Art. 29 – Online.Spiele.Recht

Art. 29 Datenschutzgruppe gibt Hilfestellungen zur rechtskonformen Nutzung von Cookies

Tim Maiorino — Tue, 26 Jun 2012 05:00:04 +0000

Erst kürzlich berichteten wir über die immer noch kontrovers diskutierte Frage, ob Cookies nur noch nach vorheriger Einwilligung der Nutzer eingesetzt werden dürfen. Den Stein des Anstoßes lieferte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, mit seiner jüngst geäußerten Auffassung, wonach die in der bislang hierzulande nicht umgesetzten Richtlinie 2009/136/EC (ePrivacy Directive) festgelegten europäischen Cookie-Regeln nunmehr unmittelbar anwendbar sein sollen. Der Wortlaut der Richtlinie spricht sich weitestgehend gegen einen Einsatz von Cookies ohne ausdrückliche Einwilligung der Nutzer aus.

In der Zwischenzeit hat die Art. 29 Datenschutzgruppe in ihrer erst am 7. Juni 2012 veröffentlichten Stellungnahme einen Leitfaden zur rechtskonformen Nutzung von Cookies nach der ePrivacy Directive erstellt. Während die Gruppe in der Vergangenheit bereits in zwei ihrer Stellungnahmen (WP 171 vom 22. Juni 2010 sowie WP 188 vom 8. Dezember 2011) detailliert die Voraussetzung einer erforderlichen Zustimmung bei der Nutzung von Cookies beleuchtet hat, nimmt sie nunmehr zu den Ausnahmen dieses Zustimmungserfordernisses ausführlich Stellung und gibt somit weitere Hilfestellungen im Umgang mit Cookies.

Im Einzelfall können Cookies demnach nicht nur für die Steuerung von Multimedia-Playern, Voreinstellungen (wie Spracheinstellungen o.ä.), Eingabedaten von Usern sowie zu Authentifizierungs- und Sicherheitszwecken eingesetzt, sondern auch zur Webanalyse ohne eine erforderliche Zustimmung der Nutzer verwendet werden.

Jedoch sollten zum Zwecke der Webanalyse nur solche Cookies eingesetzt werden, die keine Daten an Drittparteien übermitteln und lediglich rein statistischen Zwecken dienen. Die Nutzer sollen auch darüber aufgeklärt werden, wie die Daten genutzt werden (beispielsweise in einer Datenschutzerklärung). Auch soll der Einbau einer „Opt-out“-Möglichkeit einen datenschutzkonformen Einsatz ermöglichen. Als besonders wichtig wurde die Verwendung von umfangreichen Anonymisierungsmaßnahmen personenbezogener Daten – wie beispielsweise IP-Adressen – angesehen. Es könnte aber auch den datenschutzrechtlichen Vorgaben genügen, wenn die Anbieter nach Möglichkeit auf die Speicherung von personenbezogenen Informationen verzichten würden.

Für die Betreiber sozialer Netzwerke gibt es dagegen auch im Falle der direkten Geltung der ePrivacy Directive zunächst Entwarnung. Wenn sie nämlich die Ein- und Auslogprozesse ihrer Migtlieder überwachen wollen und die Nutzer vorher hierüber informieren, dürfen sie Cookies auch ohne vorherige Einwilligung der Nutzer setzten. Dies gilt jedoch nicht ohne Weiteres für „Social Plug-ins“ Cookies, durch die das Surfverhalten von Nutzern in sozialen Netzwerken nachverfolgt werden kann und mit deren Hilfe eine Erfassung von Daten der Mitglieder und Nicht-Mitglieder möglich ist. Die Nutzung solcher Cookies bedarf einer ausdrücklichen vorherigen Einwilligung durch den Nutzer. Problematisch ist nach dem Leitfaden zudem die Nutzung von Cookies, mittels derer die Bewegungen von Nutzern über mehrere verschiedene Homepages im Web verfolgt oder personenbezogene Daten Dritter erfasst werden können.

Wir danken unserem wissenschaftlichen Mitarbeiter István Fancsik für die Mitarbeit an diesem Artikel.

News vom 13. Datenschutzkongress in Berlin: Rechtssicherheit für Facebook Like?

Tim Maiorino — Wed, 16 May 2012 06:08:36 +0000

Am 8. und 9. Mai fand der 13. Datenschutzkongress in Berlin statt. Als Redner waren prominente Datenschützer, wie beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, und der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar, sowie der Bundesinnenminister Dr. Hans-Peter Friedrich anwesend.

Neben Diskussionen um den Entwurf einer Datenschutzverordnung sowie Fragen rund um die ePrivacy Richtlinie und die Cookie-Vorgaben war insbesondere der Beitrag des Hamburgischen Datenschutzbeauftragten, Herrn Caspar, interessant:

Er erwähnte nämlich die 2-Klick-Lösung des Heise Verlages als datenschutzkonforme Möglichkeit, Social Plug-Ins (wie den Facebook Like Button) zu verwenden. Social Plug-Ins waren vom Düsseldorfer Kreis als datenschutzwidrig eingestuft worden und auch die Variante mit der 2-Klick-Lösung zum Teil als kritisch angesehen.

Unklar bleibt, ob Prof. Caspars Meinung sich auch mit denen der Datenschutzbeauftragten der übrigen Bundesländer deckt. Dennoch bringt diese mündliche Äußerung zumindest ein kleines Stück Rechtssicherheit.

I know where you are – Geolocation aus datenschutzrechtlicher Sicht

Tim Maiorino — Tue, 14 Jun 2011 05:30:06 +0000

Dank der Ausstattung von Smartphones mit GPS-Chips (Global Positioning System) kann nun auch jeder Fußgänger, Jogger und Fahrradfahrer seine Position, Strecke und Geschwindigkeit auch ohne besondere Navigationsgeräte bestimmen. Gut entwickelte Apps bieten dem User zahlreiche hilfreiche Funktionen. Der Aufenthaltsort ist mithilfe von GPS oder WLAN bis auf ca. 4-15 Meter exakt zu bestimmen. Dabei können die Ortungsdaten jederzeit vom App-Anbieter und auch vom Telekommunikationsanbieter – durch Ortung des Smartphones – gesammelt und abgespeichert werden. Dies führt dazu, dass diese Anbieter genau wissen, wo man sich wann gerade aufhält, welchen Weg man zur Arbeit nutzt, wo man gerne mittags isst, ob man regelmäßig ins Stadion geht, welchen Arzt man aufsucht, welche Kirche man besucht oder wo genau man seine Nächte verbringt. Daraus ergeben sich für die Anbieter äußerst detaillierte Bewegungsprofile, von denen der User regelmäßig nichts mitbekommt. Zwar lässt sich Geolocation abschalten, viele User vergessen dies aber oder haben gar keine Kenntnis von dieser Abschaltfunktion.

Datenschützer haben daher schon länger zahlreiche Bedenken gegen Geolocation geäußert. Nun hat sich auch die europäische Artikel-29-Datenschutzgruppe mit dieser Problematik befasst. Bei der Artikel-29-Datenschutzgruppe handelt es sich um das unabhängige Beratungsgremium der Europäischen Kommission, die sich mit Fragen des Datenschutzes auseinandersetzt.

Sowohl App-Anbieter als auch Telekommunikationsanbieter können den Smartphone-User identifizieren:

Der Telekommunikationsanbieter kann die georteten Geodaten anhand der gespeicherten Kundendaten problemlos dem Smartphone-User zuordnen. Für den Erwerb von Apps muss der Smartphone-User in der Regel Name, Adresse und Bankverbindung angeben, so dass auch der App-Anbieter die Geodaten und Bewegungsprofile durch Verknüpfung dieser Daten einer bestimmten Person – nämlich dem Smartphone-User – zuordnen kann.

Daher hat die Art-29-Datenschutzgruppe im Hinblick auf Telekommunikations- und Anbieter von Geolocation-Apps zu Recht angenommen, dass es sich bei den Geodaten des Smartphone-Users um personenbezogene Daten handelt und die Datenschutzgesetze Anwendung finden. Denn der Betroffene hat das Recht grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen und zu wissen wer, was, wann und bei welcher Gelegenheit über ihn weiß. Mangels Erlaubnistatbestandes dürfen die Bewegungsdaten grundsätzlich nicht ohne die vorherige Einwilligung des Handynutzers erhoben, gespeichert oder verwertet werden. Andernfalls sind Erhebung, Speicherung und Verwertung datenschutzrechtlich unzulässig.

Die Einwilligung des Smartphone-Users muss ausdrücklich und vorab erfolgen. Eine konkludente Zustimmung durch Vertragsabschluss – sei es durch den Kauf der App oder den Abschluss des Mobilfunkvertrages – ist gerade nicht ausreichend. Ebenso ist eine Einwilligung nicht durch bloße Akzeptanz der AGB möglich. Eine solche Einwilligung muss freiwillig erteilt werden, wobei der Einwilligende vollumfänglich über die Datenerhebung informiert sein muss.

Die Einwilligung soll in regelmäßigen Abständen aktualisiert werden, um sicher zu gehen, dass der User nach wie vor an dem Service interessiert und mit der Ortung einverstanden ist. Als Zeitraum sollte ein Jahr angemessen sein. Darüber hinaus sollte die Einwilligung jederzeit leicht widerrufbar und die Daten einsehbar und löschbar sein.

Die datenverarbeitende Stelle muss sicherstellen, dass ihre User wissen, dass sie ihre Daten sammelt und zu welchen Zwecken. Der User muss „Herr seiner Daten“ bleiben und selbst entscheiden können, ob er einwilligt oder nicht.

Der User würde daher am sinnvollsten geschützt, wenn Smartphone-Anbieter Ihre Geräten mit der Ortungsfunktion ab Werk ausgeschaltet verkaufen, so dass der User bei jeder einzelnen Inanspruchnahme des Systems selbst aktiv die Einschaltung vornehmen kann/muss. Die sicherste Möglichkeit wäre eine Displayanzeige, die ähnlich wie ein GPS-Icon oder ein Bluetooth-Icon fortwährend anzeigt, ob die Lokationsfunktion gerade ein- oder ausgeschaltet ist. Nur auf diesem Wege wäre gewährleistet, dass der User sich darüber bewusst ist, dass sein aktueller Standort in diesem Moment ermittelt und gespeichert wird.

Ob aus der unverbindlichen Empfehlung der Art.29-Datenschutzgruppe eine Richtlinie wird, bleibt abzuwarten. Da aktuell aber die Geräte meist noch ab Werk mit eingeschalteter Geolocation-Funktion angeboten werden, müssen User selbst aktiv werden, wenn sie ihre Ortung vermeiden wollen, und genau kontrollieren, ob und wann sie die Geolocation-Funktion Ihres mobilen Gerätes ein- beziehungsweise ausschalten.

Zudem sollte der User sich bewusst machen, wer denn alles Zugriff auf seine Geodaten hat. Denn bei der Erlangung von Geodaten sind die Anbieter der jeweiligen App, die Entwickler des genutzten Betriebssystems, die Kontrolleure des konkreten Geolocation-Angebots, sowie soziale Netzwerke oder andere Kommunikationsmedien, die beispielsweise „geotagging“ (Verortung von Fotos) anbieten, und nicht zu letzt der Telekommunikationsanbieter eingebunden.

Vielen Dank an unsere wissenschaftliche Mitarbeiterin Frau Kristina Krupp für die wertvolle Recherche und Mitarbeit an diesem Beitrag.