EU-Minister sollen über Gewährleistungsrechte beim Kauf vernetzter Geräte entscheiden

Am 9. Dezember 2015 hat die europäische Kommission Entwürfe für zwei verschiedene Richtlinien zum einen über bestimmte vertragliche Aspekte des online waren Handels (COM(2015) 635) und zum anderen über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte (COM(2015) 634)  veröffentlicht. Insbesondere der 2. Richtlinienvorschlag zur Bereitstellung digitaler Inhalte bietet interessante Neuerungen zur aktuellen Rechtslage. Dort sind unter anderem Regelungen zu Situationen vorgesehen, in denen der Zugang bzw. die Bereitstellung personenbezogener Daten oder auch „anderer Daten“ als Gegenleistung für die Bereitstellung digitaler Inhalte anerkannt werden soll (vgl. Art. 3 Abs. 1).

Die beiden Richtlinie Entwürfe werden nun in den verschiedenen europäischen Institutionen beraten. Unter anderem auch im Rat der Europäischen Union.

In einem relativ aktuellen Dokument der Ratspräsidentschaft an den Rat vom 1. Dezember 2016 (14827/16, pdf) wird der aktuelle Diskussionsstand im Rat übersichtlich zusammengefasst und es werden auch Fragen an die einzelnen Mitgliedstaaten zu besonderen Schwerpunkten und noch offenen bzw. streitigen Themen gestellt. Zwei dieser offenen Punkte möchte ich nachfolgend kurz besprechen.

Welche Gewährleistungsregeln sollen bei vernetzten Geräten gelten?

In ihrem ersten Fragekomplex beleuchtet die Ratspräsidentschaft intelligente Haushaltsgeräte (Stichworte sind hier „Internet der Dinge“, „smart cars“ oder auch „smart homes“). Diese intelligenten und vernetzten Geräte bieten bereits derzeit und mit Sicherheit auch in Zukunft bis zu einem gewissen Grad digitale Inhalte an. Als Beispiel wird etwa der intelligente Kühlschrank angeführt, der seinen Inhalt selbst überprüft und eine Einkaufsliste für fehlende Gegenstände erstellt.

Zwischen den Mitgliedstaaten im Rat ist umstritten, welche Gewährleistungsvorschriften aus den beiden zuvor benannten Richtlinienvorschlägen gelten sollen, wenn es bei so einem intelligenten Gerät, man denke hier etwa auch an vernetzte Fahrzeuge, zu einem Fehler kommt bzw. ein Mangel auftritt. Sollen in diesem Fall die Regelungen für die Bereitstellung digitaler Inhalte gelten oder doch die Regelungen für den Verkauf normaler (also physischer) Waren?

Der Richtlinienvorschlag der Kommission zur Bereitstellung digitaler Inhalte sieht vor, dass die Regelungen der Richtlinie nicht für digitale Inhalte gelten sollen, „die derart in einer Ware integriert sind, dass sie fester Bestandteil der Ware sind und ihre Funktionen den Hauptfunktionen der Ware untergeordnet sind“ (Erwägungsgrund 11). Nach Auffassung der Ratspräsidentschaft würde dies bedeuten, dass wohl zumeist die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter gelten würden (Richtlinie 1999/44/EG).

Innerhalb der Arbeitsgruppe des Rates für Zivilrecht wurden vor diesem Hintergrund drei mögliche Optionen für ein zukünftiges Vorgehen und gesetzliche Regelungen beraten:

  • Die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs auf die in den Produkten integrierten, digitalen Inhalte anzuwenden.
  • Eine Trennung in der Form vorzunehmen, dass die Regeln zum Verbrauchsgüterkauf auf die physische Ware selbst und die neuen Regeln der vorgeschlagenen Richtlinie auf die in dem Gerät enthaltenen digitalen Inhalte anwendbar sein.
  • Die neuen Vorgaben zu digitalen Inhalten insgesamt auf das vernetzte Gerät anzuwenden, jedoch mit der Ausnahme, dass der Verkäufer die Möglichkeit hat darzulegen, dass der Mangel sich allein aus dem (physischen) Produkt selbst ergibt und dann die Regeln zum Verbrauchsgüterkauf anwendbar wären.

Nach Aussage der Ratspräsidentschaft fand die zweite Option (Trennung) wohl kaum Zuspruch. Für die beiden anderen Optionen gab es jeweils für sprechende Stimmen der Mitgliedstaaten, ohne dass jedoch bisher eine eindeutige Mehrheit erkennbar wäre.

Vor diesem Hintergrund bittet der Rat auf politischer Ebene (also durch die Minister der Mitgliedstaaten) zu entscheiden, welche Option für weitere Diskussionen in der Arbeitsgruppe die Grundlage sein soll.

Die Entscheidung der Minister und damit die zukünftigen Diskussionen sind für die Wirtschaft in Europa nicht trivial. Gerade wenn man bedenkt, wie viele vernetzte Geräte ist derzeit bereits gibt und wohl in Zukunft auch auf dem Markt vorhanden sein werden. Man sollte sich dabei auf vor Augen halten, dass es hier eben nicht nur um kleine Geräte im eigenen zu Hause geht, sondern grundsätzlich auch etwa um vernetzte Fahrzeuge.

Nach Auffassung der Ratspräsidentschaft würde die erste Option, also auf vernetzte Geräte grundsätzlich die Regelung des Verbrauchsgüterkaufs anzuwenden, aus Sicht der Verbraucher leichter vorhersehbare Rechte bereithalten. Jedoch würden natürlich gleichzeitig auch die spezifischen Vorgaben für digitale Inhalte unter der vorgeschlagenen Richtlinie der europäischen Kommission dann nicht anwendbar sein.

Die dritte vorgeschlagene Option bietet aus Sicht der Ratspräsidentschaft eine flexiblere Möglichkeit diejenigen Regelungen zur Anwendung zu bringen, die in der ehemaligen Situation am besten geeignet sind. Dem Verkäufer verbliebene immer noch die Möglichkeit darzulegen, dass in einem konkreten Fall die normalen Regeln zum Verbrauchsgüterkauf gelten würden, wenn etwa ein Mangel allein das physische Gerät an sich betrifft.

Was genau sind „andere Daten“ und sollen diese als Gegenleistung anerkannt werden?

Im zweiten Themenkomplex des Arbeitsdokumentes befasst sich die Ratspräsidentschaft mit dem Begriff der „anderen Daten“ aus dem Richtlinienvorschlag zur Bereitstellung digitaler Inhalte. Einleitend wird darauf hingewiesen, dass bereits in der Vergangenheit im Rat Diskussion zum Verhältnis zwischen der vorgeschlagenen Richtlinie und der ab Mai 2018 anwendbaren Datenschutz-Grundverordnung (DSGVO) geführt wurden. Das Zusammenspiel der beiden Rechtsinstrumente sei nach Auffassung der Ratspräsidentschaft sehr komplex und habe weitere Probleme zutage gefördert, die noch näher behandelt werden müssten. Dies auch vor dem Hintergrund, da der vorgeschlagene Richtlinienentwurf neben den „anderen Daten“ auch personenbezogene Daten erwähnt und ist daher ein Unterschied zwischen beiden Datenarten zu geben scheint.

Zwar existiert bereits derzeit für gewisse Fragen ein Prüfauftrag an den juristischen Dienstes des Rates. So hat die deutsche Delegation im Rat den juristischen Dienst um eine Stellungnahme dazu gebeten, auf welcher Rechtsgrundlage der DSGVO personenbezogene Daten verarbeitet werden dürfen, wenn diese eine Gegenleistung für die Bereitstellung digitaler Inhalte darstellen, in der DSGVO jedoch in Art. 7 Abs. 4 ein Kopplungsverbot für die Einwilligung vorgesehen ist.

Auch hinsichtlich dieses Themenkomplexes, und ohne Antworten etwa des juristischen Dienstes vorgreifen zu wollen, bittet jedoch die Ratspräsidentschaft die Minister der Mitgliedstaaten um eine Vorgabe dazu, ob die Bereitstellung von „anderen Daten“ tatsächlich als eine Gegenleistung im Rahmen des Entwurfs der Richtlinie angesehen werden soll.

Die Ratspräsidentschaft erwähnt in ihrem Dokument noch einige Beispiele der „anderen Daten“, die von der Europäischen Kommission angeführt werden. So sollen zu den „anderen Daten“ zum Beispiel solche Daten gezählt werden die durch den jeweiligen Anbieter in irgend einer Form verwertet werden können, wie zum Beispiel Landschaftsbilder, Liedtexte oder auch anonymisierte Daten über Gruppen von Personen, die sich nicht auf identifizierbare einzelne Personen beziehen.

Jedoch weist die Ratspräsidentschaft darauf hin, dass sich in Diskussionen, unter anderem auch mit Experten ergeben hat, dass in den meisten Fällen solche Daten, die von dem Verbraucher zur Verfügung gestellt werden, diese auch ein Personenbezug aufweisen werden. Stellt sich da die Frage, ob es im Anwendungsbereich der vorgeschlagenen Richtlinie faktisch überhaupt „andere Daten“ geben kann.

In jedem Fall bringe die vorgeschlagene Unterscheidung im Richtlinienentwurf zwischen personenbezogenen Daten und anderen Daten Schwierigkeiten in der Praxis und damit Rechtsunsicherheit mit sich. Einige Delegationen im Rat seien daher der Auffassung, dass es einer Unterscheidung der beiden Datenkategorien nicht bedürfe. Insgesamt seien die Mitgliedstaaten im Rat aber unentschieden darüber, ob man die Kategorie der „anderen Daten“ im Richtlinienvorschlag beibehalten solle.

Auch dieser zweite Themenkomplex ist für europäische Unternehmen, die vernetzte bzw. intelligente Geräte herstellen und/oder vertreiben, von Relevanz. Denn betrachtet man etwa das Beispiel des intelligenten Autos, gibt es diesbezüglich ja durchaus auch Diskussionen über eine Unterscheidung zwischen direkt personenbezogenen Daten und solchen (rein statistischen) Daten, die keinen Personenbezug aufweisen. Hier könnte man sich also die Frage stellen, ob es sich bei letzteren Informationen um „andere Daten“ handelt und welche Regeln zukünftig für diese Daten gelten sollen.

Hessischer Datenschutzbeauftragter zu Pokémon Go: Nutzer ist darüber informiert, was mit seinen Daten geschieht

Im Rahmen der Antwort auf eine kleine Anfrage (Drs. 19/3658, pdf) im Hessischen Landtag zu dem Dienst Pokémon Go und mit dessen Einsatz einhergehenden datenschutzrechtlichen Fragen, hat auch der Hessische Landesdatenschutzbeauftragte eine Stellungnahme abgegeben.

Der Landesdatenschutzbeauftragte vertritt eine andere Auffassung als der Verbraucherzentrale Bundesverband e.V., der den Entwickler der Pokémon Go-App, das Unternehmen Niantic Inc., unter anderem wegen angeblicher Verstöße der Datenschutzbestimmungen des Dienstes gegen deutsches Datenschutzrecht, um Juli 2016 abgemahnt hatte.

Der Hessische Datenschutzbeauftragte geht davon aus, dass die datenschutzrechtlich verantwortliche Stelle für die Datenverarbeitung im Rahmen der Smartphone-App „Pokemon GO“ die Niantic Inc. mit Sitz in den USA ist. Ein Transfer von einer deutschen bzw. europäischen datenschutzrechtlich verantwortlichen Stelle in einen Drittstaat (USA) finde hingegen nicht statt. Vielmehr werden die Daten mit Einwilligung des Nutzers direkt durch ein US-Amerikanisches Unternehmen erhoben und verarbeitet

Da Niantic Inc., soweit ersichtlich, weder in Deutschland noch in der EU eine Niederlassung habe, unterliege das Unternehmen auch nicht der Kontrolle des Hessischen Datenschutzbeauftragten.

Der Landesbeauftragte führt weiter aus, dass die Datenschutzbestimmungen der „Pokemon GO“-App relativ umfangreich sind und in verhältnismäßig transparenter Form die Datenverarbeitung  bei  der  Nutzung der App erläutern.

Der Nutzer ist darüber informiert, was mit seinen Daten geschieht.

Zudem führt der Landesdatenschutzbeauftragte aus, dass Spieler die Wahl haben, ob sie die Kamera einschalten wollen oder nicht. Für das Abspeichern eines Pokemonfotos im Speicher des Smartphones und das Teilen mit anderen bestehe kein höheres Risiko als bei sonst erstellten und übermittelten Fotos.

Anwendbares Datenschutzrecht: Europäischer Gerichtshof schafft ein wenig mehr Klarheit

Heute hat der Europäische Gerichtshof in der Rechtssache C?191/15 sein Urteil gefällt. In dem aus Österreich stammenden Ausgangsverfahren ist der Verein für Konsumenteninformation (ein Verbraucherschutzverein) gegen die Amazon EU Sàrl und deren verwendete AGB vorgegangen. Amazon EU ist eine in Luxemburg ansässige Gesellschaft, die sich über eine Website der Top-Level-Domain „.de“ an Verbraucher mit Wohnsitz in Österreich wendet. Der Verein für Konsumenteninformation griff mehrere der Klauseln in den AGB von Amazon EU an. Unter anderem fand sich dort eine Rechtswahlklauseln („Es gilt luxemburgisches Recht unter Ausschluss des UN-Kaufrechts“).

Missbräuchliche Klauseln
Im ersten Teil seiner Entscheidung befasst sich der EuGH mit der Frage des anwendbaren Rechts zum einen auf die Klage der Verbraucherschützer selbst und zum anderen hinsichtlich der Zulässigkeit der in den AGB verwendeten Klauseln. Diese Unterscheidung ist besonders wichtig. Der EuGH stellt in seinem Urteil ausdrücklich klar, dass bei der Prüfung der Missbräuchlichkeit von Klauseln in Verbraucherverträgen, die Gegenstand einer Unterlassungsklage sind, anzuwendende Recht eigenständig anhand der Art dieser Klauseln zu bestimmen ist (Rz. 49).

Bei der Bestimmung des anwendbaren Rechts ist daher, so das Gericht, zwischen der Beurteilung der betreffenden Klauseln einerseits und der von einer Vereinigung wie dem Verein für Konsumenteninformation erhobenen Klage auf Unterlassung der Verwendung dieser Klauseln andererseits zu unterscheiden. Es ist möglich, dass jeweils das gleiche nationale Recht zur Anwendung gelangt. Es ist jedoch ebenso möglich, dass etwa eine Klage nach österreichischem Recht zu beurteilen ist wohingegen die Zulässigkeit von in den AGB verwendeten Klauseln etwa nach deutschem oder spanischem Recht zu prüfen ist.

Zu der Frage, ob die durch Amazon EU verwendeten Klauseln tatsächlich missbräuchlich sind, äußert sich der EuGH nicht. Er gibt den nationalen Gerichten, deren Sache es ist, diese Frage inhaltlich zu prüfen, jedoch einige Leitlinien für deren Prüfung an die Hand. Insbesondere sei es Sache des nationalen Gerichts, zu ermitteln, ob eine Klausel in Anbetracht der jeweiligen Umstände des Einzelfalls den Anforderungen an Treu und Glauben, Ausgewogenheit und Transparenz genügt (Rz. 65).

Die oben erwähnte Rechtswahlklausel sieht der EuGH nicht per se als missbräuchlich an. Denn das Unionsrecht lasse solche Rechtswahlklauseln grundsätzlich zu. Eine vorformulierte Rechtswahlklausel sei jedoch dann missbräuchlich, wenn sie bestimmte, mit ihrem Wortlaut oder ihrem Kontext zusammenhängende Besonderheiten aufweist, die ein erhebliches und ungerechtfertigtes Missverhältnis der Rechte und Pflichten der Vertragspartner verursachen (Rz. 67). Insbesondere ist es, wenn die Wirkungen einer Klausel durch bindende Rechtsvorschriften bestimmt werden, entscheidend, dass Unternehmen den Verbraucher über diese Vorschriften unterrichten.

Datenschutzrecht
Bei der Frage des anwendbaren Datenschutzrechts, welches dann auch den Prüfungsmaßstab für in den AGB vorhandene Klauseln zum Umgang mit personenbezogenen Daten darstellen würde, geht der EuGH auf die Rechtswahlmöglichkeit richtigerweise überhaupt nicht ein. Diese ist im Datenschutzrecht nämlich nicht möglich. Das anwendbare Datenschutzrecht bestimmt sich vielmehr nach den gesetzlichen Vorgaben, auf europäischer Ebene also Art. 4 Abs. 1 der Datenschutzrichtlinie (hier konkret Art. 4 Abs. 1 lit. a)).

Die Ausführungen und die Prüfung des EuGH in diesem Zusammenhang machen deutlich, dass vergangene Urteile, in denen etwa der Verbraucherzentrale Bundesverband gegen Facebook geklagt hatte und das Landgericht Berlin (Urteil vom 6. März 2012, Az. 16 O 551/10) und auch das Kammergericht (Urteil vom 24. Januar 2014, Az. 5 U 42/12) zur Anwendbarkeit deutsches Datenschutzrechts über eine Rechtswahl der Parteien kamen, kritisch zu hinterfragen sind. Obwohl ja etwa Amazon EU eine Rechtswahlklausel in den AGB vorsah, beurteilt der EuGH das anwendbare Datenschutzrecht konsequent nach den gesetzlichen Vorschriften.

Gegenstand seiner Prüfung ist die Vorschrift des Art. 4 Abs. 1 lit. a) Datenschutzrichtlinie. Danach wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Hinsichtlich des Merkmals „Niederlassung“ geht der EuGH davon aus, dass eine solche nicht bloß deswegen in einem Mitgliedstaat bestehe, weil von dort aus auf die Website des fraglichen Unternehmens zugegriffen werden kann. Der EuGH verweist insoweit auf sein Urteil vom 1. Oktober 2015, Weltimmo, C?230/14.

Viel entscheidender sind jedoch die Ausführungen des EuGH zu dem Merkmal „im Rahmen der Tätigkeiten“. Dies spielt etwa auch in dem derzeitigen Verfahren der Hamburger Datenschutzbehörde gegen Facebook zu Klarnamenpflicht eine entscheidende Rolle. Es geht hierbei insbesondere um die Frage, ob dieses Merkmal im Sinne des Urteils des EuGH in Google Spain (C-131/12) sehr weit auszulegen ist oder aber doch bei Sachverhalten (wie auch hier vorliegend), die sich allein innerhalb der EU abspielen, ein anderer Maßstab anzulegen und die Begründung des EuGH aus seinem Google Spain Urteil nicht einfach übertragbar ist. Für eine solche Übertragung der Auslegung des Begriffs hatten sich etwa auch die europäischen Datenschutzbeauftragten in einer Stellungnahme (pdf; hierzu mein Beitrag) ausgesprochen.

Der EuGH verweist für seine Auslegung des Begriffs „im Rahmen der Tätigkeiten“ allein auf sein Urteil in der Sache Welt Immo. Ein Verweis auf Google Spain erfolgt gerade nicht. Der EuGH lehnt es vorliegend also ab, auf die Weite Auslegung des Begriffs zu verweisen. Eine Übertragung der Begründung aus Google Spain erscheint daher meines Erachtens nach diesem Urteil des EuGH nicht mehr möglich. Der EuGH führt aus, dass es grundsätzlich Sache des nationalen Gerichts sei, im Lichte dieser Rechtsprechung (wobei er sich auch hier auf den Verweis allein auf seine Weltimmo Entscheidung bezieht) zu bestimmen, ob Amazon EU die fragliche Verarbeitung personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung vornimmt, die sich in Luxemburg oder in einem anderen Mitgliedstaat befindet. Das Gericht verweist diesbezüglich auch auf die Möglichkeit, dass deutsches Datenschutzrecht auf die Prüfung der Klauseln in den AGB Anwendung finden könnte, wenn sich die Niederlassung nämlich in Deutschland befindet.

Verbandsklagerecht bei Datenschutzverstößen – Verfassungsrechtliche Bedenken

In der aktuellen Ausgabe der Zeitschrift WRP haben der Kollege Dr. Jaschinski und ich einen Fachbeitrag zu dem „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ veröffentlicht. Der Beitrag ist auf der Webseite der WRP im Volltext abrufbar (auch als PDF).

In dem Beitrag geben wir einen Überblick zu den Neuerungen des Gesetzes, natürlich mit einem besonderen Schwerpunkt auf der Verbandsklagebefugnis bei Datenschutzrechtsverletzungen (§ 2 Abs. 2 S. 1 Nr. 11 UKlaG). Verfassungsrechtliche Bedenken haben wir vor allem bei der Beteiligung der Datenschutzaufsichtsbehörden in zivilrechtlichen Verfahren vor den Landgerichten. Viel Freude beim Lesen.

Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

Heute hat das Landgericht Düsseldorf in einem Verfahren zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID ein Urteil (pdf) zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt (Az 12 O 151/15). Im Ergebnis wurde die Klage der Verbraucherschützer in weiten Teilen für begründet erachtet. Nachfolgend möchte ich kurz auf einige Aspekte des Urteils, teilweise auch kritisch, eingehen.

Das Unternehmen hatte auf seiner Webseite das bekannte Social Plugin eingebunden und hierauf in seiner Datenschutzerklärung, die über einen Link erreichbar war, hingewiesen. Zudem wurde dort darauf aufmerksam gemacht, dass Daten an Facebook übertragen werden und auf die Datenschutzerklärung von Facebook hingewiesen.

Personenbezug von IP-Adressen

Im Tatbestand führt das Gericht zunächst aus, dass es vorliegend um sog. Dynamische IP-Adressen geht. Nur dem jeweiligen Telekommunikationsunternehmen als Anbieter des Internetzugangs sei es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war.  Zudem geht das Gericht davon aus, dass beim Aufruf einer Webseite, die den Like-Button integriert hat, mindestens die IP-Adresse und der String des vom Webseitenbesucher genutzten Browsers an Facebook übermittelt werden.

Wichtig ist die Feststellung des Gerichts, dass diese Daten nicht vom Server des Webseitenbetreibers, sondern von dem Endgerät des Nutzers direkt an Facebook übermittelt werden.

In seinen Urteilsgründen geht das Gericht weiter davon aus, dass es Facebook zumindest mit Blick auf registrierte Mitglieder (seien diese ein- oder ausgeloggt, wenn sie die Webseite von Fashion ID besuchen) möglich sei, dieser IP-Adresse und anderen Informationen ein Mitglied zuzuordnen. Für Facebook handelt es sich also bei jenen Informationen, die über den Like-Button erhoben werden, um personenbezogene Daten.

Doch macht das Gericht hier nicht Halt, sondern geht, der sog. absoluten Theorie des Personenbezugs folgend, davon aus, dass damit die IP-Adresse auch für Fashion ID ein personenbezogenes Datum darstelle. Die Übermittlung der IP-Adresse stelle daher eine Übermittlung personenbezogener Daten dar.

Interessanterweise spricht das Gericht hier ausdrücklich von einer „Übermittlung“, obwohl zuvor festgestellt wurde, dass diese Übermittlung nicht, zumindest nicht technisch, durch den Webseitenbetreiber vorgenommen wird, sondern direkt zwischen dem Nutzer und Facebook erfolgt.

Webseitenbetreiber als datenschutzrechtlich verantwortliche Stelle

Danach stellt das Gericht fest, dass Fashion ID eine verantwortliche Stelle nach § 3 Abs. 7 BDSG ist. Es fragt sich jedoch: für was? Bzw. für welche konkreten Datenerhebungs-, – verarbeitungs- oder –nutzungsvorgänge?

Nach Auffassung des Gerichts ist der Begriff der „verantwortlichen Stelle“ weit auszulegen und der Webseitenbetreiber „beschafft“ personenbezogene Daten. Damit liegt eine datenschutzrechtlich relevante Erhebung (§ 3 Abs. 3 BDSG) vor. Diese Feststellung ist meines Erachtens von besonderer Relevanz für das weitere Studium des Urteils. Unter anderem auch deshalb, da später auf andere Verarbeitungsphasen abgestellt wird, was doch irritiert. Und zum anderen deshalb, weil ich eine datenschutzrechtliche Einwilligung konkret auf einen bestimmten Umgang mit personenbezogenen Daten beschränken muss. Unternehmen sollten also als Ergebnis zumindest wissen müssen, für welche Phase der Erhebung, Verarbeitung oder Nutzung sie, nach Auffassung des LG Düsseldorf, verantwortlich sind.

Schon im nächsten Satz führt das Gericht darüberhinausgehend aus, dass das Unternehmen durch die Einbindung des Plugins die „Datenerhebung und spätere Verwendung der Daten“ durch Facebook ermögliche.

Zwei Kritikpunkte: Die „Ermöglichung“ einer Datenverarbeitung ist nicht von der Definition der verantwortlichen Stelle (§ 3 Abs. 7 BDGS) umfasst. Zudem scheint nun hier doch eine Datenerhebung durch Facebook im Raum zu stehen, obwohl zuvor die Erhebung durch den Webseitenbetreiber festgestellt wurde.

In einem weiteren Satz geht das Gericht dann davon aus, dass Fashion ID durch das Einbinden des Plugins an der unmittelbar „an der Erhebung durch Facebook“ mitwirke. Geht das Gericht also nun von einer alleinigen Verantwortlichkeit für die Erhebung, einer Mitverantwortlichkeit oder aber einer Verantwortlichkeit von Facebook aus? Dies wird leider nicht deutlich.

Das LG Düsseldorf urteilt weiter, dass die „Erhebung der Daten zu deren Verwendung“ im „eigenen Tätigkeits- und Haftungsbereich“ des Unternehmens stattfinde. Auch hieraus ergibt sich meines Erachtens nicht klar, für welchen Vorgang das Unternehmen nun datenschutzrechtlich verantwortlich sein soll.

Dass Fashion ID keinen Einfluss auf die Verarbeitung der Daten hat, lässt das LG Düsseldorf nicht als Gegenargument gelten. Denn, so das Gericht, der „Vorgang“ wird durch die Einbindung des Codes in die eigene Webseite initiiert.

Rechtsgrundlage der … ja, was eigentlich?

Im nächsten Prüfungspunkt geht das Gericht auf die Frage der Zulässigkeit der „Datenübermittlung“ ein. Spätestens hier stellt sich mir die Frage, wie man nun auf die Phase der Übermittlung kommt, denn zuvor wurde noch über die „Erhebung“ diskutiert. Zudem möchte man fragen: welche Übermittlung? Vom Nutzer an Facebook?

Aus Sicht des LG Düsseldorf ist diese Datenübermittlung auf jeden Fall nicht auf § 15 TMG zu stützen. Denn die Datenübermittlung ist für den Betrieb der Webseite nicht erforderlich.

Danach prüft das Gericht eine „Datennutzung“, die nicht auf eine Einwilligung der Besucher gestützt werden könne. Hierunter scheint das LG Düsseldorf die Erhebung der Daten durch Fashion ID zu fassen.

Das Gericht erläutert nachfolgend die Anforderungen an eine Einwilligung nach § 13 Abs. 2 TMG. Nach Auffassung des Gerichts ist u.a. das Setzen eines Häckchens in einer Checkbox erforderlich, damit die Einwilligung eindeutig erteilt wird. Andere Gerichte, wie etwa das OLG Frankfurt am Main (hierzu mein Beitrag), sehen dies anders und lassen etwa für Cookies zu Werbezwecken ein opt-out als Form der Einwilligung ausreichen.

Ein Kommentar hierzu: wenn die Verbraucherzentrale NRW und das LG Düsseldorf für die Einbindung des normalen Like-Buttons tatsächlich eine Einwilligung nach § 13 Abs. 2 TMG fordern, frage ich mich, wie Webseitenbetreiber die übrigen Voraussetzungen der Norm erfüllen sollen. Gerade die Protokollierung und die jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer werden wohl überhaupt nur möglich sein, wenn der Webseitenbetreiber noch mehr personenbezogene Daten sammelt und verarbeitet. Wie könnte die Erteilung der Einwilligung sonst protokollieren oder diese zum Abruf für jeden Nutzer bereithalten? Am Ende müsste der Webseitenbetreiber also eventuell, obwohl er daran gar kein Interesse hat, erst recht personenbezogene Daten erheben und verarbeiten.

Zudem stellt sich mir aus praktischer Sicht die einfache Frage, welchen konkreten Inhalt die hier geforderte Einwilligung denn nun haben soll. Bezieht sie sich auf die Erhebung, die Verarbeitung oder Nutzung? Bezieht sie sich auf diese Verarbeitungsvorgänge durch den Webseitenbetreiber oder durch Facebook? Wie kann ein Unternehmen eine konkret formulierte und auf bestimmt Zwecke festgelegte Einwilligungserklärung formulieren, wenn es selbst nicht weiß, für welche Zwecke die Daten bei Facebook genutzt werden?

Hinweise in der Datenschutzerklärung nicht ausreichend

Wie beschrieben hielt Fashion ID eine Datenschutzerklärung mit Informationen zum Like-Button vor. So, wie dies wohl derzeit auf deutschsprachigen Webseiten der Usus sein wird.

Dies reicht dem Gericht jedoch nicht aus. Denn der Hinweise auf die (ich gehe einmal davon aus) Erhebung erfolge so nicht „zu Beginn“ des Verarbeitungsvorgangs.

Fazit

In vielerlei Hinsicht lässt einen die Begründung des Gerichts zumindest innehalten oder die Stirn runzeln. Möchten Webseitenbetreiber die durch das Gericht aufgestellten Voraussetzungen erfüllen und dabei nicht auf Lösungen wie die 2-Klick-Lösung zurückgreifen, bleibt wohl nur ein Pop-Up oder Banner, welcher eine Einwilligungserklärung (mit opt-in check box) enthält. Die Einwilligung muss dann auch protokolliert und zum Abruf bereitgehalten werden. Man darf gespannt sein, ob dieses Urteil nicht eventuell in die nächste Instanz getragen wird.

Bundesregierung: Generelles Tracking-Verbot im Internet kaum umsetzbar

Am 25. Februar 2016 hat der Petitionsausschuss des Deutschen Bundestages seine Begründung (pdf) zu der Petition 58055 – „Internet – Generelles Verbot von Tracking im Internet“ vom 19.03.2015 beschlossen.

Mit der Petition wird ein generelles „Tracking“-Verbot gefordert, unter anderem mit der Begründung, dass „Tracking“ im Zeitalter von Big Data ein unregierbares Risiko für jeden Verbraucher darstelle und im Internet in der Regel ohne die Kenntnis der Verbraucher jeder Aufruf einer Website an Drittunternehmen übertragen werde.

Der Petitionsausschuss hat auch die Bundesregierung zur Stellungnahme zu der Petition aufgefordert, die in die Begründung des Ausschusses mit eingeflossen ist.

Dem Grunde nach scheint der Ausschuss die Bedenken des Petenten zu teilen. So stellt er fest,

dass Unternehmen im Internet mit Hilfe von Cookies und anderen Verfolgungstechniken in die Privatsphäre der Nutzer eingreifen.

Jedoch versucht der Ausschuss, auch unter Bezugnahme auf die Stellungnahme der Bundesregierung, eine vermittelnde und praxisorientierte Position einzunehmen.

Denn Cookies können etwa auch bestimmten Funktionalitäten (z. B. dem Anzeigen von Produkten im „Warenkorb“) sowie der Benutzerfreundlichkeit dienen. Weiter führt der Ausschuss aus, dass sich Verbraucher derzeit nur ansatzweise gegen „Tracking“ mit restriktiven Einstellungen des verwendeten Browsers zum Datenschutz und der Installation von einschlägigen Add-ons schützen können.

Der Petitionsausschuss stellt nachfolgend fest,

dass ein generelles Verbot von „Tracking“ auf unterschiedlichen Ebenen nach Einschätzung der Bundesregierung nur mit sehr hohem Aufwand umsetzbar wäre.

Gerade die praktische Durchsetzung eines solchen Verbotes wäre nur schwer vorstellbar, da etwa Hersteller entsprechender Browser oft nicht in Deutschland oder der EU ansässig sind.

Für den Ausschuss ist es daher umso wichtiger, dass eine umfassende und verständliche Information der Internet-Nutzer über die eingesetzten Techniken und ihre Folgen erfolgt, insbesondere welche Daten von wem erhoben und an wen diese übertragen werden.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein „opt-out“-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben“ ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

USA: Strafzahlung wegen falschen Informationen zur Datenverschlüsselung

Die amerikanische Federal Trade Commission (FTC) hat sich mit dem Anbieter einer Verwaltungssoftware für Zahnärzte auf eine Strafzahlung von 250.000 Dollar geeinigt. In einer Pressemitteilung vom 5. Januar 2016 gab die FTC bekannt, dass der Softwareanbieter sein Produkt, mit dem unter anderem auch Patientendaten verarbeitet werden können, für mehrere Jahre mit der Eigenschaft bewarb (u.a. in Broschüren und Newslettern), dem Industriestandard entsprechende Verschlüsselungsverfahren einzusetzen. Zudem sollten hierdurch gesetzliche Anforderungen an den Umgang mit Patientendaten des Health Insurance Portability and Accountability Act (HIPAA) eingehalten werden können.

Nach Auffassung der FTC war dem Softwareanbieter jedoch bekannt, dass in der Software ein weniger komplexes Verschlüsselungsverfahren als jenes des Advanced Encryption Standard (AES) zum Einsatz komme, welches jedoch durch das National Institute of Standards and Technology (NIST) (einer Bundesbehörde, die sich um Standardisierungsprozesse kümmert) gerade als Industriestandard empfohlen werde.

Auch in Deutschland verlangt etwa § 9 BDSG in Verbindung mit der Anlage zu § 9 Satz 1 BDSG, dass bei der Verarbeitung personenbezogener Daten Maßnahmen zu treffen sind, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, die Daten technisch etwa gegen unbefugten Zugriff oder eine unbefugte Weitergabe zu schützen. Das BDSG führt als Beispiel einer solchen Maßnahme insbesondere die Verwendung von dem Stand der Technik entsprechender Verschlüsselungsverfahren an. Speziell im Bereich des Internets oder von Apps findet sich eine ähnliche Regelung in § 13 Abs. 7 TMG. Zu beachten ist jedoch, dass diese Maßnahmen jeweils unter einer Verhältnismäßigkeitsvorbehalt stehen und die Verschlüsselung nicht gesetzlich verpflichtend (etwa als Minimumvoraussetzung) vorgeschrieben wird (hierzu auch ein Beitrag von Adrian Schneider).

Unabhängig davon könnte ein Verhalten, wie jenes des Softwareanbieters in den USA, in Deutschland durch Mitbewerber angegriffen werden, wenn der Anbieter Verbraucher (Zahnärzte würden im Rahmen ihrer beruflichen Tätigkeit nicht hierunter fallen) bewusst über eine besondere Verschlüsselungseigenschaft seines Produkts täuscht. Nach § 5 Abs. 1 S. 2 Nr. 1 UWG liegt z.B. eine sog. irreführende geschäftliche Handlung vor, wenn sie unwahre Angaben über die wesentlichen Merkmale der Ware wie Vorteile, Zwecktauglichkeit oder Beschaffenheit enthält. Dies würde eine unzulässige unlautere geschäftliche Handlung darstellen (§ 3 Abs. 1 UWG), die etwa mit einem Unterlassungsanspruch nach § 8 Abs. 1 UWG angegriffen werden kann.

Dem Grunde nach ist das Ergebnis ja einleuchtend: man darf nicht mit falschen Produkteigenschaften werben. Interessant ist in diesem Zusammenhang eher die Frage danach, was denn dem „Stand der Technik“ entsprechende Verschlüsselungsverfahren sind, mit denen ein Produkt beispielsweise beworben wird. Etwa allein AES? Sind in der Praxis bewährte Verfahren ausreichend? Diesbezüglich bestünde im Streitfall sicherlich Argumentationsspielraum.

Abmahnung wegen Like-Button? Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht

Heute vermeldete die Verbraucherzentrale NRW, dass sie insgesamt 6 Unternehmen wegen der Verwendung des Like-Buttons von Facebook und angeblicher datenschutzrechtlicher Verstöße der Webseitenbetreiber gegen das Telemediengesetz (TMG) abgemahnt habe. Gegen Peek & Cloppenburg (Landgericht Düsseldorf) und Payback (Landgericht München) habe man inzwischen Klage eingereicht.

Was wird bemängelt?
Das wird aus den öffentlichen Informationen nicht völlig deutlich. Die Verbraucherzentrale stört sich daran, dass „schon allein durch die Einbindung des Like-Buttons“ Facebook „automatisch bei jedem bloßen Aufruf dieser Seiten“ mitlesen würde. „Darüber werden Besucher jedoch vorher weder ausdrücklich informiert noch können sie der Datenweitergabe widersprechen“.

Nach Ansicht der Verbraucherschützer stellt das Verhalten der Webseitenbetreiber

unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz

dar. Weiter führt die Verbraucherzentrale aus, dass ein „bloßer Hinweis der Anbieter in ihren Datenschutzbestimmungen, dass eine solche Weiterleitung der Daten an Facebook erfolgt“ nicht genüge. Auch den Hinweis in Datenschutzerklärungen, dass der Webseitenbetreiber „keinen Einfluss auf den Umfang der Daten hat“, sei nicht ausreichend. Die Verbraucherschützer fordern: „Notwendig ist eine echte Aufklärung über die Datensammlung und –verwertung“.

Im Kern scheint den Verbraucherschützern also die Übertragung von Daten an Facebook und Datenverarbeitungsvorgänge zu missfallen, die im Verantwortungsbereich des sozialen Netzwerkbetreibers liegen könnten. Da diesbezügliche Gerichtsverfahren in Schleswig-Holstein durch die Datenschutzbehörde jedoch bisher recht erfolglos verliefen (vgl. die Mitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zu den Beschlüssen des OVG Schleswig aus den Jahren 2013), versucht man in NRW nun wohl die Unternehmen anzugehen, die Social Plugins einsetzen.

Ich möchte hier nicht in die tiefere juristische Bewertung einsteigen. Das Thema war bereits vor ca. 4 Jahren aktuell (vgl. etwa den Blogbeitrag von Thomas Stadler, u.a. mit einem Verweis auf meinen Aufsatz in der Zeitschrift Computer und Recht). Es geht vor allem um die Frage der datenschutzrechtlichen Verantwortlichkeit der Webseitenbetreiber und die Pflicht, Informationen über eingebundene Dienste Dritter zu erteilen, obwohl man als Webseitenbetreiber für die Datenverarbeitung über diese Dienste nicht verantwortlich ist. Auch die Frage nach einer „Störerhaftung“ im Datenschutzrecht könnte insofern auftauchen (hierzu mein Aufsatz in der Kommunikation und Recht aus 2014). Diese Thematik ist derzeit unter anderem Gegenstand eines gerichtlichen Verfahrens zum Einsatz von Facebook Fanpages zwischen dem ULD und der Wirtschaftsakademie Schleswig-Holstein GmbH (vgl. die Pressemitteilung des ULD), welches derzeit vor dem Bundesverwaltungsgericht anhängig ist.

Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht
In gewisser Weise ironisch wenn nicht gar humoristische mutet jedoch folgende Tatsache an: Die Verbraucherzentrale NRW verstößt selbst gegen datenschutzrechtliche Vorgaben. Und zwar gegen eben jene Pflichten, deren Umsetzung von den Unternehmen verlangt wird.

Auf ihrer Webseite bewerben die Verbraucherschützer im Zusammenhang mit den Abmahnungen ihr Jugendportal „checked4you“. Die Verbraucherzentrale hierzu: „Einen Favoriten setzen in Sachen Datenschutz sollten sich Internetnutzer derweil bei Webseiten, die es so wie die Verbraucherzentrale NRW machen“.

Und was findet man auf dieser Webseite?

Zum einen das Analysetool Piwik. Wie dieses kostenlose Statistiktool datenschutzrechtlich konform, zumindest aus Sicht des ULD, einzusetzen ist, hat die Datenschutzbehörde 2011 in einem Gutachten dargestellt (PDF). Vor allem geht das ULD davon aus, dass auch bei einer eingeschalteten Anonymisierungsfunktion im Ergebnis nur Pseudonyme für eine statistische Auswertung erstellt werden. Dann gilt § 15 Abs. 3 TMG. Danach dürfen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellet werden, sofern der Nutzer dem nicht widerspricht. Eine Aussage in dem Gutachten hierzu:

Der Einsatz von Reichweitenanalysediensten ohne Widerspruchsmöglichkeit stellt einen Verstoß gegen § 15 Abs. 3 TMG dar. Der Einsatz des Analysedienstes ohne die angebotene Widerpruchsmöglichkeit ist datenschutzrechtlich unzulässig.

Man ahnt, was nun folgt. Die Webseite „checked4you“ der Verbrauchzentrale NRW weist zwar in einem kleinen Abschnitt „Datenschutzhinweise“ auf den Einsatz von Piwik hin. Auf die nach dem TMG einzuräumende Widerspruchsmöglichkeit (sei es nun per Browser-Plugin oder etwa durch einen Opt-out Cookie) wird zwar in Textform hingewiesen: “können Sie die Analyse durch das Statistiktool auf der folgenden Seite blockieren“. Jedoch gibt es keinen Link zu einer „folgenden Seite“, kein Hinweis auf ein Opt-out Cookie oder ähnliches. Also, der derzeitige Einsatz von Piwik auf der Webseite der Verbrauchzentrale wäre (zumindest nach Ansicht der Datenschutzbehörde aus Schleswig-Holstein) datenschutzrechtlich unzulässig. Der von der Verbraucherzentrale NRW erhobene Vorwurf könnte also genauso zurückgespielt werden: „unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz“.

Und ein weiteres Schmankerl. Bei näherem Hinsehen stellt sich heraus, dass „checked4you“ drei Cookies setzt.

cookie NRW

Wozu werden diese Cookies genutzt? Welche Informationen sind in diesen Cookies gespeichert? Etwa IP-Adressen? Oder werden zumindest Cookie-IDs erzeugt, um einen Besucher wiederzuerkennen? Mindestens in diesen beiden Fällen müssten Informationen zum Einsatz der Cookies gegeben werden. Hierzu fehlt in den Datenschutzhinweisen der Verbraucherzentrale aber jegliche Angabe. Interessant ist auch, dass ein Cookie nicht nur für eine Sitzung gesetzt wird, sondern für über 1 Jahr.

blog cookie lang

Wozu? Keine Informationen.

Fazit
Was möchte ich mit diesem Beitrag zeigen? Datenschutzrechtlich absolut konformes Handeln ist in der heutigen Zeit mit schnellen technologischen Entwicklungen, neuen Features für Webseiten und Analysediensten nur schwer möglich. Sowohl für Unternehmen, als auch für Verbraucherschützer. Eine gerichtliche Klärung der Frage des datenschutzkonformen Einsatzes von social Plugins wäre aus praktischer Sicht indes sicherlich zu begrüßen.

Update vom 22. Mai 2015:
Die Verbraucherzentrale NRW hat schnell reagiert und in den Datenschutzhinweisen auf der Webseite „checked4you“ nun einen Link eingefügt, der Nutzer auf eine Webseite führt, auf der man seinen Widerspruch zur Analyse durch Piwik erklären kann.

Gesetzentwurf: Grüne wollen Schufa und Co. strenger regulieren

Die Fraktion BÜNDNIS 90/DIE GRÜNEN hat im Bundestag ein Gesetz zur „Verbesserung der Transparenz und der Bedingungen beim Scoring (Scoringänderungsgesetz, PDF)“ eingebracht. Mit diesem Gesetz zur Änderung verschiedener Vorgaben des Bundesdatenschutzgesetzes (BDSG) möchte die Fraktion laut der Gesetzesbegründung

„insbesondere die Transparenz des statistischen Analyseverfahrens beim Scoring“

grundlegend verbessern werden.

Die Ausgangslage
Der Gesetzesentwurf referenziert unter anderem auf eine Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der GP Forschungsgruppe aus dem Jahre 2014. Beeinflusst ist der Gesetzesentwurf freilich auch durch ein Urteil des Bundesgerichtshofs (BGH) aus dem Jahre 2014 (VI ZR 156/13), in dem es um den Auskunftsanspruch von Prsonen gegenüber der SCHUFA ging und das Gericht entschied, dass

die sogenannte Scoreformel, also die abstrakte Methode der Scorewert berechnung

der Auskunft suchenden Person nicht mitzuteilen ist. Ebenso wenig erstrecke sich der Auskunftsanspruch auf solche Inhalte der Scoreformel, die als Geschäftsgeheimnisse schützenswert sind.

Der Gesetzesentwurf
Nachfolgend möchte ich knapp auf einige Änderungsvorschlage des Gesetzesentwurfs eingehen.

Es soll eine generelle Pflicht der Vorabkontrolle beim Angebot von Scoringverfahren eingefügt werden (§ 4d Abs. 5 S. 2 BDSG-E). Diese Pflicht soll, anders als die bestehende Vorabkontrollverpflichtung, unabhängig davon bestehen, ob eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Zuständig für die Vorabkontrollen ist innerhalb von Unternehmen, wie auch jetzt, der Datenschutzbeauftragte.

Die Informationspflichten im Rahmen der Meldepflicht (und damit des Verfahrensverzeichnisses) sollen um einen neuen Punkt erweitert werden (§ 4e Abs. 1 Nr. 10 BDSG-E). Nach der Nr. 10 sollen im Fall des Scoring „eine Beschreibung des wissenschaftlich anerkannten mathematischstatistischen Verfahrens sowie Angaben zu § 28b Nummer 4“ erfolgen. Nach dem Gesetzesentwurf liegt der Zweck der Meldung darin, die eine Prüfung der Zulässigkeit der beabsichtigten Verfahren zu ermöglichen. Nicht erwähnt wird in dem Entwurf jedoch eine Anpassung von § 4g Abs. 2 S. 2 BDSG, wonach der Datenschutzbeauftragte nur die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar machen muss. Informationen zum anerkannten mathematischstatistischen Verfahren sollen also nicht im öffentlichen Verfahrensverzeichnis erwähnt werden.

Natürlich soll auch der § 28b BDSG geändert werden, der derzeit die Zulässigkeit von Scoring-Verfahren regelt. § 28 BDSG gibt vor, was zur Berechnung des Wahrscheinlichkeitswertes genutzt und nicht genutzt werden darf. Nach dem neuen § 28b Abs. 1 Nr. 4 BDSG-E darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn

für die Berechnung des Wahrscheinlichkeitswerts zum Zwecke der Bonität keine Anschriftendaten, Daten aus sozialen Netzwerken, Daten aus Internetforen, Angaben zur Staatsangehörigkeit, zum Geschlecht, zu einer Behinderung oder Daten nach § 3 Absatz 9 genutzt werden.

Explizit soll also eine Verwendung von besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) ebenso ausgeschlossen werden, wie ein Rückgriff auf Informationen aus „sozialen Netzwerken“ und „Internetforen“. Der Praktiker wird sich fragen: Was ist damit gemeint? Die Begründung definiert „Soziale Netzwerke“ und “Internetforen“ als

Plattformen, auf denen z.B. Kontakte, Meinungen, Interessen und das Einkaufsverhalten der betroffenen Personen mitgeteilt werden.

Plattformen auf denen Meinungen und Interessen mitgeteilt werden. Man möchte sich gar nicht ausmalen, was man (bei einer weiten Auslegung) alles hierunter fassen könnte.

Zudem soll eine neue § 28b Abs. 1 Nr. 5 BDSG-E eingefügt werden. Die Verwendung des Wahrscheinlichkeitswertes wird davon abhängig gemacht, dass

der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung seiner Daten schriftlich unterrichtet worden ist. Die Unterrichtung ist zu dokumentieren. Soll die Unterrichtung zusammen mit anderen Erklärungen erfolgen, ist sie besonders hervorzuheben.

Dies bedeutet: bevor überhaupt irgendeine Datenverarbeitung hinsichtlich des Wahrscheinlichkeitswertes beginnen kann, muss der Betroffene schriftlich(!) informiert werden. Dies soll auch innerhalb von AGB möglich sein, jedoch dann deutlich hervorgehoben. Hier grüßt meines Erachtens der Medienbruch. Denn in dem bisher geltenden § 28b Nr. 4 BDSG ist auch allein von „Unterrichtung“ die Rede. Schriftlich muss diese nicht erfolgen.

Zudem soll ein neuer § 28b Abs. 2 BDSG-E vorgeben, dass das wissenschaftlich anerkannte mathematisch-statistische Verfahren muss dem Stand der Wissenschaft und Forschung entsprechen muss. Wie genau dieser Stand aussieht, dies überlässt der Gesetzesentwurf der Bundesregierung, die hierzu durch eine Rechtsverordnung mit Zustimmung des Bundesrats Vorgaben machen kann.

Auch die Weite des Auskunftsanspruchs soll vergrößert werden. Nach dem neuen § 34 Abs. 2 S. 1 Nr. 2 BDSG-E ist Auskunft zu erteilen, über

die verwendeten Einzeldaten, die Gewichtung der verwendeten Daten, die verwendeten Vergleichsgruppen und die Zuordnung der betroffenen Personen zu den Vergleichsgruppen, die in die Berechnung des Wahrscheinlichkeitswerts einfließen.

Ein solcher Umfang des Auskunftsanspruches ist derzeit nicht vorgesehen.
U
nd noch eine weitere wichtige Änderung soll im Rahmen des Auskunftsanspruchs geregelt werden. § 34 Abs. 2 S. 2 BDSG-E sieht vor, dass der Zugang zu diesen Informationen nicht

unter Berufung auf das Betriebs- und Geschäftsgeheimnis abgelehnt werden“

kann. Diese Änderung referenziert direkt auf das oben erwähnte Urteil des BGH, mit dem die Verfasser des Gesetzentwurfs nicht einverstanden sind und folglich eine gesetzgeberische Anpassung vorschlagen. Interessant ist folgende Klarstellung in der Gesetzesbegründung:

Verlangt werden kann nicht die Offenlegung … des zugrunde liegenden Algorithmus.

Ein berechtigtes Geheimhaltungsinteresse der Unternehmen erkennt der Gesetzesentwurf nicht an. Auch ein unzulässiger Eingriff in das Grundrecht auf Berufsfreiheit in Art. 12 Abs. 1 GG der Scoring-Verwender lehnt die Gesetzesbegründung ab.

Der Gesetzesentwurf sieht noch weitere Änderungen vor. Unter anderem soll eine jährliche Auskunftspflicht (!) der Auskunfteien eingeführt werden.

Zudem soll eine Pflicht für die zuständigen Landesdatenschutzbehörden eingeführt werden, Unternehmen, die Scoring-Verfahren verwenden, mindestens einmal jährlich zu kontrollieren (§ 38 Abs. 1 S. 2 BDSG-E). Hierbei handelt es sich um eine „Sollpflichtprüfung“. Dies bedeutet, dass die Aufsichtsbehörden grundsätzlich prüfen müssen, es sei denn es liegen besondere Umstände vor. Bei der derzeitigen Ausstattung (finanziell als auch personell) der Behörden, darf man sich doch die Frage stellen, inwieweit eine solche Pflicht eventuell weite Teile einer Behörde binden und damit lähmen könnte. Denn eine Prüfung sollte wenn sie denn schon durchgeführt wird doch umfassend erfolgen und nicht etwa als eine Art „Feigenblatt“ dienen. Dies erfordert dann aber auch einigen Einsatz an Personal und Zeit.

Fazit
Es bleibt abzuwarten, inwieweit der vorliegende Gesetzesentwurf im Gesetzgebungsverfahren noch Änderungen erfahren wird und ob sich die Opposition hier gegenüber der Koalition durchsetzen kann. Zudem muss freilich auf die sich bereits abzeichnende Einigung bei der Datenschutz-Grundverordnung hingewiesen werden, die dann Gesetzesnormen schafft, die den hier entstehenden Regelungen grundsätzlich vorgehen.