Internet-Law

Der Datenschutzbeauftragte des Landes Schleswig-Holstein,Thilo Weichert, wirft der Schufa (Schutzgemeinschaft für allgemeine Kreditsicherung) einen Verstoß gegen das Bundesdatenschutzgesetz vor. Die Schufa hat auf Weicherts Aufforderung, ihm das Bonitäts-Scoring der Schufa detailiert zu erläutern, keine Stellungnahme abgegeben.

Hintergrund ist der, dass die neu eingeführte Vorschrift des § 28b BDSG genaue gesetzliche Anforderungen an die Zulässigkeit eines Scoring-Verfahrens stellt. Ergänzend sieht § 34 Abs. 2 BDSG vor, dass ein Betroffener – also jeder zu dem die Schufa Daten speichert – Auskunft verlangen kann über:

1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte,
2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und
3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form.

Auch wenn die Ansicht vertreten wird, die Datenschutzbehörden hätten keinen Anspruch auf Auskunft gegen die Schufa – was schon deshalb abwegig ist, weil sie sonst ihre Aufgabe, die Einhaltung von § 28b BDSG zu überwachen nicht gewährleisten könnten – so hat zumindest der Betroffene Bürger einen Auskunftsanspruch gegenüber der Schufa.

Der bereits vorliegende Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes aus dem Hause des Bundesinnenministers ist vielfach kritisiert worden. Denn der Entwurf würde fragwürdige Praktiken der Arbeitnehmerüberwachung, die nach geltendem Recht unzulässig sind, legalisieren und damit aus Sicht von Arbeitnehmern eine deutliche Verschlechterung bewirken.

Demgegenüber hat Justizministerin Leutheusser-Schnarrenberger nach Zeitungsberichten nunmehr eine deutliche Verbesserung des Datensschutzes für Arbeitnehmer angekündigt. Die Berichterstattung stützt sich offenbar auf Aussagen der Ministerin auf einer Podiumsdiskussion der Akademie für Politische Bildung in Tutzing.

Die Ankündigung von Leutheusser-Schnarrenberger würde freilich eine komplette Überarbeitung des vorliegenden Gesetzesentwurfs notwendig machen. Offenbar besteht in dieser Frage also wieder einmal ein erheblicher Dissens zwischen dem Innen- und dem Justiz-Ressort.

Der Bundesrat hat dem Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes zugestimmt, der die Einfügung von § 30b BDSG vorsieht. In der Sache handelt es sich um eine „lex Google“, die Regelungen für die umstrittene Datenerhebung durch den Dienst „Street View“ enthält. Der Wortlaut der Vorschrift:

§ 30b Geschäftsmäßige Datenerhebung und -speicherung im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann

(1) Das geschäftsmäßige Erheben und Speichern von personenbezogenen Daten im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Gebäuden, Straßen, Plätzen sowie vergleichbaren Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann ist zulässig, wenn

1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung oder Speicherung hat, oder

2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung oder Speicherung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt.

An einer allgemeinen Zugänglichkeit im Sinne von Satz 1 Nummer 2 fehlt es insbesondere bei Bildaufnahmen, die unter Entfernung oder Überwindung blickschützender Vorrichtungen erfolgen.

(2) Vor der Übermittlung von Aufnahmen natürlicher Personen sowie amtlicher Kennzeichen von Fahrzeugen, die im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Gebäuden, Straßen, Plätzen sowie vergleichbaren Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann erhoben und gespeichert werden, ist sicherzustellen, dass die Personen und die amtlichen Kennzeichen der Fahrzeuge nicht identifizierbar sind. Daten, die als Rohdaten nach Absatz 1 erhoben wurden, sind nach ihrer Bearbeitung nach Satz 1 unverzüglich zu löschen.

(3) Sonstige personenbezogene Daten, die im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Gebäuden, Straßen, Plätzen sowie vergleichbaren Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann erhoben und gespeichert werden, dürfen nur insoweit verarbeitet und genutzt werden, als nicht Hauseigentümer, Mieter oder sonstige Betroffene gegenüber der verantwortlichen Stelle der Verarbeitung und Nutzung ihrer personenbezogenen Daten widersprochen haben. Die personenbezogenen Daten, deren weiterer Verarbeitung und Nutzung der Betroffene widersprochen hat, sind unverzüglich zu anonymisieren oder zu löschen. Absatz 2 Satz 2 gilt entsprechend.

(4) Auf die geplante georeferenzierte großräumige Erfassung und das Widerspruchsrecht nach Absatz 3 hat die verantwortliche Stelle innerhalb von vier Wochen, spätestens jedoch eine Woche vor Beginn der Erfassung unter Angabe des Ortes und des Aufnahmezeitpunktes durch Veröffentlichung in einer örtlichen Tageszeitung sowie im Internet hinzuweisen. Vier Wochen vor dem beabsichtigten Bereithalten der Aufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann ist in örtlichen Tageszeitungen sowie im Internet erneut auf das Widerspruchsrecht hinzuweisen.

(5) Legt ein Betroffener Widerspruch gegen die weitere Speicherung und Übermittlung seiner personenbezogenen Daten ein, hat die verantwortliche Stelle den Eingang des Widerspruchs innerhalb einer Frist von zwei Wochen schriftlich oder elektronisch zu bestätigen und dabei mitzuteilen, bis zu welchem Zeitpunkt die Anonymisierung oder Löschung der personenbezogenen Daten erfolgen wird, deren weiterer Verarbeitung und Nutzung der Betroffene widersprochen hat.

(6) Sollen personenbezogene Daten im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Gebäuden, Straßen, Plätzen sowie vergleichbaren Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann erhoben und gespeichert werden, ist dies durch Vorlage einer Verfahrensbeschreibung entsprechend § 4e mindestens drei Monate vor der beabsichtigten Datenerhebung der nach § 38 zuständigen Aufsichtsbehörde anzuzeigen. Verantwortliche Stellen im Sinne des § 1 Absatz 5 Satz 2 sind verpflichtet, zugleich einen im Inland ansässigen Zustellungsbevollmächtigten zu benennen. § 9 Absatz 3 Satz 2, 3 und 6 des Verwaltungszustellungsgesetzes gelten entsprechend.

Unabhängig von der inhaltlichen Fragwürdigkeit dieses Gesetzesentwurfs, muss die Flickschusterei in der datenschutzrechtlichen Gesetzgebung kritisiert werden. Es sollte sich endlich die Erkenntnis durchsetzen, dass das deutsche und europäische Datenschutzrecht nicht internetkonform ausgestaltet ist und, dass eine Fortschreibung des bisherigen Konzepts mit Blick auf das Internet und neue Mobilfunktechniken auch nicht geeignet ist, die bestehenden und neu entstehenden Fragen zu beantworten. Das derzeitige Verständnis vom Schutz personenbezogener Daten wird in seiner bisherigen Form nicht aufrecht erhalten zu sein. Je schneller das erkannt wird, umso größer ist die Chance, dass wir zu vernünftigen Lösungen gelangen.

Aus populistischen Gründen versucht man sich hier an einer mit heißer Nadel gestrickten Regelung eines Einzelfalls – der keineswegs zu den wirklich Bedenklichen zählt – anstatt sich endlich Gedanken über eine umfassende Reform des Datenschutzrechts zu machen. Hierzu müsste die Diskussion freilich dem Elfenbeinturm der berufsmäßigen Datenschützer entrissen und auf breiter gesellschaftlicher Ebene geführt werden.

Was den konkreten Entwurf angeht, hat der Gesetzgeber ganz offensichtlich auch noch nicht den Ansatz einer Ahnung davon, was im Bereich Geolocation / Geotargeting in den nächsten Jahren bevorsteht. Es geht hier auch darum, größere Zusammenhänge zu erkennen.

Der Hamburgische Datenschutzbeauftragte hat ein förmliches Bußgeldverfahren gegen Facebook eingeleitet.

Beanstandet wird die Praxis von Facebook die E-Mail- und Handy-Adressbücher seiner Nutzer auszuwerten und sich dadurch auch Daten von Nichtmitgliedern zu verschaffen, diese zu speichern und kommerziell zu nutzen.

Auf ein anderes Bonmot aus den Facebook-AGB weist Telemedicus heute hin:

„Du verstehst, dass wir bezahlte Dienstleistungen und Kommunikationen möglicherweise nicht immer als solche identifizieren.“

Eigentlich wäre es gerade auch die Aufgabe von Verbraucherschutzverbänden gegen derartige Klauseln vorzugehen.

Die Plattform „hamburg.de“ hat den Like-Button von Facebook wieder entfernt und dies damit begründet, dass diese Funktion nicht datenschutzkonform ausgestaltet sei, weil Facebook auch Daten von Nutzern sammeln würde, die den Button gar nicht anklicken.

In einer Anmerkung hierzu holt der Kollege Dr. Bahr etwas weiter aus und meint, dass beispielsweise auch der Flattr-Button nicht datenschutzkonform sei. Auch wenn ich dem Kollegen in der Tendenz beipflichten muss, wenn er meint, dass große Teile des Web (2.0) streng genommen mit deutschem Datenschutzrecht unvereinbar sind, ist mir bei den Buttons von Facebook oder Flattr schon die tatsächliche Situation nicht klar. Denn die zentrale Frage lautet zunächst, welche Daten von Facebook und/oder Flattr genau erhoben und gespeichert werden. Wenn z.B. bei Flattr nur die Daten derjenigen erhoben werden, die sich bei dem Dienst registriert haben, dann ist die datenschutzkonforme Ausgestaltung möglich und letztlich davon abhängig, welche Datenschutzerklärungen im Rahmen der Anmeldung verwendet werden.

Weiß denn überhaupt jemand genau, welche Nutzerdaten Facebook erhebt und speichert, wenn der Like-Button extern auf Blogs oder Websites eingebunden ist? Über Antworten würde ich mich freuen.

Wer unlängst für sein iPhone ein Update auf die neueste Version des Betriebssystems iPhone OS4 gemacht hat oder sonst den iTunes-Store nutzt, hat von Apple eine Änderung der Nutzungsbedingungen und der Datenschutzrichtlinie untergeschoben bekommen, die mit deutschem und europäischem Datenschutzrecht schwerlich vereinbar ist. Neu ist in der Datenschutzrichtlinie z.B. folgende Klausel:

„Um standortbezogene Dienste auf Apple-Produkten anzubieten, können Apple und unsere Partner und Lizenznehmer präzise Standortdaten erheben, nutzen und weitergeben, einschließlich des geographischen Standorts Ihres Apple-Computers oder Geräts in Echtzeit.

Man stößt aber auch auf weitere bedenkliche Klauseln wie:

„Mitunter wird Apple bestimmte personenbezogene Daten an strategische Partner weitergeben, die mit Apple zusammenarbeiten, um Produkte und Dienste zur Verfügung zu stellen, oder die Apple beim Marketing gegenüber Kunden helfen. Wenn Sie beispielsweise Ihr iPhone kaufen und aktivieren, ermächtigen Sie Apple und seinen Mobilfunkanbieter zum Austausch der Daten, die Sie während des Aktivierungsprozesses bereitstellen, um den Dienst zu ermöglichen. Wenn Sie für den Dienst zugelassen werden, gelten die Datenschutzrichtlinien von Apple bzw. seinem Mobilfunkanbieter für Ihren Account. Die personenbezogenen Daten werden von Apple nur weitergegeben, um unsere Produkte, Dienste oder unsere Werbung zu erbringen oder zu verbessern; sie werden nicht an Dritte für deren Marketingzwecke weitergegeben.“

Apple fordert im Zuge des iPhone-Updates nur allgemein dazu auf, den neuen, geänderten Nutzungsbestimmungen zuzustimmen. Eine ausdrückliche Einwilligung des Nutzers in die die Datenverarbeitung wird nicht eingeholt. Eine detailierte Information über den Umfang und den Zweck der Datenerhebung erfolgt ebenfalls nicht. Es ist insbesondere nicht ersichtlich, dass hierauf in hervorgehobener Weise hingewiesen worden ist, wie § 4a Abs. 1 BDSG verlangt. Wenn man an dieser Stelle die Vorschrift des § 13 TMG für anwendbar hält, ändert dies am Ergebnis nichts, denn die Voraussetzungen dieser Norm sind ebensowenig erfüllt, wie die von § 4a BDSG.

Apple muss nach beiden Vorschriften über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten informieren und die ausdrückliche Einwilligung des Nutzers/Kunden einholen.

Bei Apple erfährt der Kunde allerdings den genauen Zweck der Datenerhebung nicht. Auch bleibt unklar, welche Daten im Einzelnen erhoben werden und an welche Dritte („strategische Partner“) diese Daten übermittelt werden.

Die Datenschutzrichtline von Apple verstößt damit evident gegen datenschutzrechtliche Bestimmungen.

Die sog. „Art. 29-Gruppe“ der EU, ein Gremium von Datenschützern, hat am 22.06.2010 eine Stellungnahme zum Thema „Online Behavioural Advertising“ veröffentlicht, in der kritsiert wird, dass die Online-Werbung vielfach nicht den Vorgaben des europäischen Datenschutzrechts entspricht.

Der Bundesdatenschutzbeauftragte Schaar, der Mitglied der Gruppe ist, weist in einer Pressemitteilung u.a. darauf hin, dass Cookies oft ohne ausdrückliche Einwilligung des Nutzers auf dessen Rechner abgelegt werden und auch bei der Sammlung von Nutzerdaten häufig nicht ausreichend informiert wird.

Die geplante Regelung des Beschäftigtendatenschutzes wird von verschiedenen Seiten deutlich kritisiert, insbesondere von Datenschützern, von Gewerkschaften und auch vom Deutschen Anwaltverein (DAV).

Der vielfach geäußerte Einwand, dass der vorgelegte Entwurf weitgehend Regelungen beinhaltet, die vor allem eine stärkere Überwachung der Arbeitnehmer ermöglichen und insgesamt den Arbeitgeber deutlich bevorzugen, ist nicht ganz von der Hand zu weisen. Es ist jedenfalls erkennbar, dass die geplante Neuregelung Befugnisse der Arbeitgeber zur Erhebung und Verarbeitung von Arbeitnehmerdaten schafft, die deutlich über das hinausgehen, was nach derzeitiger Rechtslage statthaft ist. So ist z.B. auch die Speicherung von Telekommunikationsdaten (Verkehrsdaten) zulässig, um eine stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrolle durchzuführen.

Rechtsanwalt Dr. Damm hat ein Schreiben des Baden-Württembergischen Innenminsteriums veröffentlicht, das als Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich darüber zu befinden hatte, ob Abmahnwarnungen im Netz, unter namentlicher Nennung des Abmahnenden und der ihn vertretenden Anwaltskanzlei, gegen das Datenschutzrecht verstoßen. Nicht zuletzt vor dem Hintergrund der „Spickmich“ Entscheidung des BGH (Az.: VI ZR 196/08) hat die Behörde einen Verstoß verneint.

Mir ist noch gut in Erinnerung, dass der Hamburgische Datenschutzbeauftragte vor ca. zehn Jahren gegenüber der Initiative Freedom For Links noch eine ganz andere Ansicht vertreten und eine solche Auflistung von Abmahnern als unzulässige Verarbeitung und Übermittlung personenbezogener Daten bewertet und einen Verstoß gerügt hat.

Solche Fälle zeigen, dass im Datenschutzrecht dringend eine eigenständige Regelung des Spannungsverhältnisses von Berichterstattung und Datenschutz nötigt ist. Denn § 29 BDSG ist dafür eigentlich nicht ausgelegt und § 41 BDSG normiert, zumindest für den Onlinebereich, ebenfalls kein Medienprivileg. Andererseits werden der Datenschutz und das allgemeine Persönlichkeitsrecht immer wieder bemüht, wenn es darum geht, eine unliebsame Berichterstattung oder die Information der Öffentlichkeit zu unterbinden. Die Behinderung kritischer Berichterstattung ist aber nicht Sinn des Datenschutzrechts.

Datenschützer und Verbraucherschützer beklagen nach einer Meldung der Nachrichtenagentur ddp Datenschutzverstöße des Handelskonzerns Rewe in seinen Supermarktketten.

Kunden unterschreiben dort bei einer EC-Kartenzahlung mit Unterschrift, also beim Lastschriftverfahren, angeblich gleichzeitig eine Erklärung über die Weitergabe ihrer Daten an ein Unternehmen für Zahlungsdienstleistungen und an zwei Wirtschaftsauskunfteien.

Wer im Supermarkt öfter per EC-Karte bezahlt, der weiß, dass man den Begleittext auf dem Unterschriftsbeleg nicht nur wegen des Zeitdrucks nicht liest, sondern auch wegen der fehlenden Vorlage einer Lupe durch die Verkäuferin.

Nach § 4a BDSG ist eine datenschutzrechtliche Einwilligung allerdings nur dann wirksam, wenn auf den Zweck der Datenverarbeitung hingewiesen wird und die Einwilligung besonders hervorgehoben ist, sofern sie zusammen mit anderen Erklärungen schriftlich erteilt wird. Ungeachtet dessen, wird die Klausel auch AGB-rechtlich wohl schwerlich wirksam einbezogen. Die Praxis von Rewe ist deshalb in der Tat rechtswidrig.