Ein Blog von Rechtsanwalt Christos Paloubis

Kategorie: Datenschutz Seite 2 von 3

Gesetzentwurf zur Cookie-Richtlinie im Bundestag via Rechtsanwalt Ferner

Der Gesetzentwurf zur EU-Cookie-Richtlinie wurde im Bundestag vorgelegt. Ein Kommentar des Kollegen Ferner

IT-Recht: Cookie-Richtlinie: Gesetzentwurf im Bundestag via Rechtsanwalt Ferner

Passend auch das Fazit des Kollegen:

Die rechtlichen Regelungen zum Datenschutz sind alltagsuntauglicher Murks. Bestenfalls. Das herumgemurkse des Gesetzgebers an diesem Murks wird es unter keinen Umständen besser machen.

Lesetipp: Was Urheberrecht und Datenschutz gemein haben: fehlende Akzeptanz

Ein absolut lesenswerter Aufsatz des Kollegen Sebastian Dosch. Der Blogger von kLAWtext bringt auf den Punkt, was viele Spezialisten, insbesondere uns Rechtsanwälte, schon lange beschäftigt. Nicht nur, dass die derzeitigen Vorschriften im Urheberrecht und Datenschutz auf die Anforderungen der neuen Medien und der Informationsgesellschaft nicht mehr passen. Ihnen fehlt zunehmend auch die Akzeptanz derer, die sie beachten sollen: den Bürgern.

Was Urheberrecht und Datenschutz gemein haben: fehlende Akzeptanz via kLAWtext

Kritik an der geplanten EU-Datenschutz-Verordnung nimmt zu

Die Kritik an der geplanten EU-Datenschutz-Verordnung nimmt zu. Mehr und mehr Experten kritisieren die vorab bekannt gewordenen Entwürfe.

5 Thesen zur Datenschutz-Verordnung via telemedicus

Es lässt sich schlecht abschätzen, wie diese Diskussion weitergehen wird. Ich halte es aber für sehr gut möglich, dass wir in einigen Jahren ein neues, moderneres und effektiveres Datenschutzrecht bekommen werden. Vielleicht in einer ähnlichen Form, wie Schneider und Härting es vorgeschlagen haben. Wenn die EU nun ihre Datenschutz-Verordnung durchsetzt, ist diese Diskussion weitgehend Makulatur. Denn die Verordnung nimmt die berechtige Kritik, die in Deutschland formuliert worden ist, nicht auf – im Gegenteil. Wenn sie in Kraft tritt, ist mit einem Paradigmenwechsel im Datenschutzrecht für die nächste Zeit nicht zu rechnen.

Abschied von den deutschen grundrechten via Internet Law

Der Verfassungsrichter zeichnet das Bild einer weitreichenden Verordnung, die die Kontrollfunktion des Bundesverfassungsgerichts in wesentlichen Teilen ausschaltet. Masing bezieht sich insoweit nicht nur auf den Bereich des Datenschutzes, sondern ausdrücklich auch auf den Bereich der Meinungs- und Pressefreiheit.


SPON zum Netz-Streik

US-Internetgesetze: Fünf Gründe für den Netz-Streik – SPIEGEL ONLINE – Nachrichten – Netzwelt.

paloubis.com über die iPhone App Datenschutz RSS erhältlich

In eigener Sache: Wir freuen uns, dass unsere Beiträge zum Thema Datenschutz jetzt auch über die iPhone App „Datenschutz RSS“ erhältlich sind.

Datenschutz RSS ist ein datenschutzkonformer RSS-Reader für das iPhone. Bei der Programmierung wurde besonders auf Datensparsamkeit und Transparenz geachtet.
Mit RSS haben Sie die Möglichkeit, Webseiten zu abonnieren. So sind Sie immer informiert – zum Beispiel mit unseren Empfehlungen und Informationen zum
Datenschutz.

Ein Service vor allem für datenschutzbewusste Google Reader-Nutzer, Datenschutzbeauftragte, aber auch Interessierte – ganz kostenlos und frei von Werbung.

 

Weitere Infos sowie die App sind erhältlich unter

WEBSEITE: http://www.Datenschutz-RSS.de

ITUNES: http://itunes.apple.com/de/app/datenschutz-rss/id431853071?mt=8

Datenschützer erläutern rechtskonformen Cookie-Einsatz

 Heise Online berichtet am am 16.12.2011 über eine Stellungnahme der „Artikel 29“-Gruppe der europäischen Datenschutzbeauftragten zum rechtskonformen Einsatz von Cookies

 heise online – Datenschützer erläutern rechtskonformen Cookie-Einsatz.

Über die neue sogenannte EU-Cookie-Richtlinie hatten wir Mitte des Jahres bereits berichtet und ebenso über die bevorstehende Änderung in nationales Recht und die damit verbundenen Schwierigkeiten.

Nun erläutern die europäischen Datenschützer, wie die tatsächliche Umsetzung der neuen Vorgaben für Webseitenbetreiber aussehen könnte:

Datenschutzbehörden nehmen Stellung zu Social Plugins

Der ”Düsseldorfer Kreis”, ein informeller Zusammenschluss der obersten Datenschutzbehörden der Länder, hat in einem aktuellen Beschluss vom 08.12.2011 Stellung bezogen zum Thema Datenschutz in sozialen Netzwerken einschließlich Verwendung von Social Plugins.

Verwendung von Social Plugins wie Facebook „Gefällt-mir-Button“ laut Datenschützern unzulässig

Ende September wurde im Rahmen der 82. Konferenz der Datenschutzbeauftragten festgestellt, dass die Einbindung so genannter Social Plugins (z.B. von Facebook, Google+ oder Twitter) ohne hinreichende Information der Nutzer, insbesondere ohne Einräumung eines Wahlrechtes, nicht mit deutschen und europäischen Datenschutzstandards vereinbar und somit unzulässig sein soll. Zur Pressemitteilung des Konferenzvorsitzenden vom 29. September 2011 zu den Ergebnissen der 82. Datenschutzkonferenz gelangen Sie hier. Empfehlungen zur rechtskonformen Einbindung von Social-Plugins wurden dabei – anders als hinsichtlich der Verwendung von Analyse-Tools – bisher noch nicht abgegeben.

Datenschutzkonformer Einsatz von Google Analytics

Ergänzung zu unserem Artikel Google Analytics: Einigung beim Datenschutz.

Für einen datenschutzkonformen Einsatz von Google Analytics sollten nach den aktuellen Vorgaben der Aufsichtsbehörden folgende Punkte eingehalten werden:

  1. Es muss ein schriftlicher Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden (§ 11 BDSG);
  2. Es dürfen nur gekürzte und somit anonymisierte IP-Adressen erfasst werden;
  3. Es muss ein ausführlicher Datenschutzhinweis bereit gehalten werden;
  4. In dem Datenschutzhinweis muss auch auf die Anonymisierung sowie das jederzeitige Widerspruchsrecht bzw. die Möglichkeit zur Deaktivierung hingewiesen werden;
  5. Altdaten, die unter Nichteinhaltung der vorstehend genannten Vorgaben gesammelt wurden, müssen gelöscht werden.

Für den schriftlichen Vertrag zur Auftragsdatenverarbeitung hat Google einen entsprechenden Vordruck zur Verfügung gestellt, siehe Einleitung der Google Analytics Bedingungen.

Damit die IP-Adressen nicht vollständig verarbeitet und somit lediglich anonymisiert erfasst werden, muss die Erweiterung „anonymizeIP“ im Tracking-Code eingebunden werden. Eine Anleitung zur Einbindung der Erweiterung hält Google hier bereit.

In der Datenschutzerklärung muss ein ausführlicher Datenschutzhinweis ergänzt werden. Hierzu gibt Google in seinen Bedingungen eine entsprechende Formulierung vor, siehe Ziffer 8.1 der Google Analytics Bedingungen. Der dort genannte Text muss jedoch unter Berücksichtigung der oben genannten Vorgaben noch um einen Hinweis auf die Anonymisierungsfunktion ergänzt werden. Die Ergänzung könnte beispielsweise lauten:

„Wir verwenden Google Analytics mit der Erweiterung „_gat._anonymizeIp()“. Die IP-Adressen werden daher nur gekürzt weiterverarbeitet und gespeichert, so dass eine direkte Personenbeziehbarkeit ausgeschlossen ist.“

Google Analytics: Einigung beim Datenschutz

Laut einer Meldung von Spiegel Online haben sich der Hamburgische Datenschutzbeauftragte und Google auf eine datenschutzkompatible Version des vielfach eingesetzten Analyse-Tools Google Analytics geeinigt.

Google Analytics ist wieder deutschlandkompatibel: Der US-Konzern hat den Statistikdienst an deutsches Datenschutzrecht angepasst und der Hamburgische Datenschützer ist zufrieden – vorerst.

In der Vergangenheit gab es viel Verunsicherung bei Seitenbetreibern, da nach Auffassung vieler Experten und Behörden der Einsatz von Google Analytics (ohne ausdrückliche Zustimmung der User) gegen deutsches Datenschutzrecht verstosse (wir berichteten) .

nymwars: Das Ende der Anonymität im Netz?

Immer wenn es um die wirklich wichtigen Fragen des Internets geht, tritt Deutschland bzw. die deutsche Politik als ganz besonderer Diskussionspartner in Erscheinung. Deutsche Beiträge in Form von politischer Sommerloch-Plauderei oder Gesetzgebungsvorstössen zeichnen sich meistens aus durch

  • Verspätung (siehe beispielsweise die Diskussion zu Google Streetview)
  • technische und sachliche Unkenntnis (siehe beispielsweise die Diskussion zu Netzsperren)
  • Widersprüchlichkeit (siehe beispielsweise die Diskussion zur Vorratsdatenspeicherung)
  • Lobbyhörigkeit (siehe beispielsweise Reformen von Datenschutz und Urheberrechten)

Bei der Diskussion zum neuesten Thema zeichnet sich der deutsche Beitrag durch sämtliche dieser Mermale aus. Alleine aus diesem Grund ist die Verfolgung der Diskussion zu den nymwars ausgesprochen kurzweilig. Kurz gesagt geht es um die Frage, ob es zukünftig noch erlaubt sein soll, Internetdienste unter Pseudonymen, sprich anonym, zu nutzen.

Hamburgischer Datenschutzbeauftragter: Gesichtserkennung von Facebook verstößt gegen Datenschutzrecht

Wie sich aus einer aktuellen Pressemeldung des Hamburgischen Datenschutzbeauftragten Prof. Dr. Johannes Caspar vom 02.08.2011 ergibt, hat dieser Facebook aufgefordert, die zum Zwecke der Gesichtserkennung gespeicherten biometrischen Daten der Facebook-Nutzer zu löschen.

Der Keks ist gegessen ? – Änderung des Telemediengesetzes könnte das Ende für Cookies bedeuten

Was die Internetwirtschaft schon länger befürchtet, steht wohl unmittelbar vor der Umsetzung. Am 15.07.2011 hat der Bundesrat einen Gesetzesentwurf vorgelegt, um die sog. Cookie-Richtlinie (Richtlinie 2002/58/EG, ergänzt durch die Richtlinie 2009/136/EG) umzusetzen, allerdings mit einiger Verzögerung. Denn eigentlich hätte die Umsetzung bis zum 25.05.2011 erfolgen müssen.

Nach der neuen Fassung des § 13 Absatz 8 des Telemediengesetzes sollen Cookies, aber auch sonstige Daten grundsätzlich nur noch auf dem Computer des Nutzers (oder auf sonstigen Endgeräten) gespeichert werden dürfen, wenn der Nutzer zum einen entsprechend § 13 Absatz 1 (neu) TMG belehrt wurde, und zum anderen seine Einwilligung zur Speicherung der Daten erteilt hat.

Internet-Enquete-Kommission trifft halbherzige Entscheidungen

Der Spiegel berichtet über die letzte Sitzung der Internet-Enquete-Kommission des Bundestags. Die Enquete-Kommission soll die Richtlinien für die Zukunft-Fragen des Internets für den Bundestag prüfen und passende Wege bzw. Vorgaben für die Gesetzgebung aufzeigen.

Positiv ist, dass die Enquete-Kommission sich schon mal für eine grundlegende Anpassung des Urheberrechts an die Erfordernisse der digitalen Gesellschaft ausgesprochen hat.

Digitale Gesellschaft: Mobilisierung 2.0 oder nur ein Hype?

Eigentlich wollte ich (erst mal) nicht über die Gründung der Digitalen Gesellschaft berichten. Zu viel wurde über die Gründungsankündigung auf der re: publica durch die üblichen Verdächtigen (Spiegel, FAZ etc.) schon berichtet. Aber ausser Ankündigungen und frommen Wünschen konnte ich dort nicht viel lesen. Zu frisch ist noch die Erinnerung an die Piratenpartei, die mit viel Getöse startete, beachtliche Anfangs-Erfolge erzielte und mittlerweile nur noch mit sich selbst beschäftigt ist. Aber jetzt konnte ich es mir doch nicht verkneifen (oder mich dem Druck der Konkurrenz nicht entziehen). Tatsächlich habe ich aber ernsthafte Bedenken, dass die bekannten Instrumentarien der Meinungsabildung und politischen Aktivität geeignet sind, dass unbestrittene Mobiliserungspotential des Internets und der Netzgemeinde gezielt einzusetzen.

Immerhin scheint es, dass die Digitale Gesellschaft allein wegen Ihres Initiators Markus Beckedahl (netzpolitik.org) den richtigen Ansatz verfolgen könnte. Dass Herr Beckedahl etwas von Meinungsbildung und Mobilisierung versteht, steht ausser Frage.

Anmeldung mit Name und Anschrift bei Gewinnspiel ist kein Beweis für Einwilligung in Werbeanruf

Das OLG Stuttgart hat mit Urteil vom 11.11.2010, Az. 2 U 29/10 entschieden, dass die Anmeldung mit Name, Anschrift und Telefonnummer bei einem Gewinnspiel im Internet nicht zwingend eine Einwilligung in Werbeanrufe darstellt, auch dann nicht wenn der Anmeldende zur Erteilung der Einwilligung ein Häkchen setzen muss (Opt-In).

Datenschutzrechtliche Einwilligung ohne Opt-In?

Mit dieser Frage beschäftigt sich der Kollege Thomas Schwenke in einem lesenswerten Beitrag. Dabei geht es allerdings nicht um die Frage, ob für Werbezusendungen, wie z.B. Newsletter, ein (Double-) Opt-In erforderlich ist, denn diese Frage ist durch die Gerichte bereits weitreichend geklärt, siehe hierzu beispielsweise unseren Beitrag vom 17.09.2010. Der Beitrag des Kollegen Schwenke beschäftigt sich mit der interessanten Frage, ob auch außerhalb des Bereichs der Übermittlung von Werbung, eine datenschutzrechtliche Einwilligung nur unter Verwendung einer Checkbox wirksam eingeholt werden kann.

Kein Wettbewerbsverstoß durch Facebook „Gefällt-mir-Button“

Die erste Entscheidung zur Verwendung des Facebook Like-Buttons liegt nun vor. Das Landgericht Berlin (Beschluss vom 14.03.2011, Az. 91 O 25/11) hatte sich kürzlich sich mit der Frage zu beschäftigen, ob der Einsatz des Facebook Gefällt-mir-Buttons einen Wettbewerbsverstoß darstellen und somit Abmahnungen von Mitbewerbern nach sich ziehen kann. Im konkreten Fall hatte ein Händler einen entsprechenden Button in seinem Onlineshop eingebunden, jedoch nicht über die hiermit verbundene Datenerhebung auf seiner Seite informiert.

Post Privacy: Das Datenschutzmodell der Generation Facebook

Immer wieder werde ich in meiner Eigenschaft als „jung-dynamischer Internetanwalt“ 😉 von meinen Bekannten auf das vermeintlich fehlende Datenschutzschutzbewusstsein der jungen Leute beim Umgang mit Facebook & Co angesprochen. Diese Bekannten sind meistens ältere Kollegen, denen die neuen Technologien naturgemäß bereits deshalb suspekt sind, weil es sich um etwas Neues handelt. Ich sehe mich dann immer veranlasst, für die jungen Leute (und das junge Medium) eine Lanze zu brechen und eine Erklärung zu liefern. Meistens fehlen mir aber die richtigen Worte. Ich beginne zu stammeln und verwende Begriffe wie „neue Kategorie von Privatsphäre“ und „bewusste informationelle Selbstbestimmung“. Ich fasele etwas von Paradigmenwechsel und neue soziale und private Dimensionen. Meine älteren Kollegen lächeln dann immer höflich. Insgeheim denken sie aber, dass ich Schwachsinn rede. Sie denken, es gibt nur eine Privatsphäre und sie denken, wozu sind sie denn in den 80’er Jahren gegen die Volkszählung auf die Strasse gegangen. Am Ende gebe ich auf und behaupte, es hätte irgendetwas mit Philosohpie zu tun. Nach solchen Diskussionen frage ich mich immer, ob ich eigentlich mit meiner Meinung alleine stehe.

Facebook will Datenschutz transparenter gestalten

Facebook gilt bekanntlich nicht gerade als Vorzeigebeispiel in puncto Datenschutz. Zu viele Datenschutzeskapaden aus der Vergangenheit zeugen von einer bedenklich laxen Handhabung des Schutzes personenbezogener Daten beim Social Network Nr. 1 – erinnert sei nur beispielhaft an das Sammeln von E-Mail-Adressen nicht registrierter Personen mittels des so genannten „Freundefinders“. Auch die mangelnde Transparenz steht in der Kritik: Die Datenschutzhinweise seien nur schwer verständlich und die Privatsphäre-Einstellungen zu weit verstreut, so die Argumente der Datenschützer, die bereits seit einiger Zeit besser verständliche Datenschutzrichtlinien einfordern.

Diese Kritik greift Facebook nun auf, indem es an einer vereinfachten Datenschutzerklärung arbeitet. Ein erster Entwurf ist bereits online. Sämtliche datenschutzrelevanten Informationen werden fortan auf einer einzigen Seite gebündelt. Die neuen Richtlinien sollen einfach verständlich sowie „optisch ansprechend und interaktiv“ sein, so Facebook.

IP-Adressen im Kreuzfeuer der Datenschützer

Endlich ist es soweit: die öffentlich-rechtlichen Datenschützer haben verstanden, dass IP-Adressen von Website-Besuchern nicht nur bei den „Datenkraken“ Facebook und Google landen können, sondern auch von vielen anderen, v. a. Werbeanbietern fleissig genutzt werden (siehe Beitrag in heise online: Datenschutz im Internet: Harte Linie gegen Website-Betreiber). Leider haben die Datensheriffs nicht verstanden, dass das heutige Internet ohne den Austausch von IP-Adressen und ohne die Inanspruchnahme von Service und Hosting Providern nicht funktionieren kann. Entsprechend skurril muten nun auch die vermeintlichen Datenschutzmassnahmen an.

BGH zur Speicherung dynamischer IP-Adressen durch Provider

Im Juni 2010 hatte das OLG Frankfurt einen Anspruch gegenüber Internetprovidern auf sofortige Löschung dynamischer IP-Adressen verneint (siehe dazu unseren Beitrag vom 24.08.2010). Das Gericht billigte Providern das Recht zu, IP-Adressen sieben Tage lang zu speichern, um Entgelte festzulegen oder Störungen zu ermitteln. Auf die Revision hin hat der BGH mit Urteil vom 13.01.2011, Aktenzeichen: III ZR 146/10, die Entscheidung des OLG Frankfurt aufgehoben und zur erneuten Verhandlung zurückverwiesen. In seinem Urteil stellte der BGH Voraussetzungen für die Speicherung dynamischer IP-Adressen auf.

Abmahnung wegen Facebook-„Like“-Plug-in – Handlungsbedarf für Onlinehändler?

Datenschützer äußern seit einiger Zeit erhebliche Bedenken gegen die datenschutzrechtliche Zulässigkeit der Implementierung des „Like“-Buttons (bzw. „Gefällt mir“-Buttons) in die eigene Website (siehe auch hier). Nun ist offenbar eingetreten, was viele befürchtet hatten: Die erste Abmahnung gegen einen Onlinehändler wegen Verwendung des Like-Buttons wurde ausgesprochen. Obwohl es sich, entgegen den sich geradezu überschlagenden Meldungen der letzten Tage, offenbar um eine Einzelabmahnung handelt und wohl gerade keine neue Abmahnwelle anläuft, ist dieser Vorgang durchaus ernst zu nehmen.

Google Analytics: vorerst doch keine Bußgelder?

Erst kürzlich hatte der Hamburger Datenschutzbeauftragte Johannes Caspar in der FAZ bekannt gegeben, dass die Verhandlungen mit Google über Google Analytics gescheitert seien. Webseiten-Betreiber, die das Analyse-Tool weiterhin einsetzen würden, müssten mit empfindlichen Bußgeldern rechnen. Wir berichteten. Einer Mitteilung von Google Analytics zufolge kann nun jedoch – jedenfalls was die Hamburger Datenschutz-Aufsichtsbehörde anbelangt – Entwarnung gegeben werden.

Aufregung um Facebook-Anwendung „Umgehende Personalisierung“

Seit ein paar Tagen kursieren Meldungen, dass nun auch bei einigen der deutschen Facebook-Nutzer die in den USA umstrittene Funktion „Instant Personalization“ bzw. „Umgehende Personalisierung“ aktiviert worden sei. Verifiziert werden konnte diese Meldung bislang nicht. Freigeschaltet ist die Funktion zwar in anderen Ländern. Bei den deutschen Facebook-Nutzern erscheint – so weit bekannt – jedoch nach wie vor der Hinweis: „Die umgehende Personalisierung steht dir noch nicht zur Verfügung“.

Tracking-Tool „Google Analytics“ im Visier der Datenschützer

Seit November 2009 verhandelte der Hamburger Datenschutzbeauftragte Johannes Caspar mit Google über Google Analytics, nachdem die Verwendung dieses Tools vom sogenannten „Düsseldorfer Kreis“ weitgehend für unzulässig befunden worden war (wir berichteten). Nun gab Caspar in der FAZ bekannt, dass die Verhandlungen gescheitert seien. Gleichzeitig kündigte er an, dass Unternehmen, die die Tracking-Software weiterhin einsetzen würden, mit empfindlichen Bußgeldern rechnen müssten. Auch ein Musterprozess gegen ein größeres Unternehmen würde in Erwägung gezogen.

LG Hamburg: Kopplung von Newsletter-Einwilligung und Gewinnspielteilnahme ist unzulässig

Gewinnspiele sind im Onlinehandel ein beliebtes Mittel, um das Interesse potenzieller Kunden auf das eigene Webangebot zu lenken. Nicht selten wird dabei die Teilnahme an einem Gewinnspiel an die Einwilligung zum Empfang eines Newsletters geknüpft. Diese Praxis ist jedoch nach einem Urteil des LG Hamburg vom 10.08.2010 (Az. 312 O 25/10) unzulässig.

Die Beklagte betrieb auf ihrer Website ein Gewinnspiel, das den Teilnehmern die Möglichkeit, hochwertige Preise zu gewinnen, in Aussicht stellte. Um daran teilnehmen zu können, mussten die Benutzer mittels eines Häkchens zusammen mit den Teilnahmebedingungen gleichzeitig einen „Hinweis zur Datennutzung“ akzeptieren. Dieser Hinweis war nur per Link erreichbar und klärte den Benutzer darüber auf, dass sowohl sein Name als auch seine E-Mail-Adresse und seine Telefonnummer auch zu Werbezwecken genutzt werden sollen. Eine Möglichkeit, in die Gewinnspiel-Teilnahmebedingungen losgelöst vom Hinweis zur Datennutzung einzuwilligen, bestand nicht.

Off-Topic: Konfusion beim Internet-Datenschutz

Lesenswerter Beitrag bei Spiegel-Online zu den akutellen Gesetzgebungs-Bemühungen zum Datenschutz im Internet (z.B. für Google Streetview, Facebook etc).

Fazit:

Was all das Hin und Her, was all die unterschiedlichen und zum Teil konkurrierenden Positionsbestimmungen der Koalitionsparteien, aber auch die zuweilen überraschenden Übereinstimmungen zwischen Regierungsmitgliedern und Opposition deutlich machen, ist vor allem eins: In Wahrheit herrscht nach wie vor eine ausgeprägte Verwirrung hinsichtlich grundsätzlicher Fragen, was die Themen Internet, digitale Welt und Datenschutz angeht.

Treffender kann man es wohl nicht auf den Punkt bringen.

Personenbezug von IP-Adressen – eine unendliche Geschichte

Seit einiger Zeit wird kontrovers diskutiert, ob IP-Adressen personenbezogene Daten sind. Die Frage schien bereits beantwortet, nachdem der so genannte Düsseldorfer Kreis, ein Zusammenschluss von Datenschutzbehörden, vor einem Jahr ankündigte, gegen die Nutzung von Google Analytics vorzugehen und dabei von einem Personenbezug von IP-Adressen ausging (siehe auch hier). Angesichts dieses klaren Standpunktes ebbte die Diskussion in der Folge etwas ab. Nun jedoch zeichnet sich durch zwei aktuelle gerichtliche Entscheidungen eine gegenläufige Tendenz ab. Die Diskussion geht damit in die nächste Runde.

Das LG Wuppertal hatte in einem Fall (Beschluss v. 19.10.2010, Az. 25 Qs 10 Js 1977/08-177/10) über die Strafbarkeit so genannten Schwarzsurfens, also der Einwahl in offene WLAN-Netzwerke, zu entscheiden. Die Kammer sah in diesem Verhalten keinerlei strafrechtliche Relevanz und verneinte sämtliche in Betracht kommende Straftatbestände, so auch das unbefugte Abrufen oder Sich-Verschaffen personenbezogener Daten gemäß den §§ 43 Abs. 2 Nr. 3, 44 BDSG.

„Internetrecht“ von Thomas Hoeren aktualisiert

Die neue Fassung (Okotber 2010) des umfassenden kostenlosen Skripts „Internetrecht“ von Professor Dr. Thomas Hoeren aus Münster ist nun verfügbar. In seinem Skript informiert Hoeren ausführlich zu sämtlichen Themen des Internetrechts aus verschiedenen Teilgebieten, insbesondere Domainrecht, Urheberrecht, Patentrecht, Online-Marketing, E-Commerce, Datenschutzrecht und vieles mehr. Das Skript berücksichtigt auch die relevante aktuelle Rechtsprechung.

Download der Skripten (PDF): Internetrecht
IT-Recht

Opt-Out & co.: E-Mail-Werbung auch ohne ausdrückliche Einwilligung zulässig?

Der Versand von E-Mail-Werbung wirft immer wieder rechtliche Fragen auf. Viele Händler sind unsicher, wann eine Einwilligung des Kunden erforderlich ist bzw. welche Formalien gegebenenfalls zu beachten sind. Oft geht es dabei um die Frage, ob eine Einwilligung auch im Wege einer vorangekreuzten Checkbox (sogenanntes „Opt-Out-Verfahren“) oder mittels einer Klausel in den Allgemeinen Geschäftsbedingungen (AGB) wirksam eingeholt werden kann. Mit dieser Thematik beschäftigte sich kürzlich das OLG Thüringen und konkretisierte in einer Entscheidung die geltenden Vorgaben (OLG Thüringen, Urteil vom 21.04.2010, Az. 2 U 88/10; das Shopbetreiber-Blog berichtet).

Grundsätzlich gilt: Die Nutzung personenbezogener Daten, zu denen auch die E-Mail-Adresse gehört, steht unter dem Einwilligungsvorbehalt des Betroffenen, es sei denn das Gesetz sieht eine Ausnahme vor. Im Bereich der postalischen Werbung ist eine solche Ausnahme beispielsweise in § 28 Abs. 3 Satz 2 BDSG zu finden (sogenanntes „Listenprivileg“). Im Bereich der E-Mail-Werbung ist das Listenprivileg hingegen nicht anwendbar. Hier enthält § 7 Abs. 3 UWG eine Ausnahme. Danach darf E-Mail-Werbung ohne ausdrückliche Einwilligung des Betroffenen versandt werden, wenn

OLG Frankfurt: Kein Anspruch auf sofortige Löschung von IP-Adressen

Kunden von Internetprovidern wie der Telekom können nicht verlangen, dass die zur Aufnahme von Internetverbindungen vergebenen dynamischen IP-Adressen sofort nach Beendigung der Verbindung gelöscht werden. So entschied das OLG Frankfurt am Main in seinem Urteil vom 16.06.2010 (Az. 13 U 105/07). Die Speicherung sei zur Berechnung des Entgelts und zur Behebung von Störungen erforderlich und von Vorschriften des TKG gedeckt. Kunden müssen demnach jedenfalls eine siebentägige Speicherung der Verbindungsdaten hinnehmen.

Der Kläger war Inhaber eines Telekom-Internetanschlusses mit Flatrate-Tarif. Er verlangte von der Telekom die sofortige Löschung der dynamischen IP-Adressen, jeweils nach Beendigung des Verbindungsvorgangs, aus Gründen des Datenschutzes sowie des Schutzes der Privatsphäre. Zum Zeitpunkt der Klageerhebung speicherte die Telekom IP-Adressen noch 80 Tage nach Rechnungsversand. In erster Instanz beschränkte das Landgericht Darmstadt die zulässige Speicherungsdauer auf sieben Tage, woraufhin die Telekom ihre generelle Speicherungspraxis entsprechend abänderte. Der Kläger empfand dies jedoch als unzureichend und legte Berufung ein. Die Telekom wendete ein, sie benötige die IP-Adressen zur Erkennung, Eingrenzung und Beseitigung von Fehlern sowie zur Abrechnung. Das OLG wies die Berufung daraufhin zurück.

Datenschutz: „Gefällt-mir“-Button von Facebook unzulässig?

In einem  kurzen aber treffenden Beitrag befasst sich der Kollege Dr. Bahr mit der Frage, ob die Integration des Facebook-I-like-Buttons auf der eigenen Website datenschutzrechtlich zulässig ist.

Der Kollege gibt zutreffend zu bedenken, dass der Gefällt-Mir Button von Facebook, der seit einigen Monaten als Plug In auch für fremde Webseitenbetreiber zur Verfügung steht, dieselben Rechtsfragen betrifft wie beispielsweise Google-Analytics, oder die überall verwendeten Ad-Server-Technologien. Im Wesentlichen geht es dabei darum, dass durch die Integration entsprechender Tools fremder Anbieter auf der eigenen Website, der jeweilige Fremd-Anbieter in die Lage versetzt wird, eine Vielzahl von (personenbezogenen) Daten der Besucher der jeweiligen Site zu erfassen und zu speichern. Hierzu gehört insbesondere die viel diskutierte IP-Adresse. Da auch bei Facebook die Speicherung dieser Daten in der Regel im Nicht-EU-Ausland erfolgt, steht im Ergebnis fest, dass diese Praxis auch dann gegen deutsches Datenschutzrecht verstößt, wenn die Nutzer auf die entsprechende Datenverwendung hingewiesen werden.

Dass Facebook selbst beim Thema Datenschutz bislang nicht gerade als Musterschüler gilt, dürfte nicht neu sein. Bekannt ist auch, dass die Nutzer Facebook trotzdem die Treue halten und das Netzwerk weiter wächst. Webseitenbetreiber hingegen, die vom Erfolg des Social Networks durch Integration des I-Like-Buttons auf der eigenen Webseite profitieren möchten, seien aber gewarnt. Hamburg.de hat die Anwendung nicht zuletzt wegen der damit verbundenen negativen Publicity wieder entfernt. Im schlimmsten Fall drohen auch Ordnungsgelder.

Fake-Abmahnungen wegen angeblicher Speicherung von IP-Adressen im Umlauf

Webmaster berichten seit kurzem verstärkt von dubiosen Abmahnungen per E-Mail wegen einer angeblichen Speicherung von IP-Adressen. Auch vom Beginn einer neuen Abmahnwelle ist bereits die Rede. Bei diesen Mails handelt es sich allerdings um Scheinabmahnungen, die keiner weiteren Reaktion bedürfen. Davon abgesehen werfen diese Mails einmal mehr die Frage auf, ob IP-Adressen personenbezogene Daten sind und ob Verstöße gegen Datenschutzrecht überhaupt abmahnfähig sind.

In den E-Mails wird pauschal behauptet, der Empfänger habe auf seiner Website IP-Adressen der Benutzer gespeichert. Eine solche Speicherung stelle einen Verstoß gegen das „Datenschutzgesetz“ dar und sei „laut Rechtslage ungültig“, weshalb die Zahlung eines Betrags in Höhe von 128,50 Euro innerhalb einer kurzen Frist von drei Tagen sowie die Abgabe einer Unterlassungserklärung gefordert wird, andernfalls drohe eine Klage.

Bei diesen in schlechtem Deutsch abgefassten und auch sonst wenig professionell wirkenden Mails handelt es sich offensichtlich um den durchsichtigen Versuch, den Empfänger durch den Anschein einer Abmahnung einzuschüchtern und durch den vergleichsweise niedrig angesetzten Betrag zur Zahlung zu bewegen. Die dort aufgebaute Drohkulisse und der schräg formulierte Verweis auf die angebliche Unzulässigkeit der Speicherung von IP-Adressen wirkt jedoch wenig überzeugend. Einen Beleg, dass tatsächlich IP-Adressen gespeichert wurden, kann eine in Massen verschickte E-Mail naturgemäß nicht liefern.

Verbesserter Datenschutz bei Google Analytics

Im vergangenen November hatten Deutschlands oberste Datenschutz-Aufsichtsbehörden in einer gemeinsamen Erklärung den Einsatz von Google Analytics als weitgehend unzulässig eingestuft (siehe auch hier). Die Einsatzmöglichkeiten des Webanalyse-Tools reduzierten sich dadurch faktisch auf Null. Nun stellt Google für Website-Betreiber erstmals die technische Möglichkeit zur Verfügung, IP-Adressen zu pseudonymisieren, wie es das geltende Datenschutzrecht explizit fordert. Parallel dazu stellt Google ein Browser-Addon zur Verfügung, um das Datensammeln durch Google Analytics zu unterbinden. Der Einsatz von Google Analytics dürfte nach alldem in Deutschland wieder zulässig sein.

Der wesentliche Kritikpunkt der Datenschützer ist die Speicherung von IP-Adressen durch Google Analytics in nicht pseudonymer Form. Datenschutzrechtlich ist dies allenfalls mit ausdrücklicher Einwilligung des Betroffenen zulässig, was jedoch im Hinblick auf Google Analytics praktisch kaum umsetzbar ist. Die neue Funktion mit der Bezeichnung „_anonymizeIp()“ ermöglicht nun die Pseudonymisierung: Die IP-Adresse wird unkenntlich gemacht, indem vor jeder weiteren Verarbeitung die letzten acht Bit gelöscht werden. Eine Identifizierung des Benutzers ist somit ausgeschlossen, eine grobe Lokalisierung bleibt hingegen weiterhin möglich. Dem Erfordernis einer pseudonymen Speicherung dürfte damit Genüge getan sein. Das Konkurrenz-Tool etracker verfährt bereits seit längerem auf diese Weise.

Cookies bald vor dem Aus? Welche Änderungen bringt die neue Datenschutzrichtlinie der EU?

Mit einer neuen Datenschutzrichtlinie (Richtlinie 2009/136/EG) will die EU für mehr Sicherheit und Transparenz bei der Datenkommunikation sorgen. Von der Datenschutz-Änderung sind auch Cookies betroffen. Diese sollen zukünftig nicht mehr ohne Wissen und Willen des Nutzers auf dessen Rechner gespeichert werden können.

Cookies sind vor allem für den Online-Handel und für die Online-Werbung von erheblicher Bedeutung. Nicht nur, dass der Seitenbetreiber seine Nutzer so wieder identifizieren kann. Er kann noch viele nützliche weitere Informationen in den Cookies speichern und herauslesen, die ihm helfen die „richtige“ Werbung zu platzieren oder Produkte zu verkaufen. Cookies sind aber vor allem für die Affiliate-Publisher von existentieller Bedeutung, weil die Zuordnung einer erfolgreichen Vermittlung (Click, Lead, Sale) beim Merchant oftmals nur über Cookies erfolgen kann.

Generation Facebook entwickelt Datenschutzbewusstsein

Kaum zu glauben, aber „sie wissen doch, was sie tun“ …  Experten stellen fest, dass die Generation Facebook, also die Jugendlichen, die mit Facebook, SchülerVZ etc gross geworden sind, durchaus in der Lage ist, die in den Netzwerken verbreiteten Informationen bewusst zu steuern.

Sind soziale Netzwerke wie Facebook und StudiVZ gefährlich? Datenschützer warnen jedenfalls, zu viel Privates preiszugeben. Wissenschaftler beobachten allerdings auch, dass immer mehr Jüngere genau steuern, was sie von sich offenbaren. Im Gegensatz zu älteren Surfern.

In einem Artikel bei stern.de kommen verschiedene Experten zu Wort, die einen Bewusstseinswandel bei der Zielgruppe erkennen, die bislang wegen ihres allzu sorglosen Umgangs mit privaten, persönlichen und oft auch intimen Informationen Kopfschütteln bei der Generation Volkszählung hervorriefen.

Während Datenschützer und Verbraucherschutz-Ministerin Ilse Aigner (CSU) vor Online-Netzwerken warnen, wissen viele Nutzer inzwischen ganz genau, was sie von sich mitteilen wollen, wem sie ihre Daten zugänglich machen – und wie sie sich bestmöglich vor Freunden und Kollegen in Szene setzen. Facebook, StudiVZ und Co. sind auch Selbstdarstellungs-Plattformen.

Allerdings rückt eine neue Zielgruppe in den Focus der Datenschützer: Die Zielgruppe 50 +, also eben die Genration Volkszählung, die das Grundrecht auf informationelle Selbstbestimmung geschaffen hat.

– die älteren Herrschaften, von denen spätestens seit vergangenem Jahr immer mehr auf die Plattformen drängen. „Bei den Älteren ist das Datenschutzbewusstsein sehr groß – aber das technische absolut unzureichend

ACTA-Abkommen: Offizieller Entwurf veröffentlicht

Der offizielle Entwurf zum ACTA-Abkommen (Anti-Counterfeiting Trade Agreement) wurde nun veröffentlicht. Drei Jahre dauerten die geheimen Verhandlungen der Unterhändler, an denen unter anderem die USA und die EU beteiligt waren. Immer wieder waren inoffiziell Informationen (wir berichteten) durchgesickert und sorgten weltweit für Aufsehen.

Anders als bei einem durchgesickerten Dokument, das die französische Bürgerrechtsorganisation La Quadrature du Net im März veröffentlicht hatte, gehen die Positionen der einzelnen Delegationen nicht aus dem Dokument hervor. Bei der ersten Durchsicht wird schnell klar, dass in dem Abkommen noch zahlreiche Punkte umstritten sind, schließlich dürfte es nicht einfach sein, die Interessen und Rechtsauffassungen von Ländern wie den USA, Mexiko oder der Schweiz in Übereinstimmung zu bringen.

Quelle: ORF

Speziell das Kapitel Internet soll stark umstritten sein.

Gute Übersicht: http://www.abo-falle.de/

Der Kollege Jens Ferner hat eine gute Übersicht zum Thema Internet-Abo-Fallen zusammengestellt:

www.abo-falle.de

Das Thema beschäftigt jeden, der gerade in eine solche Falle getappt ist und Rat sucht. Zwar gibt es hierzu viele Beiträge (wir berichten hierzu ebenfalls) vor allem in Foren, allerdings sind auch viele (halb-)falsche Informationen zu finden. Der Kollege Ferner gibt wie gewohnt eine umfasssende und fundierte Übersicht und zeigt, wie Betroffene reagieren sollten.

Neues Datenschutzrecht zu Auskunfteien und Scoring ab 01.04.2010

Zum 01.04.2010 tritt eine weitere Stufe der Novelle des Bundesdatenschutzgesetzes (BDSG) in Kraft. Gegenstand der Neuregelungen sind unter anderem die Datenübermittlung an Auskunfteien (etwa die Schufa oder die Creditreform), die Regulierung des Scorings sowie die Betroffenenauskunft. Durch die Neuerungen soll im Ergebnis mehr Transparenz und Rechtssicherheit geschaffen werden.

Erstmals ist mit Inkrafttreten der Novelle die Übermittlung von Negativdaten an Auskunfteien ausdrücklich gesetzlich geregelt. Sie findet sich im neuen § 28a BDSG und ist nur noch unter den dort genannten Voraussetzungen möglich. So setzt die Übermittlung personenbezogener Daten über eine Forderung künftig neben weiteren in § 28 a Abs. 1 BDSG genannten Voraussetzungen stets Fälligkeit voraus, zudem muss die Übermittlung erforderlich sein, um berechtigte Interessen der verantwortlichen Stelle oder eines Dritten zu wahren. Darüber hinaus sollten Onlinehändler, die Negativdaten an Auskunfteien übermitteln, in ihrer Datenschutzerklärung auf diesen Umstand hinweisen.

Neu sind auch die Regeln zum Scoring-Verfahren. Die Voraussetzungen zur Zulässigkeit sind im neuen § 28 b BDSG geregelt. Für die Berechnung des Score-Wertes muss künftig ein Verfahren gewählt werden, welchem eine wissenschaftlich anerkannte mathematisch-statistische Methode zugrunde liegt. Die zur Berechnung des Score-Wertes herangezogenen Daten müssen dafür nachweisbar erheblich sein. Allein auf die Adressdaten darf bei der Berechnung nicht mehr abgestellt werden. Werden Adressdaten genutzt, so ist der Betroffene darüber zu unterrichten.

Stiftung Warentest: mangelhafte Datensicherheit bei Social Networks

Die Stiftung Warentest hat verschiedene soziale Netzwerke getestet, unter anderem auf Datensicherheit. Dabei mussten die Tester jedoch erhebliche Mängel feststellen, allen voran bei Facebook, Myspace und LinkedIn. Bei letzteren wurden insbesondere die AGB kritisiert, mittels derer sich das jeweilige Netzwerk weitreichende Rechte einräumt, vor allem bei der Weitergabe der Daten an Dritte, ohne den Zweck der Datenweitergabe offenzulegen. SchülerVZ und StudiVZ hingegen erhielten für den Umgang mit den privaten Daten und den Verwertungsrechten der Nutzer gute Bewertungen.

Mehr zum Thema lesen Sie bei Spiegel Online.

Die Testergebnisse sind abrufbar auf den Seiten der Stiftung Warentest.

Karlsruhe kippt Vorratsdatenspeicherung

Das Bundesverfassungsgericht hat am vergangenen Dienstag erwartungsgemäß die Vorratsdatenspeicherung in ihrer konkreten Ausgestaltung für verfassungswidrig erklärt. Die derzeitigen Regelungen seien mit dem Fernmeldegeheimnis (Art. 10 GG) nicht vereinbar. Dieser Grundrechtsverstoß führt zur Nichtigkeit der §§ 113 a, 113 b TKG sowie § 100 g Abs.1 S.1 StPO, die die Vorratsdatenspeicherung regeln. Bisher gespeicherte Daten müssen unverzüglich gelöscht werden.

Gleichwohl ist eine anlasslose sechsmonatige Datenspeicherung nicht generell unzulässig. Das BVerfG stellte aber strenge Anforderungen an die Vereinbarkeit mit dem Grundgesetz auf, die der Gesetzgeber bei einer Neuauflage beachten müsste. Beispielsweise darf der unmittelbare Zugriff auf die Daten darf allenfalls zur Abwehr schwerwiegender Gefahren oder zur Verfolgung schwerer Straftaten erfolgen. Auch die Datensicherheit muss gewährleistet sein, beispielsweise müssen die Daten künftig dezentral gespeichert und asymmetrisch verschlüsselt werden. Weniger strenge Anforderungen sind hinsichtlich der behördlichen Abfrage von IP-Adressen zur Personenidentifikation zu stellen, da dabei nur mittelbar auf die Daten zurückgegriffen wird. Persönlichkeitsprofile ließen sich so nicht erstellen, der Eingriff sei daher geringer.

Die vollständige Urteilsbegründung ist auf den Seiten des BVerfG zu finden.

Mehr zum Thema und zur aktuellen Diskussion finden Sie bei jurabilis.

Skript „Internetrecht“ von Thomas Hoeren aktualisiert – neues Skript „IT-Recht“ verfügbar

Die neue Fassung (Februar 2010) des beliebten kostenlosen Skripts „Internetrecht“ von Professor Dr. Thomas Hoeren aus Münster ist nun verfügbar. In seinem Skript informiert Hoeren umfassend zu Rechtsthemen mit Bezug zum Internet aus verschiedenen Rechtsgebieten, insbesondere Domainrecht, Urheberrecht, Patentrecht, Online-Marketing, E-Commerce, Datenschutzrecht und vieles mehr. Das Skript berücksichtigt auch die relevante aktuelle Rechtsprechung.

Zeitgleich mit der Neuauflage des Internetrecht-Skripts hat Hoeren erstmalig ein zweites Skript zum Download bereitgestellt. Dieses trägt den Titel „IT-Recht“ und ist ebenfalls kostenlos. Dieses behandelt schwerpunktmäßig den Rechtsschutz von EDV-Produkten und das IT-Vertragsrecht (Softwareüberlassungsverträge, Softwareerstellungsverträge, Softwareleasing und vieles mehr). Abschließend finden sich einige Musterverträge.

Download der Skripten (PDF): Internetrecht
IT-Recht

Lesenswert: Internetpolitik in SPON

Eine wirklich gelungene Zusammenfassung der derzeit – möglichrweise konfusen – Aktivitäten (oder Ankündigungen) der Regierungskoalition zu verschiedenen Fragen der Netzpolitik findet sich unter dem Titel

Schwarz-Gelb verheddert sich im Netz

aktuell auf SPON.

Wirrwarr ums World Wide Web: In der Merkel-Regierung reden auf einmal alle über das Internet, doch die Linie fehlt. Ministerin Aigner prangert Facebook und Google an, die Kanzlerin sieht die Nutzer beim Datenschutz selbst in der Pflicht – und der Innenminister entdeckt Verbindungen zum Chaos Computer Club.

Ob diese diffusen Aktivitäten wohl mit dem Beginn der Cebit zu tun haben?

OLG Köln: Personensuchmaschinen dürfen auf Fotos aus Facebook-Profilen zugreifen

Wer in Social Networks wie Facebook sein Foto einstellt, willigt dadurch konkludent ein, dass auch Personensuchmaschinen wie 123people.de oder yasni.de das Bild veröffentlichen dürfen. Das geht aus einer Entscheidung des OLG Köln vom 09.02.2010 hervor (Az.: 15 U 107/09).

Bilder, die in Facebook-Profilen hochgeladen werden, werden regelmäßig von Personensuchmaschinen ausgelesen und dort angezeigt, sofern der Nutzer die Bilder für die Allgemeinheit freigegeben hat. Ein Nutzer sah diesen Vorgang als unzulässig an und klagte auf Unterlassung.

Urteilsverkündung in Sachen Vorratsdatenspeicherung findet am 2. März statt

Die mit Spannung erwartete Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung steht kurz bevor. Der mit der Sache befasste Erste Senat wird am Dienstag, 2. März 2010, um 10:00 Uhr das Urteil verkünden.

Das Gesetz zur Vorratsdatenspeicherung basiert auf der Richtlinie 2006/24/EG. Es sieht vor, dass Provider Telekommunikations-Verbindungsdaten über einen Zeitraum von sechs Monaten verdachtsunabhängig speichern müssen. Im Januar 2008 wurde eine von fast 35.000 Bürgern unterzeichnete Verfassungsbeschwerde eingelegt. Diese wurde am 15. Dezember 2009 verhandelt. Zwischenzeitlich erließ das BVerfG eine einstweilige Anordnung, die die Vorratsdatenspeicherung nicht aufhob, den Zugriff auf die Daten aber auf schwere Straftaten beschränkte. Am 2. März wird dann aller Voraussicht nach feststehen, ob die Vorratsdatenspeicherung verfassungsgemäß ist.

Wer an der Verhandlung teilnehmen möchte, beachte die Pressemitteilung des BVerfG.

Das Datenbrief-Konzept: CCC fordert Paradigma-Umkehr im Datenschutz

Der Chaos Computer Club (CCC) fordert zur Stärkung der informationellen Selbstbestimmung des Bürgers die Einführung eines Datenbriefes. Nach diesem Konzept sollen Unternehmen, Behörden oder Institutionen, die personenbezogene Daten erheben, den Betroffenen in regelmäßigen Abständen über die Speicherung informieren. Der Datenbrief soll so dem Einzelnen die Möglichkeit geben, die Verarbeitung eigener Daten besser zu überblicken und zu kontrollieren.

Der Datenbrief soll grundsätzlich alle gespeicherten Daten des Betroffenen enthalten. Ebenso muss über die Weitergabe der Daten an Dritte informiert werden. Die erstmalige Versendung soll unmittelbar nach Beginn der Erhebung, Verarbeitung oder des Empfangs der Daten erfolgen. Danach schlägt der CCC eine jährliche Versendung vor. Um die Erhebung zusätzlicher Daten zum Zweck der Versendung zu vermeiden, soll die Versendung stets auf dem Weg erfolgen, auf dem der Betroffene ohnehin erreichbar ist. Der Datenbrief gibt dem Betroffenen so die Möglichkeit, die Richtigkeit der Daten zu überprüfen und erforderlichenfalls eine Korrektur zu veranlassen bzw. der Datenerhebung zu widersprechen. Besonders im Zusammenhang mit Scoring oder der Schufa-Auskünften ist Transparenz bei der Datenerhebung von besonderer Bedeutung.

Ein Recht auf Auskunft sieht das Bundesdatenschutzgesetz (BDSG) in den §§ 19, 34 bereits heute vor. Dieses Recht bewertet der CCC allerdings als unzureichend: Um von seinem Auskunftsrecht Gebrauch machen zu können, muss der Betroffene zunächst wissen, wer überhaupt dessen Daten erhebt. Daneben muss der Betroffene die verantwortliche Stelle identifizieren und gegenüber dieser nachweisen, dass er der tatsächlich Betroffene ist. Das Konzept des Datenbriefs geht den umgekehrten Weg. Damit will der CCC nun eine Paradigma-Umkehr in Gang setzen und erreichen, dass sich die verantwortlichen Stellen ihrer Verantwortung bewusst werden.

Die Forderung nach Einführung eines Datenbriefs dürfte allerdings nur schwer umsetzbar sein. Unternehmen und öffentliche Stellen werden einwenden, dass sie bereits jetzt im Rahmen ihrer Datenschutzerklärungen umfassend über Erhebung, Speicherung und Verarbeitung von Daten informieren müssen und dass der individuelle Versand eines Datenbriefs einen unzumutbaren bürokratischen Mehraufwand mit sich bringen wird. Ebenso bleibt fraglich, ob dem Bürger mit einer Überflutung mit zahllosen Pflichtinformationen gedient ist.

Dennoch ist es den Computerexperten gelungen, eine Debatte über die Verbesserung des individuellen Datenschutzes anzustoßen. Der angestrebte Paradigmenwechsel – weg vom Bürger als Bittsteller gegenüber der speichernden Stelle hin zum verantwortungsbewussten und kritischen Umgang – könnte kommende Gesetzgebungsverfahren im Bereich Datenschutz erheblich beeinflussen. Der Datenbrief sollte daher als Denkanstoß verstanden werden, unabhängig von seiner politischen Realisierbarkeit.

Der CCC lädt dazu ein, Kommentare und Vorschläge zum Datenbrief an datenbrief(at)ccc.de zu senden.

Datenschutz: Käufer von Adressdaten müssen Einwilligungen überprüfen

Das OLG Düsseldorf hat sich in einer aktuellen Entscheidung (Az. I-20 U 137/09) mit der Rechtmäßigkeit der Verwendung von gekauften E-Mail-Adressen zu Werbezwecken auseinandergesetzt. Nach Ansicht des Gerichts haben Unternehmen, die solche E-Mail-Adressen erwerben, sicherzustellen, dass E-Mails ausschließlich an diejenigen Personen versandt werden, von denen eine ausdrückliche Einwilligung vorliegt. Auf eine einfache Zusicherung des Verkäufers dürfe sich das werbende Unternehmen nicht verlassen.

Nach Auffassung des Gerichts sind seitens des Käufers konkrete Maßnahmen erforderlich gewesen, um die Adresssätze auf das Vorliegen von Einwilligungen hin zu überprüfen. Dazu sei es nicht erforderlich, dass die Adressdaten einzeln telefonisch auf Einwilligungen überprüft werden. Vielmehr sei eine Überprüfung der gespeicherten Daten des jeweiligen Kunden ausreichend. Dies dürfte bei Datensätzen mit ordnungsgemäßen Einwilligungen auch machbar sein, zumal eine Einwilligung gemäß § 7 Abs.2 Nr.3 UWG stets ausdrücklich zu erfolgen hat, was in aller Regel in irgendeiner Weise dokumentiert wird.

Wer zu Werbezwecken E-Mail-Adressen kauft, sollte deshalb noch vor deren Verwendung eigenhändig prüfen, ob für jede einzelne E-Mail-Adresse die erforderliche Einwilligung des Betroffenen vorliegt. Bei Verstößen muss mit Bußgeldern oder Abmahnungen gerechnet werden.

Google Analytics – Einsatz in Deutschland unzulässig?

Google Analytics wird mittlerweile auf Millionen von Seiten eingesetzt. Das kostenlose Webanalyse-Tool zur Messung des für Websitebetreiber wichtigen Surf-Verhaltens ist kostenlos und einfach zu bedienen. Datenschutzrechtlich ist der Einsatz dieses Dienstes allerdings problematisch. Seit einiger Zeit wird deshalb kontrovers diskutiert, ob dessen Benutzung überhaupt zulässig ist. Der Düsseldorfer Kreis, ein Zusammenschluss von Datenschutz-Aufsichtsbehörden, hat nun festgestellt, dass Google Analytics nach deutschem Recht nur mit erheblichen Einschränkungen genutzt werden darf.

Der Düsseldorfer Kreis hat auf seiner Konferenz am 27.11.2009 einen Katalog von datenschutzrechtlichen Vorgaben aufstellt, denen Webanalysetools entsprechen müssen. Diese Kriterien erfüllt Google Analytics nicht. Das datenschutzrechtliche Problem bei Google Analytics besteht darin, dass durch dessen Einsatz Nutzungsprofile unter der Verwendung von IP-Adressen erstellt und gespeichert werden. Eine Speicherung ist nach dem Telemediengesetz (TMG) allerdings nur in pseudonymer Form zulässig, also wenn keine personenbezogenen Daten des Nutzers erfasst werden. Andernfalls bedarf es einer ausdrücklichen Einwilligung durch den Betroffenen.

Die Zulässigkeit von Google Analytics hängt also von der seit längerem höchst umstrittenen Frage ab, ob IP-Adressen personenbezogene Daten sind (siehe auch hier). Geht man von einer Personenbezogenheit aus, hätte dies zur Folge, dass der Verwender von Google Analytics die Einwilligung seiner Seitenbesucher einholen müsste, um Google Analytics überhaupt verwenden zu dürfen. Nach Auffassung der Datenschützer vom Düsseldorfer Kreis sind IP-Adressen auf jeden Fall personenbezogene Daten. Folglich sind IP-Adressen auch keine Pseudonyme im Sinne des TMG bzw. BDSG.

Der Beschluss des Düsseldorfer Kreises dürfte die Verwendung von Google Analytics erheblich einschränken. Zulässig wäre demnach nur ein Einsatz nach vorheriger Einwilligung der Websitebesucher (opt-in), was gerade beim Angebot kostenloser Dienste wie beispielsweise Nachrichten-Sites praktisch unmöglich sein dürfte, aber auch im Onlinehandel mit erheblichen Schwierigkeiten verbunden ist. Auch wenn dieser Beschluss keine Rechtsbindung entfaltet, ist er besonders vor dem Hintergrund brisant, dass einzelne Datenschutzbehörden bereits angekündigt haben, den Einsatz von Google Analytics gezielt zu unterbinden. Schlimmstenfalls drohen Bußgelder.

Wer rechtlich auf der sicheren Seite sein möchte, sollte sich nach Alternativen wie beispielsweise etracker oder Econda Monitor umsehen, die entweder die IP-Adressen verkürzen (anonymisieren) oder ganz ohne deren Speicherung auskommen.

Die Vorgaben finden Sie im Einzelnen im Beschluss des Düsseldorfer Kreises.

Datenschutz im Internet – Informationen zur Auftragsdatenverarbeitung

Das Thema Datenschutz im Internet wird von den Beteiligten leider noch immer zu stark vernachlässigt. Besonders die seit der Datenschutznovelle zum 1. September 2009 wesentlich verschärfte Auftragsdatenverarbeitung findet bei Onlineshops, Onlineplattformen, Portalen, IT-Dienstleistern, Programmierern und Webdesignern regelmäßig zu wenig Beachtung. Dies ist deshalb gefährlich, da die Missachtung dieser strengen Vorschriften empfindliche Bußgelder nach sich ziehen kann.

Wer personenbezogene Daten aus seinem Unternehmen durch einen externen Auftragnehmer erheben, verarbeiten oder nutzen lässt, muss die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung erfüllen. Zusätzlich zum bestehenden Auftrag, meist ein Dienst- oder Werkvertrag, muss schriftlich eine Datenschutzvereinbarung geschlossen werden. Diese muss die in § 11 des Bundesdatenschutzgesetzes (BDSG) genannten 10 Punkte regeln. Zusätzlich muss die Zuverlässigkeit des Auftragnehmers geprüft werden. Die gesetzlichen Anforderungen der Auftragsdatenverarbeitung werden in der Praxis jedoch häufig übergangen: Viele kennen die entsprechenden Regelungen nicht einmal oder unterliegen dem Irrtum, dass diese Vorschriften für sie nicht gelten.

Um bei diesem komplizierten Thema eine Hilfestellung zu geben, haben die Kollegen Thomas Schwenke und Sebastian Dramburg in ihrem Artikel „15 Irrtümer bei der Auftragsdatenverarbeitung“ die häufigsten Irrtümer und Fehler rund um die Auftragsdatenverarbeitung ausführlich dargestellt. Die Autoren erklären, wer von den Regeln unter welchen Voraussetzungen betroffen ist, was unter personenbezogenen Daten zu verstehen ist, warum es gerade nicht ausreiht, sich auf den Auftragnehmer zu verlassen und warum bei Musterverträgen Vorsicht geboten ist. Da gerade Onlinehändler häufiger von diesen Regeln betroffen sind als ihnen das möglicherweise bewusst sein mag, lohnt sich das Lesen allemal.

Seite 2 von 3

Copyright paloubis.com // Datenschutzerklärung // Impressum