BDSG – Online.Spiele.Recht

Kurz gemeldet: Erstes „richtiges“ DSGVO-Bußgeld in Portugal

Felix Hilgert — Tue, 23 Oct 2018 14:32:25 +0000

Das erste „richtige“ DSGVO-Bußgeld (nach dem eher vorsichtigen Aufschlag aus Österreich) kommt nun aus Portugal. Die dortige Aufsichtsbehörde hat ein Bußgeld von 400.000 EUR gegen ein Krankenhaus verhängt, in dessen Datenbanken jeder Nutzer (und nicht nur Ärzte) auf sensible Patientendaten zugreifen konnte. Außerdem habe es im System fast 1.000 Ärzte-Accounts gegeben, obwohl das Krankenhaus weniger als 300 Ärzte beschäftigt.

Zwar mögen hier auch allerlei Überlegungen einen Rolle gespielt haben, die spezifisch für den Gesundheitssektor sind. Eine Lektion gibt es aber dennoch für alle Digitalunternehmen: Privacy by Design ist keine bloße Beschwörungsformel mehr. Systeme müssen so konfiguriert sein, dass nur derjenige auf personenbezogene Daten zugreifen kann, der diese auch wirklich benötigt.

LG Düsseldorf: Einbindung von Social Media Plugins ohne vorherige Aufklärung und Zustimmung des Nutzers unzulässig

Tim Maiorino — Thu, 10 Mar 2016 15:58:34 +0000

Am 9. März 2016 hat das Landgericht Düsseldorf ein wichtiges Urteil zum Thema Social Media Plugins verkündet.

Die Verbraucherzentrale NRW klagte gegen den Betreiber eines großen Webshops, der Kleidung verschiedener Hersteller anbietet. Die Verbraucherzentrale hatte den Betreiber im April 2015 abgemahnt und zur Abgabe einer strafbewährten Unterlassungserklärung aufgefordert. Da die Beklagte die geforderte Unterlassungserklärung nicht abgab, erhob die Verbraucherzentrale NRW Klage. Das Gericht gab ihr nun in weiten Teilen Recht.

Hintergrund der Abmahnung war die Integration der „gefällt mir“-Funktion von Facebook auf der Webseite der Beklagten. Die Nutzer des Webshops der Beklagten konnten von dieser Funktion durch einmaliges Klicken auf den Button „gefällt mir“ Gebrauch machen. Dies halt das LG Düsseldorf für rechtswidrig.

Das Problem: Datenübertragung bereits durch bloßes Aufrufen der Webseite

Wie bereits berichtet, wurden Social Media Plugins rechtlich schon immer kritisch gesehen.

„gefällt mir“-Plugin als Wettbewerbsverstoß?

Nach Ansicht der Verbraucherzentrale NRW stellt die Integration der „gefällt mir“ Funktion im Zusammenhang mit der verwendeten Datenschutzerklärung eine unerlaubte geschäftliche Handlung dar und sei nach § 4 Nr. 11 UWG i.V.m. §§ 12, 13 TMG sowie § 5 Abs. 1 UWG wettbewerbswidrig.

Unterlassungsanspruch bejaht

Das Gericht (Urteil vom 9. März 2016, Az. 12 O 151/15, Volltext) untersagte der Beklagten die Integration des „gefällt mir“ Plugins von Facebook, ohne die Nutzer ihrer Webseite ausdrücklich und unübersehbar über Zweck der Erhebung und der Verwendung der übermittelten Daten aufzuklären und ihr Einverständnis hierzu einzuholen.

Die Nutzung des Plugins ohne vorherige Aufklärung über die Übertragung der IP-Adresse und des Browserstrings sei unlauter im Sinne des § 3a UWG i.V.m. § 13 TMG.

Einbindung des Plugins führt zu datenschutzrechtlicher Verantwortlichkeit

Dem stünde auch nicht entgegen, dass die Beklagte selbst die Daten nicht verarbeite. Sie beschaffe hingegen die Daten, was nach § 3 Abs. 3 BDSG eine Erhebung darstelle. Durch das Einbinden des Plugins ermögliche sie die Datenerhebung und die spätere Verwendung der Daten durch Facebook. Die Beklagte habe die Möglichkeit, durch eine vorgeschaltete Nutzerabfrage, ob die Funktionalität aktiviert werden solle, den Zugriff auf die Daten zu steuern.

Durch die Einbindung von Drittinhalten in das eigene Angebot löse die Beklage einen Datenverarbeitungsprozess aus und sei deshalb auch datenschutzrechtlich verantwortlich.

Keine fingierte Einwilligung der Webseitenbesucher

Die Beklagte habe die Rechte Dritter zu beachten, die die Weitergabe ihrer Daten weder wünschen noch erwarten. Die Beklagte könne aber nicht von einer generellen Einwilligung zur Datennutzung der Besucher der Webseite ausgehen. Personenbezogene Daten dürften nur erhoben und verwendet werden, sofern das Gesetz es gestatte oder der Nutzer ausdrücklich eingewilligt habe. Eine bloße Belehrung in den Datenschutzbestimmungen der Beklagten genüge hierzu nicht.

Verstoß auch gegen Wettbewerbsrecht

Da das Plugin auf der Webseite der Beklagten der Werbung und dem Absatz diente, komme dem Verstoß auch wettbewerbsrechtliche Relevanz zu. Die Nutzer seien nicht nur in ihrem Schutz vor unerwünschter Werbung betroffen, das Plugin beeinflusse auch das Konsumverhalten der Nutzer. Denn die Angabe der Anzahl von Facebook Mitgliedern, denen die Webseite der Beklagten und somit mittelbar deren Produktangebot „gefällt“, beeinflusse das kommerzielle Verhalten der Nutzer des Onlineshops.

Welche Auswirkungen hat das Urteil?

Das Urteil hat grundsätzliche Bedeutung für die datenschutzrechtliche Beurteilung von Social Media Plugins. Es unterstreicht zudem die Verantwortlichkeit der Webseitenbetreiber für die Einbindung dieser Dienste. Der Betreiber muss sicherstellen, dass eine Datenübertragung zum Anbieter des Plugins nur dann stattfindet, wenn der Besucher der Webseite zuvor seine ausdrückliche Einwilligung erteilt hat. Hierbei kommt es nicht darauf an, dass der Webseitenbetreiber selbst gar keine Daten verarbeitet. Die bloße Vorbereitungshandlung hierzu genügt, wenn der HTML-Code derart gestaltet ist, dass er den Browser des Besuchers veranlasst, Anfragen beim Server des Plugin-Anbieters zu stellen.

Rettung durch „Zwei-Klick“-Lösung oder Shariff?

Ausdrücklich offengelassen hat das Gericht die Frage, ob die „Zwei-Klick“ Lösung den rechtlichen Anforderungen genügt. Hierbei ist der Datenübertragung an Facebook eine Einverständnisabfrage vorgeschaltet. Der Nutzer muss die Funktionalität des Plugins zunächst durch einen ersten Klick freischalten, um dann durch einen zweiten Klick die eigentliche „gefällt mir“ Funktion nutzen zu können.

Es muss schlicht gewährleistet sein, dass sich in dem Quellcode der Webseite keine Bestandteile befinden, die den Browser veranlassen, automatisch mit Besuch der Webseite Serveranfragen bei dem Betreiber des Plugins zu stellen.

Alternativ können Webseitenbetreiber auf das Tool „Shariff“ des Heise Verlags zurückgreifen. Hierbei werden zwar wie bisher die Buttons der Social Media Netzwerke auf der Webseite dargestellt. Shariff tritt aber als Zwischeninstanz auf: Nicht der Browser des Besuchers stellt Anfragen bei den Servern der Social Media Netzwerke, sondern der Server des Webseiten-Betreibers. Der Besucher bleibt somit anonym. Die Netzwerke erhalten erst dann Zugriff auf die Daten des Besuchers, wenn dieser auf die entsprechenden Buttons klickt. Shariff ist als Open Source Software kostenlos verfügbar. Es kommt auch in unserem Blog zum Einsatz.

Wir danken unserem Referendar Fabian Schröder für die Mitarbeit an diesem Beitrag.

Das polizeiliche Auskunftsersuchen – wenn die Polizei Hilfe braucht

Thao Wagner — Wed, 05 Nov 2014 08:13:38 +0000

Viele Spiele-Betreiber kennen das Problem: Die meisten Spiele haben mittlerweile eine Nutzergemeinde, die sich in Foren oder auch ingame miteinander austauschen kann. Und wenn Menschen mehr oder weniger anonym miteinander kommunizieren, kommt es auch hin und wieder zu Straftraten. Meistens handelt es sich dabei um Beleidigungen, Verleumdungen oder gar Bedrohungen. Bei Spielen mit einem virtuellen Währungs- bzw. Wirtschaftssystem gehören auch Vermögensdelikte zum Alltag: selbst wenn es gegen die Nutzungsbedingungen vieler Anbieter verstößt, bieten Nutzer virtuelle Güter oder Währungen gegen Echt-Geld an und werden dabei nicht selten Opfer von Betrugsfällen.

Da Täter und Opfer oft bei dem Spiele-Betreiber registriert sind, geht kurz darauf bei dem Spiele-Betreiber ein Fax mit der Überschrift „Polizeiliches Auskunftsersuchen“ ein. Dort bittet die Polizei – manchmal freundlich, oft auch fordernd – um die Auskunft zu personenbezogenen Daten eines registrierten Nutzers. Als Rechtsgrundlage werden in der Regel die Normen §§ 160 ff StPO, §§ 14, 15 TMG oder gar § 113 TKG genannt. Bei dem Spiele-Betreiber stellen sich dann stets die Fragen: sind wir zur Auskunft verpflichtet? Was sind die Konsequenzen, wenn das polizeiliche Auskunftsersuchen ignoriert wird?

Rechtliche Grundlage: Datenherausgabe ist zunächst freiwillig

Sobald die Strafverfolgungsbehörden Kenntnis von dem Verdacht einer Straftat haben, sind sie gemäß §§ 160 ff StPO zur Sachverhaltserforschung verpflichtet und für diesen Zweck befugt, von „Behörden Auskunft zu verlangen sowie Ermittlungen jedweder Art selbst vorzunehmen“. Ein Auskunftsersuchen an ein privates Unternehmen ist ohne Zweifel eine solche Ermittlungsmaßnahme. Allerdings werden private Unternehmen – anders als Behörden, von denen eine Datenauskunft verlangt werden kann – von §§ 160 ff StPO nicht erwähnt. Mit anderen Worten: §§ 160 ff StPO sind zwar Befugnisnormen der Strafverfolgungsbehörden, begründen aber keine Mitwirkungspflicht für private Unternehmen.

Spiele-Betreiber werden auch nicht durch § 113 TKG verpflichtet. Nach § 113 TKG müssen Erbringer von Telekommunikationsdiensten und daran Mitwirkende Auskünfte über bestimmte Daten an zuständige Stellen zu erteilen. Spiele-Betreiber gehören jedoch in der Regel nicht zum genannten Adressatenkreis, da sie weder Telekommunikationsdienste erbringen noch daran mitwirken. Bei Telekommunikationsdiensten liegt die Hauptleistung in der Übertragung von Signalen und Daten über Telekommunikationsnetze und ist somit auf den reinen Transport von Inhalten beschränkt, während der eigentliche Inhalt der übertragenen Daten für den Erbringer von Telekommunikationsdiensten irrelevant ist. Bei Spiele-Betreibern besteht jedoch die Hauptleistung in der Aufbereitung und Erbringung von Inhalten, nämlich des Spiels. Telekommunikationsdienste sind für den Spiele-Betreiber daher nur Mittel zum Zweck. Die Hauptleistung des Spiele-Betreibers liegt in der Erbringung eines Telemediums, so dass die Normen des TMG (und nicht die des TKG) für den Spiele-Betreiber einschlägig sind.

Folglich kommt nur noch eine Verpflichtung des Spiele-Betreibers zu einer Datenauskunft gemäß §§ 14 Abs.2, 15 Abs. 5 TMG in Betracht. Danach darf der Diensteanbieter eines Telemediums auf Anordnung einer zuständigen Stelle Auskunft über Daten erteilen, soweit dies für die Zwecke der Strafverfolgung und Gefahrenabwehr erforderlich ist. Allerdings zeigt bereits das Wörtchen „darf“, dass auch hierdurch keine Verpflichtung für den Spiele-Betreiber begründet wird. Der Spiele-Betreiber wird hiernach nur zur Datenauskunft berechtigt, aber nicht verpflichtet. Eine solche gesetzliche Berechtigung ist auch erforderlich, da gemäß § 4 Abs.1 BDSG jede Verarbeitung von personenbezogenen Daten – und somit auch die Auskunft über solche – einer gesetzlichen Rechtfertigung bedarf, solange die Verarbeitung ohne Einwilligung des Betroffenen erfolgt. Da der Betroffene in diesem Fall ein Tatverdächtigter ist, kann eine Rechtfertigung durch eine Einwilligung ausgeschlossen werden.

Die Datenauskunft durch den Spiele-Betreiber aufgrund eines Auskunftsersuchens der Strafverfolgungsbehörden erfolgt also freiwillig. Gleichzeitig kann der Spiele-Betreiber diese Entscheidung natürlich nicht willkürlich treffen. Denn eine Datenauskunft ist nur zulässig, soweit dies zur Strafverfolgung oder zur Gefahrenabwehr erforderlich ist. Vor der Auskunft ist der Spiele-Betreiber daher zur Erforderlichkeitsprüfung und Interessenabwägung verpflichtet. Was dabei zu berücksichtigen ist, wird im Fazit bzw. der Empfehlung aufgeführt.

Exkurs: Dynamische IP-Adressen

Auch wenn das TKG für Spiele-Betreiber nicht direkt einschlägig ist, fragen sich viele Betreiber, ob nicht für die Auskunftserteilung über dynamische IP-Adressen ein richterlicher Beschluss erforderlich ist. Denn eine dynamische IP-Adresse kann sowohl ein Verkehrsdatum i.S.d. TKG als auch ein Nutzungsdatum i.S.d TMG sein. Bei der Auskunft eines Verkehrsdatums ist gemäß §§ 100g, 100b StPO ein richterlicher Beschluss erforderlich, da die IP-Adresse als „näherer Umstand der Telekommunikation“ durch das Fernmeldegeheimnis (Art. 10 GG) geschützt wird. Fraglich ist daher, ob eine dynamische IP-Adresse, die während der Nutzung eines Telemediums erhoben und gespeichert wird, anders zu behandeln ist.

Mit Beschluss vom 13.11.2010 (Az. 2 BvR 1124/10) hat das BVerfG eine Verfassungsbeschwerde eines Betreibers von „Online-Banking“ für Banken als unzulässig zurückgewiesen, da dieser nicht substantiiert darlegen konnte, zu welchem Zeitpunkt die IP-Adresse erhoben wurde. Gemäß dem BVerfG schütze Art. 10 GG nur den Telekommunikationsübertragungsvorgang, da dort die Gefahr eines fremden Zugriff bestehe. Sobald die übertragenen Daten bei dem Empfänger angekommen sind, sei der besondere Schutz durch Art. 10 GG nicht mehr erforderlich. Nicht so entscheidend sei die Zuordnung der Leistungen des Diensteanbieters unter das TMG oder dem TKG, sondern vielmehr die Frage, wann die IP-Adresse erhoben wurde. Das BVerfG konnte nicht ausschließen, dass der Online-Banker Telekommunikationsdienste Dritter nutzte und die IP-Adresse somit nach dem Übertragungsvorgang erhob und speicherte, und lehnte die Annahme der Verfassungsbeschwerde daher ab. Bei einem Spiele-Betreiber ist davon auszugehen, dass die IP-Adresse nach dem Übertragungsvorgang erhoben wird. Denn der Spiele-Betreiber erhält die IP-Adresse erst, nachdem die Internetverbindung aufgebaut und der Übertragungsvorgang somit im Hinblick auf die IP-Adresse abgeschlossen ist. Daher kann die Auskunftserteilung durch §§ 14, 15 TMG gerechtfertigt sein und somit ohne richterlichen Beschluss erfolgen.

Mögliche Konsequenzen einer Verweigerung

Erwägt der Spiele-Betreiber nun, die Datenauskunft zu verweigern, sollte er folgende mögliche Konsequenzen berücksichtigen:

Gemäß § 161a StPO kann die Staatsanwaltschaft den Geschäftsführer oder einen einzelnen Mitarbeiter als Zeugen vernehmen, die zur Auskunftserteilung nach besten Gewissen und Wissen verpflichtet sind, es sei denn, es bestehen Zeugnisverweigerungsrechte zu ihren Gunsten. Bei einer Ladung durch die Polizei ist eine Aussage freiwillig. Jedoch erfolgt die Datenverarbeitung innerhalb eines Unternehmens in den meisten Fällen nicht durch einen einzelnen Mitarbeiter, sondern durch ein ganzes Team. Ein einzelner Mitarbeiter oder gar der Geschäftsführer wird daher kaum in der Lage sein, eine eindeutige Auskunft über den Nutzer XY zu erteilen. Das bedeutet wiederum, dass die Zeugenvernehmung eines einzelnen Mitarbeiters oder gar des Geschäftsführers nicht zu der gewünschten Datenauskunft führen wird.

Darüber hinaus kann es zu einer Beschlagnahme der Daten gemäß §§ 94, 95 StPO kommen – wegen des damit verbundenen Aufwandes das Worst-Case-Szenario für einen Spiele-Betreiber. In der Praxis werden allerdings nicht die Server, sondern lediglich die Daten beschlagnahmt. Dabei „spiegeln“ die Strafverfolgungsbehörden die Daten auf eigene Datenträger und belassen die Server selbst beim Spiele-Betreiber. Aufgrund des Verhältnismäßigkeitsgrundsatzes ist die „Spiegelung“ gegenüber der Beschlagnahme der Server vorzuziehen, da der Spiele-Betreiber nur so in der Lage bleibt, das Spiel aufrecht zu erhalten, und damit weniger in seinem Geschäftsbetrieb beeinträchtigt wird. Bereits 2005 hat das Bundesverfassungsgericht (Az.: 2 BvR 1027/02 vom 12.4.2005) entschieden, dass auch die Daten selbst – und nicht zwingend die Server bzw. die Datenträger, auf denen die Daten gespeichert sind – Gegenstand einer Beschlagnahme sein können. Aus prozessualer Sicht ist weiterhin zu beachten, dass eine Beschlagnahme mit richterlicher Anordnung und nur bei Gefahr im Verzug auf Anordnung der Staatsanwaltschaft möglich ist.

Jedoch besteht ein weiteres praktisches Problem für die Strafverfolgungsbehörden: Die wenigsten Spiele-Betreiber hosten ihre Daten ausschließlich in Deutschland. Vielmehr befinden sich die Daten entweder in einer Cloud oder werden auf sonstige Weise auf internationale Server verteilt. Die Hoheitsbefugnisse der Strafverfolgungsbehörden enden jedoch an den Grenzen der Bundesrepublik Deutschland. Beabsichtigen sie die Beschlagnahme von Daten, die außerhalb von Deutschland gespeichert werden, so müssen sie den aufwändigen Weg der internationalen Rechtshilfe einschreiten.

Fazit/Empfehlung

Ein Spiele-Betreiber ist also nicht verpflichtet, auf ein Auskunftsersuchen zu reagieren. Sollte der Spiele-Betreiber sich jedoch zur Erteilung einer Auskunft entscheiden, um die vorgenannten Konsequenzen zu vermeiden, sollte die Auskunft auf das erforderliche Minimum begrenzt werden. Dabei sollten folgende Punkte berücksichtigen werden:

Die Auskunft sollte nur aufgrund eines bereits eingeleiteten Ermittlungsverfahrens mit entsprechendem Aktenzeichen erteilt werden.
Daten sollten nicht pauschal herausgegeben werden, sondern nur, wenn sie verfahrensrelevant sind und sich konkret auf einen Beschuldigten und Sachverhalt beziehen. Kann der Spiele-Betreiber anhand des Auskunftsersuchens nicht eindeutig einen Nutzer als Beschuldigten feststellen, sollte die Datenauskunft verweigert werden.
Die Datenauskunft zu präventiven Zwecken sollte nur in Ausnahmefällen erfolgen. Zwar ist die Datenauskunft gemäß §§ 14, 15 TMG auch zur Gefahrenabwehr erlaubt, jedoch sollte diese nur auf die dort genannten besonderen Ausnahmesituationen (z.B. „zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder“, „zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum“) beschränkt werden. Auch bei „Gefahr im Verzug“ sollte eine Datenauskunft nur geschehen, wenn eine Straftat von erheblicher Bedeutung verwirklicht werden könnte. Die Gefahr der Verwirklichung von Bagatelldelikten kann für eine Datenauskunft zu präventiven Zwecken nicht ausreichend sein.

Ein Gastbeitrag von RAin Thao Wagner, Legal Counsel bei Electronic Arts GmbH.

VG Schleswig-Holstein: Deutsches Datenschutzrecht gilt für Facebook nicht.

Felix Hilgert — Mon, 11 Mar 2013 06:41:04 +0000

Mit Beschluss vom 14. Februar 2013 hat das VG Schleswig-Holstein entschieden, dass das deutsche Datenschutzrecht für die irische Facebook-Tochter, die das soziale Netzwerk in Europa betreibt, nicht gilt (Az. 8 B 60/12, Volltext).

Der als Hardliner bekannte Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hatte die Facebook Ireland Ltd. mit Sitz in Dublin per Bescheid angewiesen, Nutzerkonten freizuschalten, die Facebook wegen der Angabe falscher oder erfundener Namen und Profildaten gesperrt hatte. Nach den Nutzungsbedingungen von Facebook dürfen Profile nur unter dem echten Namen des jeweiligen Nutzers angelegt werden. In § 13 Abs. 6 des deutschen Telemediengesetzes (TMG) ist dagegen die Pflicht für Plattformbetreiber statuiert, eine anonyme oder pseudonyme Nutzung von Telemedien zu ermöglichen, wenn dies zumutbar ist.

Gegen den Bescheid und die darin enthaltene Zwangsgeldandrohung hat Facebook geklagt und beantragt, die aufschiebende Wirkung der Klage anzuordnen bzw. wiederherzustellen. Über diesen Antrag hatte das VG Schleswig-Holstein zu entscheiden.

Es stellt lapidar fest:

Für die genannte Anordnung findet das deutsche materielle Datenschutzrecht keine Anwendung.

Nach § 1 Abs. 5 S. 1 BDSG, der auch für die Datenschutzvorschriften des TMG gilt, findet deutsches Datenschutzrecht für Unternehmen, die ihren Sitz in anderen Mitgliedsstaaten der EU haben, nur dann Anwendung, wenn sie Daten durch eine Niederlassung im Inland erheben bzw. verarbeiten. Ist dies nicht der Fall, gilt das Datenschutzrecht des Sitzlandes.

Zwar gibt es eine Facebook Germany GmbH mit Sitz in Hamburg. Diese ist aber allein im Bereich der Akquise von Anzeigenkunden tätig und betreibt selbst nicht das soziale Netzwerk.

Der Standort der Server sei im Übrigen unerheblich, maßgeblich sei nur die tatsächliche Steuerung der Gesellschaft am Standort Dublin. Die Datenerhebung und -verarbeitung der Facebook Ireland Ltd. unterliegt damit, so die Richter, allein irischem Datenschutzrecht.

Den auf §§ 38 BDSG, 13 TMG gestützten Bescheid ordnet das VG Schleswig-Holstein aufgrund dieser Überprüfung im einstweiligen Rechtsschutz schon wegen der Nichtanwendbarkeit dieser Normen als rechtswidrig ein, so dass er auch schon vor dem endgültigen Urteil in der Sache nicht mehr vollstreckt werden kann.

Mit dem Beschluss, der die Rechtsauffassung des Gerichts deutlich erkennen lässt und daher schon eine Prognose ermöglicht, wie das Gericht im Hauptsacheverfahren wohl entscheiden wird, haben die Richter in erfreulich deutlicher Weise den Anwendungsbereich des deutschen Datenschutzrechts und dessen Grenzen im Hinblick auf die nationalen, aber letztlich durch Richtlinien weitgehend harmonisierten, Datenschutzrechten der übrigen EU-Mitgliedsstaaten klargestellt.

Offen bleibt dagegen die ebenfalls spannende Frage, ob es für ein soziales Netzwerk im Sinne des § 13 Abs. 6 TMG „zumutbar“ ist, die anonyme oder pseudonyme Nutzung zu ermöglichen. Wenn der Sinn des Netzwerks die Kontaktpflege und Außendarstellung tatsächlich existierender Personen ist, könnte dies durchaus zu verneinen sein, insbesondere bei eher professionell orientierten Plattformen wie LinkedIn oder Xing. Eine ähnliche Frage haben wir schon vor einiger Zeit im Blog beleuchtet.

Art. 29 Datenschutzgruppe gibt Hilfestellungen zur rechtskonformen Nutzung von Cookies

Tim Maiorino — Tue, 26 Jun 2012 05:00:04 +0000

Erst kürzlich berichteten wir über die immer noch kontrovers diskutierte Frage, ob Cookies nur noch nach vorheriger Einwilligung der Nutzer eingesetzt werden dürfen. Den Stein des Anstoßes lieferte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, mit seiner jüngst geäußerten Auffassung, wonach die in der bislang hierzulande nicht umgesetzten Richtlinie 2009/136/EC (ePrivacy Directive) festgelegten europäischen Cookie-Regeln nunmehr unmittelbar anwendbar sein sollen. Der Wortlaut der Richtlinie spricht sich weitestgehend gegen einen Einsatz von Cookies ohne ausdrückliche Einwilligung der Nutzer aus.

In der Zwischenzeit hat die Art. 29 Datenschutzgruppe in ihrer erst am 7. Juni 2012 veröffentlichten Stellungnahme einen Leitfaden zur rechtskonformen Nutzung von Cookies nach der ePrivacy Directive erstellt. Während die Gruppe in der Vergangenheit bereits in zwei ihrer Stellungnahmen (WP 171 vom 22. Juni 2010 sowie WP 188 vom 8. Dezember 2011) detailliert die Voraussetzung einer erforderlichen Zustimmung bei der Nutzung von Cookies beleuchtet hat, nimmt sie nunmehr zu den Ausnahmen dieses Zustimmungserfordernisses ausführlich Stellung und gibt somit weitere Hilfestellungen im Umgang mit Cookies.

Im Einzelfall können Cookies demnach nicht nur für die Steuerung von Multimedia-Playern, Voreinstellungen (wie Spracheinstellungen o.ä.), Eingabedaten von Usern sowie zu Authentifizierungs- und Sicherheitszwecken eingesetzt, sondern auch zur Webanalyse ohne eine erforderliche Zustimmung der Nutzer verwendet werden.

Jedoch sollten zum Zwecke der Webanalyse nur solche Cookies eingesetzt werden, die keine Daten an Drittparteien übermitteln und lediglich rein statistischen Zwecken dienen. Die Nutzer sollen auch darüber aufgeklärt werden, wie die Daten genutzt werden (beispielsweise in einer Datenschutzerklärung). Auch soll der Einbau einer „Opt-out“-Möglichkeit einen datenschutzkonformen Einsatz ermöglichen. Als besonders wichtig wurde die Verwendung von umfangreichen Anonymisierungsmaßnahmen personenbezogener Daten – wie beispielsweise IP-Adressen – angesehen. Es könnte aber auch den datenschutzrechtlichen Vorgaben genügen, wenn die Anbieter nach Möglichkeit auf die Speicherung von personenbezogenen Informationen verzichten würden.

Für die Betreiber sozialer Netzwerke gibt es dagegen auch im Falle der direkten Geltung der ePrivacy Directive zunächst Entwarnung. Wenn sie nämlich die Ein- und Auslogprozesse ihrer Migtlieder überwachen wollen und die Nutzer vorher hierüber informieren, dürfen sie Cookies auch ohne vorherige Einwilligung der Nutzer setzten. Dies gilt jedoch nicht ohne Weiteres für „Social Plug-ins“ Cookies, durch die das Surfverhalten von Nutzern in sozialen Netzwerken nachverfolgt werden kann und mit deren Hilfe eine Erfassung von Daten der Mitglieder und Nicht-Mitglieder möglich ist. Die Nutzung solcher Cookies bedarf einer ausdrücklichen vorherigen Einwilligung durch den Nutzer. Problematisch ist nach dem Leitfaden zudem die Nutzung von Cookies, mittels derer die Bewegungen von Nutzern über mehrere verschiedene Homepages im Web verfolgt oder personenbezogene Daten Dritter erfasst werden können.

Wir danken unserem wissenschaftlichen Mitarbeiter István Fancsik für die Mitarbeit an diesem Artikel.

Bewegung in Sachen Cookie-Richtlinie: Cookies nur noch nach Einwilligung zulässig?

Tim Maiorino — Thu, 31 May 2012 07:27:24 +0000

Seit längerer Zeit sorgt die ePrivacy-Richtlinie (Richtlinie 2009/236/EG, auch unter der Bezeichnung „Cookie-Richtlinie“ bekannt) in Deutschland im Hinblick auf den datenschutzkonformen Einsatz von Cookies für Rechtsunsicherheit. Nach den Vorgaben der ePrivacy-Richtlinie müssen die

Mitgliedstaaten […] sicher[stellen], dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. (Hervorhebung von uns)

Nach deutschem Recht durften Cookies ohne personenbezogene Daten bislang völlig frei eingesetzt werden und Cookies mit personenbezogenen Daten ebenfalls, solange dem Nutzer eine Widerspruchsmöglichkeit eingeräumt wurde. Dafür genügte es aber im Allgemeinen (mit Ausnahme von Flash Cookies), dass der Nutzer durch die Änderung seiner Browsereinstellungen das Setzen von Cookies verhindern konnte und der Cookie-Setzer den Nutzer darüber vorab (zum Beispiel in seiner Datenschutzerklärung) informierte.

Eine Einwilligung – wie sie die Richtlinie verlangt – muss aber vorab, das heißt vor dem Setzen des Cookies, eingeholt werden. Zudem soll dies für alle Arten von Cookies gelten, unabhängig davon, ob diese personenbezogene oder nicht-personenbezogene Daten enthalten.

Die ePrivacy-Richtlinie hätte bis Mai 2011 durch die Mitgliedsstaaten umgesetzt werden müssen. Bislang haben nur einige Mitgliedstaaten, zum Beispiel England und Frankreich, die Richtlinie tatsächlich umgesetzt. Deutschland ist noch nicht so weit. Die konkrete künftige gesetzliche Ausgestaltung ist noch völlig unklar. Daher rückte die Diskussion um den rechtskonformen Einsatz von Cookies zuletzt wieder etwas in den Hintergrund.

Auf dem 13. Datenschutzkongress am 8. und 9. Mai in Berlin bekam die Cookie-Diskussion aber neuen Zündstoff. Denn der Bundesbeauftragte für den Datenschutz, Peter Schaar, vertrat die Auffassung, dass die europäischen Cookie-Regeln hierzulande direkt anwendbar seien. Die entsprechende Klausel in der EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation von 2009 sei „hinreichend bestimmt“, was bedeute, dass sie auch ohne Umsetzung in ein deutsches Gesetz der hiesigen Aufsichtspraxis zugrunde gelegt und von den Kontrollbehörden durchgesetzt werden könnte.

Diese Auffassung lässt sich durchaus nach europäischem Recht vertreten. Jedoch gelten Bestimmungen aus Richtlinien nach erfolglosem Ablauf der Umsetzungsfrist nur dann unmittelbar in den EU-Mitgliedsstaaten, wenn sie derart hinreichend bestimmt sind, dass sie ohne weiteres angewandt werden. Dies wird jedoch bei der Cookie-Regelung der ePrivacy-Richtlinie gerade kontrovers diskutiert. Nach wie vor ist unklar, wie die Umsetzung der Einwilligung in Cookies erfolgen kann. Die Mitgliedstaaten, welche die ePrivacy Richtlinie bislang ungesetzt haben, implementierten teilweise völlig unterschiedliche Anforderungen an die Einwilligung in den nationalen Gesetzen. Es bestehen daher durchaus Zweifel, ob die Cookie-Regelung der ePrivacy-Richtlinie tatsächlich hinreichend bestimmt ist.

Nur wenn eine hinreichende Bestimmtheit vorläge, gälte die Richtlinie direkt und deutsche Webseitenbetreiber müssten den Einsatz von Cookies von einer Einwilligung abhängig machen. Tipps zum Ausgestaltung des rechtskonformen Cookie-Einsatzes gibt die Art. 29 Datenschutzgruppe in einer Empfehlung.

Fazit

Durch die von dem Bundesbeauftragten für den Datenschutz vertretene Rechtsauffassung kommt neues Leben in die Diskussion. Würde er sich mit seiner Sichtweise durchsetzen bestünde akuter Handlungsbedarf für alle Websitebetreiber. Es gilt nun, den weiteren Verlauf der Diskussion sorgfältig zu verfolgen, um vorbereitet zu sein. Wir werden weiter darüber berichten.

News vom 13. Datenschutzkongress in Berlin: Rechtssicherheit für Facebook Like?

Tim Maiorino — Wed, 16 May 2012 06:08:36 +0000

Am 8. und 9. Mai fand der 13. Datenschutzkongress in Berlin statt. Als Redner waren prominente Datenschützer, wie beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, und der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar, sowie der Bundesinnenminister Dr. Hans-Peter Friedrich anwesend.

Neben Diskussionen um den Entwurf einer Datenschutzverordnung sowie Fragen rund um die ePrivacy Richtlinie und die Cookie-Vorgaben war insbesondere der Beitrag des Hamburgischen Datenschutzbeauftragten, Herrn Caspar, interessant:

Er erwähnte nämlich die 2-Klick-Lösung des Heise Verlages als datenschutzkonforme Möglichkeit, Social Plug-Ins (wie den Facebook Like Button) zu verwenden. Social Plug-Ins waren vom Düsseldorfer Kreis als datenschutzwidrig eingestuft worden und auch die Variante mit der 2-Klick-Lösung zum Teil als kritisch angesehen.

Unklar bleibt, ob Prof. Caspars Meinung sich auch mit denen der Datenschutzbeauftragten der übrigen Bundesländer deckt. Dennoch bringt diese mündliche Äußerung zumindest ein kleines Stück Rechtssicherheit.

Update: Google Analytics – Datenschützer überprüfen Websites

Tim Maiorino — Mon, 14 May 2012 04:30:14 +0000

Wie im Herbst 2011 berichtet, konnte eine Einigung zwischen den Datenschützern und Google im Hinblick auf die Tracking Software Google Analytics erzielt werden und ein datenschutzkonformer Einsatz ist seitdem unter bestimmten Voraussetzungen zulässig.

Der richtige Einsatz von Google Analytics wird durch die Datenschutzbehörden auch überprüft: Bereits im Januar überprüfte die Datenschutzbehörde in Rheinland-Pfalz stichprobenartig Webseiten auf den richtigen Einsatz von Google Analytics hin, nun zieht auch Bayern nach: Das Bayerische Landesamt für Datenschutzaufsicht hat 13.404 Sites bayerischer Betreiber auf die einwandfreie Verwendung von Google Analytics überprüft. Das Ergebnis war, dass von den Betreibern, die Google Analytics einsetzten, lediglich 3% das Tracking Programm rechtskonform verwendeten. Die übrigen wurden schriftlich aufgefordert, den Missstand zu beheben. Bußgelder sollen allerdings erst einmal nicht verhängt werden.

Das Vorgehen der Datenschützer zeigt, dass es durchaus praktische Relevanz hat, sich an die datenschutzrechtlichen Vorgaben zu halten, um Kontakt mit den Aufsichtsbehörden zu vermeiden. Wir empfehlen daher noch einmal zu überprüfen, ob die nachfolgenden Anforderungen auch tatsächlich umgesetzt worden sind.

Checkliste zum datenschutzkonformen Einsatz von Google Analytics:

Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abschließen.
Anonymisierung der IP-Adressen durch das _anonymizeIp()-Tool von Google
Widerspruchsrecht der Betroffenen durch ein Deaktivierungs-Add-On
Datenschutzhinweis in der Datenschutzerklärung mit umfassender Information über die Funktionsweise von Google Analytics und die Rechte des betroffenen Nutzers
Löschung von Altdaten (bestehende Google Analytics Profile).

Rechtsklarheit für Social Plugins? – Neuer Beschluss des Düsseldorfer Kreises

Tim Maiorino — Mon, 19 Dec 2011 18:45:50 +0000

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen, da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

„Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.“

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

Landtag kritisiert Datenschützer im Streit um Facebook [update]

Dr. Marc Störing — Thu, 01 Dec 2011 07:29:10 +0000

Die datenschutzrechtliche Auseinandersetzung zwischen dem schleswig-holsteinischen Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook ist um eine bemerkenswerte Wendung reicher. Der schleswig-holsteinische Landtag hat in einem nun endlich veröffentlichten Gutachten den Standpunkt der landeseigenen Datenschutzbehörde – dem ULD – kritisiert. Allein das wäre wohl schon berichtenswert.

Bemerkenswert ist hier überdies jedoch die Deutlichkeit, mit der das Parlament den juristischen Standpunkt der Behörde als kaum haltbar beschreibt. Zwar hatte auch bereits eine vom Wissenschaftlichen Dienst des Bundestages erstellte Ausarbeitung die juristische Auseinandersetzung zwischen dem beliebten Social Network und der deutschen Landesbehörde beleuchtet. Doch das Ergebnis war jedoch weit weniger kraftvoll: Zu einer konkreten Empfehlung für Website-Betreiber zur Verwendung bzw. Nichtverwendung der verbreiteten Facebook-Plugins konnten sich die Verfasser des Gutachtens nicht durchringen.

Deshalb sind es die Ausführungen aus Schleswig Holstein, die nun in zwar sehr nüchterner aber eben doch auch sehr deutlicher Sprache den Standpunkt der eigenen Landesbehörde kritisieren. Eine zentrale Passage lautet etwa:

Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Auch sonst stellen die Verfasser fest, dass es sich bei der Auffassung des ULD um

eine im Ergebnis vertretbare, aber äußerst umstrittene Position handelt, deren Erfolgsaussichten unter Zugrundelegung der bisherigen Rechtsprechung und der im Schrifttum vorherrschenden Ansichten vom Wissenschaftlichen Dienst als gering eingeschätzt werden.

Eine angenehm sachliche wie deutliche juristische Analyse. Im Streitfall ist letztlich nicht die Auffassung der jeweiligen Landesdatenschutzbehörde, sondern der zuständigen Gerichte maßgeblich. Die nun veröffentlichten Ausführungen des Landtages verdeutlichen einmal mehr, dass für betroffene Unternehmen, die sich mit und/oder auf Facebook oder Google+ präsentieren, die Chancen gut stehen, sich vor Gericht gegen ein datenschutzbehördliches Vorgehen erfolgreich wehren zu können. Der Einsatz von Facebook oder Google+ ist also weniger riskant, als es die derzeitige Aufregung um die extreme Sichtweise der Behörden vermuten lässt.

Special: Die Fesseln des Online-Datenschutzes

Felix Hilgert — Thu, 20 Oct 2011 12:08:51 +0000

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

Die ersten Facebook „Like“ Abmahnungen fliegen – Thilo Weichert macht ernst

Konstantin Ewald — Thu, 06 Oct 2011 11:00:21 +0000

In der Endlosdebatte um die Zulässigkeit von Social PlugIns (wir berichteten hier und hier) eskaliert der Streit. Wie die Lübecker Nachrichten heute berichten hat der Schleswig-Holsteinische Datenschutzbeauftragte nun die ersten Abmahnungen verschickt. Und wen hat es zuerst getroffen? Die Staatskanzlei des Ministerpräsidenten Peter Harry Carstensen und das Wirtschaftsministerium. Das ULD beweist hierbei einen gewissen Sinn für Humor. So wird Sven Polenz vom Unabhängigen Landeszentrum für Datenschutz in Kiel in dem Artikel wie folgt zitiert:

„Die öffentlichen Stellen bekommen jetzt die Gelegenheit, Stellung zu nehmen und gesetzeskonforme technische Lösungen vorzuschlagen, die uns vielleicht unbekannt sind“

Als hätten nicht schon einige andere über solche Lösungen nachgedacht…

Gemeinsam mit den staatlichen Stellen hat es zehn Unternehmen in Schleswig-Holstein erwischt. Anders als den staatlichen Stellen droht den Unternehmen jedoch ein Bußgeld.