25. Mai 2011
Die Neuerungen im indischen Datenschutzrecht zeigen nun bei Firmen in den USA erste Auswirkungen. Verschiedene amerikanische Firmen und auch einige indische Firmen, die um ihre Geschäftsbeziehungen fürchten, halten die nun erforderte schriftliche Zustimmung einer Person, bevor ihre persönlichen Daten gesammelt und genutzt werden dürfen, für viel zu restriktiv. Es wird befürchtet, dass viele Firmen nicht bereit sind, das Risiko einzugehen, dass ein Kunde, der die ausdrücklich Anfrage aus Indien bekommt, ob seine Daten dort gespeichert und genutzt werden dürfen, seine Zustimmung dafür verweigert. Stattdessen würden Firmen ihr Geschäft dann eher nach China oder auf die Philippinen auslagern, wo solche Bestimmungen nicht gelten. Auch Google protestiert gegen einige Passagen aus dem neuen Gesetz, wonach ein Internetanbieter für Inhalte verantwortlich gemacht werden, die als “belästigend”, “grob schädlich” oder “ethnisch verwerflich anzusehen sind.
Der indische Minister für Informationstechnologie verteidigte das Gesetz damit, dass es einem seit langem geäußerten Begehren der IT-Industrie nachkäme, endlich gesetzlich Rahmenregelungen für den Datenschutz zu schaffen. Auch einige amerikanische Firmen befürworteten jedenfalls die Richtung des Gesetzes, da so das Vertrauen im Ausland hinsichtlich der ausgelagerten Datenverarbeitung in Indien gestärkt werde.
Ob und wie lange das Gesetz in seiner momentanen Ausgestaltung bestehen bleibt, dürfte letztlich maßgeblich von der Frage abhängen, wie stark der Druck aus dem Ausland noch wird. Da Indien in extrem hohen Maß auf die IT- und Outsourcing- Branche angewiesen ist, könnten allzu starke Proteste und Rückzugsdrohungen von Firmen aus diesem Bereich durchaus noch zu einer Änderung des Gesetzes führen.
24. Mai 2011
In Schweden wurde am Donnerstag über das neue „Cookie – Gesetz“ abgestimmt, das nun zum 01.07.2011 in Kraft treten wird. Hintergrund ist die „E-Privacy-Richtlinie“ (RICHTLINIE 2009/136/EG). In Deutschland wird die Frist zur Umsetzung bis zum 25. Mai 2011 nicht eingehalten, da momentan im Bundestag immer noch über einen Gesetzesentwurf beraten wird, bei dem im Übrigen das Thema Cookies außen vor bleibt.
Im Unterschied zur bisherigen Gesetzeslage in Schweden, die dem Nutzer nur die Möglichkeit gab Cookies auszuschalten, wird nun künftig vom Besucher einer Seite eine vorherige aktive Zustimmung zur Nutzung von Cookies auf einer Seite erwartet.
Das neue Gesetz hat bereits im Vorfeld zahlreiche starke Kritik hervorgerufen, da es deutlich weiter gehe als aufgrund der EG-Richtlinie erforderlich. Naturgemäß kritisch sind die Stimmen aus der Werbebranche, die erhebliche Einbußen befürchten. Im Bereich der Online-Zeitungen hat die schwedische Zeitung Aftonbladet beispielsweise im Jahr 2010 mit Online-Werbung mehr verdient als mit Print-Werbung. Aber auch „neutrale“ Stimmen äußern sich kritisch. Eine wörtliche Interpretation des Gesetzes werde jedenfalls erhebliche Nachteile mit sich bringen, auch wenn das eigentliche Ziel des Gesetze- das zu starke Ausspionieren von Seitenbenutzern- durchaus begrüßenswert sei. Das Surfen im Internet werde aufgrund des Zustimmungserfordernisses nun unübersichtlich und unkomfortabel. Erhebliche Probleme werden jedenfalls in nächster Zeit bei der praktischen Umsetzung erwartet. Teilweise wird angenommen, dass auf einer Internetseite eine deutliche Information über Cookies und wie man sie abstellt doch- anders als der Gesetzestext vermuten lässt- ausreichend sein sollte. Von anderer Seite wird in diesem Zusammenhang die Nutzung von Pop-ups zur Informations- und Zustimmungszwecken befürwortet, da die Information so jedenfalls nicht so leicht übersehen werden könne. Zudem wird die Idee einer der eigentlichen Zielseite vorgeschalteten Informationsseite, wo die Zustimmung erklärt werden kann, diskutiert.
23. Mai 2011
Nach neuen datenschutzrechtlichen Bestimmungen in Indien gibt es auch in Frankreich aktuell Bestrebungen den Datenschutz zu verstärken, auch wenn es in diesem Fall nicht durch neue gesetzliche Bestimmungen erfolgt. Die französische Datenschutzbehörde CNIL will künftig die Kontrolle in Firmen und Organisationen verstärken. Ziel ist dabei die Zahl der im Jahr 2011 kontrollierten Firmen auf mindestens 400 zu erhöhen, was im Vergleich zum Vorjahr eine Steigerung von ca. 30% bedeuten würde. Dadurch soll gewährleistet werden, dass der internationale Datenverkehr in den betroffenen Firmen sowohl den französischen als auch den europäischen Datenschutzvorschriften entspricht. Diese Kontrollverstärkung soll dabei insbesondere bei den US-Firmen, die an dem U.S.-E.U. Safe Harbor Program beteiligt sind betreffen, um sicherzustellen, dass diese die geforderten europäischen Standards einhalten.
Die Kontrollen konzentrieren sich dabei zunächst auf den Gesundheitssektor, wo naturgemäß besonders sensible Daten verarbeitet werden. Zu überprüfende Bereiche liegen dabei beispielsweise in der Telemedizin oder bei der Speicherung von Gesundheitsdaten in für Monitoringzwecke in der medizinischen Forschung. Im späteren Verlauf des Jahres soll zudem die Aufsicht hinsichtlich des Datenschutzes im Rahmen von Videoüberwachung verstärkt werden.
Im Falle von Verstößen gegen datenschutzrechtliche Bestimmung stehen der CNIL verschiedene Befugnisse zu Verfügung. Neben Warnungen oder einstweiligen Verfügungen kann sie Bußgelder von bis zu 300.000€ aussprechen.
19. Mai 2011
Nachdem Sony erst vor einem Monat durch einen Hacking-Angriff auf mehr als 100 Millionen Kundendaten im Zentrum des öffentlichen Interesses gestanden hat, wurde nun nach dem Neustart des PlayStation Network und des Qriocity-Dienstes eine neue Sicherheitslücke publik. Diese betrifft die Internetseite, die für die Zurücksetzung der Passwörter für die Sony-Dienste genutzt wird. Es ist möglich gewesen, Passwörter allein mit der Kenntnis von E-Mail-Adresse und Geburtsdatum des berechtigten Account-Inhabers zu ändern. Die Möglichkeit der Änderung des Passworts eröffnet wiederum potentiellen Angreifern die Möglichkeit, alle weiteren Daten zu ändern und sich sonst zu eigen zu machen. Sony hat die Internetseite zur Passwortänderung umgehend offline gestellt.
18. Mai 2011
Wie schon im Beitrag vom 5.Mai 2011 berichtet, wurde in Indien am 13. April neue, sehr restriktive Bestimmungen für den Datenschutz vorgestellt, nachdem der Bereich des Schutzes persönlicher Daten dort für nahezu 100 Jahre unverändert blieb. Diese Neuerungen sind dabei insbesondere für Firmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, von Relevanz.
Auch wenn sich insoweit naturgemäß pauschal noch keine präzisen Maßnahmen empfehlen lassen, so sind hier zumindest erst einmal einige Tipps und Hinweise für Firmen, die aufgrund ihrer Kontakte und Beziehungen zu indischen Firmen von den neuen Regeln betroffen sein können
1. Überprüfung der aktuell bestehenden Datenschutzregeln und Maßnahmen
Untersuchung und Dokumentierung beispielsweise welche Daten bislang in Indien erhoben und gelagert werden oder welche opt-in oder opt-out Regelungen momentan zur Anwendung gelangen.
2. Einsetzen eines “Update-Teams”
Dieses Team ist für die Entwicklung und Umsetzung der nun erforderlich werdenden Maßnahmen verantwortlich. Je nach Größe der Firma können solche Mitglieder beispielsweise CIO, legal counsel, externe Berater oder bisher mit der Überwachung der Outsource- Tätigkeit befasste Personen sein.
3. Überprüfung des Kundenkontakts
Ergänzend zu 1. kann dies speziell für Firmen, die dort im Handelsbereich z.B. online-Handel tätig sind von Relevanz sein. Insbesondere im Hinblick auf telefonischen Kontakt und das schriftliche Einverständnis zu Sammlung personenbezogener Daten ist hier Vorsicht geboten.
4. Berücksichtigung der Arbeitnehmer
Auch die bei den betroffenen Firmen beschäftigten Arbeitnehmer sind zu berücksichtigen, da auch sie schließlich in nicht unerheblichem Ausmaß personenbezogene Daten zur Verfügung stellen. Insoweit ist zu prüfen, ob und in welchem Maße die neuen Regeln in diesem Bereich zu neuen Maßnahmen führen.
5. Abstimmung mit anderen Beteiligten
Auch andere Firmen können in verschiedener Form direkt oder mittelbar durch die neuen Bestimmungen betroffen sein. Zum einen ist eine Abstimmung im Hinblick auf Maßnahmen beispielsweise beim Outsourcing bestimmter Geschäftsfelder an weitere Firmen erforderlich, zum anderen kann z.B. auch die aktuelle Internetkommunikation mit dem entsprechenden Provider und seinen eventuell kollidierenden Bestimmungen betroffen sein und es können sich insoweit Konfliktfelder auftun.
15. Mai 2011
Nach dem im vergangenen Monat bei dem Hack des von dem Elektronikkonzern Sony weltweit betriebenen Playstation-Netzwerks bis zu 100 Mio. Daten von Nutzers des Netzwerks von unbekannten Tätern kopiert worden sind, sind nach Angaben des von Thomson Reuters betriebenen internationalen Legal-Services-Anbieters Westlaw vor US-Gerichten bereits mindestens 25 Sammelklagen gegen das Unternehmen eingereicht worden. Zudem ist auch das FBI sowie die New Yorker Staatsanwaltschaft an Ermittlungen gegen den Konzern beteiligt.
Ziel der Kläger ist es, gemeinsam eine Schadensersatzzahlung von dem Elektronik-Reisen zu erhalten. Die von Sony getroffenen Sicherheitsmaßnahmen zur Zugriffskontrolle seien ungenügend gewesen, heißt es in den eingereichten Klageschriften. Schwerpunkt der erhobenen Vorwürfe ist aber die Tatsache, dass Sony – nachdem die Täter nach eigenen Angaben des Unternehmens Zugriff auf bis zu 12,3 Mio. Kreditkarten Zugriff genommen haben – noch etwa eine Woche zugewartet habe, bevor der Vorfall öffentlich gemacht wurde. Bei einem schnelleren Handeln hätte der Schaden deutlich reduziert werden können.
Die Herausforderung für die Kläger in den bisher angestrengten (und noch zu erwartenden) Verfahren dürfte aber nach wie vor der Nachweis eines konkreten Schadens für die Betroffenen sein, nachdem erst im letzten Monat eine vergleichbare Sammelklage gegen RockYou, einen Entwickler von Applikationen für Facebook und andere soziale Netzwerke von den zuständigen Bundesrichtern in Oakland, Kalifornien, zurückgewiesen würde.
12. Mai 2011
Das Bundesverwaltungsgericht Zürich hat im März dieses Jahres entschieden, dass Google für seinen Online-Dienst Street View alle gezeigten Personen automatisch unkenntlich zu machen habe. Darüber hinaus sollen im Umkreis besonders sensibler Einrichtungen – z.B. Kranken- und Frauenhäusern, Gerichten, Schulen und Gefängnissen –nicht nur die Gesichter der abgebildeten Personen, sondern auch weitere individuelle Merkmale der Personen – beispielsweise die Hautfarbe oder Kleidung – verpixelt werden. Die Bevölkerung solle zudem über die Lokalpresse auf Kamerafahrten und das Freischalten von Bildern informiert werden. Google teilte nun mit, dass gegen dieses Urteil Beschwerde bei dem Bundesgericht in Lausanne eingelegt werde. Eine gänzliche Unkenntlichmachung sei schlichtweg technisch nicht realisierbar, die Forderungen zudem unverhältnismäßig. Sollte die Beschwerde keinen Erfolg haben, droht Google, den Online-Dienst für die Schweiz einzustellen.
10. Mai 2011
Auch die staatlichen Ermittlungsbehörden entdecken die Möglichkeiten von Social Networks, wie Facebook und XING und machen im Rahmen ihrer Ermittlungen zunehmend von dort verfügbaren Informationen Gebrauch.
Zur datenschutzrechtlichen Zulässigkeit eines derartigen Vorgehens und den sich hier für die Strafverfolgungsbehörden bietenden Möglichkeiten und Grenzen nimmt Rechtsanwalt Stephan Krämer von Kinast & Partner Rechtsanwälte innerhalb des Artikels “Polizei jagt Raser via Facebook” auf RTL.de Stellung.
Am 09.05.2011 erfolgt die erste gesamtdeutsche Volkszählung. Die letzte Volkszählung der alten Bundesrepublik fand im Jahre 1987 statt und war Gegenstand des “Volkszählungsurteils” des Bundesverfassungsgerichts, das erstmalig das Grundrecht auf informationelle Selbstbestimmung benannte.
Es wird nun ein neues Verfahren zur Volkszählung angewandt (“registergestützter Zensus”): Die statistischen Ämter des Bundes und der Länder erheben in erster Linie registergestützt Daten. Es werden vorwiegend die bei den öffentlichen Registern der Verwaltung vorhandenen Daten der Einwohner verwendet. Es sollen aber auch rund 8 Millionen Einwohner per Zufallsprinzip ausgewählt und einer direkten Befragung unterzogen werden. Gefragt wird unter anderem nach Familienstand, Wohnsituation, Bildung/Schulabschluss, Erwerbstätigkeit und Migrationshintergrund. Darüber hinaus werden die Daten von Eigentümern von Immobilien und Menschen, die in Gemeinschaftsunterkünften leben, erhoben, verarbeitet und genutzt. Die zur Befragung Auserwählten sind nach dem Zensusgesetz, welches wiederum aufgrund einer Verordnung des Europäischen Parlaments und des Rates über Volks- und Wohnungszählungen vom 09.07.2008 erlassen worden ist, zur Auskunft verpflichtet.
Ein zentrales Ergebnis des Zensus 2011 soll die amtliche Einwohnerzahl sein, die wiederum für viele Entscheidungen und Planungsprozesse in Bund, Ländern und Gemeinden – beispielsweise für die Festlegung finanzieller Zuweisungen an die Kommunen, die Bestimmung des Länderfinanzausgleichs und die Festlegung von Wahlkreisen – herangezogen werden wird. Die Ergebnisse der Auswertungen werden für Herbst 2012 erwartet.
9. Mai 2011
Ebenso wie die Vorinstanz Landgericht Berlin (dortiges Aktenzeichen 91 O 25/11) hat nun auch das Kammergericht in seinem Beschluss vom 29.04.2011, Az. 5 W 88/11 eine Verletzung wettbewerbsrechtlicher Vorschriften durch einen”Vorsprung durch Rechtsbruch” nach § 4 Nr. 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht angenommen.
In seiner Begründung führt das Gericht aus, dass zwar einiges dafür spreche, dass die Verwendung des “Gefällt-mir”-Buttons ohne entsprechenden Hinweis in der Datenschutzerklärung gegen Unterrichtungspflichten nach § 13 des Telemediengesetzes (TMG) verstoße. So sei davon auszugehen, dass Facebook als Empfänger der Daten infolge der Verwendung des Buttons seine Mitglieder bei Nutzung der Seite unschwer über eine Kennnummer identifizieren könne. Ferner würden die Daten der Seitennutzer auch erfasst, wenn sie zum Zeitpunkt ihres Besuches nicht bei Facebook eingeloggt seien, sodass auch dann eine Identifizierbarkeit durch Facebook anhand der übermittelten IP-Adresse denkbar sei. Über diese Vorgänge müsse der Nutzer daher informiert werden. Ein Wettbewerbsverstoß folge aus dem naheliegenden Datenschutzverstoß gleichwohl nicht, da es insoweit an der erforderlichen Beeinträchtigung von Mitbewerber-Interessen fehle. Die Datenschutzvorschriften des TMG und insbesondere die Verpflichtung, eine den Anforderungen des § 13 Abs. 1 TMG genügende, umfassende und verständliche Datenschutzerklärung vorzuhalten, dienen vielmehr alleine dem Ziel, dass der Nutzer “sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann” und somit ausschließlich dem Schutz der Persönlichkeitsrechte der Nutzer, nicht aber Interessen einzelner Wettbewerber.
Auch wenn das Kammergericht eine erfolgreiche Geltendmachung der Rechtsverstöße durch Verbraucher und/oder Verbraucherzentralen mit seinem Beschluss ausdrücklich nicht ausschließt, weist es mit der gegebenen Begründung den Unterlassungsanspruch eines Wettbewerbers zurück. Letztere sind damit – zumindest nach Ansicht der Berliner Justiz – nicht berechtigt, den Verstoß gegen die Informationsvorschriften des TMG gerichtlich oder per Abmahnung geltend zu machen.
Es fragt sich jedoch, ob der vorliegende Beschluss als “Grundsatzurteil” gewertet werden darf, mit der Folge, dass der Verletzung der Informationspflichten des TMG grundsätzlich jede wettbewerbsrechtliche Relevanz zu versagen wäre. Zu seinem Verdikt kam das Kammergericht hier wohl auch deshalb, weil der “Wettbewerbsvorteil”, den der Verwender des “Gefällt-mir”-Buttons durch seinen Rechtsbruch zog, nicht unbedingt auf der Hand liegt. So fragt sich, ob die Erhebung und Weitergabe der Daten an Facebook Besucher der Website von der Nutzung anderer Angebote von Mitbewerbern abhalten könnte. Gerade in Bezug auf Facebook-Nutzer erörtert dies auch das Kammergericht und meint offenbar, dass diese durch ihre Bestätigung der (insoweit zitierten) Facebook-Datenschutzerklärung einer entsprechenden Datennutzung zustimmen. Interessen von nicht bei Facebook registrierten Nutzern prüft das Gericht jedoch nicht.
Ganz grundsätzlich erscheint es jedoch durchaus naheliegend, Verbraucher durch Fehlinformationen hinsichtlich der Nutzung ihrer personenbezogener Daten zumindest nicht vom Vertragsschluss oder von der Nutzung einer Website abzuhalten. In Zeiten eines zunehmenden öffentlichen Bewusstseins für den Datenschutz handelt es sich hierbei durchaus um für jeden Verbraucher relevante Informationen, die ohne weiteres zum Zuspruch zu anderen Anbietern führen kann, wenn mit einem Vertragsschluss oder der Nutzung einer Website übergebührliche Nutzungen der Nutzerdaten einhergehen. Auch die vorliegend nicht festgestellte Wettbewerbsrelevanz dürfte daher in Fällen, in denen Anbieter die Nutzung von personenbezogener Daten ihrer Nutzer durch unrichtige und/oder unklare Datenschutzerklärungen verschleiern, kaum zu verneinen sein. So geht mit dem Verbraucherinteresse an wahrheitsgemäßer und vollständiger Information zur Nutzung personenbezogener Daten durch einen Anbieter zweifelsohne auch ein wettbewerbsrechtlichen Interesse der Konkurrenz einher. Wie dessen jüngste Auszeichnung mit dem BigBrotherAward zeigt, muss sich gerade auch Facebook selbst den Vorwurf, seine Nutzer nicht ausreichend über die Nutzung seiner personenbezogenen Daten zu informieren und davon zu profitieren, immer wieder gefallen lassen. Gerade deshalb dürfte mit dem nun vorliegenden Beschluss das letzte Wort zur wettbewerbsrechtlichen Relevanz der TMG-Vorschriften noch nicht gesprochen sein.
