universität Florenz mittels künstlicher Intelligenz die Datenschutzbestimmungen von vierzehn der größten Internetunternehmen, wie z.B. Google, Facebook, Airbnb und Amazon ausgewertet hat. Diese Studie hat herausgestellt, dass keines dieser Unternehmen alle Kriterien der DSGVO erfüllt und damit nicht DSGVO-konform aufgestellt sind.
Für diese Studie wurde von Forschern eine Software entwickelt, der es möglich ist, Datenschutzbestimmungen Satz für Satz zu analysieren. Der Fokus dieser Studie lag insbesondere auf drei Kriterien, welche an die Richtlinien der Datenschutzbehörden vom Mai angelehnt sind. Es handelt sich um folgende drei Kriterien:
- verständliche Sprache, Sätze nicht verschachtelt und keine Fremdwörter
- Informationen präzise und vollständig
- datenschutzrechtlich zulässige Praktiken
Insgesamt wurden rund 40 %, von 3659 analysierten Sätzen 1641 als mangelhaft markiert.
Diese Software sollte jedoch zunächst einmal dazu dienen, herauszufinden, inwieweit die Analyse der Datenschutzbestimmungen automatisiert werden könne. Ziel sei es hingegen nicht, die Unternehmen zu belasten, da die Technik hierzu noch nicht ausgereift genug sei, sagte die stellvertretende Direktorin des BEUC der Frankfurter Allgemeinen.
Apple hat die umstrittene Sicherheitsapp Onavo aus seinem iOS App Store entfernt.
Seit 2013 gehört Onavo zu Facebook und wird von der Plattform als Sicherheitsapp beworben. Die App baut einen VPN-Tunnel beim Zugang zu z.B. WLAN Hotspots auf, sodass alle Inhalte über einen VPN-Kanal zum Server weitergeleitet werden. Dabei kann Facebook als VPN-Betreiber alle Inhalte einsehen. Facebook soll diese Daten gesammelt und zu Analysezwecken verarbeitet haben (wir berichteten). So wurden z.B. Informationen zu Datenverbrauch und Displayaktivität des Nutzers auswertet. Nach eigenen Angaben werden diese erhobenen Daten nicht für die Entwicklung von Facebook-Produkten verwendet werden.
Unter Verweis auf die eigenen Regeln für Entwickler hat Apple Onavo jetzt aus dem App Store entfernt. Nach den Entwicklerrichtlinien sollen Apps keine Informationen zu Analyse- oder Werbezwecken und Informationen darüber, welche anderen Apps auf dem Gerät eines Nutzers installiert sind, sammeln dürfen. Vor allem müssen sie deutlich machen, welche Nutzerdaten gesammelt und wie diese verwendet werden (s. 5.1.2., insb. Punkt iv.).
Das Sperren der App in Apple‘s App Store ist nur eine der Maßnahmen die Apple gegen das Datensammeln von Facebook in letzter Zeit ergriffen hat. Bereits im März diesen Jahres sprach sich Apple-Chef Tim Cook gegen eine umfassende Sammlung von Nutzerdaten aus und distanzierte sich so von Facebook. Im Juni wurde dann die Facebook Like-Funktion in Apple’s Browser Safari erschwert.
Das Bundesarbeitsgericht (BAG) hat am 23.08.2018 entschieden, dass die Speicherung von Bildsequenzen aus einer rechtsmäßigen offenen Videoüberwachung keinem Verwertungsverbot unterliegen (Az.: 2 AZR 133/18).
Der Entscheidung liegt ein Fall aus NRW zu Grunde. Die Klägerin wurde von ihrem Arbeitgeber fristlos gekündigt, nachdem dieser auf gespeichertem Material einer offenen Videoüberwachung gesehen hat, dass die ehemalige Mitarbeiterin während der Arbeitszeit Straftaten zu seinen Lasten begangen hat.
Die Diebstähle wurden durch das Material einer Videoüberwachungskamera aufgedeckt, die der Arbeitgeber offen in dem Geschäft installiert hatte. Die Kamera filmte die ehemalige Mitarbeiterin bei ihren Taten. Darauf folgte sodann die fristlose Kündigung und eine Klage auf Schadensersatz. Dagegen wand sich die ehemalige Mitarbeiterin mit einer Kündigungsschutzklage. Der Grund auf den die Frau die Klage stützte war allerdings nicht die Videoüberwachung oder die Auswertung des Materials an sich, sondern die Dauer der Speicherung und vor allem die späte Auswertung.
Die Unregelmäßigkeiten fielen dem Betreiber im dritten Quartal 2016 auf, ab August 2016 wurde das Material gesichtet, wobei auffiel, dass die ehemalige Mitarbeiterin bereits Anfang Februar die Taten begangen hat. Die Überwachungsaufnahmen wurden demnach mehrere Monate gespeichert, bevor sie überhaupt gesichtet wurden.
Die Kündigungsschutzklage war in der Vorinstanzen, unter anderem Landesarbeitsgericht Hamm (Az.: 2 Sa 192/17), erfolgreich. Das LAG urteilte, dass der Betreiber die Kündigung nicht auf die Auswertung der Videoaufnahmen stützen kann, da diese wegen der langen Dauer, einem Verwertungsverbot unterliegen. Das Beweisverwertungsverbot beruht zum einen auf datenschutzrechtlichen Aspekten und zum einem auf dem Verstoß gegen das Allgemeine Persönlichkeitsrecht. Die Daten hätten zum Zeitpunkt der Auswertung längst gelöscht sein müssen.
Dieser strengen Anwendung des Datenschutzrechts erteilte das BAG auf die Revision des Betreibers eine Absage. Das Urteil des LAG wurde aufgehoben und zur Entscheidung, unter Beachtung der Rechtsansicht des BAG, an das LAG zurückverwiesen. Das BAG begründete seine Entscheidung damit, dass der Betreiber einer Videoüberwachung die Daten ohne Anlass nicht sofort sichten muss. Es ist ausreichend, die gespeicherten Materialien erst auf Anlass zu untersuchen.
Zumindest die Pressemitteilung hat offen gelassen, wie lange Videomaterial schlussendlich gespeichert werden darf, ob in den Entscheidungsgründen Ausführungen dazu enthalten sind, bleibt abzuwarten.
Das Urteil ist nicht als Freibrief zu verstehen, Material aus Videoüberwachung jahrelang zu Speichern, um die Option offen zu lassen, irgendwann, wenn Anlass für eine Überprüfung besteht, eine Sichtung vorzunehmen. Eine Speicherdauer, die im Einklang mit den einschlägigen Gesetzen steht, sollte definiert und eingehalten werden.
23. August 2018
Die Datenverarbeitung im Sinne der Datenschutzgrundverordnung (DSGVO) muss auf einer Rechtsgrundlage aus dem Katalog des Art. 6 Abs.1 DSGVO bestehen. Als häufige Grundlage kommt eine im Vorfeld der Verarbeitung abgegebene Einwilligung gemäß Art. 7 DSGVO in Betracht.
Die Anforderungen an die Form dieser Einwilligung sind in der DSGVO noch verhältnismäßig gering. So muss nach dem Katholischen Datenschutz Gesetz (KDG) diese Einwilligung grundsätzlich schriftlich gefasst werden, während Art. 7 DSGVO dies nicht anordnet. Zur einfacheren Beweisführung wird jedoch auch für die Fälle in der DSGVO eine schriftliche Einwilligung empfohlen. Wichtig ist dabei immer zu erwähnen, dass diese Einwilligung jederzeit von der betroffenen Person widerrufen werden kann.
Das Amtsgericht (AG) Gießen hatte nun die Rechtsfrage zu klären, ob eine Datenverarbeitung bei dem gesetzlichen Betreuer der betroffenen Person die Einwilligung einer dritten Person (also eines Ersatzbetreuers) verlangt, oder ob der gesetzliche Betreuer in die eigens vorgenommene Verarbeitung der Daten für die betroffene Person einwilligen darf. In der Entscheidung (Az.: 230 XVII 381/17 G) hat das AG Gießen einen Ersatzbetreuer jedoch für Datenverarbeitungen, die sich im Rahmen seines gesetzlichen Auftrags bewegen, abgelehnt. Ziel ist es dabei, eine Endlosschleife zu vermeiden.
22. August 2018
Als staatlich anerkannter Religionsgemeinschaft steht der Katholischen Kirche ein verfassungsmäßig garantiertes Selbstverwaltungsrecht zu, bleiben aber den allgemeinen Staatsgesetzen unterworfen (Art. 140 Grundgesetz). Dieses Recht umfasst die Befugnis, ihre Angelegenheiten selbständig zu bestimmen und zu verwalten.
Dem trägt Art. 91 DSGVO Rechnung, der es den Kirchen ermöglicht, bestehende kirchliche Datenschutzvorschriften weiter anzuwenden, wenn sie mit der DSGVO in Einklang gebracht werden.
Mit der Anordnung über den kirchlichen Datenschutz (KDO) bestanden zum Zeitpunkt des Inkrafttretens der DSGVO bereits umfassende kircheneigene Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Um das kirchliche Datenschutzrecht weiterhin aufrechterhalten zu können, ist die KDO mit der DSGVO in Einklang gebracht worden. Ergebnis dieses Prozesses ist das KDG.
