Category Archives: Unternehmen

Bundesregierung: Datensammlungen stellen einen Wettbewerbsvorteil dar

Posted on by

Die deutsche Bundesregierung hat sich in einer Stellungnahme vom 22. April 2015 zum XX. Hauptgutachten der Monopolkommission 2012/2013 und dabei insbesondere auch zu dem Themenkreis Datenschutz, Wettbewerb und Markmacht geäußert.

Das referenzierte Hauptgutachten der Monopolkommission hatte ich bereits einmal hier im Blog besprochen. Die Monopolkommission widmet sich darin unter anderem auch der Internetökonomie und den Problemkreisen Datenschutz, Wettbewerb und Verbraucherschutz. Inbesondere geht es dabei auch um die Auswirkungen der Sammlung von großen Mengen personenbezogener Daten und wie sich das Datenschutz- und Kartellrecht hier ergänzen können oder sollten.

In ihrer Stellungnahme geht die Bundesregierung zunächst auf die geplante Datenschutz-Grundverordnung (DS-GVO) auf europäischer Ebene ein. Ihrer Ansicht nach wird die DS-GVO eine wettbewerbsfördernde Dimension besitzen, welche insbesondere durch die Harmonisierung des derzeitigen EU-Datenschutzrechts und eine damit angestrebte Angleichung der Anwendungspraxis zum Ausdruck kommen soll. (S. 3) Nicht erwähnt wird freilich, dass die DS-GVO möglicherweise weitreichende Ausnahmeklauseln enthalten könnte, die es den Mitgliedstaaten erlauben würden, jeweils eigene nationale Regelungen zum Umgang etwa mit bestimmten Arten von personenbezogenen Daten zu schaffen. Wo dann der Harmonisierungseffekt einer Verordnung bleibt, wird sich zeigen.

Weiter trifft die Bundesregierung dann eine klare Aussage:

Eine (oft langfristig aufgebaute) Sammlung von personenbezogenen Daten über das Verhalten von Nutzern stellt jedenfalls gegenüber Wettbewerbern, die nicht über eine solche Sammlung verfügen, einen erheblichen Wettbewerbsvorteil dar und kann so die Marktzutrittsschranken erhöhen.

Nach Ansicht der Bundesregierung soll das Allheilmittel gegen solche Tendenzen das in der DS-GVO neu zu schaffende „Recht auf Datenportabilität“ sein, welches eine leichte Übertragung von Datensätzen ermöglichen soll und den

Wechsel von einem Internetdiensteanbieter zum anderen erleichtert.

Dass freilich in der DS-GVO nichts davon steht, dass das Recht auf Datenportabilität allein auf Internetdiensteanbieter anwendbar ist und damit faktisch jede (!) verantwortliche Stelle trifft (den Handwerksbetrieb ebenso wie den Stromanbieter), wird auch hier nicht näher beleuchtet. Nicht nur die Internetdiensteanbieter wären also derzeit von der Pflicht zur Datenportabilität erfasst. Die Regierung geht davon aus, dass es wettbewerbsbehindernde Lock-in-Effekte verringern kann.

Auch äußert sich die Bundesregierung zu der generellen Bedeutung und den Auswirkungen des Datenschutzrechts auf den Märkten im Internet. Die Bundesregierung teilt hier nämlich die Auffassung der Monopolkommission,

dass dem Datenschutzrecht auf Internetmärkten eine wichtige wettbewerbspolitische Bedeutung zukommt.

Fast im unmittelbaren Zusammenhang gesteht die Bundesregierung jedoch auch ein, dass das Zusammenspiel von Wettbewerbs- und Datenschutzaspekten weitgehend ungeklärt und insbesondere zu diesen Fragen eine vertiefte Sachverhaltsaufklärung erforderlich ist (S. 4).

Weitergehend stellt die Bundesregierung klar, dass der Schutz vor Marktmachtmissbrauch sowie eine effektive Zusammenschlusskontrolle gesichert sein müssen. Dass die geltenden rechtlichen Vorschriften insoweit möglicherweise defizitär sind, erkennt die Regierung. Sie wird daher den bestehenden Ordnungsrahmen umfassend auf eventuellen Anpassungsbedarf prüfen und

dabei auf eine sorgfältig austarierte Balance zwischen technologieoffenen, innovationsfreundlichen Rahmenbedingungen auf der einen und einer Marktmachtbegrenzung auf der anderen Seite achten.

Konkret nennt die Bundesregierung auch ein Beispiel. Ihrer Ansicht nach wirft der Erwerb von WhatsApp durch Facebook die Frage auf, inwieweit bei der Prüfung, ob ein Zusammenschluss der Fusionskontrolle unterfällt, nicht nur die aktuellen Umsätze der Unternehmen berücksichtigt werden sollten, sondern auch der Wert einer Transaktion. Nach Auffassung der Regierung wird dieser Wert maßgeblich durch die Zahl der Nutzer und den Wert der Daten bestimmt.

Und wie sieht es mit einer möglichen Monopolstellung von Google aus? Die Monopolkommission war zu dem Ergebnis gelangt, dass Internetsuchmaschinen keine wesentlichen Einrichtungen darstellen und auch nicht unerlässlich seien, um das Internet zu nutzen. Die Bundesregierung scheint diese Auffassung zumindest nicht vollumfänglich zu teilen. Sie sieht hier weiteren Klärungsbedarf und eventuell einen Ansatz für weitergehende Regelungen. Insbesondere sollte ihrer Ansicht nach auf europäischer Ebene geprüft werden,

inwieweit für marktmächtige Plattformbetreiber über das Wettbewerbsrecht hinausgehende Regeln erforderlich sind.

Digitaler Binnenmarkt: EU-Kommission plant umfassende Reformen

Posted on by

In dieser Woche wurden zwei Entwurfsdokumente der Europäischen Kommission geleaked, die ambitionierte Ideen für Reformen auf dem digitalen Binnenmarkt in Europa erkennen lassen.

Hier die Links zu den beiden Dokumenten:
Digital Single Market: The Evidence
A Digital Single Market Strategy for Europe

Betroffen von den vorgeschlagenen Reformen wären sowohl der Verbraucherschutz, der E-Commerce, das Urheberrecht oder auch das Datenschutzrecht. Ich möchte mich auf einige Aspekte beschränken.

Illegale Inhalte im Internet
Die Kommission verweist bei der Frage der rechtlichen Grundlage zum Vorgehen gegen illegale Inhalte im Internet auf die derzeitigen Vorgaben der e-Commerce-Richtlinie. Nach dieser sind Intermediäre für fremde Inhalte grundsätzlich nicht selbst verantwortlich, müssen jedoch tätig werden, wenn sie von rechtswidrigen Inhalten erfahren. Die Kommission sieht hier Probleme bei der Rechtedurchsetzung, insbesondere könne der Prozess zum Löschen rechtswidriger Inhalte lange dauern und intransparent sein. Zudem sei oft nicht klar, wann Internet-Intermediäre von einer passiven Rolle (etwa des Hosters) in eine aktive Rolle schlüpfen und damit selbst für Inhalte verantwortlich sind. Die Kommission plant daher, weitere Initiativen zum Vorgehen gegen rechtswidrige Informationen im Netz vorzustellen und genauere Vorgaben für Sorgfaltspflichten von Intermediären aufzustellen.

Umgang mit personenbezogenen Daten
Datensicherheit spielt für die Kommission eine wichtige Rolle, wenn es um das Vertrauen der Bevölkerung in das Internet und den Umgang mit Daten geht. Es bestünden derzeit noch große Lücken bei dem Angebot an passenden Technologien und Lösungen, um Sicherheit in Netzwerken herstellen zu können. Zudem möchte die Kommission in Zukunft die Auswirkungen der Nutzung personenbezogener Daten für unterschiedliche Zwecke durch Internetdiensteanbieter untersuchen. Dieser Aspekt gehört zu einer großen geplanten Untersuchung des Marktes der Diensteanbieter im Internet.
Der Mitteilungsentwurf verweist auch auf die geplante Datenschutz-Grundverordnung. Die gesetzlichen Regelungen, welche durch diese aufgestellt werden, betreffen jedoch nicht spezialgesetzliche Vorgaben zum Umgang mit personenbezogenen Daten, etwa im Bereich der elektronischen Kommunikationsdienste (e-privacy-Richtlinie). Diese speziellen Gesetze sollen nach Verabschiedung der Datenschutz-Grundverordnung überprüft und eventuell reformiert werden.

Aufbau einer „Data Economy“
Die Kommission sieht (gesetzgeberischen) Handlungsbedarf in den „datengetriebenen“ Wirtschaftszweigen, insbesondere wo es um Big Data, Cloud-Dienste, Open Data und Fragen des Eigentums an Daten geht. Um die neu entstehenden, auf Daten beruhenden Technologien zu nutzen, möchte die Kommission die derzeit bestehenden Hindernisse beseitigen, welche einen freien Fluss von Daten innerhalb der EU verhindern. Nach Ansicht der Kommission müssen die Anbieter von „Datendiensten“ derzeit mit verschiedenen Schwierigkeiten kämpfen, unter anderem Anforderungen an eine Speicherung von Daten allein in einem bestimmten Land oder auch Anforderungen der Verschlüsselung. Die Kommission möchte daher eine „Freier Fluss von Daten“-Initiative anstoßen, welche sich der Beseitigung nationaler Vorgaben zur lokalen Speicherung von Daten und zur verpflichtenden Errichtung von Serverfarmen in einem bestimmten Land widmet. Dies gerade auch mit Blick auf den Bereich des Cloud-Computing.

Am Ende des Dokuments „A Digital Single Market Strategy for Europe“ findet sich noch eine Roadmap, auf der die jeweiligen Themen aufgelistet sind und ihnen Jahre zugeordnet werden, wann hier von Seiten der Kommission mit einer Initiative gerechnet wird.

Verbandsklagebefugnis im Datenschutzrecht: Bundesregierung lehnt Vorschläge des Bundesrates ab

Posted on by

Bekanntlich wird derzeit ein Gesetzesentwurf der Bundesregierung zur Änderung des Unterlassungsklagengesetzes (UKlaG) im ordentlichen Gesetzgebungsverfahren diskutiert. Vor allem Verbraucherschutzverbände sollen in Zukunft die Möglichkeit erhalten, bestimmte datenschutzrechtswidrige Verarbeitungsvorgänge durch Unternehmen gerichtlich untersagen lassen zu können (hierzu soll ein neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG eingefügt werden).

Zu dem Regierungsentwurf (mein Beitrag dazu hier), als auch zu der Stellungnahme des Bundesrates hatte ich bereits ausführlich hier geschrieben. Der Gesetzesentwurf liegt nun im Bundestag und muss dort unter anderem im federführenden Ausschuss für Recht und Verbraucherschutz beraten werden.

Veröffentlicht wurde nun auch die Antwort der Bundesregierung auf die Stellungnahme des Bundesrates (in diesem PDF ab S. 42), in der der Bundesrat unter anderem eine Erweiterung des Tatbestandes des § 2 Abs. 2 S. 1 Nr. 11 UKlaG (angreifbar wären demnach nicht nur, wie von der Bundesregierung vorgeschlagen, bestimmte Datenverarbeitungen zu „kommerziellen“ Zwecken, sondern jegliche Datenverarbeitungen) sowie die Einführung eines allgemeinen Kopplungsverbotes von Einwilligung und Abschluss eines Vertrages in § 28 Abs. 3b BDSG vorsah.

Um es kurz zu machen: die Bundesregierung lehnt die Vorschläge des Bundesrates ab.

Zu der vorgeschlagenen Erweiterung des § 2 Abs. 2 S. 1 Nr. 11 UKlaG stellt die Bundesregierung fest, dass die Beschränkung auf Vorschriften, die die Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung zu bestimmten kommerziellen Zwecken betreffen,

vor allem auch im Interesse von kleinen und mittleren Unternehmen die Abmahn- und Klagemöglichkeiten soweit wie möglich konkretisieren

soll.

In Bezug auf den Vorschlag der Einführung eines allgemeinen Kopplungsverbotes im BDSG führt die Bundesregierung aus, dass § 28 BDSG voraussichtlich

ohnehin bald durch Regelungen der EU-Datenschutzgrundverordnung abgelöst werden wird

und die Bundesregierung eine Änderung der Vorschrift schon deshalb nicht für zweckmäßig hält. Mit dieser Argumentation könnte man freilich den gesamten eigenen Gesetzesentwurf torpedieren, da die geplante Datenschutzgrundverordnung auch eine Regelung zur Klagebefugnis von Verbraucherschutzverbänden vorsehen soll und als EU-Verordnung nationalen Vorschriften vorgehen wird.

Diesbezüglich ist jedoch noch zwischen Kommission, Parlament und Rat nicht geklärt, wie die konkrete Ausgestaltung erfolgen soll. Gerade im Rat wurde die Befugnis für Verbände, auf eigene Faust datenschutzrechtliche Verarbeitungstätigkeiten vor Gericht zu bringen, teilweise eingeschränkt. Im Endeffekt könnte es sich bei dem vorliegenden deutschen Gesetz also allein um einen Lückenfüller und eine Gesetzesänderung mit auf der Stirn stehendem Ablaufdatum handeln.

Die weiteren Verhandlungen im Bundestag werden vor dem Hintergrund der widerstreitenden Positionen sicherlich interessant werden.

Zuletzt sei noch darauf hingewiesen, dass die Bundesregierung nach eigenen Angaben in ihrer Antwort derzeit den allgemeinen gesetzgeberischen Handlungsbedarf im Telemediendatenschutz prüft und dazu gegebenenfalls noch ein gesondertes Gesetzgebungsverfahren in dieser Legislaturperiode einleiten wird. Auch Änderungen der datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) sind daher möglich, wobei sich auch hier dann die Frage nach einer zukünftigen Kollision mit der Datenschutzgrundverordnung stellen wird.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Posted on by

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld „An…“ versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Referentenentwurf des BMWi: Haftung von Host-Providern soll verschärft werden

Posted on by

Heute hat das Bundeswirtschaftsministerium den Referentenentwurf für ein Gesetz Änderung des Telemediengesetzes (TMG) veröffentlicht (PDF). Dabei geht es vor allem um den Versuch, die Störerhaftung beim öffentlichen Betrieb von WLANs zu regeln. Diesbezüglich hat der Entwurf sehr deutliche Kritik erfahren, u.a. im Blog bei dem Kollegen Thomas Stadler (Verschlimmbesserung: Der Gesetzesentwurf zur Störerhaftung von W-LAN-Betreibern) oder auf LTO durch den Kollegen Härting.

Der Referentenentwurf befasst sich jedoch nicht nur allein mit einer Anpassung des § 8 TMG und der Frage, welcher Anbieter wann für Rechtsverletzung haftet, die über den Zugang eines freien WLANs begangen werden, sondern geht darüber hinaus. Auch § 10 TMG (der die Haftungsprivilegierung für die Speicherung von fremden Informationen, also die typischen „Cloud“-Konstellationen, regelt) soll angepasst werden. Nach § 10 TMG sind Diensteanbieter, wie etwa Hosting-Anbieter, für fremde Informationen, die sie für einen Nutzer speichern nicht verantwortlich, sofern sie keine Kenntnis von der rechtswidrigen Handlung oder der Information haben. Im Falle von Schadenersatzansprüchen müssen dem Anbieter Tatsachen oder Umstände bekannt sein, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird. Vorgeschlagen wird nun die Schaffung eines neuen § 10 Abs. 2 TMG-E mit folgendem Wortlaut:

(2) Die Kenntnis von Tatsachen oder Umständen nach Absatz 1, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird, wird vermutet, wenn es sich bei dem angebotenen Dienst um einen besonders gefahrgeneigten Dienst handelt. Ein besonders gefahrgeneigter Dienst liegt in der Regel dann vor, wenn:

a) die Speicherung oder Verwendung der weit überwiegenden Zahl der gespeicherten Informationen rechtswidrig erfolgt oder

b) der Diensteanbieter durch eigene Maßnahmen gezielt die Gefahr einer rechtsverletzenden Nutzung fördert oder

c) in vom Diensteanbieter veranlassten Werbeauftritten mit der Nichtverfolgbarkeit bei Rechtsverstößen geworben wird oder

d) keine Möglichkeit besteht, rechtswidrige Inhalte durch den Berechtigten entfernen zu lassen.

Der Gedanke hinter der Neuregelung nach der Gesetzesbegründung:

Bei bestimmten Diensten kann nach der allgemeinen Lebenserfahrung davon ausgegangen werden, dass dem Diensteanbieter ausreichend viele Tatsachen oder Informationen bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird.

Bestimmte Fallkonstellationen, in denen aus Sicht des Gesetzgebers die Vermutung besteht, dass der Diensteanbieter eine entsprechende Kenntnis besitzt, sollen nun im § 10 Abs. 2 TMG-E festgeschrieben werden. Es geht im Prinzip also um eine gesetzliche Vermutung für eine Haftung des Hosting-Providers. Diese gesetzliche Vermutung (§ 292 ZPO) müsste im Fall des Falles der Anbieter dann entkräften können, indem er etwa beweist, dass er keine Kenntnis hatte. Dem Grundsatz möchte die Bundesregierung aber festlegen, dass Hosting-Anbieter, bei denen eine der oben aufgezählten Voraussetzungen (a) bis b)) vorliegt, für auf ihrer Plattform gespeicherte rechtswidrige Informationen haften. Die derzeit geltende Vermutung (keine Haftung für fremde Inhalte) soll also, zumindest für bestimmte Fälle um 180 Grad gedreht werden.

Datenschutzreform: Konzerninterne Datentransfers sollen erleichtert werden

Posted on by

Der Rat der Europäischen Union und insbesondere die Ratsarbeitsgruppe, die sich mit der Reform des europäischen Datenschutzrechts befasst (Dapix), sind in diesen Tagen nicht zu beneiden. Nach der Veröffentlichung von Verhandlungsdokumenten (auf statewatch.org und edri.org zu finden) zu den neuesten Änderungen an dem Entwurf für eine Datenschutz-Grundverordnung, ging ein Kritikgewitter auf die Dapix nieder (u.a. bei heise online, futurezone.at und Tagesspiegel).

Ob die Kritik berechtigt ist oder nicht, möchte ich hier nicht näher untersuchen. Mir ist bei einem flüchtigen Blick auf eines der betreffenden Dokumente (Kapitel 2, (Englisch) PDF) vielmehr ein aus der Praxis positiv zu bewertender Änderungsantrag aus Deutschland ins Auge gestochen.

In einem neuen Erwägungsgrund 38a schlägt Deutschland vor, dass in Zukunft Datenübermittlungen innerhalb von Unternehmensgruppen bzw. eines Konzerns, grundsätzlich aufgrund eines berechtigten Interesses der Verantwortlichen Stelle erlaubt sein sollen. Voraussetzung ist unter anderem, dass die Übermittlung für verwaltungsinterne bzw. administrative Zwecke erfolgt.

Das Thema des sog. Konzernprivilegs (bzw. sein Fehlen im Datenschutzrecht) wäre mit dieser Änderung zumindest eingeschränkt erledigt. Derzeit müssen auch Datentransfers in einer Unternehmensgruppe auf eine Einwilligung oder einen gesetzlichen Erlaubnistatbestand gestützt werden. Es existiert kein Privileg des konzerninternen Datentransfers. Es handelt sich datenschutzrechtlich um eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG. Der deutsche Vorschlag würde nun zwar einem Datentransfers nicht seine Natur einer Übermittlung nach dem Gesetz nehmen (daher meine Wortwahl des eingeschränkten Konzernprivilegs). Jedoch wäre diese Übermittlung in bestimmten Fällen von vornherein erlaubt.

Einen ähnlichen Vorschlag, jedoch nicht nur in der Form eines Erwägungsgrundes, sondern direkt als einen neuen Art. 22 Abs. 3a, hat auch das Europäische Parlament in seiner Entschließung zur Datenschutz-Grundverordnung im März 2014 gemacht.

Was letztendlich von diesem Vorschlag der deutschen Delegation im Rat übrig bleibt, muss man abwarten. Denn über diesen Änderungsantrag dürfte noch nicht in Gänze zwischen den Mitgliedstaaten diskutiert worden sein. Sollte es ein solcher Erwägungsgrund jedoch in die Verhandlungen zwischen Kommission, Parlament und Rat schaffen, so stünden die Chancen aufgrund des ähnlichen Vorschlags aus dem Parlament, bestimmt nicht schlecht, dass wir am Ende zumindest ein „eingeschränktes Konzernprivileg“ erhalten.

UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Posted on by

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Datenschutz-Deutschland: Geprägt von Uneinigkeit

Posted on by

Die Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg, dass Datenschutzverstöße von Kommunen im Rahmen des Einsatzes des Analysetools Google Analytics nach Überprüfungen abgestellt wurden, hat mich stutzig gemacht. Anhand dieses Beispiels „Google Analytics“ kann man jedoch erkennen, mit welchen tatsächlichen Schwierigkeiten sowohl Unternehmen als auch Behörden derzeit bei der Beachtung der gesetzlichen Vorgaben zum Datenschutz umgehen müssen, wenn sie weder völlig auf neue Technologien verzichten möchten, noch gesetzliche Standards völlig unbeachtet lassen wollen.

Einheitliche Position der Behörden
Für den privaten Bereich hatten sich alle deutschen Landesdatenschutzbehörden auf ein einheitliches Vorgehen in Sachen „Google Analytics“ verständigt. Unter Federführung des Hamburger Datenschützers wurde ein Verfahren mit Google abgestimmt, welches den (nach Ansicht der Behörden) datenschutzrechtskonformen Einsatz des Tools ermöglicht. Ein solches Ergebnis ist aus Sicht der Praxis und in diesem Fall der privatwirtschaftlichen Betreiber von Webseiten absolut zu begrüßen. Denn es wäre kaum verständlich und vermittelbar, warum etwa ein Unternehmen in Bayern Google Analytics nutzen dürfte und z. B. ein Unternehmen in Hessen nicht. Daneben könnten sich aus einer solchen Situation auch wirtschaftliche Nach- bzw. Vorteile für die Unternehmen ergeben, je nachdem in welchem Bundesland sie sitzen und welche Landesbehörde zuständig ist.

Aber: der öffentliche Bereich
Die angesprochene Mitteilung der Landesdatenschutzbeauftragten aus Brandenburg betrifft nun aber öffentliche Stellen. Hier gelten (teilweise) andere Datenschutzgesetze als im privatwirtschaftlichen Bereich. Einige sind aber auch gleich, gerade was die hier in Rede stehenden Voraussetzungen des § 15 Abs. 3 TMG betrifft (vgl. etwa 16. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 122, PDF). Nach Aussage in der Pressemitteilung der Landesdatenschutzbeauftragten in Brandenburg schließt der „Einsatz von Google Analytics durch öffentliche Stellen in Brandenburg“ die Möglichkeit des datenschutzgerechten Betriebes von Internetangeboten aus. Man geht also von der absoluten Unzulässigkeit aus.

Doch warum soll hier etwas anderes gelten, als im privaten Bereich? Können öffentliche Stellen nicht auf die durch die Datenschutzbehörden mit Google ausgehandelten Kriterien zurückgreifen? Auch der Landesdatenschützer in Hessen geht von der Unzulässigkeit des Einsatzes von Google Analytics durch öffentliche Stellen aus. Grund hierfür ist oft, dass im öffentlichen Datenschutzrecht spezielle Anforderungen an die Auftragsdatenverarbeitung gestellt werden, die Google nicht erfüllen kann. Auf der anderen Seite ging bereits im Jahre 2010 der Bayerischen Landesbeauftragten für den Datenschutz davon aus, dass Google Analytics auch durch Behörden grundsätzlich rechtskonform eingesetzt werden kann. In einer Pressemitteilung, die im Rahmen der Prüfung bayerischer Behörden entstand, führt er aus:

Bei der Anfang November durchgeführten Nachprüfung hat sich gezeigt, dass nunmehr nur noch 159 bayerische Behörden Google Analytics einsetzen. 25 dieser Behörden tun dies in Verbindung mit einer Anonymisierungsfunktion, eine datenschutzkonforme Vorgehensweise ist danach zumindest möglich. (Hervorhebung durch mich).

Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass für öffentliche Stellen in Hamburg andere rechtliche Voraussetzungen und zusätzliche Anforderungen gelten, die einen Einsatz von Google Analytics oder anderer Tracking-Dienste nur eingeschränkt ermöglichen (PDF). Ausgeschlossen ist der Einsatz danach aber nicht, wie sich etwa am Beispiel der Webseite des Hamburger Senats zeigt, auf der Google Analytics zum Einsatz kommt.

Quintessenz
Was möchte ich mit diesen Feststellungen sagen? Offensichtlich ist man sich bezüglich der Voraussetzungen des Einsatzes von Google Analytics in den Datenschutzbehörden in Deutschland uneins, was jedoch leider für den praktischen Umgang mit den Datenschutzgesetzen ein erhebliches und Rechtsunsicherheit schaffendes Problem darstellen kann. Gerade wenn solche landesspezifischen Abweichungen im Bereich der Durchsetzung des Datenschutzrechts in der Privatwirtschaft entstehen. Nach dem Motto: „Warum dürfen die Bayern das und wir nicht?“. Im konkreten Fall betrifft es beispielhaft das Thema „Google Analytics“ und den öffentlichen Bereich. Doch abweichende Rechtsanschauungen und damit einhergehend eine abweichende Rechtsdurchsetzung (immerhin mit der Möglichkeit Bußgelder zu verhängen), treten ebenso im privatwirtschaftlichen Bereich zu Tage. Man muss daher im Interesse aller Beteiligten hoffen, dass ein einheitliches Vorgehen der Aufsichtsbehörden in Zukunft, ja wenn nicht sogar eine gesetzliche Pflicht (man denke an die Vorgaben der Datenschutz-Grundverordnung zum sog. „one-stop-shop“) zum kohärenten Vollzug der Datenschutzgesetze, die Regel sein wird.

Bundesregierung: Geltende Datenschutzvorgaben für Werbung & Marketing sind ausreichend

Posted on by

Die Bundesregierung hat mit Datum vom 6. Januar 2015 einen Bericht „über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes (BSDG) im Rahmen der zweiten BDSG-Novelle“ veröffentlicht (PDF) (BT-Drs. 18/3707).

Novellierung des BDSG
Die §§ 28 und 29 BDSG wurden in der Novelle des Jahres 2009, vor allem mit Blick auf die Neureglung des Datenumgangs im Adresshandel und bei Werbung, angepasst und nach § 48 BDSG hat die Bundesregierung den Auftrag, bis zum 31. Dezember 2014 über die Auswirkungen der Gesetzesänderungen zu unterrichten. Der nun vorliegende Bericht gibt zum einen Überblick darüber, wie aus Sicht der Aufsichtsbehörden die Vorgaben der §§ 28 und 29 BDSG eingehalten werden und wo diese noch Defizite sehen. Auch wird auf Stellungnahmen aus der Wirtschaft eingegangen.

Häufigste Verstöße
Laut den Angaben der deutschen Datenschutzbehörden finden die meisten Verstöße gegen das Datenschutzrecht (bzw. teilweise auch die Vorgaben des § 7 UWG) aufgrund folgender Konstellationen statt:

Interessant ist vor allem das durch die Bundesregierung gezogene Fazit in dem Bericht. Danach wurde das Ziel der zweiten BDSG-Novelle grundsätzlich erreicht. Die strukturellen Veränderungen im Rahmen der Novelle haben, so die Bundesregierung

den Anfall von Daten gesenkt, ihren Schutz, soweit sie anfallen, gesteigert und die Transparenz für die Betroffenen sowie ihre Widerrufsrechte gestärkt.

Zwar verneint die Bundesregierung nicht, dass es auch noch Probleme bei der Einhaltung der Vorgaben der §§ 28, 29 BDSG in der Praxis gebe. Diese Probleme beziehen sich jedoch vor allem auf Rechtsverstöße. Man könnte also auch sagen, dass eine Gesetzesänderung nicht daran ändert wird, dass auch in Zukunft gegen gesetzliche Vorgaben verstoßen werde. Daher schlägt auch die Bundesregierung vor, dass diese noch bestehenden Probleme vor allem durch stärkere Kontrollen und Sanktionierungen der Aufsichtsbehörden verringert werden sollen. „Legislative Abhilfemöglichkeiten“ sieht die Bundesregierung als wenig zielführend an.

Auch geht der Bericht auf die Auswirkungen der geplanten europäischen Datenschutz-Grundverordnung ein. Die klare Aussage der Bundesregierung:

Unabhängig von seinem Inhalt wird dieser EU-Rechtsakt erhebliche Auswirkungen auf das nationale Datenschutzrecht haben.

Fazit
Datenschutzrecht und Werbung schließen sich sicherlich nicht aus. Dennoch gilt es gerade in diesem Bereich besonderen Wert auf die Einhaltung der gesetzlichen Anforderungen zu legen. Die bayerische Datenschutzbehörde hatte erst im November 2014 angekündigt, dass sie in Zukunft wird das BayLDA ihre eher zurückhaltende Praxis bei der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren werde. Erste Hinweise und Hilfestellungen zum Thema „Werbung und Datenschutz“ lassen sich etwa den „Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke“ (PDF) entnehmen.

IT-Sicherheitsgesetz: Geplante Änderungen und Auswirkungen für Webseitenbetreiber

Posted on by

Am 17.12.2014 hat die Bundesregierung den Entwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, PDF) beschlossen. Nach der Pressemitteilung des federführend zuständigen Bundesinnenministeriums, werden in den Entwurf, zur Steigerung der IT-Sicherheit im Internet, die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie sollen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten.

Geplant sind auch Änderungen des Telemediengesetzes (TMG), welches im Grundsatz für alle Webseiten oder andere Internetangebote, aber etwa auch Apps gilt. Die Begründung des Gesetzentwurfes führt einleitend zu den vorgeschlagenen Anpassungen des TMG aus, dass wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste, die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt werden.

Nach dem Entwurf des IT-Sicherheitsgesetzes wird in § 13 TMG ein neuer Absatz 7 eingefügt (nachfolgend § 13 Abs. 7 TMG-E), der folgenden Wortlaut hat:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

„Geschäftsmäßig“
Die neuen Verpflichtungen zur Implementierung technischer und organisatorischen Maßnahmen sollen nur für „geschäftsmäßig angebotene Telemedien“ gelten. Nach der Gesetzesbegründung ist ein Angebot dann geschäftsmäßig, „wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt“. Bei gegen Entgelt angebotenen Telemedien ist diese Voraussetzung regelmäßig erfüllt. Die Begründung führt beispielhaft „werbefinanzierte Webseiten“ an. Ausdrücklich ausgeschlossen von dem Anwendungsbereich des neuen § 13 Abs. 7 TMG-E soll jedoch das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“ sein. Daher dürfte etwa ein privat betriebener Blog nicht der neuen Pflicht unterliegen, selbst wenn dieser mit gewisser Nachhaltigkeit und auch planmäßig betrieben wird. Denn nach der Gesetzesbegründung reicht es für die Nicht-Anwendbarkeit des neuen Abs. 7 aus, dass das Angebot nicht-kommerziell durch einen Privaten betrieben wird.

Zumutbarkeit von Schutzmaßnahmen
Nach dem geplanten Abs. 7 müssen Diensteanbieter (also etwa Webseitenbetreiber von Onlineshops) kumulativ (!) sicherstellen, dass 1) kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist, 2) diese gegen Verletzungen des Schutzes personenbezogener Daten und 3) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Die drei Schutzpflichten sind mit dem Wort „und“ verbunden, woraus sich eine notwendige Erfüllung aller drei Voraussetzungen ergibt. Ein Diensteanbieter wird sich also grundsätzlich nicht darauf berufen können, er habe seinen Dienst doch besonders gegen unerlaubte Zugriffe geschützt und dass dies ausreichen müsse.

Da der damit einhergehende tatsächliche Aufwand für Diensteanbieter, je nach den bereits implementierten Schutzmaßnahmen, nicht unerheblich sein dürfte, sieht Abs. 7 jedoch als Tatbestandsvoraussetzung ebenso das Kriterium der „Zumutbarkeit“ für den Diensteanbieter vor. Die entsprechenden Vorkehrungen müssen für den konkreten Diensteanbieter technisch möglich und wirtschaftlich zumutbar sind. Zu hohe Umsetzungskosten stellen daher etwa ein Kriterium dar, welcher der Webseitenbetreiber rechtmäßigerweise anführen darf, um nur diejenigen technischen und organisatorischen Maßnahmen umzusetzen, die er sich auch wirklich leisten kann. Der Betreiber einer Webseite oder eine anderen Internetdienstes ist also nicht dazu verpflichtet, sein Unternehmen mit finanziellen Verlusten zu belasten, die das Angebot selbst unrentabel machen würde oder gar seine Existenz gefährden. Laut der Begründung des Gesetzentwurfes müssen die „Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen“.

Pflicht zur Anpassung von Kooperationsverträgen?
Im Hinblick auf Webseiten führt die Begründung des Gesetzentwurfes aus, dass es ein wesentliches Ziel des neuen Abs. 7 ist, das unbemerkte Herunterladen von Schadsoftware beim Besuch einer präparierten Webseite zu unterbinden. Webseitenbetreiber sollten daher regelmäßig die für die Erstellung und den Betrieb der Webseite verwendete Software aktualisieren, da hierdurch die Sicherheit erhöht werde.

Häufig finanzieren Webseitenbetreiber ihr Angebot mit Werbeanzeigen. Der Inhalt der Werbebanner ist jedoch meist nicht ein originär eigener. Vielmehr wird dieser über Dritte, etwa die Betreiber von Werbenetzwerken, bezogen. Der Webseitenbetreiber hat also auf den Inhalt der Werbebanner meist keinen direkten, insbesondere technischen Einfluss (außer das Banner komplett zu entfernen). Es besteht jedoch technisch die Möglichkeit, dass über die Werbeanzeigen schädliche Inhalte geladen werden. Auch in dieser Konstellation sieht der Gesetzesentwurf den Webseitenbetreiber jedoch zumindest in einer Teilpflicht. Gegen das Laden und Einspeisen schädlicher Skripte oder von Software über Drittinhalte innerhalb des eigenen Angebotes, sind nach der Begründung des Gesetzesentwurfs „organisatorische Vorkehrungen zu treffen“. Nach Auffassung der Bundesregierung gehört hierzu beispielsweise, dass Werbedienstleister, denen Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen verpflichtet werden.

Bußgeldbewährung
Ein fahrlässiger oder vorsätzlicher Verstoß gegen § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 a) TMG-E (nicht die Nr. 2 b)) soll zudem eine Ordnungswidrigkeit darstellen (§ 16 Abs. 2 Nr. 3 TMG) und nach § 16 Abs. 3 TMG die Möglichkeit eines Bußgeldes in Höhe von 50.000 EUR nach sich ziehen. Beachtlich ist insofern, dass damit nicht nur das komplette Fehlen von technischen und organisatorischen Maßnahmen eine Ordnungswidrigkeit darstellt. Die Begründung des Gesetzesentwurfs spricht ausdrücklich davon, dass „damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“ bußgeldbewährt sein soll.