Internet-Law

Onlinerecht und Bürgerrechte 2.0

12.11.13

Erneute Schlappe für Weichert vor dem VG Schleswig

Wie die Deutsche Apothekerzeitung berichtet, hat das Verwaltungsgericht Schleswig dem schleswig-holsteinischen Datenschutzbeauftragten Thilo Weichert verschiedene Aussagen, wonach das Münchener Apothekenrechenzentrum VSA bei der Verarbeitung von Rezeptdaten gegen datenschutzrechtliche Vorschriften verstößt, untersagt.

Weichert hatte über die VSA u.a. wörtlich gesagt: “Für die VSA und den IMS-Konzern ist die illegale Nutzung der Rezeptdaten ein lohnendes Geschäftsmodell, das sie anscheinend solange fortsetzen wollen, bis es ihnen gerichtlich untersagt wird“. Außerdem hat Weichert in verschiedenen Interviews behauptet, bei der VSA würden Daten, die dann weitergegeben werden, nicht ausreichend anonymisiert.

Weichert ist für seine forsche Art, die häufig auch juristisch über das Ziel hinausschießt, bekannt. In letzter Zeit war das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, dem Weichert vorsteht, mehrfach vor den Verwaltungsgerichten unterlegen.

posted by Stadler at 17:53  

5.11.13

Kein vorbeugender Unterlassungsanspruch gegen Google Street View

Einer Klage auf Unterlassung von Fotoaufnahmen durch Google Street View fehlt das Rechtsschutzbedürfnis, wenn die Aufnahmen noch nicht angefertigt wurden und der Betroffene vorab gegenüber dem Anbieter widersprochen hat. Das hat das Landgericht Detmold mit Urteil vom 12.10.2011 (Az.: 12 O 153/10) entschieden. Das Gericht stützt sich u.a. darauf, dass Google sich mit den deutschen Datenschutzbehörden auf eine Widerspruchsmöglichkeit für Betroffene verständigt hat. Im Fall des Widerspruchs des Berechtigten darf das betreffende Objekt danach nicht veröffentlicht werden, bzw. muss unkenntlich gemacht werden. Das schützt den Kläger nach Ansicht des Gerichts ausreichend, nachdem auch nicht ersichtlich ist, dass Google gegen diese Vereinbarung verstoßen würde.

Mit der materiell-rechtlichen Frage, ob überhaupt ein Anspruch auf Unterlassung bestehen kann, der eine Verletzung des Persönlichkeitsrechts des Betroffenen oder datenschutzrechtlicher Vorschriften voraussetzen würde, setzt sich das Landgericht nicht auseinander.

posted by Stadler at 09:19  

9.10.13

VG Schleswig hebt Anordnungen des ULD gegen Betreiber von Facebook-Fanseiten auf

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein kann von den Betreibern von Facebook-Fanpages nicht verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren. Das hat das Verwaltungsgericht Schleswig mit Urteil vom heutigen Tag entschieden (Az.: 8 A 218/11, 8 A 14/12, 8 A 37/12). Aus der Pressemitteilung ergibt sich, dass das Verwaltungsgericht den Betreiber einer Fanpage nicht für datenschutzrechtlich verantwortlich erachtet, weil der Seitenbetreiber keinen Einfluss auf den Datenverkehr zwischen dem Nutzer und Facebook nehmen kann. Das Verwaltungsgericht hat allerdings die Berufung zugelassen.

Die Entscheidung ist im Ergebnis nicht überraschend, nachdem in der juristischen Literatur und auch in diesem Blog schon vor einiger Zeit die Ansicht vertreten wurde, dass der Betreiber der Fanpage nicht als verantwortliche Stelle im Sinne des BDSG zu qualifizieren ist.

posted by Stadler at 18:00  

18.7.13

Newsletter vom Verfassungsschutz

Das Bundesamt für Verfassungsschutz will offenbar seine Öffentlichkeitsarbeit verbessern und bietet neuerdings einen Newsletter an. Um den Newsletter abonnieren zu können, muss man allerdings einer eher langen Datenschutzerklärung zustimmen, die u.a. die Speicherung der IP-Adresse des Nutzers vorsieht.

Die Frage ist allerdings, ob diese Daten tatsächlich erhoben werden dürfen, denn für die Erbringung des Dienstes (Versand eines kostenlosen Newsletters) ist zwar eine E-Mail-Adresse erforderlich, aber nicht die Erfassung der IP-Adresse mit der der Nutzer das Angebot des Verfassungsschutzes aufgerufen hat. Es dürfte mithin ein Verstoß gegen § 15 TMG vorliegen.

Man hat außerdem natürlich als Bürger ein schlechtes Gefühl, wenn einem ausgerechnet der Verfassungsschutz sagt, dass man für den Versand eines Newsletters die IP-Adresse speichert.

Der Bundesdatenschutzbeauftragte ist für die Einhaltung der datenschutzrechtlichen Bestimmungen durch das Bundesamt für Verfassungsschutz zuständig und sollte diese Sache deshalb prüfen. Peter Schaar, bitte übernehmen Sie!

(via Holger Schmidt)

posted by Stadler at 12:12  

15.7.13

Datenschutz und Wettbewerbsrecht

Ob Verstöße gegen das Datenschutzrecht zugleich auch wettbewerbswidrig sind, ist eine alte Streitfrage, die die Gerichte unterschiedlich beurteilen. Der Knackpunkt ist die Fragestellung, ob es sich bei datenschutzrechtlichen Vorschriften um sog. Marktverhaltensregeln im Sinne von § 4 Nr. 11 UWG handelt.

Allgemein wird überwiegend die Auffassung vertreten, dass datenschutzrechtliche Vorschriften nicht generell Marktverhaltensregeln darstellen, sondern für jede einzelne Norm die Frage zu stellen ist, ob die fragliche Norm auch das Verhalten am Markt regelt und damit auch die Interessen der Betroffenen als Marktteilnehmer schützt.

Im Einzelfall gehen die Ansichten dazu dann allerdings wiederum auseinander, weshalb es eine ganze Reihe divergierender Entscheidungen gibt.

Das OLG Hamburg hat jetzt mit Urteil vom 27.06.2013 (Az.: 3 U 26/12) entschieden, dass die Vorschrift des § 13 Abs. 1 TMG eine Marktverhaltensregel darstellt, mit der erheblichen praktischen Konsequenz, dass eine fehlende Datenschutzerklärung auf einer Website einen abmahnfähigen Wettbewerbsverstoß begründet.

Die Begründung des OLG Hamburg hierzu lautet:

Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Mißachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d).

Carlo Piltz hat die Entscheidung ausführlich in seinem Blog besprochen.

posted by Stadler at 17:47  

6.6.13

Was bringt das Datenschutzranking von Lobbyplag?

Richard Gutjahr berichtet heute in seinem Blog über ein Datenschutzranking der Initiative Lobbyplag. Dort wird dargestellt, welche Abgeordneten und Parteien Änderungsanträge zur geplanten Datenschutzgrundverordnung eingebracht haben, die den Datenschutz entweder stärken oder schwächen.

Nach Lektüre des Beitrags ist man allerdings nicht viel schlauer als vorher. Denn wie dieses Ranking zustande gekommen ist, erschließt sich dem oberflächlichen Betrachter nicht, auch wenn Lobbyplag die Vorgehensweise und Kriterien etwas ausführlicher beschreibt. Zentral ist in einem ersten Schritt nämlich immer die Frage, ob man den einzelnen Änderungsantrag als datenschutzfreundlich oder datenschutzfeindlich qualifiziert. Hierzu haben die Macher von Lobbyplag mehr als 3.000 Änderungsanträge jeweils mit einem Plus oder einem Minus versehen oder auch als neutral bewertet.

Bereits bei einem kurzen beliebigen Blick auf einige Einzelbewertungen erkennt man Diskussionsbedarf. Ich möchte hierzu ein beliebiges Beispiel  herausgreifen, um zu zeigen, wie fragwürdig einzelne Bewertungen durch Lobbyplag sein können. Das Beispiel betrifft folgenden Änderungsvorschlag des Abgeordneten Axel Voss:

#413 – Recital 25
(25) Consent should be given explicitlyunambiguously by any appropriate method enabling a freely given specific and informed indication of the data subject’s wishes, either by a statement or by a clear affirmative action by the data subject, ensuring that individuals are aware that they give their consent to the processing of personal data, including by ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of their personal data. Silence or inactivity should therefore not constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. If the data subject’s consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. The information provided in order for children to express the consent should be given in a clear and age-appropriate language, in a way that it would be easy to understand for a child above the age of 13.

Als schwächende Veränderung wurde hier gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff “explicitly” durch “unambiguously” ersetzt werden soll. Man kann das allerdings auch als sinnvolle Klarstellung bewerten. Denn der aktuelle Entwurfstext ist widersprüchlich. Er spricht einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action)  - also konkludentes Verhalten – ausreichend sein soll. Es erscheint mir sinnvoll, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Die weitere Einfügung des Abgeordneten Voss, wonach die Einwilligungserklärung gegenüber Kindern (über 13 Jahren) in einer klaren und altersgerechten Sprache abgefasst sein muss, ist meines Erachtens als datenschutzfreundliche Ergänzung zu qualifizieren.

Ich würde hier also die erste Änderung als neutral, aber sinnvoll und die zweite als datenschutzstärkend einstufen. Das ergibt dann, anders als bei Lobbyplag, in der Tendenz eine datenschutzfreundliche Wertung. Wenn mir solche Fälle schon bei einer ersten beliebigen Draufsicht auffallen, muss ich unterstellen, dass sich zahlreiche fragwürdige Bewertungen finden lassen. Die Zeit, mehr als 3.000 Einzelbewertungen zu überprüfen, habe ich allerdings nicht. Solche Ungereimtheiten bleiben dem normale Nutzer, der sich nicht in die Einzelheiten vertieft, aber zwangsläufig verborgen.

Jenseits der Einzelbewertungen bestehen aber ganz grundlegende methodische Bedenken gegen das Vorgehen von Lobbyplag. Das Datenschutzranking ist von einem Tunnelblick geprägt und blendet die komplexen Wechselwirkungen zu anderen Rechtspositionen und legitimen Interessen gänzlich aus.

Das Recht auf Schutz personenbezogener Daten bzw. das Grundrecht auf informationelle Selbstbestimmung steht, wie jedes Grundrecht, im ständigen Spannungsverhältnis zu anderen Rechten und Grundwerten. Es kann also durchaus sein, dass eine Änderung, die man isoliert als Schwächung des Datenschutzes bewerten kann, gleichzeitig das Recht auf Meinungs- oder Informationsfreiheit stärkt, um nur eines der bekannten Spannungsfelder zu nennen. Und natürlich müssen und dürfen auch legitime wirtschaftliche Interessen berücksichtigt werden. Dass vordergründig datenschutzfreundliche Änderungsvorschläge zu Lasten der Kommunikationsfreiheiten gehen können, habe ich bereits früher erläutert. Carlo Piltz hat einen anderen vermeintlich datenschutzfreundlichen Aspekt der Datenschutzgrundverordnung, das geplante Recht auf Datenübertragbarkeit, kritisch beleuchtet und hinterfragt. Ob man also etwas als datenschutzfreundlich bewertet oder nicht, besagt noch nichts darüber, ob eine Regelung in einem größeren Kontext als ausgewogen und vor allen Dingen – woran es im ganzen Datenschutzrecht erheblich krankt – praxistauglich zu bewerten ist. Die Einteilung in gut oder böse bzw. hier in datenschutzfreundlich und datenschutzfeindlich lässt die komplexe Wechselwirkung mit anderen Rechtspositionen völlig außer Betracht. Genau das müsste aber analysiert und bewertet werden. Dieses Ranking nimmt keinerlei Interessenabwägung vor und das ist wohl auch nicht sein Anliegen. Sein Ansatz ist vielmehr monokausal.

Gerade deshalb ist es aber aus rechtswissenschaftlicher Sicht nicht wirklich brauchbar und hilfreich. Der methodische Ansatz den Lobbyplag gewählt hat, ist nicht geeignet, den notwendigen komplexen Abwägungsprozess abzubilden.

posted by Stadler at 20:57  

4.6.13

Heimliche Überwachung mittels GPS-Empfänger grundsätzlich strafbar

Der BGH hat heute entschieden, dass sich ein Privatermittler, der am Auto der von ihm observierten “Zielperson” einen GPS-Empfänger – vermutlich eher einen Sender – anbringt und dadurch ermittelt, wann sich das Fahrzeug wo aufhält, grundsätzlich nach §§ 44, 43 Abs. 2 BDSG strafbar macht (Urteil vom 4. Juni 2013, Az.:  1 StR 32/13).

Für die Frage, ob die Gestattungstatbestände der § 28 oder 29 BDSG eine solche Datenerhebung erlauben, ist zwar eine Abwägung der widerstreitenden Interessen im Einzelfall erforderlich. Nach Ansicht des BGH kann aber nur bei Vorliegen eines starken berechtigten Interesses an dieser Datenerhebung die Abwägung ausnahmsweise (etwa in notwehrähnlichen Situationen) ergeben, dass das Merkmal des unbefugten Handelns bei diesen Einsätzen von GPS-Empfängern zu verneinen ist.

Die Entscheidung dürfte grundsätzlich für Fälle von Geotargeting bzw. Geolocation ohne ausreichende datenschutzrechtliche Einwilligung des Betroffenen von Bedeutung sein.

Quelle: Pressemitteilung des BGH

posted by Stadler at 16:50  

4.6.13

Die CSU und der Datenschutz

Gerade habe ich versucht, mich online zum Netzkongress der CSU anzumelden. Aber die CSU macht die Anmeldung davon abhängig, dass man sich mit der Zusendung aktueller Informationen zur Politik, den Veranstaltungen und den Terminen der CSU einverstanden erklärt und mit einer Speicherung und Verwendung der Anmeldedaten zu diesem Zweck. Wenn man das entsprechende Häkchen nicht setzt, kann man sich nicht zum Netzkongress anmelden, sondern erhält den Hinweis, dass die “Datenschutz-Zustimmung” fehlt:

CSU_Datenschutz

Anmelden kann sich online bei der CSU also nur, wer gleichzeitig erklärt, dass sein E-Mail-Account mit politischer Information bzw. Werbung geflutet werden darf und diesbezüglich natürlich auch in die Speicherung seiner Anmeldedaten einwilligt.

Nachdem insoweit von einer Datenschutz-Zustimmung – gemeint ist wohl eine Einwilligung – die Rede ist, müssen auch die Vorgaben des § 13 Abs. 2 TMG beachtet werden. Zudem müsste die Einwilligungserklärung getrennt von anderen Erklärungen stehen und gesondert hervorgehoben sein.

Liebe CSU, ich wäre gern zu eurem Netzkongress gekommen, aber ich glaube so wird das nichts mit uns.

posted by Stadler at 16:02  

7.5.13

Zentrale Datenschutzklauseln von Apple sind rechtswidrig

Was vielen Juristen schon länger klar war, ist nunmehr in Deutschland auch erstmals gerichtlich bestätigt worden. Mehrere von Apple verwendete Datenschutzklauseln sind rechtswidrig.

Das Landgericht Berlin (Urteil vom 30.04.2013, AZ.: 15 O 92/12) verurteile Apple, auf eine Klage des Verbraucherzentrale Bundesverband e.V. hin, zur Unterlassung von insgesamt acht für Apple zentralen Datenschutzklauseln.

Danach ist die Regelung, nach der Apple und seine verbundenen Unternehmen die Kundendaten untereinander austauschen und mit anderen Daten verbinden können, ebenso unwirksam, wie die Klausel, dass Apple auch Daten von Freunden und Familienangehörigen erheben darf, die der Apple-Kunde im Rahmen des Produktversandes oder aus anderen Gründen zur Verfügung stellt. Unwirksam ist zudem die Klausel, wonach die Erhebung von personenbezogenen Daten gleichzeitig dazu berechtigt, den Kunden über neue Produkte, Updates und Veranstaltungen zu informieren.

Auch die Klauseln, nach denen Apple die erhobenen Daten an strategische Partner und andere Dritte weitergeben darf, um beispielsweise Produkte zur Verfügung zu stellen oder Apple beim Marketing gegenüber Kunden zu helfen, hat das Landgericht Berlin beanstandet.

Ebenfalls rechtswidrig sind die Regeln zur Erhebung von Standortdaten der Apple-Nutzer (Geolocation).

Das Gericht beanstandet im Einzelnen immer wieder, dass Apple eine nur allgemeine und globale Einwilligung in Datenverarbeitungsprozesse einholt, ohne, dass der Kunde erfährt, welche Daten konkret betroffen sind. Auch die fehlende Erläuterung des Zwecks der Datenverarbeitung wird mehrfach beanstandet und bei der Datenweitergabe an Dritte auch die fehlende Information darüber, wer diese Dritten sind.

Apple wird diese Entscheidung vermutlich nicht rechtskräftig werden lassen und Berufung einlegen. Einige der Klauseln sind allerdings derart intransparent, dass man überwiegende Erfolgsaussichten von Apple wohl kaum attestieren kann.

Der vzbv geht in letzter Zeit verstärkt auch gegen die großen Player der TK- und IT-Wirtschaft vor und nimmt damit die Interessen der Nutzer und Verbraucher sehr effektiv wahr.

Der Kollege Dosch berichtet ebenfalls etwas ausführlicher über das Urteil.

Update:
Der Kollege Carlo Piltz thematisiert zu Recht die Frage, ob deutsches Datenschutzrecht hier überhaupt anwendbar ist und kritisiert die diesbezügliche Begründung des Landgerichts. In einem älteren Blogbeitrag habe ich am Beispiel Facebooks schon einmal dargelegt, weshalb ich deutsches Datenschutzrecht in derartigen Konstellationen für anwendbar halte. Die Frage ist freilich derzeit äußerst umstritten, wie aktuelle verwaltungsgerichtliche Entscheidungen aus Schleswig-Holstein zeigen.

Die vom Kollegen Härting geäußerte Kritik an der Entscheidung des Landgerichts Berlin teile ich nicht. Sie wählt bereits einen unzutreffenden Ansatz. Nach dem geltenden Recht ist eine Datenverarbeitung nur dann zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsvorschrift die Datenverarbeitung erlaubt (§§ 4 Abs. 1 BDSG, 12 Abs. 1 TMG). Rechtsvorschriften, die die gerügte Datenverarbeitung erlauben würden, sind nicht ersichtlich.

Apple könnte sich also nur auf eine Einwilligung berufen, die man bei Apple in der Tat versucht im Hinblick auf diese Klauseln auch einzuholen. Die mir bekannten Einwilligungserklärungen von Apple genügen aber noch nicht einmal den formellen Anforderungen von § 13 Abs. 2 TMG. Weder kann der Nutzer den Inhalt der Einwilligung jederzeit abrufen, noch wird er darüber unterrichtet, dass er die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Inhaltlich gilt im deutschen Datenschutzrecht der Grundsatz der informierten Einwilligung. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Er muss also konkret darüber informiert werden, welche Daten erhoben werden und was mit diesen Daten dann genau passiert. Dazu findet man in den schwammigen Klauseln von Apple aber nichts erhellendes.

Die Klauseln von Apple weichen also von den wesentlichen Grundgedanken der §§ 12 Abs. 1 TMG, 4 Abs. 1 BDSG  ab und sind daher als AGB nach § 307 BGB unwirksam.

posted by Stadler at 17:45  

23.4.13

Klarnamenpflicht: ULD unterliegt Facebook auch beim OVG Schleswig

Facebook darf vorerst auch weiterhin die Konten von Nutzern, die nicht ihre Klarnamen angeben, sperren. Das Oberverwaltungsgericht Schleswig hat die Beschwerden des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen Eilentscheidungen des Verwaltungsgerichts Schleswig zurückgewiesen (Beschlüsse vom 22. April 2013, Az.: 4 MB 10/13 und 11/13).

Auch wenn es sich lediglich um ein Eilverfahren handelt, dürfte es damit für das ULD im Hauptsacheverfahren schwierig werden. Denn das OVG wird seine rechtliche Einschätzung, wonach Facebook nicht an deutsches Datenschutzrecht gebunden ist, vermutlich aufrecht erhalten. Aber vielleicht marschiert Thilo Weichert ja bis zum Bundesverwaltungsgericht.

Warum ich die Ansicht, Facebook sei nicht an deutsches Datenschutzrecht gebunden, für falsch halte und dennoch das Vorgehen des ULD nicht als gerechtfertigt ansehe, habe ich hier und hier erläutert.

 

posted by Stadler at 13:55  
« Vorherige SeiteNächste Seite »