Category Archives: Datenschutzrecht

OLG Karlsruhe: Kein Löschanspruch gegen Schufa bei angeblich missverständlicher Bonitätsauskunft

Posted on by

Das Oberlandesgericht (OLG) Karlsruhe hat mit Urteil vom 3.6.2014 (Az. 12 U 24/14) entschieden, dass ein Löschungs- oder Berichtigungsanspruch gegenüber der Schufa Holding AG nicht auf einen angeblich missverständlichen Eintrag bei der Auskunftei gestützt werden kann. Auch ein Geldentschädigungsanspruch der Klägerin wurde abgelehnt.

 

Der Sachverhalt

Gegen die Klägerin wurde im April 2012 ein Vollstreckungsbescheid wegen offener Forderungen gegenüber einem Telekommunikationsunternehmen erlassen. Im Mai 2012 bezahlte die Klägerin diese Forderung.

In der Folgezeit wollte die Klägerin einen Kredit bei mehreren Banken aufnehmen, die jeweils einen solchen nach einer Bonitätsprüfung verweigerten.  Im Rahmen einer darauf durchgeführten Selbstauskunft der Klägerin hieß es unter der Zwischenüberschrift „Forderung ausgeglichen“, dass der „Vertragspartner (…) mitgeteilt [habe], dass die Vertragsbeziehung inzwischen beendet wurde oder die Forderung inzwischen ausgeglichen wurde“. Gegen diese Formulierung wendete sich die Klägerin, da sie aus ihrer Sicht missverständlich sei und zu der Ablehnung der Kredite geführt habe.

 

Die Entscheidung

Das OLG lehnte, wie bereits zuvor das Landgericht, die Gewährung von Berichtigungs- oder Löschansprüchen ab.

Zwar gesteht das OLG der Klägerin zu, dass die gewählte Formulierung für sich genommen (also ohne Betrachtung des Kontexts)  sowohl die Möglichkeit eines Ausgleichs der Forderung als auch eine Beendigung der Vertragsbeziehung ohne Forderungsausgleich (was nicht der Wahrheit entsprechen würde) offen lassen würde. Jedoch ergebe sich im Gesamtzusammenhang aus der Auskunft, dass die Forderung von der Klägerin ausgeglichen wurde. Dies unter anderem deshalb, weil die relevanten Angaben unter der Gesamtüberschrift „Abwicklungskonto“ stünden und diesen graphisch erkennbar die Abschnitte „Saldo Fälligstellung“, „Saldo tituliert“ und „Forderung ausgeglichen“ untergeordnet seien. Aus der letzten Überschrift und dem in der Selbstauskunft enthaltenen weiteren Hinweis, dass auch „erledigte Geschäftsverbindungen“ gespeichert würden, sei erkennbar, dass Forderungen von dem meldenden Unternehmen nicht mehr geltend gemacht werden, sondern dieses von einer abgeschlossenen Geschäftsverbindung ausgeht.

Einen auf § 35 Abs. 2 BDSG gestützten Löschanspruch verneinte das OLG. Die Speicherung erfolge rechtmäßig, denn die in § 35 Abs. 2 Nr. 4 BDSG bestimmten Löschfristen seien noch nicht abgelaufen und die Datenspeicherung sei zudem auch nicht unverhältnismäßig und erforderlich. Der Umstand, dass die Klägerin wegen einer Forderung einen Vollstreckungsbescheid gegen sich habe ergehen lassen, könne nämlich für die Beurteilung ihrer Bonität von Bedeutung und die Datenspeicherung zum Zwecke der Übermittlung daher erforderlich sein. Hieran ändere auch die Tatsache nichts, dass die Klägerin die offene Forderung innerhalb von 2 Monaten nach Fälligstellung bezahlte.

Zuletzt verneinte das OLG auch einen Anspruch auf Geldentschädigung, da ein hierfür erforderlicher schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht des Klägerin nicht geben sei. Auch ein Schadenersatzanspruch käme nicht in Betracht, da die beklagte Auskunftei den Banken keine fehlerhaften oder unzutreffenden Informationen mitgeteilt habe.

Neue Datenschutzerklärung – Windows verwendet E-Mail-Inhalte nicht für Werbung

Posted on by

Windows hat seinen Dienstleistungsvertrag (MSA) und seine Datenschutzerklärung für Windows-Dienste überarbeitet (eine Übersicht findet sich hier).

MSA
In Bezug auf Änderungen an seinem Dienstleistungsvertrag erläutert Microsoft, dass

Inhalte von E-Mails, Chats, Videoanrufen oder Voicemails nicht für gezielte Werbung

verwendet werden. Ebenso werden auch keine Dokumente, Fotos oder andere persönlichen Dateien der Kunden für gezielte Werbung genutzt.

Zudem hat Microsoft Verhaltensregeln in den Dienstleistungsvertrag aufgenommen (Ziff. 1.2) und aktualisiert (siehe auch Ziff. 3.5). Diese leicht verständlichen Richtlinien sollen für Nutzer festlegen, welche Verhaltensweisen etwa Maßnahmen am Microsoft-Konto zur Folge haben können, wenn sie gegen die Verhaltensregeln verstoßen. Hierbei geht es z. B. um pornographische Inhalte, die Verletzung der Privatsphäre anderer Nutzer oder auch der Einsatz von Schadsoftware.

Das vollständig überarbeitete MSA findet man hier.

Datenschutzerklärung
Zu den Änderungen an der Datenschutzerklärung führt das Unternehmen aus, dass jeweils eigene Datenschutzerklärungen für das Microsoft-Konto, Outlook.com, OneDrive und Familiy Safety erstellt wurden.

Die neue Datenschutzerklärung der Windows-Dienste ist dabei recht übersichtlich aufgemacht. Der Nutzer erhält zu den wichtigen Themen Vorabinformationen und kann, bei Wunsch, jeweils über einen Klick weitere Details zu den einzelnen Diensten nachlesen. Dies dürfte sich durchaus positiv auf die Akzeptanz des bei Verbrauchern oft ungeliebten „Kleingedruckten“ auswirken. Denn die Datenschutzerklärung verläuft damit nicht mehr einfach monoton über mehrere Seiten hinweg, sondern stellt sich in ihrer Grundform als kompakte Informationsbasis dar. Zudem erhält jedes Produkt von Microsoft eine eigene Datenschutzerklärung, womit die jeweiligen Informationen für Nutzer leichter auffindbar sein sollen. Dieser Ansatz unterscheidet sich damit etwa von demjenigen von Google, welches eine gemeinsame Datenschutzerklärung für all seine Dienste verwendet.

Die neuen Bestimmungen treten am 31. Juli 2014 in Kraft.

Hessischer Datenschützer: Hinweise zur Android-Apps und deren Entwicklung

Posted on by

Der Hessische Datenschutzbeauftragte hat auf seiner Internetseite ein Dokument (PDF) bereitgestellt, in dem die datenschutzrechtliche Situation bei Android-Apps und die erforderlichen Berechtigungen für den Zugriff auf personenbezogene Daten näher beleuchtet wird.

Hintergrund des Appells, „Aufgabe für App-Anbieter – Transparenz für Android App-Nutzer herstellen!“ sind Beschwerden von Nutzern, die sich auf Berechtigungen von Apps beziehen. Die hessische Behörde prüfte daher unter anderem, ob Android-Apps unzulässig personenbezogene Daten nutzen oder die Bedeutung und Funktionsweise von systeminternen Berechtigungen – die eine App unter Android-OS benötigt – von den Betroffenen missverstanden werden.

In seiner Erläuterung geht der Datenschutzbeauftragte zunächst auf die allgemeine Funktion von Berechtigungen von Apps unter Android ein. Anhand des Beispiels einer Navigations-App werden dann verschiedene Berechtigungen analysiert und nach ihrer Erforderlichkeit für die Erbringung des Dienstes gefragt. Diese Frage ist datenschutzrechtlich relevant. Zum einen wenn keine Einwilligung zur Nutzung der Daten vorliegt, um die Daten im Rahmen von gesetzlichen Erlaubnistatbeständen rechtmäßig verarbeiten zu können. Zum anderen aber auch aufgrund allgemeiner datenschutzrechtlicher Prinzipien, wie demjenigen der Datensparsamkeit, auf welches von Seiten der Datenschutzbehörden häufig hingewiesen wird.

In dem Dokument weist der Datenschutzbeauftragte daraufhin, dass aus seiner Sicht nicht die Beschreibung der Verwendungsmöglichkeiten dieser Berechtigungen in den Informationen oder Nutzungsbedingungen ausschlaggebend für die datenschutzrechtliche Bewertung sei, sondern die tatsächliche Verwendung der eingeräumten Berechtigungen. Diese werde durch seine Behörde geprüft und an den gesetzlichen Maßstäben gemessen.

Wichtig erscheint ein weiterer Hinweis des Datenschutzbeauftragten: damit neue Apps auch abwärtskompatibel sind, also mit älteren Android-Versionen funktionieren, muss eine App teilweise mehr Berechtigungen verlangen, als für ihre Nutzung unter der aktuellsten Version eigentlich erforderlich sind.

Zum Schluss gibt das Dokument App-Anbietern noch einige allgemeine Hinweise mit auf den Weg. Diese sollten in der Beschreibung ihrer App im Google Play Store detailliert und vollständig folgende Angaben machen oder darauf verlinken:

  • Welche Berechtigungen werden für welche Softwarefunktionalität gebraucht?
  • Wie werden die dadurch gewonnen Daten verarbeitet?

Zudem sollten diese Angaben nach Ansicht der Behörde auch Teil der Datenschutzerklärung der jeweiligen App sein.

OVG Berlin-Brandenburg: Ein Blitzerfoto darf im Internet zur Einsicht bereitgehalten werden

Posted on by

Das OVG Berlin-Brandenburg (OVG BB) hat mit Beschluss vom 29.4.2014 (Az. 12 S 23.14) entschieden, dass die im Land Brandenburg eröffnete Möglichkeit, das zum Nachweis einer Verkehrsordnungswidrigkeit gefertigte Beweisfoto im Internet nach Eingabe individueller Zugangsdaten abzurufen, keine Verletzung des Rechts auf informationelle Selbstbestimmung darstellt. Dies auch nicht wegen der bloßen Befürchtung, Dritte könnten sich illegal Zugang zu dem Bild verschaffen. Ein Unterlassungs- oder Löschanspruch des Betroffenen bestehe nicht.

Sachverhalt
Dem Antragsteller (der wegen überhöhter Geschwindigkeit geblitzt wurde) war die Möglichkeit eingeräumt worden, das Beweisfoto online einzusehen. Dazu wurden dem Antragsteller im Anhörungsschreiben von der Behörde Zugangsdaten per Post übermittelt, mit denen er den Zugang freischalten konnte.
Dieses konkrete Foto wurde im Laufe des Verfahrens entfernt. Jedoch wollte der Antragsteller in einem Unterlassungsanspruch für die Zukunft gelten machen, dass Lichtbilder des Antragstellers und seiner Fahrzeuge, die im Zusammenhang mit der Verfolgung von Verkehrsordnungswidrigkeiten angefertigt werden, in der Zukunft nicht derart abrufbar sind.

Entscheidung
Das Gericht bezweifelt bereits ein Rechtsschutzbedürfnis für den Antrag. Denn der Antragsteller habe es selbst in der Hand, einen Konflikt mit der Behörde über derartige Fotos zu vermeiden. Er kann sich nämlich einfach an die Verkehrsvorschriften halten, so dass er nicht mehr geblitzt werde.
Da der Antragsteller jedoch anscheinend freimütig vor dem OVG BB erklärte, dass er sich auch „künftig verkehrsordnungswidrig verhalten“ wolle und daher eventuell mit weiteren Fotos zu rechnen sei, machte das OVG BB zudem Ausführungen zu einer fehlenden Verletzung des Rechts auf informationelle Selbstbestimmung.

Das Gericht stellt fest, dass der Eingriff, der zur Existenz des Fotos führt, auf einer hinreichenden Rechtsgrundlage beruhe, in diesem Fall § 100h Abs. 1 S.1 Nr. 1 StPO iVm § 46 Abs. 1 OWiG. Der Antragsteller sei zudem nicht in seinem Grundrecht verletzt.

Zudem verweist das OVG BB auf die rechtliche Möglichkeit, dass Verfahrensakten im Ordnungswidrigkeitenverfahren elektronisch geführt werden dürfen, § 110b OWiG. Entsprechende Bildunterlagen seien als Bestandteil dieser Verfahrensakten anzusehen. Die Akteneinsicht könne nach § 110d Abs. 2 Satz 1 OWiG auch durch Übermittlung von elektronischen Dokumenten oder deren Wiedergabe auf einem Bildschirm erfolgen.
Der Antragsteller brachte vor, dass dies nur für das Akteneinsichtsrecht des Verteidigers gelte. Das Gericht wies diese Sichtweise jedoch zurück. Diese Akteneinsicht zwischen Behörde und Verteidiger gelte nur für die Regelung in § 110d Abs. 2 Satz 3 OWiG, die hier jedoch nicht zur Anwendung gelange. Die Möglichkeit, sich das Beweisfoto auf einer Internetseite anzuschauen, finde nach dem OVG BB ihre Grundlage in den Bestimmungen der §§ 49 Abs. 1, 110d Abs. 2 S. 1 OWiG.

Dabei sei das Verfahren so ausgestaltet, dass nur derjenige, der über die Zugangsdaten verfüge, auf das Bild zugreifen könne. Damit werde keine öffentliche oder potentiell öffentliche Zugriffsmöglichkeit geschaffen, sondern die Vertraulichkeit im Verhältnis zu dem Empfänger des Anhörungsschreibens, das die Zugangsdaten enthält, gewahrt. Mit einem solchen Verfahren werde der Zugang grundsätzlich auf die berechtigten Nutzer beschränkt.
Das Vorbringen des Antragstellers, dass sich Dritte eventuell Zugang zu dem Bild verschaffen könnten, lies das Gericht ebenfalls nicht als Argument gelten. Denn soweit eine solche Möglichkeit in der Sphäre des Betroffenen besteht (z. B. weil das Schreiben offen verwahrt werde), könne dies der Behörde nicht entgegengehalten werden.

Zuletzt macht das OVG BB interessante Ausführungen zur Datensicherheit im Internet.

Die Möglichkeit, dass sich besonders versierte Nutzer in illegaler Weise Kenntnis von den Zugangsdaten verschaffen könnten, indem sie etwa Sicherheitslücken in der Technik des Antragsgegners, des Betroffenen oder Dritter, die in den Übermittlungsvorgang eingeschaltet sind, nutzen, um den Datenverkehr auszuspähen, schließt den Gebrauch einer grundsätzlich auf Vertraulichkeit angelegten, gesetzlich zugelassenen Abruftechnik nicht aus. Der Antragsgegner hat nur dafür zu sorgen, dass er eine auf Wahrung der Datensicherheit ausgelegte Informationstechnik verwendet und erkannte Sicherheitslücken schließt, soweit diese in seiner Einflusssphäre liegen.

Diese Anforderungen waren vorliegend erfüllt bzw. wurde nichts anderes glaubhaft gemacht.

Fazit
Das OVG BB erkennt also eine Art von relativem Datensicherheitsstandard im Internet an. Eine öffentliche Stelle kann sich nicht auf jegliches illegale Zugriffsszenario vorbereiten. Diese Sichtweise erscheint praxisnah. Die totale Sicherheit im Internet wird es nicht geben. Ist jedoch der Behörde gesetzlich die Möglichkeit eingeräumt, elektronisch gegenüber dem Bürger aufzutreten, so hat sie hierbei nach dem Gericht 1)dafür zu sorgen, dass eine auf Wahrung der Datensicherheit ausgelegte Informationstechnik verwendet wird und 2) erkannte Sicherheitslücken geschlossen werden, die in ihrer Einflusssphäre liegen.

Spanien: Datenschützer verhängen Bußgeld gegen Google wegen Cookies auf Blogspot

Posted on by

Mit Beschluss vom 14. Mai 2014 hat die spanische Datenschutzbehörde (AEPD) ein Bußgeld in Höhe von 25.000 € gegen Google verhängt (hier der Beschluss im Original (Spanisch), PDF).

In dem Verfahren ging es um die datenschutzrechtliche Prüfung von Cookies, welche über Blogs verbreitet wurden, die auf der Plattform „Blogger“ und unter Adressen wie „Beispiel.blogspot.com“ betrieben wurden. Dabei ging es jedoch nicht um die Verantwortlichkeit des Blogbetreibers, sondern um diejenige der Google Inc.

Untersucht wurden von den Datenschützern vor allem Analyse-Cookies (die im Rahmen von Google-Analytics arbeiteten) und solche für Zwecke der Schaltung von personalisierter Werbeanzeigen.

Nach Ansicht der Datenschützer verletzte der Einsatz der Cookies vorliegend die Vorgaben des spanischen Datenschutzrechts, insbesondere diejenige einer Einwilligung entsprechend Art. 5 Abs. 3 der Richtlinie 2002/58/EG (PDF) (ePrivacyRL, in der Fassung durch Richtlinie 2009/136/EG). Art. 5 Abs. 3 ePrivacyRL sieht für die Speicherung von Informationen oder den Zugriff auf Informationen auf Endgeräten des Nutzers (oder Teilnehmers) eine Einwilligung in Kenntnis der Sachlage vor. Diese Vorschrift gilt freilich nicht nur für Cookies, wird in der Praxis aber gerade für diese relevant. Von dem Einwilligungserfordernis gibt es jedoch Ausnahmen, unter anderem dann, wenn der Zugriff oder die Speicherung der Informationen unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Laut den tatsächlichen Feststellungen in dem Beschluss, wurden auf den Rechnern von Nutzern, die einen Blog unter einer „blogspot“-Adresse besuchten, unter anderem Analyse-Cookies und solche für Werbezwecke gesetzt. Der Einsatz der Cookies wurde dabei durch Google selbst festgelegt und konnte durch den Blogbetreiber nicht unterbunden werden.

Die Behörde beanstandet, dass es zwar Informationen zu dem Einsatz von Cookies und auch von Analyse-Cookies im speziellen in der Datenschutzerklärung von Google gebe. Diese seien für die Besucher des jeweiligen Blogs jedoch schwierig aufzufinden. Zudem würden die Besucher nicht darauf hingewiesen, dass Cookies zum Einsatz kämen und wo sie hierzu Informationen finden könnten. Auch würden entsprechende Informationen etwa nicht den Blogbetreibern zur Verfügung gestellt, die diese dann an ihre Besucher weiterleiten könnten.

Google brachte unter anderem vor, dass für den Einsatz der Cookies keine Einwilligung der Nutzer nötig sei, da er für die Zurverfügungstellung des Dienstes unbedingt erforderlich sei. Diese Sichtweise wies die Behörde jedoch zurück. Sie begründet ihren Beschluss damit, dass sowohl die Werbe-Cookies als auch die Analyse-Cookies nicht unbedingt erforderlich seien, damit die Plattform zum einen den Bloggern (für das Erstellen von Blogs) und auch deren Besuchern zur Verfügung gestellt werden könne.

Fazit
Wann Cookies (und damit der Zugriff bzw. die Speicherung von Informationen; Achtung, nicht nur „personenbezogene“ Informationen!) unbedingt erforderlich sind, lässt sich kaum generell sagen, sondern hängt stark von dem jeweiligen Einzelfall ab. Die europäischen Datenschutzbehörden haben in einer Stellungnahme aus dem Jahre 2012 (WP 194, PDF) jedoch zumindest einige Leitlinien aufgestellt, wann nach ihrer Ansicht die Einwilligung beim Einsatz von Cookies entbehrlich sein kann.

Recht auf Vergessen – Google setzt EuGH-Entscheidung um und möchte europäischer werden

Posted on by

Nach der EuGH-Entscheidung im Streit zwischen der spanischen Datenschutzbehörde und Google um ein sog. „Recht auf Vergessen werden“ im Internet, hat das Unternehmen am Freitag ein Webformular bereitgestellt, durch welches Nutzer nun Löschantrage für Suchergebnisse einreichen können.

Auf der Hilfeseite des Unternehmens gibt Google weitere Informationen zu dem Verfahren. Danach müsse jede Anfrage individuell geprüft und zwischen dem Recht des Einzelnen auf Schutz seiner personenbezogenen Daten und dem Recht der Öffentlichkeit auf Auskunft und Informationsweitergabe abgewogen werden. Zu den Prüfkriterien gibt Google an, dass man bei der Bearbeitung eines Antrags prüfe,

ob die Ergebnisse veraltete Informationen über Ihr Privatleben enthalten. Wir untersuchen außerdem, ob ein öffentliches Interesse an den in unseren Suchergebnissen verbleibenden Informationen besteht, zum Beispiel, ob es um finanzielle Betrugsfälle, Berufsvergehen oder Amtsmissbrauch, strafrechtliche Verurteilungen oder Ihr öffentliches Verhalten als (gewählter oder nicht gewählter) Regierungsbeamter geht.

Das Unternehmen stellt klar, dass dies schwierige Entscheidungen seien, die man als privater Konzern nicht in jedem Fall zweifelsfrei treffen könne. Unter Umständen könne dies durch die lokale Datenschutzbehörde besser beurteilt werden. Obwohl Google den Auswirkungen des Urteils kritisch gegenüberstehe, respektiere man die Entscheidung des EuGH. Man arbeite zudem intensiv an der Entwicklung eines gesetzeskonformen Prozesses, unter anderem mit Datenschutzbehörden und anderen Stellen. Gemeint sein könnten hiermit auch die bekanntgewordenen Pläne des Bundesinnenministeriums, für Löschanfragen eine Schlichtungsstelle zu schaffen (hierzu Thomas Stadler in seinem Blog).

In einem Interview mit der Financial Times hat Google Mitgründer Larry Page zudem angekündigt, dass man ein neues Expertengremium schaffen werde, welches das Unternehmen in Fragen des Datenschutzes in Europa beraten soll. Page versprach zudem eine neue Art des Engagements von Google in Europa. Er bedauere, dass man in der Vergangenheit nicht stärker in einer wirklichen Debatte um den Datenschutz involviert war. Dies wolle man nun ändern. Google wird versuchen „europäischer“ zu werden und bestimmte Themen aus dem europäischen Blickwinkel betrachten.

Nach weltweiter Prüfung: Auch deutsche Datenschützer stellen rechtliche Mängel bei Apps fest

Posted on by

Im Rahmen des „Privacy Sweep 2014“ haben Datenschutzbehörden auf der ganzen Welt in der Woche vom 12. bis 18. Mai 2014 Apps und deren Anbieter datenschutzrechtlich überprüft.

In Deutschland nahm u. a. der Landesdatenschutzbeauftragte aus Baden-Württemberg an der koordinierten Aktion teil und prüfte Apps die in Baden-Württemberg entwickelt wurden oder deren Anbieter dort ansässig sind.

Laut der offiziellen Pressemitteilung (PDF) des Landesdatenschützers wurde dabei festgestellt, „dass die meisten Apps die notwendige Transparenz im Umgang mit personenbezogenen Daten vermissen ließen“. Kritikpunkt ist vor allem das Fehlen einer Datenschutzerklärung, aus der für die Nutzer hervorgehen muss, welche Daten zur Nutzung des Dienstes erforderlich sind und verarbeitet werden.

App-Anbieter haben in Deutschland vor allem die datenschutzrechtlichen Vorgaben des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Bereits vor einem Jahr hatte das bayerische Landesamt für Datenschutz eine Prüfung von Apps und deren Betreibern durchgeführt und teils erhebliche rechtliche Mängel festgestellt (hierzu mein Beitrag). Die Pflicht eine Datenschutzerklärung vorzuhalten, ergibt sich für App-Betreiber aus § 13 Abs. 1 TMG. Auch der Zusammenschluss der europäischen Datenschutzbehörden (Art. 29 Gruppe) hatte in einer Stellungnahme aus dem Jahre 2013 (WP 202, PDF) auf die rechtliche Pflicht zur Information der App-Nutzer durch den Betreiber hingewiesen, bevor dieser Informationen auf dem Smartphone des Nutzers speichert oder auf dieses über die App zugreift.

Für Betreiber von Apps dürfte zudem interessant sein, dass der baden-württembergische Landesdatenschutzbeauftragte angekündigt hat, in Zukunft derartige Kontrollaktionen gerne wiederholen zu wollen. Angesichts der durchgeführten Prüfaktionen der Behörden in Deutschland (und der Gefahr, bei datenschutzrechtlichen Verstößen gemäß § 16 Abs. 2 TMG eine Ordnungswidrigkeit zu begehen, die nach § 16 Abs. 3 TMG mit einem Bußgeld bis zu 50.000€ geahndet werden kann) sollten App-Betreiber stets die Konformität ihrer Datenschutzerklärung prüfen bzw. eine solche für ihre Dienste erstellen.

Update vom 27.5.2014:

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat an der diesjährigen Prüfaktion von Apps teilgenommen. Laut der Pressemitteilung wurden 15 internationale iOS und Android-Apps sowie 15 bayerische iOS und Android-Apss untersucht. Bei der Prüfung wurden „erhebliche Mängel beim Datenschutz“ festgestellt. Thomas Kranig, Präsident des BayLDA, stellt fest, dass „die schlechte datenschutzrechtliche Bewertung insbesondere der bayerischen iOS-Apps zeigt, dass die datenschutzrechtlichen Anforderungen durch bayerische App-Anbieter nicht ausreichend wahrgenommen werden„. Wie auch sein baden-württembergischer Kollege zieht Kranig für die zukünftige Arbeit seiner Behörde hieraus den Schluss, dass „nach dieser eher allgemeinen Prüfung eine noch intensivere Prüfung von Apps nach den Maßstäben deutscher Datenschutzgesetze und eine Ahndung von Verstößen notwendig ist„.

 

 

Datenschutzreform: Bundesrat sieht weiterhin Nachbesserungsbedarf

Posted on by

Der Deutsche Bundesrat hat in seiner heutigen Sitzung zu der Mitteilung der Europäischen Kommission mit dem Titel „Ein offenes und sicheres Europa – Praktische Umsetzung“ (KOM(2014) 154 endg., PDF) Stellung genommen. In dem hierzu verabschiedeten Beschluss (BR-Drs. 123/14, PDF) bedauert der Bundesrat, dass in der Mitteilung die weitere Entwicklung des europäischen Datenschutzrechts nicht in den Blick genommen wurde.

Dies vor allem deshalb, weil aus Sicht des Bundesrates die anhaltenden Beratungen um die europäische Datenschutzreform „bereits weitreichend Reformerfordernisse aufgezeigt haben“. Für den Bundesrat stellt dabei die Verwirklichung wirksamer Garantien zum Schutz personenbezogener Daten, gerade unter den Bedingungen global vernetzter Kommunikation, eine der zentralen strategischen Aufgaben einer dem Schutz ihrer Bürgerinnen und Bürger verpflichteten Europäischen Union dar.

Wichtig ist dem Bundesrat dabei jedoch, dass ein zukünftig modernisiertes europäisches Datenschutzrecht „vor allem den unterschiedlichen Regelungsbedarfen des öffentlichen und des privaten Sektors Rechnung tragen“ muss. Die zu entwickelnden Vorgaben dürften nicht hinter bereits bestehende nationale Regelungen und den geltenden Rechtsakt der Union für den Datenschutz bei der grenzüberschreitenden Zusammenarbeit von Polizei und Justiz zurückfallen.

Der Bundesrat verweist des weiteren auf seine Stellungnahmen zu der vorgeschlagenen Datenschutz-Grundverordnung (BR-Drs. 52/12 und (2), PDF) und der Richtlinie für den Datenschutz bei Polizei und Justizbehörden (BR-Drs. 51/12 und (2), PDF) aus dem Jahre 2012. Die in diesen Beschlüssen aufgezeigten Nachbesserungserfordernisse würden weiterhin gelten.

Diese Forderungen, insbesondere das Kernanliegen zur Gewährleistung ausreichender Spielräume für nationale Datenschutzregelungen im öffentlichen Bereich, gelten fort.

Zwar erkennt der Bundesrat den Fortschritt der Verhandlungen auf europäischer Ebene, wie etwa die gemeinsame Position des Europäischen Parlaments vom März 2014, an. „Dennoch sieht der Bundesrat Klarstellungsbedarf insbesondere mit Blick auf die Möglichkeiten, in den Mitgliedstaaten besondere Anforderungen bei der Verarbeitung personenbezogener Daten vorzusehen“.

Erforderlich sei daher eine rasche Klärung der noch offenen Fragen im Rat der Europäischen Union. Dabei betont der Bundesrat, dass es unerlässlich sei, zeitnah einen einheitlichen Rechtsrahmen für den Datenschutz auf EU-Ebene zu finden.

Daneben ist dem Bundesrat jedoch wichtig, den Dialog und die Zusammenarbeit mit Drittstaaten auszubauen. Nur so könne gemeinsam den Herausforderungen des Datenschutzes in einer vernetzten Welt entgegengetreten werden. Er bedauere,

dass die bisherigen Anstrengungen der EU hierzu, zum Beispiel beim Dialog über Datenschutzfragen mit den Vereinigten Staaten von Amerika über die Safe-Harbor-Grundsätze oder ein Datenschutz-Rahmenabkommen im Bereich der Strafverfolgung, trotz unstreitigen Handlungsbedarfs bislang nur zu langsamen Fortschritten geführt haben.

Datenschutz bei Smart-TVs: Datenschützer legen Voraussetzungen fest

Posted on by

Der Zusammenschluss der deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (Düsseldorfer Kreis) hat zusammen mit den Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten eine gemeinsame Position zum Datenschutz bei sog. Smart-TVs veröffentlicht (Gemeinsame Position: Smartes Fernsehen nur mit smartem Datenschutz, PDF).

In ihrer Position weisen die Datenschützer darauf hin, dass im Alltag immer mehr internetfähige Fernsehgeräte benutzt werden. Hierbei entsteht, neben dem normalen Fernsehsignal, ein Rückkanal an den Hersteller des Gerätes oder zum Fernsehsender über das Internet. Über diesen Kanal ist es grundsätzlich möglich, das Nutzungsverhalten der Zuschauer zu erfassen. Die Datenschützer sehen in dieser Möglichkeit der Aufzeichnung des Nutzerverhaltens eine Gefahr für das Recht auf freien Informationszugang, welches „empfindlich beeinträchtigt“ werden könnte.

Die Datenschutzbehörden stellen daher folgende Anforderungen an einen datenschutzrechtskonformen Einsatz von Smart-TVs und der Datenverarbeitung:

Eine Profilbildung über das individuelle Fernsehverhalten der Nutzer ist ohne informierte und ausdrückliche Einwilligung der Zuschauer unzulässig.

Web- oder HbbTV-Dienste unterliegen als Telemedien dem TMG und dessen datenschutzrechtlichen Anforderungen. Die Mindestvorgaben an Hersteller, Sendeanstalten oder andere Dritte lauten hierbei: auch personenbeziehbare Daten der Nutzer dürfen nur verwendet werden, wenn dies zur Erbringung des jeweiligen Dienstes erforderlich ist. Zudem müssen Betroffene zu Beginn der Nutzung über die Datenerhebung informiert werden.

Grundsätzlich dürfen Nutzungsprofile nur mit Pseudonymen erstellt werden und die Nutzer dürfen der Profilerstellung nicht widersprochen haben. Zu beachten ist, dass nach Ansicht der Datenschützer IP-Adressen und Gerätekennungen keine Pseudonyme i. S. d. TMG darstellen.

Zudem haben nach Ansicht der Datenschützer die Gerätehersteller und Diensteanbieter das Prinzip des „Privacy by Default“ zu beachten. Es solle eine anonyme Nutzung der Dienste ermöglicht werden. Eine Nutzung der Webdienste dürfe erst nach einer umfassenden Information der Nutzer erfolgen. Zudem müssten die Nutzer die Kontrolle über die auf den Geräten gespeicherten Daten besitzen (z. B. Verwaltung von Cookies).

Zuletzt weisen die Datenschutzbehörden darauf hin, dass nach ihrer Auffassung die Gerätehersteller, Fernsehsender oder sonstige Web-Dienste über sicherheitstechnische Mechanismen verfügen müssten, die die Geräte und den Datenverkehr vor dem Zugriff unbefugter Dritter schützen.

Datenschutzreform: neue Ratsdokumente belegen anhaltenden Diskussionsbedarf

Posted on by

Unter EUDataP-links.com, einer Unterseite dieses Blogs, habe ich neue Dokumente aus der DAPIX (die für den Datenschutz zuständige Ratsarbeitsgruppe) zur Datenschutzreform verlinkt. Thematisch geht es dabei vor allem um den Dauerbrenner „one-stop-shop“ und den Datentransfer in Drittstaaten.

Wie sich aus den Dokumenten ergibt, besteht weiterhin anhaltender Diskussionsbedarf zwischen den europäischen Mitgliedstaaten in Bezug auf das Streben nach einer gemeinsamen Position zur geplanten Datenschutz-Grundverordnung (DS-GVO). Die Dokumente datieren von Ende April 2014, bilden daher wohl nicht den aktuellsten Stand der Verhandlungen ab.

Dennoch zeigt ein Blick in die Papiere und dabei insbesondere in die Fußnoten, dass Mitgliedstaaten teilweise erheblichen Diskussions- und Änderungsbedarf hinsichtlich elementarer Grundsätze der geplanten DS-GVO sehen. Beispielhaft möchte ich kurz auf das Dokument zu Datentransfers in Drittstaaten eingehen (8087/1/14 REV 1, PDF).

Einige Mitgliedstaaten zweifeln die Wirksamkeit des Prinzips der Angemessenheitsentscheidungen durch die Europäische Kommission an (siehe Fn. 13). Diese Angemessenheitsentscheidungen werden von der Kommission getroffen, um einem Drittland oder auch nur einem bestimmten Industriebereich eines Drittlandes, ein angemessenes Datenschutzniveau zu attestieren und damit Datentransfers aus der EU dorthin zu ermöglichen. Frankreich möchte zudem wissen, ob Datenübermittlungen im Rahmen des Cloud-Computing nach Ansicht der Kommission ebenfalls einen internationalen Datentransfer darstellen. Deutschland schlägt vor, dass in der DS-GVO Regelungen für die Einrichtung von Selbstverpflichtungsmechanismen in Drittstaaten (wie etwa Safe Harbor in den USA) aufgenommen werden.

Zudem werden in dem Ratsdokument auch neue Anforderungen an die den Datentransfers zugrundeliegenden Instrumenten gestellt. So sollen in unternehmensweit geltende Richtlinien (BCRs), welche durch die nationalen Datenschutzbehörden freigegeben werden müssen, nach Art. 43 Abs. 2 (l) auch Hinweise auf die in einem Konzern vorgehaltenen Mechanismen gegeben werden, welche dort existieren, um eine Datenschutzbehörde auf Anforderungen des Rechts eines Drittstaates hinzuweisen, die ein Unternehmen des Konzerns verpflichten und sich negativ auf den durch die BCRs gewährten Schutz der personenbezogenen Daten auswirken können. Im Blick hatte man hierbei wohl vor allem Anfragen und Herausgabeverlangen von drittstaatlichen Behörden.

Auf Vorschlag der deutschen Delegation (Fn. 75) wurde zudem die Voraussetzung einer „ausdrücklichen“ Einwilligung in Art. 44 Abs. 1 (a) eingefügt, die als Grundlage einer Datenübermittlung in einen Drittstaat dienen kann. Vorher war hier nur von einer „Einwilligung“ die Rede.

Bereits ein Blick in dieses Dokument zu einem besonderen Themenbereich zeigt, dass die Diskussionen im Rat weiter anhalten, Vorschläge gemacht und Änderungen eingearbeitet werden. Wenn man die Fußnoten und damit die Anmerkungen der Mitgliedstaaten liest, dann fällt zudem auf, dass Deutschland einer der aktivsten Diskussionsteilnehmer ist, sei es nun durch das Einbringen eigener Vorschläge oder kritische Anmerkungen.