Twitter’s Börsengang – Datenschutz als Investorenrisiko?

Aus dem vorläufigen Börsenprospekt von Twitter, der auf der Internetseite der amerikanischen Börsenaufsicht (SEC) abrufbar ist, lassen sich einige interessante Informationen zu dem Unternehmen selbst und seinem geplanten Börsengang entnehmen. Betrachtet man die dortigen Angaben allein aus dem Blickwinkel des Datenschutzrechts fällt auf, dass Bezugnahmen hierzu meist im Rahmen von möglichen Risiken erwähnt werden.

Grundsätzlich stellt Twitter klar, dass zu den Risiken, welche sich auf das Geschäft von Twitter und sein wirtschaftliches Wachstum auswirken können, vor allem auch Bedenken der Nutzer in Bezug auf den Datenschutz zählen:

A number of factors could potentially negatively affect user growth and engagement, including if: … there are user concerns related to privacy and communication, safety, security or other factors

Insbesondere negative öffentliche Berichterstattung über das Unternehmen, auch in Bezug auf den Datenschutz, könnten dem Ansehen von Twitter und dem Vertrauen in seine Produkte schaden:

Negative publicity about our company, including about … privacy and security practices … even if inaccurate, could adversely affect our reputation and the confidence in and the use of our products and services.

Auch die Einhaltung ausländischer Daten- und Verbraucherschutzgesetze und die Möglichkeit, gegen diese Gesetze zu verstoßen, sind ein Faktor, der zu einem Risiko für die zukünftige Entwicklung und das Wachstum des Unternehmens werden könnte.
Continue reading

Datenschutz-Grundverordnung: Kritik am Prinzip der zentralen Anlaufstelle

In einem Vermerk der litauischen Ratspräsidentschaft an die Mitglieder des Rates der europäischen Union vom 03. Oktober 2013 werden die Positionen der Mitgliedstaaten zu dem Prinzip der zentralen Anlaufstelle (one-stop-shop) der im Entwurf befindlichen Datenschutz-Grundverordnung (DS-GVO, KOM(2012) 11) zusammengefasst. Am kommenden Montag werden die Justiz- und Innenminister der Europäischen Union unter anderem auch hierüber diskutieren.

Um was geht es?
Mit dem in Art. 51 Abs. 2 DS-GVO vorgeschlagenen Prinzip der zentralen Anlaufstelle soll in Zukunft die Durchsetzung und Überwachung des Datenschutzrechts vereinfacht werden. Danach ist für Datenverarbeitungsvorgänge eines Verantwortlichen oder eines Auftragsdatenverarbeiters, der in mehreren EU-Mitgliedstaaten Niederlassungen besitzt, die Datenschutzaufsichtsbehörde desjenigen Mitgliedstaates alleine (!) zuständig, in dem sich die Hauptniederlassung des Verantwortlichen befindet. Nach Art. 4 Nr. 13 DS-GVO ist Hauptniederlassung der Ort der Niederlassung in der Union, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Das Prinzip hat damit sowohl eine Erleichterung für Unternehmen zur Folge, die sich dann nur noch einer Aufsichtsbehörde gegenüber sehen. Und auch die Rechte der betroffenen Personen sollen so (prinzipiell) besser durchsetzbar sein. Als Paradebeispiel könnte man hier etwa die Niederlassung von Facebook in Irland anführen, welche die Europazentrale des Unternehmens darstellt.

Kritik der Mitgliedstaaten
Aus dem Vermerk geht hervor, dass dieses Prinzip der zentralen Anlaufstelle zwar grundsätzliche breite Zustimmung erfährt. Die tatsächliche Ausgestaltung in ihrer derzeit geplanten Form jedoch von der Mehrheit der Mitgliedstaaten nicht befürwortet wird.

Beschwerden ja, Durchsetzung nein
So wird vorgebracht, dass zwar die Möglichkeit für betroffene Personen bestehen soll, nach Art. 73 Abs. 1 DS-GVO eine Beschwerde wegen einer unrechtmäßigen Datenverarbeitung bei jeder nationalen Datenschutzbehörde vorzubringen, also nicht nur bei der Aufsichtsbehörde der Hauptniederlassung. Aber eventuelle Maßnahmen und Sanktionen könnten dann dennoch nur durch diese Hauptaufsichtsbehörde vollzogen werden. Um am Beispiel von Facebook zu bleiben: Deutsche Nutzer könnten bei einer deutschen Datenschutzbehörde eine Beschwerde vorbringen, sich aus einer tatsächlich festgestellten Verletzung datenschutzrechtlicher Vorschriften ergebende Maßnahmen würden jedoch alleine durch die irische Datenschutzbehörde vorgenommen werden.

Gefahr für den Schutz der Betroffenen
Diese sich ergebende Schere zwischen Beschwerde und Durchsetzung sehen viele Mitgliedstaaten als eine Gefahr für die Datenschutzrechte der Betroffenen an. Denn für die Betroffenen ist die Nähe, also der kurze und effektive Kommunikationsweg, zur jeweiligen Aufsichtsbehörde von entscheidender Bedeutung. Dieser würde jedoch erschwert, wenn für die Durchsetzung ihrer Rechte und das entsprechende Verfahren eine ausländische Aufsichtsbehörde zuständig wäre. Zudem sollte es Betroffenen möglich sein, eine Entscheidung „ihrer“ Aufsichtsbehörde zu erhalten und diese Entscheidung dann eventuell vor den eigenen nationalen Gerichten anzufechten.

Lösungsvorschläge
Der Vermerk fasst einige durch die Mitgliedstaaten vorgebrachte Vorschläge zur Modifikation des Prinzips der zentralen Anlaufstelle zusammen, wobei hier nur auf einzelne eingegangen werden soll.

  • Die Hauptaufsichtsbehörde könnte prinzipiell weiter allein zuständig sein, dennoch sollten einige Befugnisse nicht exklusiv durch sie ausgeübt werden. Gerade Überwachungs- und Kontrollbefugnisse bestimmter Datenverarbeitungsvorgänge könnten auch von nationalen Behörden ausgeführt werden, gerade wenn diese auf dem Gebiet ihres Mitgliedstaates stattgefunden haben.
  • Bei Datenverarbeitungsvorgängen, die sich auf mehrere Mitgliedstaaten beziehen, könnte etwa ein Mitbestimmungsverfahren, unter Einbeziehung anderer nationaler Behörden eingeführt werden. Hier gäbe es zwar immer noch eine Hauptaufsichtsbehörde. Diese könnte Maßnahmen von über die nationalen Grenzen hinausgehender Bedeutung jedoch nicht mehr alleine, sondern nur in Abstimmung mit anderen Behörden, treffen. Zwar besteht ein ähnliches Verfahren für gemeinsame Maßnahmen bereits in Art. 56 DS-GVO. Jedoch ist dort nur das „Miteinander“ bei den Maßnahmen geregelt, also das Recht auf eine Teilnahme und nicht das Recht, selbst Maßnahmen zu treffen.
  • Zudem sollten grundsätzlich die nationalen Behörden, bei denen eine Beschwerde eingegangen ist, mehr in den Entscheidungsprozess der zu treffenden Maßnahmen eingebunden werden. So würde dem für die Betroffenen wichtigen „Näheverhältnis“ zu ihrer Behörde Rechnung getragen und die oben beschriebene Schere etwas geschlossen.
  • Bei der Beteiligung mehrerer Aufsichtsbehörden in einem Verfahren würden sich freilich nicht immer übereinstimmende Meinungen zum Vorgehen herausbilden. Hierzu könnte dann ein Verfahren bei dem einzurichtenden Europäischen Datenschutzausschuss (Art. 64 DS-GVO, ein Zusammenschluss aller nationaler Datenschutzbehörden und des Europäischen Datenschutzbeauftragen) eingeführt werden, in dem dieser eine abschließende Stellungnahme abgibt, ja eventuell sogar eine abschließende Entscheidung fällt (auch wenn er dazu dann mit entsprechender, bisher nicht vorhandener, rechtlicher Befugnis ausgestattet werden müsste).

Ausblick
Am Montag werden die Justizminister das oben beschriebene Prinzip und mögliche Änderungen beraten, jedoch noch nicht abschließend. Der Grundkonsens im Rat scheint zu sein, dass etwas geändert werden muss, um den Rechten der Betroffenen besser und vor allem praxistauglicher Geltung verschaffen zu können. Welche Variante dies sein wird, bleibt abzuwarten. Es zeigt sich jedoch auch, dass der Rat nicht unbedingt das Gesetze verwässernde und Verbraucherrechte fressende Europäische Organ ist, zu welchem er in der öffentlichen Debatte häufig gemacht wird. Vielmehr geht es bei diesen Vorschlägen vor allem um Effektivität und Durchführbarkeit. Dies ist zu begrüßen.

Französische Datenschutzbehörde eröffnet Verfahren gegen Google

In einer Pressemitteilung gab die französische Datenschutzbehörde (CNIL) heute bekannt, dass sie ein Verfahren gegen Google wegen Verletzungen des französischen Datenschutzrechts einleitet. An dessen Ende könnten Sanktionen gegen das Internetunternehmen stehen.

Gemeinsame Aktion in Europa
Dieses Vorgehen beruht auf den Ergebnissen einer im Jahre 2012 eingerichteten „Task-Force“ mehrerer europäischer Datenschutzbehörden, die unter Leitung der französischen Behörde die Datenschutzkonformität der Angebote von Google in Europa untersuchte. Nachdem der Abschlussbericht der CNIL mehrere mögliche Rechtsverstöße feststellte, entschlossen sich europäische Datenschutzbehörden in einer koordinierten Aktion gegen diese vorzugehen (hierzu mein Blogbeitrag). Jede nationale Datenschutzbehörde sollte danach für sich prüfen, inwieweit sie ein Verfahren gegen Google wegen der Verletzung nationalen Datenschutzrechts eröffnet.

Neben der spanischen Datenschutzbehörde (AEPD), die bereits im Juni 2013 ein Prüfverfahren eröffnete, leiten nun auch die französischen Datenschützer ein offizielles Verfahren gegen Google ein.
Continue reading

Digitale Wirtschaft: Britischer Ausschuss tadelt Google und unterstützt Online-Werbung

Die Mitglieder des Ausschusses für Kultur, Medien und Sport des Britischen Unterhauses haben in einem Bericht (Supporting the creative economy) vom 26.09.2013 unter anderem ihre Ansichten zur Entwicklung der digitalen Wirtschaft in Großbritannien dargelegt.

Dabei geht es auch um Probleme und Herausforderungen auf dem Gebiet des Urheberrechts und des Datenschutzrechts, sowie um Implikationen für britische Unternehmen der kreativen und digitalen Wirtschaft.
Continue reading

Landesarbeitsgericht: Wer „krank“ ist, sollte kein Auto waschen

Mit Urteil vom 11.07.2013 hat das Landesarbeitsgericht (LAG) Rheinland-Pfalz (Az. 10 SaGa 3/13) entschieden, dass ein Arbeitnehmer, der sich offiziell „krank“ meldet, dann jedoch in einer öffentlichen Waschstraße sein Auto reinigt, sich nicht dagegen wehren kann, dass von ihm zu Beweiszwecken für einen Verstoß gegen seine Pflichten aus dem Arbeitsverhältnis Fotos angefertigt werden.

„Selbst schuld“, könnte man denken. Der klagende Arbeitnehmer war offiziell krank geschrieben, reinigte in dieser Zeit jedoch mit seinem Vater zusammen in einer öffentlichen Waschstraße sein Auto. Wie der Zufall es wollte, kam nicht irgendein Arbeitskollege, sondern sogar sein Vorgesetzter an dieser Waschstraße vorbei. Verständlicherweise verwundert, fertigte dieser von dem anscheinend doch nicht kranken Arbeitnehmer mit seinem Handy mehrere Bilder.

Der Kläger wurde (vor allem auch, weil er mit seinem Vater den Vorgesetzen im Zuge der Anfertigung der Bilder körperlich attackierte) gekündigt.
Continue reading

Facebook will Datenschutzrichtlinie und Nutzungsbedingungen ändern

In einem offiziellen Beitrag vom 29. August 2013 auf Facebook stellt Erin Egan, die Leiterin der Datenschutzrechtsabteilung bei dem sozialen Netzwerk, mehrere geplante Änderungen des Unternehmens sowohl in Bezug auf seine Datenverwendungsrichtlinie, als auch die Nutzungsbedingungen (sog. Erklärung der Rechte und Pflichten) vor.

Änderung der Nutzungsbedingungen
Die wohl wichtigste Änderung im Rahmen der neuen Nutzungsbedingungen dürfte der Umfang der Verwendung von Nutzerinformationen für Werbeanzeigen darstellen.
Continue reading

Prism: Europäische Datenschützer fordern Aufklärung und kündigen Untersuchungen an

In einem Brief des Vorsitzenden der Art. 29 Datenschutzgruppe, Jacob Kohnstamm, an die Vizepräsidenten der EU-Kommission, Viviane Reding, vom 13. August 2013, fordern die europäischen Datenschutzbehörden weitere Aufklärung in Sachen Prism und XKeyscore und kündigen zudem an, dass sich die Datenschutzgruppe umfassender mit dem Thema befassen wird.

Auch wenn die Datenschützer einerseits ihr Verständnis dafür zum Ausdruck bringen, dass in Bezug auf die nationale Sicherheit verschiedene Staaten unterschiedliche weite Vorstellungen und Herangehensweisen besitzen, wie sie Informationen sammeln und nutzen, so drücken die Datenschützer dennoch ihre tiefe Besorgnis über die bekannt gewordenen Informationen zu den Überwachungstätigkeiten der USA durch Programme wie Prism und XKeyscore aus.
Continue reading

Urteil zu Handelsplattform: „Willkommen liebe Geschäfts- und Gewerbekunden“ nicht ausreichend, um Verbraucher auszuschließen

Das Landgericht (LG) Leipzig hat in einem Urteil vom 26.07.2013 (Az. 08 O 3495/12) einer Unterlassungsklage des Verbraucherverbandes Bundeszentrale e. V. gegen den Betreiber einer Handelsplattform im Internet statt gegeben und diesen u. a. dazu verurteilt es zu unterlassen, bei seinem Angebot Informationen über die wesentlichen Leistungsmerkmale, die Laufzeit und den Preis des Vertrages nicht unmittelbar bevor der Verbraucher seine Bestellung abgibt, klar und verständlich in hervorgehobener Weise zur Verfügung zu stellen, die Schaltfläche, mit der die Bestellung ausgelöst wird, nicht in der Weise zu gestalten, dass diese gut lesbar mit nichts anderem als den Wörtern „zahlungspflichtig bestellen“ oder mit einer entsprechenden eindeutigen Formulierung beschriftet ist und im Bezug auf mit Verbrauchern geschlossenen entgeltpflichtigen Verträgen nicht über das Bestehen des Widerrufsrechts zu informieren.
Continue reading

BVerfG: Informationelle Selbstbestimmung muss tatsächlich möglich sein

Das Bundesverfassungsgericht (BVerfG) hatte sich im Rahmen einer Verfassungsbeschwerde (Beschl. v. 17. Juli 2013, 1 BvR 3167/08) gegen zwei Urteile mit der Frage des Datenschutzes im Rahmen von privaten Versicherungsverträgen zu befassen. Vor allem ging es um die Reichweite eines (wie es das Gericht bezeichnet) „informationellen Selbstschutzes“.

Um was ging es?
Die Beschwerdeführerin schloss mit einem Lebensversicherungsunternehmen einen Vertrag über eine Berufsunfähigkeitsversicherung ab. Sie forderte (aufgrund des Eintritts der Berufsunfähigkeit) nun entsprechende monatliche Rente. In dem Versicherungsvertrag waren (für den Fall der Leistung) bestimmt Mitwirkungspflichten der Versicherten geregelt, u. a. die Einreichung ausführlicher Berichte von Ärzten, die die Versicherte behandeln oder behandelt haben. Zudem musste die Versicherte Ärzte, Krankenhäuser, sonstige Krankenanstalten, andere Personenversicherer und auch Behörden dazu ermächtigen, auf Verlangen des Versicherungsunternehmens Auskunft über Gesundheitsverhältnisse und Behandlungsdaten zu erteilen.

Nachdem die Versicherte im Vertragsformular die vorgedruckte Schweigepflichtentbindungserklärung für diesen weiten Kreis von Auskunftsstellen durchstrich, verhandelte sie mit dem Versicherungsunternehmen über andere Lösungen und sie erklärte sich zur Abgabe von Einzelermächtigungen für die Einholung von Auskünften bei Dritten bereit. Doch auch diese Einzelermächtigungen waren der Versicherten inhaltlich zu umfassend und wenig konkret formuliert. Sie verlangte daher von dem Versicherer eine Konkretisierung dieser gewünschten Auskünfte von Dritten. Dies lehnte das Versicherungsunternehmen jedoch ab.
Continue reading

Habt Ihr uns vergessen? Die Regierungskommission „Sicherheitsgesetzgebung“

Nach den Enthüllungen der letzten Wochen um Spionage- und Überwachungstätigkeiten ausländischer Geheimdienste und der Zusammenarbeit zwischen dem deutschen BND und der amerikanischen NSA stellt sich immer mehr die Frage: Was lernen wir daraus? bzw. Welche Konsequenzen müssen gezogen werden?

Die Praxis muss auf den Prüfstand…
Rechtsanwalt Stadler und auch Prof. Härting weisen in Blogbeiträgen darauf hin, dass die derzeitige Praxis des BND in Bezug auf seine Fernmeldeaufklärung und massenhafte Weitergabe von ausländischen Kommunikationsdaten (Metadaten) an die NSA (zumindest nach den derzeit in den Medien zu findenden Informationen) nur schwer mit den gesetzlichen Grundlagen (G-10-Gesetz und BND Gesetz) vereinbar scheint.

Die Forderung muss also lauten: stellt die derzeitige Praxis der Sicherheitsbehörden auf den Prüfstand! Parlamentarischer Untersuchungsausschuss, Expertenanhörungen, Gesetzesänderungen, bessere Kontrollen … dies könnte folgen.
Continue reading