24. April 2018
Nachdem schon das Oberverwaltungsgericht Nordrhein-Westfalen in einem Urteil die deutsche Regelung zur Vorratsdatenspeicherung für unzulässig erklärt hatte, erklärte nun auch das Verwaltungsgericht Köln in einem neuen Urteil die Vorratsdatenspeicherung für unrechtmäßig.
Damit wurde der Klage der deutschen Telekom stattgegeben, die sich weigerte den Speicherpflichten nach §§ 113a und 113b TKG nachzukommen, da diese nach ihrer Ansicht gegen europäisches Recht verstoßen.
Diese Ansicht teilte auch das Gericht, womit es sich der Rechtsprechung des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen anschloss, die im Juni 2017 schon entschied, dass die den Telekommunikationsunternehmen durch § 113a Absatz 1 in Verbindung mit § 113b TKG auferlegte Pflicht zur Speicherung von Telekommunikationsverkehrsdaten mit Unionsrecht nicht vereinbar ist.
Vor allem sah das VG Köln einen Widerspruch der TKG Paragraphen zur Datenschutzrichtlinie der elektronischen Kommunikation. Weiterhin ordnen die §§ 113a und 113b TKG eine „allgemeine und unterschiedslose Vorratsdatenspeicherung an“, was europarechtlich nicht zulässig sei.
Eine Berufung gegen das Urteil vor dem OVG Münster ist noch möglich, ebenso eine Sprungrevision vor das Bundesverwaltungsgericht in Leipzig.
Das könnte zukünftig für alle Whatsapp-Nutzer unter 16 Jahren gelten, denn aus einer Twitter-Meldung des Fan-Blogs WABetaInfo geht hervor, dass der Messaging-Dienst eine Änderung seiner Nutzungsbedingungen zum 25. Mai plant.
Zum jetzigen Zeitpunkt ist ausweislich der Nutzungsbedingungen noch ein Mindestalter von 13 Jahren, bzw. dasjenige Alter erforderlich und ausreichend, welches die Nutzer in ihren Ländern dazu berechtigt, die Dienste von Whatsapp ohne Zustimmung der Eltern zu nutzen. Die bevorstehende Anhebung des Mindestalters ist wohl auf die ab Mai anzuwendende Datenschutzgrundverordnung zurückzuführen. Laut der Verordnung ist die Verarbeitung personenbezogener Daten eines Kindes nämlich erst mit Vollendung seines 16. Lebensjahres rechtens.
Die Gefahren, welche von Chat-Diensten wie Whatsapp für die Persönlichkeitsrechte Minderjähriger ausgehen, erkannte ein deutsches Gericht bereits 2016 und verurteilte einen Vater zur Löschung des Chat-Dienstes vom Handy seiner Tochter.
Auch wenn die geplante Änderung der Nutzungsbedingungen als wichtiger Schritt in Richtung eines umfassenderen Schutzes der Persönlichkeitsrechte Minderjähriger zu werten ist, könnten sich die tatsächlichen Auswirkungen dieser Regelung in überschaubaren Grenzen halten. Den Mitgliedsstaaten ist es nämlich möglich, durch Rechtsvorschriften eine niedrigere Altersgrenze festzulegen, welche allerdings nicht unter 13 Jahren liegen darf. Zudem ist unklar, ob die Änderung weltweit gelten soll, oder ob hiervon nur bestimmte Länder betroffen sein werden. Weiterhin ist fraglich, wie mit bereits registrierten Nutzern umgegangen werden soll, die unter 16 sind. Da Whatsapp selbst das Alter nicht abfragt, müsste diese Aufgabe vom App-Store übernommen werden. Auch in Anbetracht der Tatsache, dass Whatsapp für viele Kinder und Jugendliche ein unverzichtbares Medium bei der Integration darstellt bleibt abzuwarten, ob und wie sich ein neues Mindestalter praktisch wird umsetzen lassen.
23. April 2018
Axel Springer klagte vor dem Bundesgerichtshof (BGH) gegen die Kölner Firma Eyeo, der Klage erteilten die Richter des 1. Zivilsenats in Karlsruhe eine deutliche Absage.
Eyeo vertreibt den Adblocker Adblock Plus, welcher nach Ansicht des Springer Verlages gegen das Gesetz gegen unlauteren Wettbewerb verstößt. Die Klägerin wollte erreichen, dass Adblocker, wie der von Eyeo, verboten werden und der Verlag Schadensersatz wegen entgangener Werbeumsätze von Eyeo fordern kann.
Die Karlsruher Richter sahen jedoch keine Gesetzesverletzung. Zur Begründung führten sie aus, dass „Eine Verdrängungsabsicht nicht vorliegt. Die Beklagte verfolgt in erster Linie die Beförderung ihres eigenen Wettbewerbs“. Eyeo erzielt selbst nur Einnahmen, wenn auch Werbung angezeigt wird, sodass für eine Verdrängung des Werbegeschäfts nicht im Interesse der Firma liegt. Unlauterer Wettbewerb liegt nicht dadurch vor, das dass Angebot von Eyeo, bestimmte Werbung gegen Beteiligte an den erzielten Umsätzen von Werbefiltern ausnimmt.
Insbesondere gelang dem Springer Verlag nicht der Nachweis, dass Eyeo Druck auf Werbetreibende ausübt. Ein Eingriff in den Markt sei zwar zweifellos gegeben, für die Werbeblockade an sich sei aber nicht Eyeo bzw. deren Adblock Plus verantwortlich, sondern der Nutzer selbst. Ebenso konnte die Umgehung von Schutzmaßnahmen nicht hinreichend dargelegt werden.
Das Geschäftsmodell mit Adblockern kann auch nicht im Wege einer Grundrechteabwägung, wobei der Pressefreiheits des Springer Verlages der Vorrang gegeben werde, verboten werden.
Der BGH gab damit der Revision Eyeos statt und legte den Streitwert auf 2,5 Millionen Euro fest, zudem wurden die Rechtsmittel gegen das Urteil abgelehnt, sodass das Verfahren zumindest aus dem Gesichtspunkt des Wettbewerbsrechts beendet ist. Allerdings kündigte Axel Springer bereits an Verfassungsbeschwerde zum Bundesverfassungsgericht zu erheben und schließt auch eine erneute Klage wegen Verletzung des Urheberrechts nicht aus.
18. April 2018
Die gesetzlichen Vorgaben hinsichtlich der Veröffentlichung von Fotos sind immer wieder ein Thema in Unternehmen.
Stellen Sie sich Ihre letzte unternehmensinterne Veranstaltung, wie zum Beispiel eine Schulung oder Weihnachtsfeier vor, im Rahmen derer Sie fotografiert oder gefilmt wurden. Nachdem eine Bildaufnahme natürlich ein personenbezogenes Datum ist, stellt sich die Frage, ob auch nach dem Inkrafttreten der neuen DSGVO ab Mai diesen Jahres, Änderungen in diesem Bereich zu erwarten sind. Grundsätzlich hat jeder Betroffene, hier also die abgebildete Person das sog. „Recht am eigenen Bild“. Das bedeutet, dass die abgebildete Person selbst darüber entscheiden darf, ob entsprechende Foto-/ Videoaufnahmen veröffentlicht werden dürfen. Relevant sind hier die Regelungen der §§ 22, 23 des Kunsturhebergesetzes.
Bis auf wenige Ausnahmen ist zur Veröffentlichung von Aufnahmen immer eine Einwilligung des Abgebildeten erforderlich. Das Verhältnis des Kunsturhebergesetzes und des Bundesdatenschutzgesetzes (BDSG) ist schon seit Langem immer wieder Streitthema in Literatur und Rechtsprechung.
Fakt ist, dass Bilder von Personen unter den Anwendungsbereich beider Gesetze fallen.
Problematisch ist zum Einen die Form der Einwilligungserklärung und deren Widerrufsmöglichkeit. Nach dem KUG muss kein besonders Formerfordernis (z.B. Schriftform) erfüllt werden. Das BDSG hingegen normiert in § 4a Abs. 1 eine schriftliche Einwilligungserklärung des Betroffenen.
Zu thematisieren wäre auch die Widerrufsmöglichkeit der Einwilligungserklärung. Nach dem BDSG ist ein solcher Widerruf jederzeit möglich, nach dem KUG hingegen kann eine Einwilligung nur widerrufen werden, wenn die Veröffentlichung den Betroffenen in seiner Persönlichkeit empfindlich beeinträchtigt. Wann dies der Fall ist, ist auch eine Frage des Einzelfalles.
Gegenwärtig scheint die ständige Rechtsprechung des Bundesarbeitsgerichts (BAG) und der Zivilgerichte dahin zu tendierenen, dass das KUG als bereichsspezifische Regelung gegenüber dem BDSG vorrangig ist. Das Verhältnis des KUG und des BDSG wurde durch die Rechtsprechung bislang leider nicht konkretisiert. Daher bleibt abzuwarten, ob eine Konkretisierung in Anbetracht der DSGVO erfolgen werden.
Es ist künftig zu klären, ob das KUG vollständig von der DSGVO verdrängt wird. Hier ist maßgeblich, ob dem nationalen Gesetzgeber durch sog. Öffnungsklauseln spezifische Regelungen zur Veröffentlichung und Verbreitung von Foto- und Videoaufnahmen erlaubt sein werden. Eine solche Öffnungsklausel findet sich z.B. in Art. 85 Abs. 2 DSGVO.
Bis zu einer Klärung durch die Rechtsprechung besteht daher gegenwärtig noch die Frage, welche rechtlichen Vorgaben für die Veröffentlichung und Verbreitung von Bildnissen nach Inkrafttreten der DSGVO gelten sollen. Dementsprechend erwarten wir mit Spannung die diese Frage konkretisierende Rechtsprechung.
11. April 2018
Nach Einschätzung der Landesdatenschutzbeauftragten können Datenschutzverstöße mangels Personal nicht ausreichend geahndet werden. Allen 16 Behörden mangelt es an genügend Personal um der Einhaltung des Datenschutzes gerecht zu werden. Laut einer Umfrage der Zeitung „Tagesspiegel“ fehlen bundesweit dafür fast 100 Beschäftigte. «Ich bezweifle stark, dass wir mit der jetzigen Ausstattung die Instrumente der DSGVO vernünftig nutzen können», sagt Marit Hansen, Landesdatenschutzbeauftragte in Schleswig-Holstein.
Es besteht die Gefahr, dass die am 25. Mai 2018 in Kraft tretenden neuen Datenschutzvorschriften nicht hinreichend durchgesetzt werden können. Das massive Stellendefizit erschwert die Ahndung von Datenschutzverstößen. Es besteht auch keine Bereitschaft in der Politik dies auszugleichen. Auch Bundesdatenschutzbeauftragte Andrea Voßhoff hat bereits auf die Belastung der Aufsichtsbehörden aufmerksam gemacht.
Mit Einführung der europäischen Datenschutzgrundverordnung werden hohe Auflagen hinsichtlich Bußgeldern eingeführt. Zur Verhängung dieser Bußgelder ist jedoch ein funktionsfähiger Aufsichtsapparat notwendig.
Immer häfiger werden GPS-Tracker zum Orten eingesetzt. Von der privaten Nutzung zur Standortbestimmung von gestohlenen Fahrzeugen, entlaufenen Haustieren oder Schulranzen von Kindern bis hin zur geschäftlichen Nutzung durch Einbau in Firmenfahrzeuge oder LKW-Flotten.
Einige dieser GPS-/GSM-Tracker verfügen über eine Abhörfunktion, welche oftmals durch eine App oder SMS auch aus großer Entferung aktiviert werden kann. Für die Aktivierung benötigt man lediglich die SIM-Nummer des Trackers.
Zum Schutz der Privatsphäre der Träger und der Personen in Ihrer Umgebung, sind GPS-/GSM-Tracker in Deutschland verboten. Es geraten jedoch regelmäßig solche Geräte auf den deutschen Markt, daher sollte vor dem Kauf eines solchen Trackers überprüft werden, ob dieser eine solche Funktion hat und bereits vorhandene Geräte mit dieser Funktion sollten vernichtet werden.
Erhält die Bundesnetzargentur von dem Kauf solcher Geräte Kenntnis werden die Eingentümer zur Vernichtung aufgefordert. Erst kürzlich war dies bei Kinderuhren der Fall.
Deutsche Konzerne wollen mit dem Log-In-Dienst Verimi eine transparente Alternative zu amerikanischen Anbietern wie Google oder Facebook bieten. An dem Projekt, das als Start Up anfing, beteiligen sich mittlerweile große Konzerne wie Lufthansa, Daimler, Deutschen Bank und Telekom.
Bisher konnten Nutzer sich bei vielen Webseiten mit ihrer Google-Mailadresse oder ihrem Facebook-Account anmelden. Das ermöglichte den US-amerikanischen Giganten noch mehr Daten über ihre Nutzer zu sammeln.
Verimi soll nun die Identifikation im Internet vereinfachen: Nach einmaliger Anmeldung und Identifikation auf der Plattform können sich die Nutzer mit dem Account bei vielen Online-Diensten anmelden. Über die Plattform soll zukünftig z.B. Online-Banking oder der Einkauf in einem Onlineshop laufen. Außerdem wird es möglich sein darüber Behördengänge online zu erledigen. Die Daten, die die Nutzer bei Verimi angegeben haben, werden dem Onlineshop, der Bank oder der Behörde automatisch übermittelt. Dabei bestimmt der Nutzer selbst, welche Daten an welchen Empfänger übertragen werden. Der Dienst verspricht höchste Konformität mit den Standards nach der DSGVO beim Umgang mit den Nutzdaten.
10. April 2018
Um die Dating-App Grindr rankt sich erneut ein Datenskandal. Nachdem der ägyptische Geheimdienst im Jahr 2014 die Standortanzeige zahlreicher App-User dazu nutzte, Jagd auf homosexuelle Männer zu machen, gerät die App nun erneut in die Kritik. Diesmal geht es um Gesundheitsdaten.
Einem kürzlichen Bericht von CNN zufolge hat die bei homo- und bisexuellen Männern beliebte Dating-App Grindr HIV-Nutzerdaten an die Datendienste Apptimize und Localystics weitergegeben. Neben Angaben zum HIV-Status und dem Datum des letzten HIV-Tests zählen auch die E-Mail- und GPS-Adressen der Nutzer zu den weitergegebenen Daten. Geraten diese Informationen in die falschen Hände, können die Konsequenzen für Betroffene kaum schlimmer sein, zumal durch die damit mögliche Identifizierung von Personen auch die Gefahr einer gesellschaftliche Ächtung einhergeht. Wie konkret diese Gefahr tatsächlich einzustufen ist, ist allerdings unklar: Laut CNN hat die schwedische Non-Profit-Forschungsorganisation SINTEF herausgefunden, dass die Daten teilweise in reinem Textformat und völlig unverschlüsselt übermittelt worden sind, was Grindr jedoch bestreitet.
Grindr hat derweil reagiert und die Datendienste zur Löschung aufgefordert. Zudem verspricht der App-Anbieter für die Zukunft, Daten dieser Art nicht mehr weiterzugeben.
Auch wenn es die Weitergabe solch sensibler Daten kaum zu rechtfertigen vermag, hat der Appell von Grindr an einen eigenverantwortlichen Umgang der Nutzer mit ihren persönlichen Daten durchaus seine Berechtigung. Letztlich kann jeder Nutzer über die Einstellungsfunktion selbst entscheiden, welche Daten er von sich preisgeben möchte. So lässt sich das Risiko einer unerwünschten Datenweitergabe von vornherein ausschließen.
6. April 2018
Hacker sollen in großem Maße Nutzerdaten bei der Anwendung MyFitnessPal gestohlen haben.
Der Diebstahl der Daten soll nach einer Erklärung von Under Armour bereits im Februar 2018 erfolgt sein, jedoch erst am 25.03.2018 bemerkt worden sein. Das Unternehmen Under Armour hatte die Anwendung MyFitnessPal vor mehreren Jahren für 475.000.000 Dollar gekauft.
Nach Informationen des Unternehmens erlangten die Hacker die Nutzernamen sowie E-Mail-Adressen und Passwörter von 150.000.000 Nutzern der Anwendung. Dagegen sollen die Bezahlinformationen der Nutzer nicht betroffen sein, da diese getrennt und nicht an gleicher Stelle aufbewahrt werden.
Um seine Nutzer zu informieren, hat das Unternehmen bereits den Kontakt zu seinen betroffenen Nutzer per E-Mail aufgenommen.
Das Unternehmen rät seinen Nutzern zudem dazu, dass sie ihre Passwörter ändern.
4. April 2018
Die Datenschutzbehörde überprüft derzeit, ob die Post-Tochter „Post Direkt“ im Bundestagswahlkampf 2017 mit Adressen gehandelt hat. Der zuständige Datenschutzbeauftragte hat nun zu prüfen, ob der Adresshandel im Einklang mit dem Bundesdatenschutzgesetz steht. Zuständig für die Überprüfung ist die Landesdatenschutzbehörde, da der Sitz des Unternehmens in NRW liegt und es sich nicht um klassische Postdienste handelt, für die der Bundesdatenschutzbeauftrage zuständig wäre.
CDU und FDP hatten bereits versichert, nur anonymisierte Daten genutzt zu haben. SPD, Grüne, Linke und AfD haben der Bild am Sonntag erklärt, während des Wahlkampfes nicht mit Post-Daten gearbeitet zu haben.
Der Handel mit anonymisierten Daten und Adressen ist nicht generell illegal. Möglich ist jedoch ein Bußgeld in Höhe von bis zu 300.000 Euro, wenn mit personalisierten Daten gehandelt wird. Die Staatsanwaltschaft muss sich dann mit dem Fall beschäftigen, wenn eine Absicht nachweisbar ist, sich damit zu bereichern oder andere zu schädigen. Laut Medienberichten hatte die Deutsche Post beteuert, ihre Tochter speichere und verarbeite „personenbezogene Daten bei strikter Einhaltung des Bundesdatenschutzgesetzes“. Es käme dabei lediglich zu einer Darstellung statistischer Wahrscheinlichkeitswerte und nicht der von personenbezogenen Daten. Es bestünde kein Bezug der Daten auf einzelne Haushalte.
Die Datenschutzbehörde empfiehlt allen Verbrauchern, die wissen möchten, was über sie gespeichert wurde, sich bei Post Direkt in Troisdorf zu erkundigen.
