Internet-Law

Onlinerecht und Bürgerrechte 2.0

15.5.18

Sind Dashcams jetzt erlaubt?

Der Bundesgerichtshof hat heute sein Urteil (Az.: VI ZR 233/17) zu der Frage verkündet, ob Aufnahmen von Dashcams, die das Verkehrsverhalten anderer Verkehrsteilnehmer erfassen, im Unfallprozess verwertbar sind.

Der BGH erläutert zunächst, dass zumindest das permanente Filmen des Verkehrsgeschehens mittels einer Dashcam gegen datenschutzrechtliche Verschriften verstößt. Aus diesem Umstand, so der BGH, folgt aber nicht ohne weiteres ein Beweisverwertungsverbot. Im Falle von Aufnahmen, die mit einer Dashcam gemacht wurden, würde die notwendige Interessen- und Güterabwägung zu dem Ergebnis führen, dass solche Aufnahmen im Zivilprozess als Beweismittel verwertet werden könnten.

Diese Entscheidung ist nicht wirklich überraschend, denn die deutsche Rechtsprechung ist mit Beweisverwertungsverboten eher zurückhaltend.

Zunächst ist allerdings festzuhalten, dass der BGH über eine prozessuale Frage entschieden hat. Aus dem Urteil lässt sich keinesfalls die Schlussfolgerung ziehen, der Einsatz von Dashcams sei damit legal. Ganz im Gegenteil. Der BGH betont ausdrücklich, dass der Dashcameinsatz einen Verstoß gegen das Datenschutzrecht darstellt. Das Beweismittel ist also rechtswidrig hergestellt und erlangt und darf dennoch im Zivilprozess verwendet werden.

Zumindest die Pressemitteilung des BGH lässt aber keine sachgerechte Abwägung des Senats erkennen. Die in der Pressemitteilung genanten Abwägungskriterien, die die Zulässigkeit der Beweisverwertung begründen sollen, erscheinen nicht stichhaltig. Den (möglichen) Verstoß gegen die Persönlichkeitsrechte des gefilmten Verkehrsteilnehmers erachtet der BGH offensichtlich schon deshalb als unerheblich, weil der Schutz des allgemeinen Persönlichkeitsrechts vor allem durch die Regelungen des Datenschutzrechts gewährleistet sei, die nicht auf ein Beweisverwertungsverbot abzielten.

Das Datenschutzrecht schützt aber nicht vordergründig das allgemeine Persönlichkeitsrecht, sondern spezifischer das Recht auf informationelle Selbstbestimmung. Wenn die Begründung des BGH zutreffend wäre, müsste sie selbst bei einem Eingriff in die Private- oder gar Intimsphäre greifen. Es ließe sich dann nicht mehr nachvollziehbar erklären, warum das heimliche Mithören oder Aufzeichnen von Telefongesprächen zu einem Beweisverwertungsverbot führen sollte. Der Schutz des Persönlichkeitsrechts erfolgt eben abgestuft, während des Datenschutzrecht ein solches abgestuftes Schutzkonzept nicht kennt. Datenschutzrecht und Persönlichkeitsrecht sind unterschiedliche Rechtsmaterien.

Die Frage ist auch, ob der Schutz, den die datenschutzrechtlichen Regelungen begründen sollen, nicht ausgehöhlt wird, wenn man Dashcam-Aufnahmen nicht mit einem Beweisverwertungsverbot belegt. Denn das wird nicht wenige Autofahrer, die schon bislang Dashcams einsetzen, ermutigen, dies auch weiterhin zu tun. Möglicherweise erfordert also die Notwendigkeit, Datenschutz effektiv durchzusetzen, in solchen Fällen auch ein prozessuales Beweisverwertungsverbot. Zumindest ist dieser Aspekt abwägungsrelevant, wird vom BGH aber nicht in die Abwägung eingestellt.

Auch wenn man für eine abschließende Bewertung den Volltext des Urteils abwarten muss, erscheint die Entscheidung auf den ersten Blick jedenfalls nicht zwingend zu sein.

posted by Stadler at 22:01  

12.3.18

Schränkt die Datenschutzgrundverordnung Meinungsäußerungen im Internet ein?

Das Spannungsverhältnis zwischen Datenschutz und Meinungsfreiheit ist kein neues Thema, aber es wird durch die Datenschutzgrundverordnung (DSGVO), die ab 25.05.2018 gilt, noch deutlich verschärft. Den Grundkonflikt hatte ich bereits hier und hier erläutert. Im Netz finden sich lesenswerte Beiträge u.a. von Winfried Veil, von Jan Mönikes und aktuell für den Bereich der Bildnisveröffentlichung von Benjamin Horvath zu diesem Themenkreis.

Die Meinungsfreiheit umfasst insbesondere das Recht, sich kritisch zu bestimmten Personen und ihrem Verhalten und Wirken zu äußern. Speziell die DSGVO postuliert das Verbot, konkrete Personen im Internet überhaupt namentlich zu nennen. Das mag für den juristischen Laien absurd klingen, entspricht aber der Rechtslage, die in Deutschland ab dem 25.05.2018 gelten wird.

Die DSGVO gilt nach ihrem Art. 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Eine Ausnahme macht die Verordnung lediglich für den persönlichen oder familiären Bereich.

Wer sich also online zu einer namentlich benannten Person äußert, fällt grundsätzlich in den Anwendungsbereich der DSGVO. Diese Datenverarbeitung ist auch nicht nach Art. 6 DSGVO rechtmäßig, so dass sie an sich unzulässig ist. Dem europäischen Gesetzgeber war das Spannungsverhältnis zur Meinungsfreiheit freilich bewusst, denn er hat in Art. 85 DSGVO eine Öffnungsklausel aufgenommen, die lautet:

Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.

In Deutschland wird die Neufassung des BDSG allerdings diesbezüglich keine Regelungen enthalten, weil der Bund davon ausgeht, dass derartige Regelungen der Gesetzgebungskompetenz der Länder unterliegen. In den Bundesländern wird für den Bereich von Presse und Rundfunk derzeit an entsprechenden gesetzlichen Regelungen gearbeitet, die aber kaum zum 25.05.2018 in Kraft sein werden. Darüber hinaus werden diese Regelungen vermutlich lediglich den journalistischen Bereich abdecken, aber nicht Meinungsäußerungen von Privatpersonen im Netz.

Wenn man also die DSGVO schematisch anwendet, wird die namentliche Nennung einer beliebigen Person zum Beispiel auf Twitter oder in einem Blog ein Vorgang sein, den die DSGVO verbietet. Andererseits ist dies etwas, was die im Grundgesetz, der Menschenrechtskonvention und der Grundrechtecharta der EU garantierte Meinungsfreiheit explizit erlaubt. Aus grundrechtlicher Sicht hat eine ergebnisoffene Abwägung der Grundrechte auf Meinungsfreiheit und des Persönlichkeitsrechts der genannten, betroffenen Person zu erfolgen. Einen schematischen Vorrang wie nach der DSGVO darf es nach der Wertung der Grundrechte nicht geben. Die DSGVO verfolgt also in diesem Punkt ein Regelungskonzept, das nicht mit grundrechtlichen Wertungen vereinbar ist. Dies ist zunächst eine Fehlleistung des europäischen Gesetzgebers. Auch wenn sich der Bürger nicht unmittelbar auf die Grundrechtecharta der EU berufen kann, so bindet sie doch die Organe und Einrichtungen der EU. Der europäische Gesetzgeber (Parlament, Kommission, Rat) hat mit Schaffung der DSGVO, soweit sie einen schematischen Vorrang des Datenschutzes vor der Meinungsfreiheit postuliert, gegen die Grundrechtecharta verstoßen. Daran ändert auch die Öffnungsklausel des Art. 85 DSGVO nichts, denn der europäische Gesetzgeber kann dadurch nicht gewährleisten, dass sämtliche Mitgliedsstaaten pünktlich und in ausreichendem Umfang von dieser Öffnungsklausel auch Gebrauch machen. Demgegenüber wäre es problemlos möglich gewesen, meinungs- und presserelevante Sachverhalte von der DSGVO auszunehmen und dieses Spannungsverhältnis von vornherein zu beseitigen.

Aber auch der deutsche Gesetzgeber wird es, allem Anschein nach, nicht gewährleisten, dass bis zum 25.05.2018 gesetzliche Regelungen in Kraft sind, die entsprechende Ausnahmen in ausreichendem Maße vorsehen.

Die spannende Frage ist, wie die Gerichte mit dieser Situation umgehen werden. Bei der schematischen Anwendung der DSGVO können sie es in meinungsrelevanten Fällen im Grunde nicht belassen. Denn die Gerichte sind unmittelbar an die Grundrechte gebunden. Die deutschen Gerichte müssen nicht nur das Grundgesetz, sondern auch die Grundrechtecharta der EU beachten, die auch für die Mitgliedstaaten bei der Durchführung des Rechts der Union gilt. Wenn die nationalen Gerichte also die DSGVO anwenden, müsse sie hierbei also (auch) die Grundrechtecharta berücksichtigen. Für den EuGH gilt dies ohnehin.

Vor diesem Hintergrund ist nicht davon auszugehen, dass die Gerichte bei Sachverhalten, die offensichtlich vom Grundrecht auf Meinungsfreiheit gedeckt sind, einen Verstoß gegen die DSGVO annehmen werden. Denn sie würden damit als Teil der öffentlichen Gewalt selbst gegen das Grundrecht auf Meinungsfreiheit verstoßen. Es ist damit naheliegend, dass ein nationales Gericht entweder eine grundrechtskonforme Auslegung wählt oder an den EuGH vorlegt.

Das alles ändert aber nichts daran, dass der datenschutzrechtliche Tunnelblick des europäischen Gesetzgebers eine formelle Rechtslage zugelassen hat, die aus rechtsstaatlicher Sicht schwer erträglich ist. Der deutsche Gesetzgeber hat von seiner Möglichkeit Abhilfe zu schaffen, bislang ebenfalls nicht Gebrauch gemacht.

posted by Stadler at 23:26  

10.11.17

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht

Das Kammergericht hat ein Urteil des Landgerichts Berlin bestätigt, das es Facebook (Irland) untersagt, Spiele so zu präsentieren, dass der Nutzer mit dem Betätigen des Buttons „Spiel spielen“ die Erklärung abgibt, einer Übermittlung personenbezogener Daten an den (externen) Betreiber des Spiels zuzustimmen. Unwirksam ist nach Auffassung des Gerichts zudem eine Klausel, die es dem Betreiber des Spiels gestattet, im Namen des Nutzers auf Facebook zu posten. (Urteil des KG vom 22.09.2017, Az.: 5 U 155/14). Das Gericht geht davon aus, dass eine hinreichende Einwilligung des Nutzers in die Datenverarbeitung nicht erteilt wird.

Das Interessante an dem Urteil ist vor allem, dass das Kammergericht die Anwendung deutschen Datenschutzrechts bejaht, weil es Facebook Deutschland als eine Niederlassung von Facebook Ireland betrachtet. Das genügt, um die Datenverarbeitung als im Rahmen der Tätigkeit der Zweigniederlassung anzusehen, selbst dann, wenn die Daten nicht von der deutschen Niederlassung verarbeitet werden.

posted by Stadler at 08:29  

26.6.17

Nutzung von WhatsApp illegal und müssen Eltern die Nutzung des Messengers unterbinden?

Eine Entscheidung eines hessischen Familiengerichts (Beschluss des AG Bad Hersfeld vom 15.05.2017, Az.: F 120/17 EASO) verursacht gerade mächtig Aufruhr. Denn das AG Bad Hersfeld geht davon aus, dass jeder Nutzer von WhatsApp durch die Nutzung des Messengers laufend Rechtsverletzungen begeht und, dass Eltern, deren minderjährige Kinder WhatsApp nutzen, verpflichtet sind, bei allen Kontakten, die im Adressbuch des Smartphones des Kindes gespeichert sind, schriftliche Zustimmungserklärungen für die Datenübermittlung an den Dienst einzuholen. Werden diese Erklärungen dem Gericht nicht vorgelegt, müssen die Eltern die App vom Smartphone des Kindes löschen. Hintergrund der Auseinandersetzung ist folgende Klausel in den Nutzungsbedingungen von WhatsApp:

Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.

Vorausschicken möchte ich, dass ich kein Familienrechtler bin und deshalb nicht zu spezifisch familienrechtlichen Aspekten Stellung nehmen kann.

Der Ausgangspunkt, dass das Auslesen der Kontaktdaten eines Nutzers durch WhatsApp (Facebook) illegal ist, dürfte kaum zu beanstanden sein. Die entsprechende Regelung in den Nutzungsbedingungen des Dienstes ist sowohl als überraschende Klausel (§ 305 c BGB) als auch wegen Verstoß gegen wesentliche Grundgedanken des Gesetzes (§ 307 Abs. 2 BGB) unwirksam. Unabhängig davon, verschafft sich WhatsApp Daten Dritten ohne ausreichende rechtliche Grundlage.

Schon schwieriger wird es allerdings bei der Frage, ob der Nutzer von WhatsApp eine Rechtsverletzung begeht. Das Gericht lehnt die Anwendung des BDSG ausdrücklich ab, bejaht dann aber eine Verletzung des allgemeinen Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung, worin es zivilrechtlich eine unerlaubte Handlung i.S.v. § 823 BGB sieht. An dieser Stelle thematisiert das Gericht allerdings nicht, ob es den Nutzer hier als Täter oder Teilnehmer ansieht. Dieser Aspekt ist schon deshalb von Bedeutung, weil es eine fahrlässige Beihilfe nicht gibt. Nachdem das Gericht in seiner Entscheidung mehrfach von Fahrlässigkeit spricht, deutet dies daraufhin, dass es von einer Täterschaft des Nutzers ausgeht. Dies ist allerdings wegen der passiven Rolle des Nutzers bedenklich. Die Tathandlung des Auslesen von Daten wird durch WhatsApp begangen. Nach überkommener Dogmatik käme ergänzend auch eine Haftung als Störer für die fremde Rechtsverletzung in Betracht. Hierfür müsste man dann aber eine Verletzung zumutbarer Prüfpflichten durch das Kind annehmen. Die Annahme des Gerichts, das Kind würde eine tatbestandsmäßige und rechtswidrige unerlaubte Handlung begehen, kann man also durchaus in Zweifel ziehen. Andererseits wären möglicherweise, entgegen der Ansicht des Gerichts, datenschutzrechtliche Grundsätze anzuwenden gewesen.

Die weitere Annahme des Gerichts, es bestünde die Gefahr, dass das Kind durch andere Personen abgemahnt und zur Unterlassung aufgefordert wird, erscheint nach der bisherigen Rechtspraxis zumindest noch fernliegend. Derartige Abmahnungen sind mir bislang jedenfalls nicht bekannt.

Ob die sehr weitreichenden Anordnungen des Gerichts familienrechtlich statthaft sind, möchte ich nicht beurteilen.

posted by Stadler at 22:26  

19.10.16

EuGH entscheidet zum Personenbezug von IP-Adressen

Zu der Frage, ob und unter welchen Voraussetzungen IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts darstellen, existiert seit vielen Jahren eine kontroverse Diskussion in der deutschen Rechtswissenschaft. Den Streitstand habe ich in einem älteren Blogbeitrag dargestellt.

Vor zwei Jahren hat der BGH dem EuGH die Frage vorgelegt, ob eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter – also der Zugangsprovider – über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Zudem wollte der BGH vom EuGH wissen, ob eine Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG gegen die Datenschutzrichtlinie verstößt.

In seiner Entscheidung vom 19.10.2016 (Az.: C-582/14) schließt sich der EuGH in der Tendenz der Theorie vom relativen Personenbezug an und führt aus, dass eine IP-Adresse nicht stets als personenbezogenes Datum im Sinne der Datenschutzrichtlinie zu betrachten ist, sondern nur dann, wenn der speichernde Diensteanbieter über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Solche rechtlichen Mittel gibt es allerdings nicht allgemein, sondern nur aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Man wird vor diesem Hintergrund davon auszugehen haben, dass dynamische IP-Adressen, entgegen der beispielsweise von den Datenschutzaufsichtsbehörden vertretenen Auffassung, jedenfalls nicht generell als personenbezogen zu betrachten sind. Der EuGH geht zwar in seiner Entscheidung davon aus, dass das deutsche Recht entsprechende Mittel vorsehen würde, betont aber, dass das vorlegende Gerich, diese Frage zu prüfen habe.

Des weiteren hält der EuGH die deutsche Vorschrift des § 15 Abs. 1 TMG für europarechtswidrig, weil auch der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, zu einer Speicherung personenbezogener Daten berechtigen könne. Der speichernde Anbieter kann nach Ansicht des EuGH ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihm allgemein zugänglich gemachten Websites über die konkrete Nutzung hinaus zu gewährleisten. Zu diesem Zweck darf er personenbezogene Daten, auch IP-Adressen, speichern.

posted by Stadler at 12:32  

10.3.16

Sind Social Plugins rechtswidrig?

Das Landgericht Düsseldorf hat in einem brandaktuellen Urteil (Urteil vom 09.03.2016, Az.: 12 O 151/15) einem Unternehmen untersagt, auf seiner Website das „Social Plugin „Gefällt mir“ von Facebook zu integrieren“, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären. Zusätzlich wurde dem Unternehmer auch verboten, das Plugin zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.

Wenn sich diese Rechtsprechung durchsetzt, kann man den Like Button und das Page Plugin von Facebook in Deutschland wohl nicht mehr rechtskonform in die eigene Website einbauen. Denn eine konkrete Information des Nutzers darüber, wie und zu welchem Zweck Facebook die Daten verarbeitet, ist schon deshalb nicht möglich, weil  kein Webseitenbetreiber mit Sicherheit sagen kann, was Facebook mit den Daten macht. Einen Ausweg bietet hier allenfalls die sog. Zwei-Klick-Lösung, wobei sich auch hier die Frage stellt, ob eine informierte Einwilligung des Nutzers in Betracht kommt, nachdem der Umfang der Datenverarbeitung durch Facebook am Ende immer unklar bleibt.

Das Landgericht Düsseldorf schließt sich in seinem Urteil zunächst der Meinung vom absoluten Personenbezug an und geht davon aus, dass (dynamische) IP-Adressen stets als personenbezogene Daten zu bewerten sind.

Anschließend qualifiziert das Landgericht Düsseldorf den Webseitenbetreiber als verantwortliche Stelle im Sinne des Datenschutzrechts. Dies scheint mir der zentrale, diskutable Aspekt der Entscheidung zu sein. Letztlich stützt das Landgericht seine Auffassung primär darauf, dass der Webseitenbetreiber die Daten, die Facebook dann verarbeitet, beschafft. Das Landgericht stellt damit eine Kausalitätsbetrachtung an, die in der Tendenz auf eine datenschutzrechtliche Störerhaftung hinausläuft.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng am Wortlaut auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation nicht eindeutig. Die entscheidende Frage lautet hier also, ob allein Facebook verantwortliche Stelle im Sinne des Datenschutzrechts ist oder ob daneben (auch) der Webseitenbetreiber datenschutzrechtlich verantwortlich ist. Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Das Urteil ist noch nicht rechtskräftig.

Thomas Schwenke hat FAQs zum Urteil zusammengestellt.

posted by Stadler at 11:01  

23.2.16

Verbandsklagerecht bei Datenschutzverstößen ab dem 24.02.2016

Das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts vom 17.02.2016 ist heute im Bundesgesetzblatt verkündet worden und tritt morgen, am 24.02.2016, in Kraft.

Durch die Neuregelung werden u.a. die Unterlassungsansprüche bei verbraucherschutzgesetzwidrigen Praktiken erweitert um datenschutzrechtliche Verstöße, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Verbraucherschutz- und Wettbewerbsverbände können solche Datenschutzverstöße von nun an im Rahmen ihrer Verbandsklagebefugnis nach dem UklaG abmahnen und gerichtlich geltend machen.

posted by Stadler at 14:23  

8.2.16

Fehlende Datenschutzerklärung als abmahnfähiger Wettbewerbsverstoß

Das Landgericht Köln hat mit Beschluss vom 26.11.2015 (Az.: 33 O 230/15) eine einstweilige Verfügung erlassen, die dem Antragsgegner u.a. aufgibt, es zu unterlassen,

auf den Internetseiten der Domain www.anonym.de keine Datenschutzerklärung i.S.d. § 13 TMG zu platzieren.

Eine Begründung enthält der Beschluss nicht, weshalb wir nicht genau wissen, warum das LG Köln eine Datenschutzerklärung im konkreten Fall für erforderlich hält.

Die konkrete Tenorierung halte ich gleichwohl bereits deshalb für problematisch, weil die Vorschrift des § 13 TMG keineswegs zu einer Datenschutzerklärung verpflichtet, sondern dazu, den Nutzer zu Beginn des Nutzungsvorgangs

über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten.

Entsprechend hätte meines Erachtens auch tenoriert werden müssen. Voraussetzung ist allerdings stets die Feststellung des Gerichts, dass überhaupt personenbezogene Daten erhoben und verarbeitet werden.

In Zukunft wird man also möglicherweise neben dem Klassiker des fehlenden oder unvollständigen Impressums auch das Fehlen einer korrekten und vollständigen Datenschutzerklärung als Einfallstor für wettbewerbsrechtliche Abmahnungen auf dem Schirm haben müssen.

posted by Stadler at 11:52  

2.11.15

Bundesmeldegesetz in Kraft getreten

Das neue Bundemeldegesetz (BMG) ist gestern in Kraft getreten. Es bringt einige Neuerungen im Meldewesen und zum Teil in datenschutzrechtlicher Hinsicht auch Verbesserungen.

Bei Melderegisterauskünften zu gewerblichen Zwecken, muss jetzt der Zweck der Anfrage angegeben werden (§ 44 Abs. 1 S. 2 BMG) und die Auskunft darf dann ausschließlich zu diesem Zweck zu verwenden (§ 47 Abs. 1 BMG).

Melderegisterauskünfte für Zwecke der Werbung und des Adresshandels sind nur noch mit Einwilligung der betroffenen Person möglich. Der Anfragende muss erklären, dass er die Daten nicht für Zwecke der Werbung oder des Adresshandels verwenden wird (§ 45 Abs. 3 Nr. 2 BMG).

Polizeiehörden, Geheimdienste, Staatsanwaltschaften und Gerichte können Meldedaten ohne weitere Voraussetzungen abrufen und erhalten länderübergreifend einen Onlinezugriff auf die Meldedaten.

Neu eingeführt wurde eine Mitwirkungspflicht des Wohnungsgebers (i.d.R. der Vermieter), der der meldepflichtigen Person den Einzug oder den Auszug schriftlich oder elektronisch zu bestätigen hat (§ 19 BMG).

posted by Stadler at 14:27  

6.10.15

Safe-Harbor-Abkommen ist ungültig: Schrems siegt beim EuGH

Der EuGH hat mit Urteil vom heutigen Tag (Az.: C – 362/14), das sog. Safe-Harbor-Abkommen für ungültig erklärt. Das ist durchaus als Knaller zu bewerten.

Zwischen der EU-Kommission und den USA besteht ein datenschutzrechtliches Abkommen, das sich Safe Harbor nennt und, das es US-Unternehmen ermöglichen soll, Daten von EU-Bürgern in Übereinstimmung mit europäischem Recht zu verarbeiten. Dieses Abkommen ist oft kritisiert worden, weil amerikanische Unternehmen sich damit ohne effektive Kontrolle quasi selbst als datenschutzkonform einstufen können. Der Generalanwalt am Europäischen Gerichtshof hatte das Abkommen bereits als ungültig qualifiziert. Der EuGH ist diesem Votum jetzt gefolgt und führt als Schlussfolgerung seiner Entscheidung folgendes aus:

Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

posted by Stadler at 14:06  
Nächste Seite »