Internet-Law

Letzte Woche ging die Meldung durch die Presse, dass das Unternehmen Easycash 50 Millionen EC-Kartendaten von Kunden gespeichert hat, die bei einem Vertragspartner des Unternehmens per Karte und Unterschrift, also im Lastschriftverfahren, einkaufen. Betroffen davon sind u.a. Kunden der Märkte der REWE-Gruppe  (REWE, Penny, Toom und Promarkt). REWE hat als Reaktion auf die Berichterstattung angekündigt, auf die Nutzung der Easycash-Daten zu verzichten, wie es in einem Bericht des Tagesspiegel vom 24.09.2010 heißt.

Am vergangenen Samstag habe ich deshalb mal den Praxistest gemacht und bei Penny mit EC-Karte bezahlt. Und siehe da, auf dem Beleg, auf dem man als Kunde unterschreibt und von dem man kein Duplikat erhält, ist tatsächlich eine kleingedruckte Einwilligungserklärung nach dem BDSG untergebracht. Dass diese Erklärung in dieser Form nicht wirksam ist, hatte ich bereits erläutert. REWE hat aber seine Ankündigung diese Daten nicht mehr zu erheben, bislang offenbar auch nicht wahrgemacht. REWE kann sich auch nicht ohne weiteres auf EasyCash herausreden, denn REWE selbst ist zunächst die speichernde Stelle, die die Daten erhebt.

Gewisse Politiker – hallo Frau Aigner – die sich vehement darüber aufgeregt haben, dass Google Häuserfassaden fotografiert, sind erstaunlich ruhig, wenn es wie hier um wirklich schwerwiegende Datenschutzverstöße geht. Vielleicht sollte man auch darüber reden.

Medienberichten zufolge hat das Unternehmen Easycash die Bankverbindungen sowie Betrag, Zeitpunkt und Ort von Transaktionen von ca. 50 Millionen deutscher EC-Karten-Kunden zentral gespeichert. Wer bei einem Vertragspartner von Easycash, also z.B. einem Supermarkt, per EC-Karte und Unterschrift bezahlt, wird auf diese Weise erfasst.

Offenbar steht auf der Rückseite des Zahlungsbelegs, auf dem man bei der Bezahlung unterschreibt, kleingedruckt, dass man in die Speicherung und Verarbeitung der Daten durch Easycash einwilligt. Esaycash vertritt zudem die Ansicht, es würde sich nicht um personenbezogene Daten handeln.

Diese Praxis stellt meines Erachtens einen evidenten Verstoß gegen das Bundesdatenschutzgesetz dar, über den man juristisch schwerlich diskutieren kann.

Eine wirksame Einwilligung des Betroffenen liegt nicht vor. Denn eine solche würde voraussetzen, dass  der Kunde auf den Zweck der Datenerhebung hingewiesen worden ist. Wenn die Einwilligung, wie hier, zusammen mit anderen Erklärungen erteilt werden soll, ist die Einwilligung außerdem besonders hervorzuheben (§ 4a Abs. 1 S. 4 BDSG). Dadurch soll genau das verhindert werden, was hier praktiziert worden ist, nämlich, dass einem Betroffenen eine Einwilligung untergeschoben wird.

Die Ansicht des Unternehmens, es würde sich nicht um personenbezogene Daten handeln, ist angesichts der Tatsache, dass diese Datenbank gerade zu dem Zweck angelegt wurde, die Bonität von Kunden prüfen zu können, nicht mehr als ein schlechter Witz. Selbst wenn Easycash den Namen des Karteninhabers nicht kennt bzw. speichert, was man allerdings auch bezweifeln muss, sondern nur eine Bankverbindung (Kontonummer, Bankleitzahl) speichert, so ist der Zweck der Speicherung dennoch der, Empfehlungen für Vertragsunternehmen im Hinblick auf Zahlungsfähigkeit und Kreditwürdigkeit der Karteninhaber zu erstellen und diese Empfehlungen zu übermitteln. Und spätestens damit wird der Personenbezug hergestellt und der Übermittlungstatbestand des BDSG erfüllt.

Die Datenschutzbehörden müssten deshalb konsequenterweise die Löschung der gesamten Datenbank von Easycash fordern. Alles andere wäre nicht datenschutzkonform.

Eine Gerichtsentscheidung aus der Schweiz lässt aufhorchen. Das Schweizerische Bundesgericht hält die Erfassung von IP-Adressen durch das Anti-Piracy-Unternehmen LogiStep zur Verfolgung von Urheberrechtsverletzungen für datenschutzrechtswidrig.

Diese Frage stellt sich sicherlich auch in Deutschland, zumal es hierzulande ebenfalls keine explizite gesetzliche Gestattungsnorm für diese Art der Datenerhebung gibt. Man wird allerdings die Ansicht vertreten können, dass  eine Gestattung nach § 28 BDSG gegeben ist, weil diese Daten in P2P-Netzwerken allgemein zugänglich sind, nachdem jeder der sich am Filesharing beteiligt, allen anderen Teilnehmern seine IP-Daten bekannt gibt. Zudem könnte die Datenerhebung zur Wahrung berechtigter Interessen der Rechteinhaber erforderlich sein. Eine Abwägung mit den Interessen des Betroffenen hat aber auch im Rahmen des § 28 BDSG zu erfolgen, weshalb man die Argumentation der schweizer Richter aufgreifen kann, wonach das Interesse der Internetnutzer am Schutz ihrer Persönlichkeitsrechte dem Interesse der Rechteinhaber auf zivilrechtliche Verfolgung der Rechtsverletzung vorgeht.

Zur geplanten Regelung des Beschäftigtendatenschutzes liegt ein neuer Referentenentwurf vom 11.08.2010 vor. Die MMR hat die drei bisherigen Entwürfe in einer Synopse gegenübergestellt. Die Kritik an den bisherigen Entwürfen ist zum Teil berücksichtigt worden.

In § 32 Abs. 6 S. 3 BDSG soll eine eigene Regelung für Daten aus sozialen Netzwerken eingefügt werden, die lautet:

Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke, die der Darstellung der beruflichen Qualifikation dienen.

Das bedeutet, dass Arbeitgeber Daten aus sozialen Netzwerken wie Facebook grundsätzlich nicht erheben dürfen. Anders ist dies bei Daten aus Netzwerken wie z.B. Xing, bei denen es gerade darum geht, seine berufliche Qualifikation darzustellen.

(via Beck-Blog)

Die Diskussion um Google Street View nimmt mehr und mehr groteske Züge an. Bestes Beispiel dafür ist der Leitartikel des ansonsten von mir hochgeschätzten Heribert Prantl in der SZ. Prantl meint, es würde einen Volksaufstand geben, wenn der Staat so etwas machen würde wie Google mit Street View.

Dieser Annahme liegt bereits im Ansatz ein Denkfehler zugrunde. Der Staat würde so etwas nämlich nicht machen, weil es für ihn nicht von Wert ist, alle paar Jahre die Fassaden von Häusern zu fotografieren.

Vergleiche mit der Vorratsdatenspeicherung, Video-Überwachung oder Online-Durchsuchung, wie Prantl sie anstellt, sind schlicht unsachlich. Denn Street View ermöglicht keinerlei Überwachung und ist im Vergleich zu den genannten Instrumentarien ziemlich harmlos. Wenn man den Kommentar von Prantl weiterliest, dann erkennt man, dass auch er nicht so genau weiß, was gegen Street View tatsächlich einzuwenden ist. Aber, es geht nach der Ansicht Prantls offenbar auch nicht nur um Street View, sondern irgendwie darum, dass Google allgemein zu viele Daten sammelt und zu viel Macht hat.

Das mag sein, taugt aber nicht als Einwand gegen Street View. Denn in diesem Fall fotografiert Google den öffentlichen Raum und stellt diese Bilder online. Vielleicht wäre die öffentliche Meinung und Diskussion auch eine andere, wenn der gemeine Bildleser verstanden hätte, dass es Street View nicht ermöglicht, ihn in seinem Garten zu beobachten. Aber die Bildzeitung und die Politik marschieren wieder einmal im Gleichschritt, wenn es um gezielte Desinformation der Bürger geht.

Sicherheitspolitiker, die ansonsten gerne den öffentlichen Raum mit Kameras vollplflastern würden, regen sich plötzlich öffentlichkeitswirksam über Street View auf. Das erweckt den Anschein einer Ablenkungsdebatte.

Während die Bundesregierung schon Anzeichen von Vernunft erkennen lässt und signalisiert, den vom Bundesrat bereits beschlossenen Gesetzesentwurf für eine gesetzliche Regelung von Street View im BDSG nicht mittragen zu wollen, leistet die Bundestagsfraktion der GRÜNEN in diesem Punkt gerade ihren netzpolitischen Offenbarungseid. Denn sie unterstützt diesen verfehlten Gesetzesentwurf mit Vehemenz. Auch das stellt eine Form von politischem Opportunismus dar.

Um es positiv zu formulieren: Street View ist ein innovatives Vorhaben, gegen das keine vernünftigen Einwände bestehen.

Der Bundesrat hat einem Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG), der die Einführung einer Reglung vorsieht, die speziell auf den Dienst Street View zugeschnitten ist, bereits beschlossen. Die Zustimmung des Bundestages steht allerdings noch aus. Nächste Woche wird sich das Bundeskabinett mit dem Gesetzesvorhaben befassen. Im Vorfeld hört man aus dem Innenministerium, dass man es wohl für sinnvoller hält, das BDSG generell auf seine Reformbedürftigkeit hin zu prüfen, anstatt auf Einzelphänomene zu reagieren. Das klingt nach einer Stimme der Vernunft inmitten des vor allem von Hamburg ausgehenden Aktionsmuses.

Dass Google den Start des Street View Dienstes noch für dieses Jahr angekündigt hat, erregt die Gemüter. Deshalb gibt es auch den Google Street View Widerspruch und den Google-Street-View-Widerspruch-Widerspruch.

Klingt mir nach einer Neuauflage von Ilse vs. Sascha, was es schon vor zwei Wochen im Spiegel gab. Wer die beiden neuen Protagonisten der (netz-)politischen Comedy nur mäßig witzig findet, kann sich auch dem wesentlich spaßigeren Gesetzesentwurf „lex Google“ zuwenden. Für schlechte Unterhaltung ist also weiterhin gesorgt im Sommerloch.

Vielleicht reden wir anschließend dann mal über die relevanten Themen des Datenschutzrechts.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat laut einer eigenen Pressemitteilung vom 26.07.2010 zu einem drastischen Mittel gegriffen und dem Hausärzteverband Schleswig-Holstein mittels Verfügung, unter Androhung eines Zwangsgeldes in Höhe von 30.000 Euro, untersagt, von Hausärzten stammende Patientendaten weiterzugeben oder diese selbst zu nutzen.

Begründet hat der Datenschutzbeauftragte des Landes Schleswig-Holstein seine Entscheidung damit, dass die Hausärzte wegen des zwischen der AOK Schleswig-Holstein, dem Hausärtzteverband und Dienstleistern abgeschlossenen Vertrages, keine ausreichende Möglichkeit der Kontrolle über die Weitergabe von Patientendaten durch ihr Praxissystem mehr hätten. Damit fehle es auch an den gesetzlichen Voraussetzungen einer Auftragsdatenverarbeitung, weil die Ärzte die Kontrolle über ihre Patientendaten als Auftraggeber nicht mehr wahrnehmen könnten.

An dem Rahmenvertrag, der das Verhältnis zwischen dem Hausärzteverband, Dienstleistern und den einzelnen Ärzten festlegt, sind die Ärzte unmittelbar überhaupt nicht beteiligt. Der Vertrag zwingt die Ärzte dennoch dazu, auf ihren Praxissystemen Software gemäß den Vorgaben des Hausärzteverbandes zu installieren. Den Ärzten wird hierbei sogar vertraglich verboten, Kenntnis von wesentlichen Elementen der Software zu nehmen, so dass sie nach Ansicht des ULD keine vollständige Kontrolle mehr über die Daten auf ihrem System haben. Damit verletzten die Ärzte nach Ansicht des Datenschutzbeauftragten nicht nur ihre Datenschutzpflichten, sondern auch ihre ärztliche Schweigepflicht.

Nach § 11 BDSG bleibt bei einer sog. Auftragsdatenverabreitung der Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich und hat durch eine Reihe technischer und organisatorischer Maßnahmen sicherzustellen, dass die Vorgaben des Datenschutzrechts gewahrt werden und auch ein entsprechender schriftlicher Auftrag erteilt wird. Diese gesetzlichen Pflichten verletzten der Hausärzteverband und die teilnehmenden Ärzte nach Auffassung des ULD.

Die sofortige Vollziehung dieser Verfügung wurde angeordnet, d.h. der Verband muss die Verfügung umgehend beachten, selbst wenn er dagegen Rechtsbehelfe ergreift.

Einige juristische Blogbeiträge, z.B. der Kollegen Thomas Helbing und Sebastian Kraska, gehen davon aus, dass Social Plugins von Facebook bei entsprechender Ausgestaltung datenschutzkonform eingesetzt werden können. Demgegenüber hat die Plattform „hamburg.de“ den „Like-Button“ wegen datenschutzrechtlicher Bedenken wieder aus seinem Angebot entfernt.

Hintergrund der Diskussion ist der Umstand, dass Facebook seit einigen Monaten die Möglichkeit bietet, den Button „gefällt mir“ auch auf externen Websites außerhalb der Facebookplattform einzubinden.

Die in diesem Zusammenhang häufig aufgeworfene Frage, ob deutsches Datenschutzrecht für einen Anbieter gilt, der seinen Sitz in den USA hat, stellt sich in dieser Form nicht. Wer einmal einen Blick in das Impressum des deutschen Facebooks geworfen hat, wird bemerkt haben, dass Anbieter die „Facebook Ireland Limited“ ist und nicht die amerikanische Mutter. Facebook unterliegt also in jedem Fall irischem Datenschutzrecht und damit auch der Datenschutzrichtlinie der EU. Nach § 2a Abs. 1 TMG und der E-Commerce-Richtlinie kommt man wohl sogar zu einer Anwendung des deutschen Rechts, weil der Schwerpunkt des deutschen Facebookangebots eben Deutschland ist.

Das ändert freilich nichts daran, dass Facebook Daten in die USA übermittelt, weil sich dort die technische Infrastruktur von Facebook befindet.

Der Webseitenbetreiber muss zunächst die Vorgaben von § 13 Abs. 1 TMG beachten. Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU zu informieren. Diese Information, die zu Beginn der Nutzung erteilt werden muss, kann meines Erachtens nicht allein dadurch geschehen, dass man irgendwo auf der Website eine sog. Datenschutzerklärung bereithält. Die Information müsste nach dem Gesetzeswortlaut vielmehr unmittelbar bei Aufruf der Site bzw. beim Anklicken des Like-Buttons erteilt werden.Das ist allerdings wenig praktikabel.

Darüber hinaus ist die entscheidende Frage aber die, ob für die stattfindende Verarbeitung personenbezogener Daten ein gesetzlicher Erlaubnistatbestand gegeben ist. Denn § 12 Abs. 1 TMG enthält ein sog. Verbot mit Erlaubnisvorbehalt. Eine Erhebung und Verwendung von personenbezogenen Daten ist danach nur zulässig, wenn ein Gesetz dies zulässt oder der Nutzer eingewilligt hat. Nachdem eine Einwilligung des Nutzers nicht vorliegt, kommt praktisch nur noch § 15 TMG als Gestattungstatbestand in Betracht. Diese Vorschrift verlangt, dass die Datenverwendung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen. Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe „gefällt mir“ Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.

Das zusätzliche Problem besteht darin, dass § 15 Abs. 1 TMG nur das Verhältnis des Betreibers der Website zu dem betreffenden Nutzer regelt. Das Verhältnis des Nutzers zu Facebook, an das ja die Daten übermittelt wird, erfasst die Vorschrift überhaupt nicht.  Die Norm ist auf diese Konstellation schlicht nicht zugeschnitten.  Eine Lösung könnte man hier allenfalls noch über die Regelungen der Auftragsdatenverarbeitung (§ 11 BDSG) suchen. Wer allerdings die diesbezüglichen, sehr hohen gesetzlichen Anforderungen kennt, der weiß, dass auch hieraus keine ausreichende Gestattung abzuleiten ist.

Die Verwendung des „Like-Buttons“ von Facebook auf einer Website ist daher nach derzeitiger Rechtslage datenschutzwidrig. Dieses nicht sonderlich befriedigende Ergebnis zeigt sehr deutlich, dass das deutsche und europäische Datenschutzrecht auf derartige Sachverhalte bislang überhaupt nicht vorbereitet ist.

Update vom 29.08.2011:
Die aktuelle Diskussion, die vom ULD losgetreten wurde, hat mich veranlasst diesen Beitrag zu ergänzen. Denn aus Sicht des Betreibers der Website, gibt es zwei Umstände, die Zweifel daran begründen, ob er tatsächlich der datenschutzrechtlich Verantwortliche ist. Deshalb möchte ich auch meine ursprüngliche Aussage, wonach der Betreiber der Website gegen das Datenschutzrecht verstößt, nicht aufrecht erhalten, sondern vielmehr zur Diskussion stellen.

Entscheidend ist meines Erachtens, ob der Webseitenbetreiber, der den Facebook Like-Button und mithin von Facebook stammenden Code in seine Website einbindet, damit zu einer verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG wird und ob es sich aus seiner Sicht um personenbezogene Daten handelt.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten – die aus Sicht von Facebook auch personenbezogen sind – mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation aber nicht. Darauf kann man nun mit einer erweiterten Auslegung reagieren, wie es das ULD tut oder man kann sich auf die Position zurückziehen, dass verantwortliche Stelle alleine Facebook ist und mithin auch nur Facebook Adressat von behördlichen Maßnahmen sein kann.

Dass die Datenschutzbestimmungen von Apple nicht mit deutschem und europäischem Datenschutzrecht vereinbar sind, habe ich vor einigen Wochen dargelegt.

Dass aber auch die Nutzer von MacOS regelmäßig ihre Standortdaten an Apple senden, ist ein zusätzliches Gustostück.  Während sich der gesetzgeberische Aktionismus auf Google Street View konzentriert, wird Apple offenbar noch wenig behelligt. Seine eigenen Kunden unbewusst Daten übermitteln zu lassen, ist allerdings ein Vorgang, der nicht weniger kritisch ist.