Letzte Woche stimmten die Abgeordneten des EU-Parlaments mehrheitlich für eine neue Regelung: das weltweit erste KI-Gesetz. Demnach sollen künftig KI-gesteuerte Systeme in verschiedene Risikogruppen eingeteilt und entsprechend reguliert werden. Können wir uns nun beim Umgang mit KI entspannt zurück lehnen?
Schlagwort: Datenschutz Seite 1 von 2
Im Frühling diesen Jahres läuft neben der Frist für die nationale Umsetzung des DSA auch die einer weiteren bedeutenden EU-Verordnung aus. Bis zum 06.03.2024 müssen Gatekeeper ihre Pflichten aus dem Digital Market Act (DMA) umgesetzt haben. Dieses Wettbewerbsgesetz stellt sicher, dass einzelne Unternehmen nicht durch die „Torwächter“ behindert werden. Google informierte seine Nutzer bereits über zukünftige Änderungen.
Und weiter geht es in der Welt der neuen Technologien: Nachdem sich unser letzter Beitrag mit Gesichtserkennungstechnologien befasst hat, folgen nun News zu Deepfakes. Bei Deepfakes geht es um die Erstellung von Klonen mittels künstlicher Intelligenz. Doch wer nun bei Klonen gleich an das Schaf Dolly denkt, täuscht sich. Vielmehr geht es um die Fälschung und Erstellung von Identitäten in Videos, Tonaufnahmen oder Texten. Derzeit kursiert in den deutschen Medien ein Video des Nachrichtensprechers Christian Sievers, indem der Sprecher in den Heute-Nachrichten für ein unseriöses Finanzprodukt zu werben scheint. Dabei hat er jedoch nie ein solches Video aufgenommen.
Die digitale Welt entwickelt sich ständig weiter und bringt neue Technologien und Dienste hervor, die sowohl Chancen als auch Herausforderungen mit sich bringen. Ein Beispiel ist Clearview AI, ein umstrittenes Unternehmen, das Gesichtserkennungstechnologien einsetzt. Damit steht es im Mittelpunkt einer Debatte über den angemessenen Einsatz solcher Technologien und den Schutz der Privatsphäre.
Das Internet der Dinge (IoT) hat in den letzten Jahren eine rasante Entwicklung erlebt und wird immer mehr Teil unseres Alltags. Die Europäische Union hat reagiert und mit dem Data Act neue gesetzliche Regelungen geschaffen, um den Umgang mit Daten in diesen Bereichen zu regeln. Er zielt darauf ab, den Schutz personenbezogener Daten zu stärken und gleichzeitig den rechtmäßigen Umgang mit Daten zu fördern.
Der Kampf um die Überwachung der Online-Kommunikation geht in die nächste Runde! Die EU, Großbritannien und die USA wollen die Online-Kommunikation ihrer Bürger durchleuchten, um sie vor illegalen Inhalten zu schützen. Doch der geplante Einsatz des sogenannten Client-Side-Scannings zur Überprüfung der Nachrichteninhalte stößt auf heftige Kritik. Warum könnte das für die Nutzer gefährlich werden? Welche Ziele verfolgen die Regierungen mit dieser groß angelegten Überwachung? Was muss dabei in Hinblick auf die Grundrechte beachtet werden?
Dieses Jahr war unter anderem geprägt von einer enormen Abmahnwelle wegen der datenschutzwidrigen Einbindung von Google Fonts. Wir hatten in mehreren Berichten bereits darauf hingewiesen, dass die Abmahnungen teilweise rechtsmissbräuchlich erfolgten. Nun scheint sich die Situation mittlerweile etwas beruhigt zu haben. Für einen Anwalt aus Berlin zieht die Abmahnpraxis jedoch rechtliche Konsequenzen nach sich. Ihm wird Abmahnbetrug und Erpressung vorgeworfen.
Seit Monaten klären wir unsere Kunden und unsere Leser über die Gefahr bei der Verwendung von Google Fonts auf. Anlass ist ein Urteil des LG München I, wonach die unzulässige Einbindung von Google Fonts Schadenersatzansprüche von EUR 100,00 auslösen kann. Seit Wochen warnen wir, dass findige bzw „geschäftstüchtige“ Goldgräber bereits das passende Geschäftsmodell gewittert haben und Unternehmen mit Schadenersatzforderungen überziehen.
Das OLG München hat in zwei Urteilen vom 08.12.2020 (Az.: 18 U 2822/19 Pre und 18 U 5493/19 Pre) entschieden, dass die von Facebook vorgegebene Klarnamenpflicht rechtmäßig ist.
Der Hamburgische Datenschutz- und Informationsfreiheitsbeauftragte (HmbBfDI) Johannes Caspar erließ am 01.10.2020 einen Bußgeldbescheid in Höhe von EUR 35, 3 Millionen gegen das Textilhandelsunternehmen H&M. Der Grund hierfür waren die seit 2014 herrschenden massiven Datenschutzverstöße in Form von Erfassung und Verwendung höchst privater Daten der Mitarbeiter.
Die Gesellschaft Hennes & Mauritz Online Shop A.B. & Co. KG (H&M) betreibt ein Servicecenter in Nürnberg, wobei der Sitz in Hamburg liegt. Mindestens seit dem Jahr 2014 wurden bei mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters Nürnberg durch die Center-Leitung umfangreiche private Lebensumstände, familiäre Probleme und auch religiöse Bekenntnisse erfasst, teilweise aufgezeichnet und digital gespeichert. Die Erfassung dieser Daten erfolgte durch Einzel- und Flurgespräche, welche dann für bis zu 50 weitere Führungskräfte im Haus lesbar waren.
Mit Urteil vom 22.03.2018 klärte das Landgericht Frankfurt am Main die Frage, ob für das Versenden von Gutscheinen per Mail eine Einwilligung des Empfängers vorliegen muss oder Gutscheine keine Werbung i. S. d. UWG sind. In diesem Verfahren gab das LG dem Kläger Recht und verurteilte den Beklagten, es zu unterlassen, zukünftig Gutscheine per Mail ohne vorherige Zustimmung des Empfängers an diesen zu senden (LG Frankfurt a.M., Urteil vom 22.3.2018, Az. 2-03 O 372/17).
In der letzten Zeit erreichen uns Berichte von Abmahnungen gegen Website-Betreiber wegen des fehlerhaften Einsatzes von Google Analytics. Dies deckt sich mit unseren Erwartungen, wonach Datenschutzverstöße in Zukunft häufiger Gegenstand von Abmahnungen werden dürften.
In den konkreten Fällen werden offensichtlich Unterlassungsansprüche wegen Verletzungen des Persönlichkeitsrechts geltend gemacht, welche darauf beruhen sollen, dass IP-Adressen nicht anonymisiert gespeichert und übertragen werden und ein entsprechender Hinweis auf die Verwendung von Google Analytics in der Datenschutzerklärung fehlt. Die Erfolgsaussichten solcher Abmahnungen sind trotzdem nicht unzweifelhaft.
Wie Forbes unlängst berichtete, plant das soziale Netzwerk Facebook die Einrichtung eines eigenen Bezahlsystems für mobile Apps von Drittanbietern. Dieses soll allerdings keine Konkurrenz zu PayPal und co. darstellen, da die Abwicklung der Bezahlung weiterhin über diese Dienste oder Kreditkartenanbieter direkt erfolgt. Vielmehr sehen die Pläne vor, dass die Bezahldaten externer Anbieter einmal bei Facebook hinterlegt und gespeichert werden, und dann bei jedem Einkauf einfach von dort abgefragt werden.
Der Vorteil für Nutzer bestünde schlicht und ergreifend darin, dass nicht bei jedem Einkauf aufs Neue Kontodaten, Kreditkartennummern, PayPal-Zugangsdaten usw. eingegeben werden müssten. Auch lästiges Vertippen würde so der Vergangenheit angehören.
Jedoch muss man sich auf der anderen Seite die Frage stellen, ob man einem Unternehmen wie Facebook, welches in Bezug zu seinem Umgang mit Nutzerdaten ohnehin nicht über alle Zweifel erhaben ist, derart sensible Daten anvertrauen möchte.
Was Facebook sich von dem neuen Service verspricht, liegt hingegen auf der Hand: Die ohnehin schon äußerst detaillierten Nutzerprofile würden um zusätzliche Informationen wie „wer kauft was bei wem?“ oder „wer gibt wie viel Geld wofür aus?“ angereichert. Unbezahlbar!
Bereits im Februar hatte die EU-Kommission einen Entwurf der sog. EU-Geldwäscherichtlinie vorgelegt, welche den Geldverkehr im Internet neu regeln soll. Wie heise online nun berichtet, könnte dies weitreichendere Folgen haben, als zunächst angenommen.
Bisher gilt in Deutschland eine 100-Euro-Grenze, wonach bei der Bezahlung kleinerer Beträge die Benutzung anonymer Dienste wie Prepaid-Kreditkarten zulässig ist. Im europäischen Ausland liegt diese Grenze vereinzelt sogar höher. Diese Möglichkeit könnte mit Umsetzung des Entwurfs in Zukunft komplett wegfallen. Ziel der geplanten Regelung ist, zur Bekämpfung der Geldwäsche beizutragen und das Einschleusen von Geld aus illegalen Geschäften in den Wirtschaftskreislauf zu erschweren.
Ein weiteres Gericht bestätigt, dass fehlerhafte Datenschutzhinweise einen Wettbewerbsverstoß begründen. Mit Urteil vom 27.06.2013 (Az: 3 U 26/12) stellt das OLG Hamburg fest, dass die Pflicht zur Unterrichtung über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten bei Teledienstanbietern gemäß § 13 TMG ein Marktverhalten regelnde Norm in Sinne des § 4 Nr. 11 UWG darstellt. In der Konsequenz können Verstösse hiergegen durch Abmahnungen verfolgt werden. Damit setzt das OLG Hamburg die uneinheitliche Rechtssprechung der Oberlandesgerichte (wir berichteten) fort. Zeit, dass der BGH entscheidet.
Das Bayerische Landesamt für Datenschutzaufischt (BayLDA) hat
herausgegeben. Das Merkblatt wurde im Rahmen eines Arbeitskreises „Werbung und Adresshandel“ des Düsseldorfer Kreises erstellt.
Es enthält spezifische Ausführungen zur Zulässigkeit der Verwendung personenbezogener Daten in der Werbung. Es ist interessant für Agenturen und Anbieter im Bereich Online-Marketing, Online-Händler und alle, die Dialogmarketing zu eigenen Zwecken oder für Dritte betreiben. Besonders wichtig ist im Lichte der zuletzt heiss geführten Diskussion um die Frage der Zulässigkeit des Double-Opt-In-Verfahresn für elektronische Einwilligungen der Hinweis
Für das elektronische Erklären einer Einwilligung ist -zur Verifizierung der Willenserklärung des Betroffenen- das Double-Opt-In-Verfahren geboten, wobei die Nachweis-Anforderungen des BGH (Urteil vom 10.02.2011, I ZR 164/09) bei der Protokollierung zu berücksichtigen sind. Das bloße Abspeichern von IP-Adressen, von denen Einwilligungen vorliegen würden, genügt dem BGH insoweit nicht; für den Nachweis der Einwilligung kommt z. B. der Ausdruck einer E-Mail des Betroffenen mit der entsprechenden Willenserklärung in Betracht.
Ein solcher Nachweis reicht jedoch nicht im Fall der vorgesehenen Nutzung von Telefonnummern zur werblichen Ansprache aus; mit der Übersendung einer Bestätigungs-E-Mail kann nämlich der Nachweis der Identität zwischen dem die Einwilligung mittels E-Mail Erklärenden und dem Anschlussinhaber der Telefonnummer nicht geführt werden.
Gänzlich anders als das OLG München sehen die Frage der Abmahnbarkeit von Datenschutzverstössen die OLGs Karlsruhe und Stuttgart. Auf das entsprechende Urteil des OLG Karlsruhe weist der Kollege Ferner in einem aktuellen Beitrag hin
Können Datenschutzverstöße abgemahnt werden? Rechtsanwalt Ferner – Alsdorf, Aachen
Mit dem OLG können Datenschutzverstöße wettbewerbsrechtlich geahndet werden. Die Konsequenz ist, dass Fehler von der Datenschutzerklärung bis zur konkreten Datenverarbeitung mit einer Abmahnung quittiert werden können. Die Entscheidung aus Karlsruhe überzeugt insofern auch …
Auch das OLG München kommt zu dem Ergebnis, dass Verstösse gegen Datschutz-Bestimmungen keine Wettbewerbsverstöße darstellen und damit nicht abgemahnt werden können.
„Die Bestimmungen des BDSG stellen ungeachtet dessen, dass sich ihre Verletzung im Geschäftsleben durchaus auswirken kann, grds. keine Marktverhaltensregelungen dar“
Auf die Entscheidung weist der ShopbetreiberBlog in seinem aktuellen Newsletter hin, OLG München: Abmahnbarkeit von Datenschutzverstößen » shopbetreiber-blog.de.
Entgegen anderslautender Stimmen, etwa des Bundesdatenschutzbeauftragten, ist die sog. „EU Cookie Richtlinie“ nicht mit Ablauf der Umsetzungsfrist am 26.05.2012 zu unmittelbar anwendbarem Recht geworden.
Hierzu der Kollege Ferner wörtlich
Dass EU-Richtlinien keine unmittelbare Wirkung entfalten, ist allgemeine Rechtsauffassung. Sofern sich der Bundesdatenschutzbeauftragte anders geäußert hat, kann man dies im höflichsten Fall als “vollkommen abwegig” bezeichnen.
Voraussetzung für die unmittelbare Anwendung von EU-Richtlinien ist neben dem Verstreichen der Umsetzungsfrist, dass die Richtlinie „hinreichend bestimmt formuliert“ ist und keine unmittelbare Verpflichtung für eine Privatperson enthält. Jedenfalls an Letzterem scheitert die unmittelbare Anwendung der „Cookie Richtlinie“, da Anbieter als privatrechtliche Personen (im Gegensatz zu Personen des öffentlichen Rechts) in die Pflicht genommen würden.
Lesenswert: Fünf Punkte für einen besseren Datenschutz im Netz – Telemedicus von Adrian Schneider.
Facebook verstößt mit dem Freundefinder und seinen Geschäftsbedingungen gegen Verbraucherrechte. Das entschied heute das Landgericht Berlin und gab damit der Klage des Verbraucherzentrale Bundesverbandes (vzbv) in vollem Umfang statt. „Das Urteil (LG Berlin vom 06.03.2012, Az. 16 O 551/10, nicht rechtskräftig) ist ein Meilenstein. Facebook und Co. müssen den Datenschutz in Europa respektieren“ so der Vorstand Gerd Billen.
vzbv gewinnt Klage gegen Facebook – Pressemitteilungen – Datenschutz – Digitale Welt – Themen – vzbv.
In einem Gastbeitrag auf Spiegel online plädiert Bundesinnenminister Hans-Peter Friedrich für das Post Privacy Modell.
Der Gesetzentwurf zur EU-Cookie-Richtlinie wurde im Bundestag vorgelegt. Ein Kommentar des Kollegen Ferner
IT-Recht: Cookie-Richtlinie: Gesetzentwurf im Bundestag via Rechtsanwalt Ferner
Passend auch das Fazit des Kollegen:
Die rechtlichen Regelungen zum Datenschutz sind alltagsuntauglicher Murks. Bestenfalls. Das herumgemurkse des Gesetzgebers an diesem Murks wird es unter keinen Umständen besser machen.
Ein absolut lesenswerter Aufsatz des Kollegen Sebastian Dosch. Der Blogger von kLAWtext bringt auf den Punkt, was viele Spezialisten, insbesondere uns Rechtsanwälte, schon lange beschäftigt. Nicht nur, dass die derzeitigen Vorschriften im Urheberrecht und Datenschutz auf die Anforderungen der neuen Medien und der Informationsgesellschaft nicht mehr passen. Ihnen fehlt zunehmend auch die Akzeptanz derer, die sie beachten sollen: den Bürgern.
Was Urheberrecht und Datenschutz gemein haben: fehlende Akzeptanz via kLAWtext
In eigener Sache: Wir freuen uns, dass unsere Beiträge zum Thema Datenschutz jetzt auch über die iPhone App „Datenschutz RSS“ erhältlich sind.
Datenschutz RSS ist ein datenschutzkonformer RSS-Reader für das iPhone. Bei der Programmierung wurde besonders auf Datensparsamkeit und Transparenz geachtet.
Mit RSS haben Sie die Möglichkeit, Webseiten zu abonnieren. So sind Sie immer informiert – zum Beispiel mit unseren Empfehlungen und Informationen zum
Datenschutz.Ein Service vor allem für datenschutzbewusste Google Reader-Nutzer, Datenschutzbeauftragte, aber auch Interessierte – ganz kostenlos und frei von Werbung.
Weitere Infos sowie die App sind erhältlich unter
WEBSEITE: http://www.Datenschutz-RSS.de
ITUNES: http://itunes.apple.com/de/app/datenschutz-rss/id431853071?mt=8
Heise Online berichtet am am 16.12.2011 über eine Stellungnahme der „Artikel 29“-Gruppe der europäischen Datenschutzbeauftragten zum rechtskonformen Einsatz von Cookies
heise online – Datenschützer erläutern rechtskonformen Cookie-Einsatz.
Über die neue sogenannte EU-Cookie-Richtlinie hatten wir Mitte des Jahres bereits berichtet und ebenso über die bevorstehende Änderung in nationales Recht und die damit verbundenen Schwierigkeiten.
Nun erläutern die europäischen Datenschützer, wie die tatsächliche Umsetzung der neuen Vorgaben für Webseitenbetreiber aussehen könnte:
Der ”Düsseldorfer Kreis”, ein informeller Zusammenschluss der obersten Datenschutzbehörden der Länder, hat in einem aktuellen Beschluss vom 08.12.2011 Stellung bezogen zum Thema Datenschutz in sozialen Netzwerken einschließlich Verwendung von Social Plugins.
Ende September wurde im Rahmen der 82. Konferenz der Datenschutzbeauftragten festgestellt, dass die Einbindung so genannter Social Plugins (z.B. von Facebook, Google+ oder Twitter) ohne hinreichende Information der Nutzer, insbesondere ohne Einräumung eines Wahlrechtes, nicht mit deutschen und europäischen Datenschutzstandards vereinbar und somit unzulässig sein soll. Zur Pressemitteilung des Konferenzvorsitzenden vom 29. September 2011 zu den Ergebnissen der 82. Datenschutzkonferenz gelangen Sie hier. Empfehlungen zur rechtskonformen Einbindung von Social-Plugins wurden dabei – anders als hinsichtlich der Verwendung von Analyse-Tools – bisher noch nicht abgegeben.
Mit Urteil vom 01.06.2011, Az. 6 U 4/11 hat das Oberlandesgericht Köln entschieden:
„Das wiederholte Zusenden von Spam-E-Mails an Kunden durch eine Versicherung löst eine Vertragsstrafe von 500,- EUR aus. Dies ist eine ausreichende aber angemessene Summe, um den immateriellen Schaden, welcher dem Kunden aufgrund der Werbe-E-Mails entstanden ist, auszugleichen.“ (Leitsatz)
Geklagt hatte ein Steuerberater, der von seiner ehemaligen Versicherung Werbung per Email bekam, obwohl sich seine Versicherung in der Vergangenheit bereits zur Unterlassung verpflichtet hatte. Die Unterlassungserklärung war mit einem Vertragsstrafeversprechen nach dem Hamburger Brauch bewehrt. Die Höhe der Strafe war somit in das Ermessen des Steuerberaters gestellt, wobei im Streitfall eine Überprüfung durch die Gerichte vorbehalten war.
Der Steuerberater verlangte zunächst die Zahlung einer Vertragsstrafe von 10.000,- EUR. Nachdem er seine Forderung in der ersten Instanz bereits reduziert hatte, verringerte er diese in der Berufung nochmals und forderte schließlich nur noch 3.000,- EUR. Das Berufungsgericht bestätigte den Anspruch des Klägers zwar dem Grunde nach, sprach ihm jedoch nicht die geforderten 3.000,- EUR, sondern lediglich 500,- EUR zu. Diese Summe sei im konkreten Fall angemessen und ausreichend.
Ergänzung zu unserem Artikel Google Analytics: Einigung beim Datenschutz.
Für einen datenschutzkonformen Einsatz von Google Analytics sollten nach den aktuellen Vorgaben der Aufsichtsbehörden folgende Punkte eingehalten werden:
- Es muss ein schriftlicher Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden (§ 11 BDSG);
- Es dürfen nur gekürzte und somit anonymisierte IP-Adressen erfasst werden;
- Es muss ein ausführlicher Datenschutzhinweis bereit gehalten werden;
- In dem Datenschutzhinweis muss auch auf die Anonymisierung sowie das jederzeitige Widerspruchsrecht bzw. die Möglichkeit zur Deaktivierung hingewiesen werden;
- Altdaten, die unter Nichteinhaltung der vorstehend genannten Vorgaben gesammelt wurden, müssen gelöscht werden.
Für den schriftlichen Vertrag zur Auftragsdatenverarbeitung hat Google einen entsprechenden Vordruck zur Verfügung gestellt, siehe Einleitung der Google Analytics Bedingungen.
Damit die IP-Adressen nicht vollständig verarbeitet und somit lediglich anonymisiert erfasst werden, muss die Erweiterung „anonymizeIP“ im Tracking-Code eingebunden werden. Eine Anleitung zur Einbindung der Erweiterung hält Google hier bereit.
In der Datenschutzerklärung muss ein ausführlicher Datenschutzhinweis ergänzt werden. Hierzu gibt Google in seinen Bedingungen eine entsprechende Formulierung vor, siehe Ziffer 8.1 der Google Analytics Bedingungen. Der dort genannte Text muss jedoch unter Berücksichtigung der oben genannten Vorgaben noch um einen Hinweis auf die Anonymisierungsfunktion ergänzt werden. Die Ergänzung könnte beispielsweise lauten:
„Wir verwenden Google Analytics mit der Erweiterung „_gat._anonymizeIp()“. Die IP-Adressen werden daher nur gekürzt weiterverarbeitet und gespeichert, so dass eine direkte Personenbeziehbarkeit ausgeschlossen ist.“
Laut einer Meldung von Spiegel Online haben sich der Hamburgische Datenschutzbeauftragte und Google auf eine datenschutzkompatible Version des vielfach eingesetzten Analyse-Tools Google Analytics geeinigt.
Google Analytics ist wieder deutschlandkompatibel: Der US-Konzern hat den Statistikdienst an deutsches Datenschutzrecht angepasst und der Hamburgische Datenschützer ist zufrieden – vorerst.
In der Vergangenheit gab es viel Verunsicherung bei Seitenbetreibern, da nach Auffassung vieler Experten und Behörden der Einsatz von Google Analytics (ohne ausdrückliche Zustimmung der User) gegen deutsches Datenschutzrecht verstosse (wir berichteten) .
Immer wenn es um die wirklich wichtigen Fragen des Internets geht, tritt Deutschland bzw. die deutsche Politik als ganz besonderer Diskussionspartner in Erscheinung. Deutsche Beiträge in Form von politischer Sommerloch-Plauderei oder Gesetzgebungsvorstössen zeichnen sich meistens aus durch
- Verspätung (siehe beispielsweise die Diskussion zu Google Streetview)
- technische und sachliche Unkenntnis (siehe beispielsweise die Diskussion zu Netzsperren)
- Widersprüchlichkeit (siehe beispielsweise die Diskussion zur Vorratsdatenspeicherung)
- Lobbyhörigkeit (siehe beispielsweise Reformen von Datenschutz und Urheberrechten)
Bei der Diskussion zum neuesten Thema zeichnet sich der deutsche Beitrag durch sämtliche dieser Mermale aus. Alleine aus diesem Grund ist die Verfolgung der Diskussion zu den nymwars ausgesprochen kurzweilig. Kurz gesagt geht es um die Frage, ob es zukünftig noch erlaubt sein soll, Internetdienste unter Pseudonymen, sprich anonym, zu nutzen.
Wie sich aus einer aktuellen Pressemeldung des Hamburgischen Datenschutzbeauftragten Prof. Dr. Johannes Caspar vom 02.08.2011 ergibt, hat dieser Facebook aufgefordert, die zum Zwecke der Gesichtserkennung gespeicherten biometrischen Daten der Facebook-Nutzer zu löschen.
Was die Internetwirtschaft schon länger befürchtet, steht wohl unmittelbar vor der Umsetzung. Am 15.07.2011 hat der Bundesrat einen Gesetzesentwurf vorgelegt, um die sog. Cookie-Richtlinie (Richtlinie 2002/58/EG, ergänzt durch die Richtlinie 2009/136/EG) umzusetzen, allerdings mit einiger Verzögerung. Denn eigentlich hätte die Umsetzung bis zum 25.05.2011 erfolgen müssen.
Nach der neuen Fassung des § 13 Absatz 8 des Telemediengesetzes sollen Cookies, aber auch sonstige Daten grundsätzlich nur noch auf dem Computer des Nutzers (oder auf sonstigen Endgeräten) gespeichert werden dürfen, wenn der Nutzer zum einen entsprechend § 13 Absatz 1 (neu) TMG belehrt wurde, und zum anderen seine Einwilligung zur Speicherung der Daten erteilt hat.
Der Spiegel berichtet über die letzte Sitzung der Internet-Enquete-Kommission des Bundestags. Die Enquete-Kommission soll die Richtlinien für die Zukunft-Fragen des Internets für den Bundestag prüfen und passende Wege bzw. Vorgaben für die Gesetzgebung aufzeigen.
Positiv ist, dass die Enquete-Kommission sich schon mal für eine grundlegende Anpassung des Urheberrechts an die Erfordernisse der digitalen Gesellschaft ausgesprochen hat.
Eigentlich wollte ich (erst mal) nicht über die Gründung der Digitalen Gesellschaft berichten. Zu viel wurde über die Gründungsankündigung auf der re: publica durch die üblichen Verdächtigen (Spiegel, FAZ etc.) schon berichtet. Aber ausser Ankündigungen und frommen Wünschen konnte ich dort nicht viel lesen. Zu frisch ist noch die Erinnerung an die Piratenpartei, die mit viel Getöse startete, beachtliche Anfangs-Erfolge erzielte und mittlerweile nur noch mit sich selbst beschäftigt ist. Aber jetzt konnte ich es mir doch nicht verkneifen (oder mich dem Druck der Konkurrenz nicht entziehen). Tatsächlich habe ich aber ernsthafte Bedenken, dass die bekannten Instrumentarien der Meinungsabildung und politischen Aktivität geeignet sind, dass unbestrittene Mobiliserungspotential des Internets und der Netzgemeinde gezielt einzusetzen.
Immerhin scheint es, dass die Digitale Gesellschaft allein wegen Ihres Initiators Markus Beckedahl (netzpolitik.org) den richtigen Ansatz verfolgen könnte. Dass Herr Beckedahl etwas von Meinungsbildung und Mobilisierung versteht, steht ausser Frage.
Das OLG Stuttgart hat mit Urteil vom 11.11.2010, Az. 2 U 29/10 entschieden, dass die Anmeldung mit Name, Anschrift und Telefonnummer bei einem Gewinnspiel im Internet nicht zwingend eine Einwilligung in Werbeanrufe darstellt, auch dann nicht wenn der Anmeldende zur Erteilung der Einwilligung ein Häkchen setzen muss (Opt-In).
Mit dieser Frage beschäftigt sich der Kollege Thomas Schwenke in einem lesenswerten Beitrag. Dabei geht es allerdings nicht um die Frage, ob für Werbezusendungen, wie z.B. Newsletter, ein (Double-) Opt-In erforderlich ist, denn diese Frage ist durch die Gerichte bereits weitreichend geklärt, siehe hierzu beispielsweise unseren Beitrag vom 17.09.2010. Der Beitrag des Kollegen Schwenke beschäftigt sich mit der interessanten Frage, ob auch außerhalb des Bereichs der Übermittlung von Werbung, eine datenschutzrechtliche Einwilligung nur unter Verwendung einer Checkbox wirksam eingeholt werden kann.
Die erste Entscheidung zur Verwendung des Facebook Like-Buttons liegt nun vor. Das Landgericht Berlin (Beschluss vom 14.03.2011, Az. 91 O 25/11) hatte sich kürzlich sich mit der Frage zu beschäftigen, ob der Einsatz des Facebook Gefällt-mir-Buttons einen Wettbewerbsverstoß darstellen und somit Abmahnungen von Mitbewerbern nach sich ziehen kann. Im konkreten Fall hatte ein Händler einen entsprechenden Button in seinem Onlineshop eingebunden, jedoch nicht über die hiermit verbundene Datenerhebung auf seiner Seite informiert.
Immer wieder werde ich in meiner Eigenschaft als „jung-dynamischer Internetanwalt“ 😉 von meinen Bekannten auf das vermeintlich fehlende Datenschutzschutzbewusstsein der jungen Leute beim Umgang mit Facebook & Co angesprochen. Diese Bekannten sind meistens ältere Kollegen, denen die neuen Technologien naturgemäß bereits deshalb suspekt sind, weil es sich um etwas Neues handelt. Ich sehe mich dann immer veranlasst, für die jungen Leute (und das junge Medium) eine Lanze zu brechen und eine Erklärung zu liefern. Meistens fehlen mir aber die richtigen Worte. Ich beginne zu stammeln und verwende Begriffe wie „neue Kategorie von Privatsphäre“ und „bewusste informationelle Selbstbestimmung“. Ich fasele etwas von Paradigmenwechsel und neue soziale und private Dimensionen. Meine älteren Kollegen lächeln dann immer höflich. Insgeheim denken sie aber, dass ich Schwachsinn rede. Sie denken, es gibt nur eine Privatsphäre und sie denken, wozu sind sie denn in den 80’er Jahren gegen die Volkszählung auf die Strasse gegangen. Am Ende gebe ich auf und behaupte, es hätte irgendetwas mit Philosohpie zu tun. Nach solchen Diskussionen frage ich mich immer, ob ich eigentlich mit meiner Meinung alleine stehe.
Facebook gilt bekanntlich nicht gerade als Vorzeigebeispiel in puncto Datenschutz. Zu viele Datenschutzeskapaden aus der Vergangenheit zeugen von einer bedenklich laxen Handhabung des Schutzes personenbezogener Daten beim Social Network Nr. 1 – erinnert sei nur beispielhaft an das Sammeln von E-Mail-Adressen nicht registrierter Personen mittels des so genannten „Freundefinders“. Auch die mangelnde Transparenz steht in der Kritik: Die Datenschutzhinweise seien nur schwer verständlich und die Privatsphäre-Einstellungen zu weit verstreut, so die Argumente der Datenschützer, die bereits seit einiger Zeit besser verständliche Datenschutzrichtlinien einfordern.
Diese Kritik greift Facebook nun auf, indem es an einer vereinfachten Datenschutzerklärung arbeitet. Ein erster Entwurf ist bereits online. Sämtliche datenschutzrelevanten Informationen werden fortan auf einer einzigen Seite gebündelt. Die neuen Richtlinien sollen einfach verständlich sowie „optisch ansprechend und interaktiv“ sein, so Facebook.
Endlich ist es soweit: die öffentlich-rechtlichen Datenschützer haben verstanden, dass IP-Adressen von Website-Besuchern nicht nur bei den „Datenkraken“ Facebook und Google landen können, sondern auch von vielen anderen, v. a. Werbeanbietern fleissig genutzt werden (siehe Beitrag in heise online: Datenschutz im Internet: Harte Linie gegen Website-Betreiber). Leider haben die Datensheriffs nicht verstanden, dass das heutige Internet ohne den Austausch von IP-Adressen und ohne die Inanspruchnahme von Service und Hosting Providern nicht funktionieren kann. Entsprechend skurril muten nun auch die vermeintlichen Datenschutzmassnahmen an.
Datenschützer äußern seit einiger Zeit erhebliche Bedenken gegen die datenschutzrechtliche Zulässigkeit der Implementierung des „Like“-Buttons (bzw. „Gefällt mir“-Buttons) in die eigene Website (siehe auch hier). Nun ist offenbar eingetreten, was viele befürchtet hatten: Die erste Abmahnung gegen einen Onlinehändler wegen Verwendung des Like-Buttons wurde ausgesprochen. Obwohl es sich, entgegen den sich geradezu überschlagenden Meldungen der letzten Tage, offenbar um eine Einzelabmahnung handelt und wohl gerade keine neue Abmahnwelle anläuft, ist dieser Vorgang durchaus ernst zu nehmen.
Erst kürzlich hatte der Hamburger Datenschutzbeauftragte Johannes Caspar in der FAZ bekannt gegeben, dass die Verhandlungen mit Google über Google Analytics gescheitert seien. Webseiten-Betreiber, die das Analyse-Tool weiterhin einsetzen würden, müssten mit empfindlichen Bußgeldern rechnen. Wir berichteten. Einer Mitteilung von Google Analytics zufolge kann nun jedoch – jedenfalls was die Hamburger Datenschutz-Aufsichtsbehörde anbelangt – Entwarnung gegeben werden.
Seit ein paar Tagen kursieren Meldungen, dass nun auch bei einigen der deutschen Facebook-Nutzer die in den USA umstrittene Funktion „Instant Personalization“ bzw. „Umgehende Personalisierung“ aktiviert worden sei. Verifiziert werden konnte diese Meldung bislang nicht. Freigeschaltet ist die Funktion zwar in anderen Ländern. Bei den deutschen Facebook-Nutzern erscheint – so weit bekannt – jedoch nach wie vor der Hinweis: „Die umgehende Personalisierung steht dir noch nicht zur Verfügung“.
Seit November 2009 verhandelte der Hamburger Datenschutzbeauftragte Johannes Caspar mit Google über Google Analytics, nachdem die Verwendung dieses Tools vom sogenannten „Düsseldorfer Kreis“ weitgehend für unzulässig befunden worden war (wir berichteten). Nun gab Caspar in der FAZ bekannt, dass die Verhandlungen gescheitert seien. Gleichzeitig kündigte er an, dass Unternehmen, die die Tracking-Software weiterhin einsetzen würden, mit empfindlichen Bußgeldern rechnen müssten. Auch ein Musterprozess gegen ein größeres Unternehmen würde in Erwägung gezogen.
Gewinnspiele sind im Onlinehandel ein beliebtes Mittel, um das Interesse potenzieller Kunden auf das eigene Webangebot zu lenken. Nicht selten wird dabei die Teilnahme an einem Gewinnspiel an die Einwilligung zum Empfang eines Newsletters geknüpft. Diese Praxis ist jedoch nach einem Urteil des LG Hamburg vom 10.08.2010 (Az. 312 O 25/10) unzulässig.
Die Beklagte betrieb auf ihrer Website ein Gewinnspiel, das den Teilnehmern die Möglichkeit, hochwertige Preise zu gewinnen, in Aussicht stellte. Um daran teilnehmen zu können, mussten die Benutzer mittels eines Häkchens zusammen mit den Teilnahmebedingungen gleichzeitig einen „Hinweis zur Datennutzung“ akzeptieren. Dieser Hinweis war nur per Link erreichbar und klärte den Benutzer darüber auf, dass sowohl sein Name als auch seine E-Mail-Adresse und seine Telefonnummer auch zu Werbezwecken genutzt werden sollen. Eine Möglichkeit, in die Gewinnspiel-Teilnahmebedingungen losgelöst vom Hinweis zur Datennutzung einzuwilligen, bestand nicht.
Seit einiger Zeit wird kontrovers diskutiert, ob IP-Adressen personenbezogene Daten sind. Die Frage schien bereits beantwortet, nachdem der so genannte Düsseldorfer Kreis, ein Zusammenschluss von Datenschutzbehörden, vor einem Jahr ankündigte, gegen die Nutzung von Google Analytics vorzugehen und dabei von einem Personenbezug von IP-Adressen ausging (siehe auch hier). Angesichts dieses klaren Standpunktes ebbte die Diskussion in der Folge etwas ab. Nun jedoch zeichnet sich durch zwei aktuelle gerichtliche Entscheidungen eine gegenläufige Tendenz ab. Die Diskussion geht damit in die nächste Runde.
Das LG Wuppertal hatte in einem Fall (Beschluss v. 19.10.2010, Az. 25 Qs 10 Js 1977/08-177/10) über die Strafbarkeit so genannten Schwarzsurfens, also der Einwahl in offene WLAN-Netzwerke, zu entscheiden. Die Kammer sah in diesem Verhalten keinerlei strafrechtliche Relevanz und verneinte sämtliche in Betracht kommende Straftatbestände, so auch das unbefugte Abrufen oder Sich-Verschaffen personenbezogener Daten gemäß den §§ 43 Abs. 2 Nr. 3, 44 BDSG.