Internet-Law

Onlinerecht und Bürgerrechte 2.0

10.4.14

Ist die Vorratsdatenspeicherung nach der Entscheidung des EuGH tot?

Auf Heise-Online sind vorgestern im Abstand von weniger als 30 Minuten zwei Artikel erschienen, deren Überschriften und inhaltliche Aussage gegensätzlicher nicht sein könnten. Während der frühere Bundesdatenschutzbeauftragte Peter Schaar in einem Gastbeitrag die These vertritt, der EuGH habe die Vorratsdatenspeicherung beerdigt, wird über BKA-Präsident Ziercke berichtet, er würde an der Vorratsdatenspeicherung festhalten.

Kurz nach dem Urteil des EuGH, das schon deshalb überraschend war, weil es die Richtlinie ohne Übergangsregelung rückwirkend für ungültig erklärt hat, stehen sich, was die Bewertung der Entscheidung angeht, zwei Auffassungen gegenüber. Die einen, wie Ziercke und eine Reihe konservativer Politiker, meinen, der EuGH habe in etwa so entschieden wie das BVerfG vor einigen Jahren, weshalb man jetzt in Deutschland, orientiert an den Vorgaben aus Karlsruhe, zügig ein neues Gesetz angehen könne. Die anderen, wie beispielsweise Schaar, meinen, der EuGH habe einer anlasslosen Datenspeicherung eine Absage erteilt und damit eine Vorratsdatenspeicherung praktisch unmöglich gemacht.

Entspricht die Entscheidung des EuGH inhaltlich dem Urteil des BVerfG?

Nach aufmerksamer Lektüre der Entscheidung des EuGH muss man jedenfalls erkennen, dass die Argumentation des EuGH sich nur in Teilen mit der des BVerfG deckt und in einigen Punkten deutlich über den Karlsruher Richterspruch hinausgeht.

Die Rn. 57 – 59 des EuGH-Urteils lassen sich dahingend interpretieren, dass die anlasslose Speicherung sämtlicher TK-Verbindungsdaten, die ohne jede Ausnahme und ohne jede Differenzierung stattfindet, problematisch ist. Der EuGH stellt nämlich explizit darauf ab, dass auch Daten von Personen gespeichert werden, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten steht. Außerdem bemängelt der EuGH, dass die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises beschränkt ist.

Wenn man aus diesen Ausführungen die Schlussfolgerung zieht, dass nicht ausnahmslos alle Daten gespeichert werden können, sondern bereits im ersten Schritt der Speicherung Einschränkungen vorzunehmen sind, ergibt sich ein qualitativ essentieller Unterschied zur Rechtsprechung des BVerfG, die die Speicherung als solche nicht eingeschränkt hat, sondern im Wesentlichen nur den Zugang zu den gespeicherten Daten exakter und restriktiver geregelt haben möchte. Sofern man das Urteil des EuGH in diesem Sinne interpretiert, dürfte eine gesetzliche Neuregelung der Vorratsdatenspeicherung tatsächlich schwierig sein, denn eine Differenzierung und Einschränkung bereits bei den zu speichernden Daten, bzw. den Personen, deren Daten gespeichert werden, steht im Widerspruch zum Konzept der anlasslosen Pauschalspeicherung. Man kann das Urteil des EuGH aber auch dahingehend interpetieren, dass sich die Unverhältnismäßigkeit nicht allein aus diesem Aspekt ergibt, sondern erst aus der Gesamtschau aller bzw. mehrerer vom EuGH beanstandeter Mängel, wie zusätzlich dem Fehlen von Garantien zur Verhinderung des Missbrauchs der Daten bzw. des unberechtigten Zugriffs.

Der EuGH hat zudem erklärt, dass er die von der Richtlinie vorgesehene Speicherdauer von sechs Monaten bis zu zwei Jahren für unverhältnismäßig erachtet, während das BVerfG eine Speicherdauer von sechs Monaten für noch zulässig hält. Der EuGH nennt in seiner Entscheidung allerdings keine konkrete Grenze, weshalb unklar bleibt, ob sechs Monate noch zulässig sind oder ob die Speicherdauer vielleicht auch deutlich verkürzt werden muss, auf beispielsweise zwei oder drei Monate.

Auch die vom BVerfG vorgenommene Differenzierung zwischen unmittelbarem und mittelbarem Abruf von Verkehrsdaten, die im Karlsruher Urteil ausführlich dargestellt wurde, findet sich in der Entscheidung des EuGH nicht wieder. Es muss deshalb davon ausgegangen werden, dass für alle Arten von Daten und für alle Formen des behördlichen Abrufs grundsätzlich dieselben (strengen) Anforderungen zu gelten haben.

Die Übereinstimmung zwischen der Entscheidung des EuGH und des BVerfG besteht insbesondere darin, dass beide Gerichte – in den Worten des BVerfG – hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes verlangen.

Während die Vorgaben des BVerfG noch relativ konkret sind, bleibt nach der Entscheidung des EuGH eher unklar, wie die vom EuGH postulierte Beschränkung der Vorratsdatenspeicherung auf das absolut Notwendige exakt ausgestaltet werden kann bzw. ob eine solche Ausgestaltung überhaupt möglich ist.

Der EuGH hat – anders als das BVerfG – letztlich nur die bestehende Richtlinie als unverhältnismäßig qualifiziert, ohne dem Gesetzgeber klare Kriterien vorzugeben, welche Anforderungen an eine rechtmäßige und grundrechtskonforme Vorratsdatenspeicherung zu stellen sind.

Rechtmäßige Umsetzung der Vorratsdatenspeicherung wird schwierig

Es bleibt festzuhalten, dass der EuGH die Vorratsdatenspeicherung zwar nicht komplett beerdigt hat, aber eine rechtskonforme gesetzliche Regelung gerade auch im Vergleich zu den Vorgaben des BVerfG nochmals deutlich erschwert hat.

Ob sich die EU-Kommission erneut an eine Richtlinie wagen wird, darf angesichts des Umstandes, dass die Entscheidung des EuGH nicht rechtssicher umgesetzt werden kann, eher bezweifelt werden.

Ob sich in Deutschland eine politische Mehrheit für einen Neuanlauf findet, erscheint mir offen zu sein. Der politische Prozess in Deutschland wird allerdings relativ stark von den Vertretern der Polizei- und Sicherheitsbehörden beeinflusst, die den politischen Entscheidern auf Bundes- und Landesebene seit Jahren einreden, die Vorratsdatenspeicherung sei unerlässlich für die Kriminalitätsbekämpfung, obwohl es dafür keinerlei empirischen Nachweise gibt und den Behörden in vielen Fällen wesentlich effektivere und ohnehin bereits bedenklich weitreichende Möglichkeiten der TK-Überwachung zur Verfügung stehen. Die letzten Äußerungen von Innenminister de Maizière und Polizeivertretern deuten jedenfalls nicht darauf hin, dass die Diskussion künftig sachlicher geführt werden wird. Es wird also vieles davon abhängen, wer die Deutungshoheit und Meinungsführerschaft erlangt. Es gibt in allen Parteien Gegner der Vorratsdatenspeicherung. Ob sich diese gegen die Angst-Rhetorik der Innenpolitiker und Polizeibeamten durchsetzen können, wird sich zeigen. Die Uhren sind vom EuGH jedenfalls wieder auf null gestellt worden und diesen Umstand müssen auch wir kritische Bürger nutzen, um uns in dieser Diskussion Gehör zu verschaffen. Denn schließlich sind es unsere Daten, die gespeichert werden sollen.

posted by Stadler at 11:05  

8.4.14

EuGH kassiert Richtlinie über Vorratsdatenspeicherung komplett

Zu der mit Spannung erwarteten Entscheidung des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung (Urteil vom 08.04.2014, Az.: C – 293/12 und C – 594/12) liegt bislang nur die Pressemitteilung vor.

Die gute Nachricht lautet in jedem Fall, dass der EuGH die Richtlinie vollständig für ungültig erklärt hat und insoweit eine zeitliche Begrenzung nicht vorgenommen hat. Es gibt damit keinerlei Übergangsregelungen, die Unwirksamkeit wirkt auf den Zeitpunkt des Inkrafttretens der Richtlinie zurück.

Damit steht auch fest, dass es keine europarechtliche Verpflichtung der Bundesrepupublik Deutschland gibt, eine Vorratsdatenspeicherung einzuführen.

Ob und in welchem Umfang die Entscheidung des EuGH Raum bietet für den Erlass einer neuen Richtlinie, wird sich erst nach eingehender Lektüre des Volltexts beurteilen lassen. Die politische Diskussion muss nach dieser Entscheidung von vorne beginnen, ein nationaler Alleingang und Schnellschuss in Deutschland – den die Union offenbar plant – ist nicht tunlich.

Der EuGH sieht in der Verpflichtung zur Vorratsspeicherung und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten.

Das Gericht geht allerdings davon aus, dass der Eingriff gerechtfertigt sein könnte, aber durch die konkrete Ausgestaltung der Richtlinie nicht ist. In der Pressemitteilung des EuGH heißt es hierzu:

Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Erstens erstreckt sich die Richtlinie nämlich generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.

Zweitens sieht die Richtlinie kein objektives Kriterium vor, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können, dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug. Überdies enthält die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.

Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird.

Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird. Darüber hinaus stellt der Gerichtshof fest, dass die Richtlinie keine hinreichenden Garantien dafür bietet, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. Unter anderem gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Der Gerichtshof rügt schließlich, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Update:
Der Volltext der Entscheidung ist leider nicht wesentlich ergiebiger als die Pressemitteilung. Der EuGH hat keine wirklich konkreten Vorgaben gemacht, wie seine Rechtsprechung in eine grundrechtskonforme Richtliniengestaltung umzusetzen sein könnte.

Bereits das Urteil des BVerfG ist nicht einfach umsetzbar, aber nach dieser Entscheidung lässt sich juristisch kaum mehr prognostizieren, wo genau die Grenzen einer zulässigen und grundrechtskonformen Vorratsdatenspeicherung verlaufen.

Es könnte zwar durchaus einen neuen Anlauf für eine Vorratsdatenspeicherung geben, sowohl auf europäischer als auch auf nationaler Ebene. Stichhaltige Kriterien für eine grundrechtskonforme Ausgestaltung liefert der EuGH aber nicht. Vielleicht war auch genau das seine Absicht. Man darf deshalb annehmen, dass es so schnell keine neue Richtlinie über eine Vorratsdatenspeicherung geben wird, weil niemand so genau sagen kann, wie sie auszugestalten wäre. Was das für die Ambitionen von Bundesinnenminister de Maizière bedeutet, der gestern noch kräftig für eine züggige Einführung der Vorratsdatenspeicherung trommelte, bleibt abzuwarten. Mit Brecht könnte man also sagen: “Den Vorhang zu und alle Fragen offen.”

Der österreichische Kollege Hans Peter Lehofer weist allerdings zu recht darauf hin, dass auch eine (autonome) nationale Regelung den Anforderungen des EuGH genügen muss. Man kann also in Deutschland keinesfalls nunmehr am Maßstab der Entscheidung des BVerfG eine Neuregelung stricken, sondern muss vielmehr die vermutlich strengeren, jedenfalls unklareren Vorgaben des EuGH ebenfalls berücksichtigen.

posted by Stadler at 12:29  

7.4.14

De Maizière trommelt für die Vorratsdatenspeicherung

Der EuGH wird bekanntlich morgen über die Richtlinie zur Vorratsdatenspeicherung entscheiden. Es ist damit zu rechnen, dass der EuGH, entsprechend des Votums des Generalanwalts, die geltende Richtlinie kippen, aber einer Vorratsdatenspeicherung keine generelle Absage erteilen wird. Alles andere wäre jedenfalls eine große Überraschung.

Die Bundesregierung plant aber offenbar – unabhängig davon, ob eine europarechtliche Verpflichtung dazu besteht oder nicht – eine zügige Wiedereinführung der Vorratsdatenspeicherung, wobei man zumindest versuchen wird, die Vorgaben des BVerfG und des EuGH umzusetzen. Dieses Vorhaben dürfte gesetzgeberisch alles andere als trivial sein. Eine Neuregelung wird vermutlich auch neue Verfassungsbeschwerden nach sich ziehen. Der deutsche Gesetzgeber hat aber noch nie davor zurückgeschreckt, verfassungsrechtlich problematische Gesetze auf den Weg zu bringen.

Bundesinnenminister de Maizière trommelt derweil auch schon wieder kräftig für die Vorratsdatenspeicherung und zwar mit der Aussage:

Wir brauchen die zeitlich begrenzte Speicherung von Verbindungsdaten für die Bekämpfung schwerster Verbrechen.

Man darf erstaunt darüber sein, dass es dem Innenminister gelungen ist, in einem derart kurzen Satz drei Unrichtigkeiten unterzubringen.

1.
Die Aussage suggeriert, dass die Vorratsdatenspeicherung nur zur Bekämpfung von Verbrechen angewandt werden soll und zwar zusätzlich eingeschränkt auf schwerste Verbrechen. Richtig ist demgegenüber, dass man einen Katalog sog. schwerer Straftaten aufstellen will, vermutlich angelehnt an § 100a StPO. Dieser Katalog enthält neben Verbrechenstatbeständen auch eine Vielzahl schwerer Vergehen. Die Vorratsdatenspeicherung wird also keineswegs auf schwerste Verbrechen beschränkt bleiben, wie de Maizière behauptet, sondern ein wesentliches größeres Spektrum an schwereren Straftaten abdecken. Alle Polizeibeamte, mit denen ich bisher gesprochen und diskutiert habe, haben sich auch immer nur auf Einzel- und Beispielsfälle aus dem Bereich der Massenkriminalität bezogen, insbesondere aus dem Betrugsbereich. Das wäre in jedem Fall der Hauptanwendungsbereich einer Vorratsdatenspeicherung und keinesfalls die Bekämpfung von Terrorismus oder organisierter Kriminalität.

2.
Es wird vom Innenminister zudem der Eindruck erweckt, es ginge nur um sog. Verbindungsdaten. Tatsächlich hatte die vom BVerfG kassierte Regelung, wie auch die EU-Richtlinie, auch Standortdaten zum Gegenstand. Erst die Kombination von Verbindungs- und Standortdaten ermöglicht ein relativ exaktes Bewegungsprofil einer Person über einen längeren Zeitraum hinweg. Wie so ewtas konkret aussieht, hat der Grünenpolitiker Malte Spitz anhand seiner eigenen Daten mit Unterstütung von ZEIT-Online vor eniger Zeit anschaulich dargestellt.

3.
Die Aussage de Maizières erweckt schließlich den Eindruck, die Vorratsdatenspeicherung sei zur Verbrechensbekämpfung notwendig. Tatsächlich gibt es in ganz Europa keinerlei (empirische) Nachweise für den Nutzen der Vorrastdatenspeicherung zu Zwecken der Kriminalitätsbekämpfung bzw. – vermeidung.

Eine Studie des Max Planck Instituts (MPI) für ausländisches und internationales Strafrecht weist auf diesen Umstand hin und bemängelt, dass eine zuverlässige Einschätzung des Nutzens einer Vorratsdatenspeicherung durch das Fehlen systematischer empirischer Untersuchungen erschwert würde. Gleichwohl deutet eine vom MPI durchgeführte rechtsvergleichende Betrachtung zwischen Deutschland und der Schweiz darauf hin, dass die in der Schweiz seit Jahren praktizierte Vorratsdatenspeicherung nicht zu einer systematisch höheren Aufklärungsquote geführt hat.

Es zeigt sich also einmal mehr, dass Fakten in dieser Diskussion kaum eine Rolle spielen.

posted by Stadler at 14:58  

10.3.14

LG Frankfurt: Auf Tracking muss vorab hingewiesen werden

Das Landgericht Frankfurt überrascht mit einer interessanten Entscheidung. Es hat einen Webseitenbetreiber dazu verurteilt, die Nutzung des Trackingtool Piwik zu unterlassen, sofern zu Beginn des Nutzungsvorgangs nicht auf den Einsatz der Trackingsoftware hingewiesen wird. (Urteil vom 18.02.2014, Az 3-10 O 86-12).

Die Urteilsbegründung des Landgerichts ist inhaltlich allerdings nicht ganz stimmig. Das Landgericht geht davon aus, dass wegen einer Anonymisierung der IP-Adressen überhaupt keine personenbezogenen Daten betroffen sind. Wenn dem so ist, dann sind die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG erst gar nicht anwendbar, weshalb es auch zu keinem Verstoß gegen § 15 Abs. 3 TMG gekommen sein kann.

Das Gericht möchte anschließend aber offenbar Anonymisierung und Pseudonymisierung gleichsetzen und meint, § 15 Abs. 3 TMG würde – entgegen seines Wortlauts – auch für anonymisierte Daten gelten. Diese Argumentation ist nicht konsistent.

Interessant bleibt aber die weitere Schlussfolgerung des Gerichts, dass auch bei unvollständig anonymisierten IP-Adressen die Pflicht des § 13 Abs. 1 TMG besteht, den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Eine Datenschutzerklärung, die in der Rubrik Kontakt zu finden ist, genügt hierfür nach Ansicht des Gerichts aber nicht.

Dieser Logik folgend wäre dann aber nicht nur jegliches Tracking oder der Einsatz von Cookies problematisch, sondern natürlich auch die Erstellung von Logfiles, die praktisch auf jedem Webserver stattfindet.

Man kann datenschutzrechtliche Vorschriften natürlich so auslegen, aber man kann die alltägliche Internetkommunikation, die jeder von uns betreibt, dann eben nicht mehr datenschutzkonform abbilden. Das aber dann nur den Gerichten, wie hier dem LG Frankfurt, anzulasten, wäre unfair. Das Problem als solches ist in der Konstruktion unseres Datenschutzrechts angelegt.

Während wir (Juristen) immer noch über IP-Adressen und Cookies diskutieren, ist die Karawane ohnehin längst weitergezogen. Technologien wie das Browser Fingerprinting werden den Einsatz von Cookies obsolet machen und die Fokussierung der Datenschützer auf die IP-Adressen lenkt nur von anderen, bedenklicheren Entwicklungen ab.

Dass das Gericht § 15 TMG als Markverhaltensregel im Sinne des UWG einordnet, ist am Ende wenig überraschend. Denn der Trend, Datenschutzverstöße als wettbewerbswidrig zu qualifizieren, verfestigt sich in der Rechtsprechung in letzter Zeit.

posted by Stadler at 14:54  

25.2.14

Das Urteil des BGH zum Schufa-Scoring im Volltext

Das Urteil des BGH, wonach die Schufa zwar Auskunft darüber erteilen muss, welche personenbezogenen Daten in ein Scoring-Verfahren einfließen, allerdings nicht darüber, wie diese Daten gewichtet werden, ist kontrovers diskutiert worden. Jetzt liegt das Urteil im Volltext vor. Die von mir geäußerte Kritik halte ich auch nach Lektüre der Urteilsgründe aufrecht.

Nach der gesetzlichen Regelung des § 34 Abs. 4 Nr. 4 BDSG hat der Betroffene Anspruch darauf, dass ihm das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form erläutert wird. Der BGH meint, dass es dafür ausreichend sei, wenn durch die Schufa dargestellt wird, welche Daten einfließen. Nicht erläutert werden muss, wie diese Daten genau gewichtet werden und wie der Scoringwert letztlich zustande kommt.

Man kann an dieser Stelle bereits die Frage stellen, ob der Betroffene damit tatsächlich in die Lage versetzt wird, wie vom Gesetz gefordert, die Bedeutung des Wahrscheinlichkeitswertes zu verstehen.

Der BGH berücksichtigt auch nicht hinreichend, dass die Vorschrift des § 34 Abs. 4 BDSG nichts anderes ist, als ein Ausfluss des Grundrechts auf informationelle Selbstbestimmung. Die Entscheidung des BGH führt letztlich dazu, dass man der Schufa und anderen Auskunfteien gestattet, personenbezogene Daten nach einer geheimen Formel zu verarbeiten und für ein Scoring zu gewichten, ohne, dass man dem Betroffenen eine transparente Auskunft darüber schuldet, wie der Scoringwert tatsächlich zustande kommt. In verfassungsrechtlicher Hinsicht räumt der BGH damit den wirtschaftlichen Interessen der Schufa Vorrang vor der informationellen Selbstbestimmung des Betroffenen ein. Ein Abwägungsergebnis, das man von Verfassungs wegen als problematisch betrachten muss.

Der BGH macht in seinem Urteil weitschweifige Ausführungen zur Intention des Gesetzgebers und stellt damit die historische Auslegung in den Vordergrund. Demgegenüber wird dem zugrundeliegenden Grundrechtskonflikt ersichtlich keine Bedeutung beigemessen.

Bezeichend für die Argumentation des BGH erscheint mir beispielsweise die Aussage, dass eine darüber hinausgehende Auskunft nicht hilfreich wäre, weil auf eine Änderung des Scorewerts selbst bei Zugrundelegung zutreffender Ausgangstatsachen ohnehin kein Anspruch besteht. Die Folge dieser Rechtsprechung des BGH ist es allerdings, dass der Betroffene noch nicht einmal nachprüfen kann, ob zutreffende Ausgangstatsachen zugrunde gelegt wurden, solange nicht dargestellt wird, wie diese Ausgangstatsachen im konkreten Einzelfall gewichtet worden sind. Genau dieser Aspekt spricht allerdings dafür, dass eine weitergehende Transparenz hergestellt werden muss, weil der Betroffene ansonsten gar nicht nachprüfen kann, ob das Ergebnis überhaupt auf einer nachvollziehbaren Gewichtung aller (angeblich) eingeflossenen Ausgangstatsachen beruht. Der Sinn und Zweck des Gesetzes wird damit nicht erreicht.

Auch die Ausführungen des BGH zur Auslegung der Datenschutzrichtline überzeugen nicht. Insoweit stellt sich zudem die Frage, ob nicht eine Vorlage an den EuGH geboten war.

Art. 12 a der Richtlinie gewährt den Betroffenen einen Anspruch auf Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1. Der BGH geht nun davon aus, dass der Scoringwert der Schufa keine automatisierte Einzelentscheidung ist, die rechtliche Folgen nach sich zieht und den Betroffenen erheblich beeinträchtigt. Zumindest seien solche Folgen im konkreten Fall nicht festgestellt worden. Der Sachverhalt könnte also anders zu beurteilen sein, wenn der Betroffene darlegen kann, dass er aufgrund des Schufa-Scorings beispielsweise einen Kredit nicht erhalten hat.

posted by Stadler at 09:48  

17.2.14

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht

Bereits vor einigen Wochen hatte ich über eine neue Entscheidung des Kammergerichts berichtet, die eine Entscheidung des Landgerichts Berlin bestätigt hatte, wonach der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen (Urteil vom 24.01.2014, Az.: 5 U 42/12).

Mittlerweile liegt das Urteil im Volltext vor. Die Ausführungen des Gerichts sind vor allem deshalb interessant, weil es eine Anwendbarkeit des deutschen Datenschutzrechts auf Facebook ausdrücklich bejaht. Das OVG Schleswig geht demgegenüber davon aus, dass für Facebook irisches Datenschutzrecht gilt.

Das Kammergericht stellt maßgeblich darauf ab, dass die Datenverarbeitung bei Facebook faktisch nicht in Irland, sondern in den USA bzw. durch die amerikanische Muttergesellschaft erfolgt. Das KG geht insoweit zudem davon aus, dass Facebbook in Deutschland Daten erhebt, weil es inländische “Mittel” im Sinne der Datenschutzrichtlinie verwendet, indem es Daten – u.a. Cookies – auf den Computern der Nutzer speichert.

Darüber hinaus weist das Kammergericht auch darauf hin, dass das deutsches Datenschutzrecht zudem aufgrund einer Rechtswahl zwischen Facebook und dem Nutzer gelten würde, weil die Nutzungsbedingungen von Facebook ausdrücklich die Geltung des deutschen Rechts vorsehen.

Die Auffassung, dass für Facebook deutsches Datenschutzrecht gilt, habe ich in einem älteren Blogbeitrag ebenfalls vertreten.

posted by Stadler at 14:52  

5.2.14

Die offizielle Olympia-App des DOSB verstößt gegen geltendes Recht

Die vielleicht umstrittensten Olympischen Spiele der jüngeren Zeit beginnen in zwei Tagen. Der Deutsche Olympische Sportbund (DOSB) bietet dazu eine offizielle Olympia-App für iOS und Android an, die vollmundig folgendermaßen beworben wird:

Erlebe die Faszination Olympia direkter als je zuvor. Sei ganz nah dran, wenn die Deutsche Olympiamannschaft um Medaillen kämpft. In der App der Deutschen Olympiamannschaft nehmen Dich Deine Stars unter dem Motto „Wir für Deutschland“ mit auf ihre olympische Reise: Training, Wettkämpfe, Olympische Spiele. Sei immer und überall dabei und blicke hinter die Kulissen, wenn es um mehr geht als Gold, Silber und Bronze.

Wer sich die App runterlädt, wird anschließend verschiedenste Werbemails des DOSB und der DOSB New Media GmbH erhalten:

Außerdem informieren wir Dich nach Deiner Anmeldung per E-Mail über News rund um die Themen „Wir für Deutschland“, Deutsche Olympiamannschaft, diese App und weitere Onlineangebote des DOSB e. V. und der DOSB New Media GmbH

Als Jurist reibt man sich da schon mal kräftig die Augen. Denn Onlinewerbemails ohne ausdrückliche Einwilligung des Nutzers (Opt-In), stellen sowohl eine Wettbewerbsverletzung dar als auch eine unerlaubte Handlung im Sinne des BGB. Daniel Mack hat diesbezüglich beim DOSB nachgefragt und ist dort auf die Möglichkeit eines Opt-Out verwiesen worden, wie er in seinem Blog schreibt. Das beseitigt den Rechtsverstoß bekanntlich aber nicht.

Noch bedenklicher ist aber der Umstand, dass man die App effektiv nur nutzen kann, wenn man sich wie z.B. in der Rubrik Fancorner gefordert, mit seinem Facebook- oder Twitter-Account einloggt. Bei einem solchen Facebook-Log-In bekommt man als Nutzer dann den Hinweis, dass die “Deutsche Olympiamannschaft” folgende Informationen erhält: Öffentliches Profil, Freundesliste und E-Mail-Adresse. Nach einer Datenschutzerklärung die, wie von § 13 TMG gefordert, in verständlicher Form darüber informieren würde, zu welchem Zweck diese Daten erhoben und verarbeitet werden und ob eine Weiterleitung an Dritte erfolgt, sucht man vergeblich. Wer die “Deutsche Olympiamannschaft” genau ist und damit verantwortliche Stelle im Sinne des Datenschutzrechts wird ebenfalls nicht deutlich gemacht.

Mein Fazit: Die offizielle App des DOSB verstößt gegen geltendes Recht. Datenschutzbehörden und Verbraucherverbände dürfen sich aufgerufen fühlen, dagegen vorzugehen.

Danke an Daniel Mack für den Hinweis. Dass der DOSB hier vielleicht Daten zu Gold machen will, ist keine ganz abwegige Annahme.

posted by Stadler at 22:01  

28.1.14

Worüber muss die Schufa beim Scoring Auskunft erteilen?

Nach § 34 Abs. 4 BDSG müssen Auskunfteien wie die Schufa, die eine Bonitätseinstufung aufgrund eines Scoring-Verfahrens durchführen, dem Betroffenen verschiedene Auskünfte über die dem Scoring zugrunde liegenden Daten und Informationen erteilen.

Hierzu hat der BGH heute entschieden, dass die Schufa zwar Auskunft darüber erteilen muss, welche bei ihr gespeicherten personenbezogenen Daten in ein Scoring-Verfahren einfließen, allerdings nicht darüber, wie die in den Scoring-Wert eingeflossenen Daten gewichtet werden (Urteil vom 28.01.2014, Az.: VI ZR 156/13).

In der Pressemitteilung des BGH heißt es hierzu:

Allerdings hat die Beklagte Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte eingeflossen sind. Diese Auskunft hat die Beklagte gegenüber der Klägerin (teilweise erst im vorliegenden Verfahren) erteilt. Ihr wurden alle bei der Beklagten zu ihrer Person gespeicherten Daten übermittelt. Ferner wurde sie über die in den letzten zwölf Monaten an Dritte übermittelten und die aktuell berechneten Wahrscheinlichkeitswerte sowie über die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten informiert. Die Einzelheiten wurden in einem Merkblatt erläutert.

Einen darüber hinausgehenden Auskunftsanspruch der Klägerin hat das Berufungsgericht zu Recht verneint. Die von ihr beanspruchten konkreten Angaben zu Vergleichsgruppen zählen nicht zu den Elementen des Scoringverfahrens, über die nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG Auskunft zu erteilen ist. Gleiches gilt für die Gewichtung der in den Scorewert eingeflossenen Merkmale. Dem Auskunftsanspruch des § 34 Abs. 4 BDSG liegt die gesetzgeberische Intention zugrunde, trotz der Schaffung einer größeren Transparenz bei Scoringverfahren Geschäftsgeheimnisse der Auskunfteien, namentlich die sog. Scoreformel, zu schützen. Die Auskunftsverpflichtung soll dazu dienen, dass der Betroffene den in die Bewertung eingeflossenen Lebenssachverhalt erkennen und darauf reagieren kann. Hierzu bedarf es keiner Angaben zu Vergleichsgruppen und zur Gewichtung einzelner Elemente. Das gesetzgeberische Ziel eines transparenten Verfahrens wird dadurch erreicht, dass für den Betroffenen ersichtlich ist, welche konkreten Umstände als Berechnungsgrundlage in die Ermittlung des Wahrscheinlichkeitswerts eingeflossen sind. Dieses Ziel wird durch die der Klägerin erteilten Auskünfte erreicht.

Auch wenn bislang nur die Pressemitteilung vorliegt, überzeugt mich die Entscheidung des BGH auf den ersten Blick nicht. Nach dem Gesetz hat der Betroffene ganz ausdrücklich Anspruch darauf, über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form informiert zu werden. Das Zustandekommen und die Bedeutung eines einzelnen Scoring-Werts kann man allerdings nur dann nachvollziehen, wenn man weiß, wie der Scoring-Wert zustande gekommen ist und das erfordert eine Kenntnis der Gewichtung der verschiedenen Einzelaspekte.

posted by Stadler at 17:08  

27.1.14

Kammergericht bestätigt Urteil des LG Berlin: Facebook verstößt gegen deutsches Recht

Das Landgericht Berlin hatte mit Urteil vom 06.03.2012 (Az.: 16 O 551/10) entschieden, dass der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen. Zum Urteil des Landgerichts Berlin hatte ich hier, hier und hier gebloggt.

Gegen dieses Urteil hat Facebook erwartungsgemäß Berufung eingelegt, die mit Urteil des Kammgerichts vom 24.01.2014 (Az.: 5 U 42/12) zurückgewiesen wurde. Die schriftliche Urteilsbegründung liegt noch nicht vor, in der sehr knappen Pressemitteilung des KG heißt es:

Das Landgericht Berlin hatte der Facebook Ireland Limited mit Urteil vom 6. März 2012 bestimmte Verfahrensweisen bei der Versendung von Freundschaftsanfragen an Dritte untersagt und die Verwendung eines unzureichenden Hinweises auf Datenimport bei der Registrierung beanstandet. Ferner hatte es Facebook die Verwendung verschiedener Vertragsklauseln verboten (vgl. PM 11/2012 und 12/2012). Hiergegen hatte Facebook Berufung zum Kammergericht eingelegt, die heute vom Kammergericht zurückgewiesen worden ist.

posted by Stadler at 09:00  

20.1.14

Bei bestrittener Forderung darf nicht mit Datenübermittlung an die SCHUFA gedroht werden

Das OLG Celle hat mit Urteil vom 19.12.2013 (Az.: 13 U 64/13) entschieden, dass das Inausssichtstellen einer Datenübermittlung an die SCHUFA durch ein Inkassobüro dann unzulässig ist, wenn die Forderung bereits bestritten wurde. Dies gelte auch dann, wenn diese Ankündigung ausdrücklich den Zusatz erhält, dass eine Übermittlung nur bei einredefreien und unbestrittenen Forderungen erfolgen wird. In der Entscheidung heißt es hierzu u.a.:

Bereits die Wiederholung des Hinweises, die konkret die dem Kläger von einer Mitteilung drohenden Nachteile benannte, ließ befürchten, dass die Beklagte davon ausging, zu einer Mitteilung berechtigt zu sein. Zwar enthielt der letzte Satz des Hinweises die – für einen Laien ohnehin möglicherweise schwer verständliche (vgl. dazu OLG Düsseldorf, Urteil vom 9. Juli 2013 – I-20 U 102/12, MDR 2013, 1057) – Einschränkung, dass eine Übermittlung nur dann erfolge, wenn die Forderung einredefrei und unbestritten ist. Angesichts des Umstandes, dass der Kläger jedoch unmittelbar zuvor durch Anwaltsschreiben vom 6. Juli 2012 die geltend gemachte Forderung bestritten hatte, ließ dieser Hinweis der Beklagten vermuten, dass sie – aus welchen Gründen auch immer – das Bestreiten des Klägers nicht für maßgeblich hielt. Dass sie das Bestreiten schlicht versehentlich nicht zur Kenntnis genommen hatte, war und ist aus Sicht eines objektiven Dritten fernliegend, da der Kläger die Forderung bereits ein weiteres Mal zuvor schriftlich bestritten hatte.

Gesetzlicher Hintergrund der Entscheidung des Oberlandesgerichts ist die Vorschrift des § 28a BDSG,wonach eine Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien u.a. dann unzulässig ist, wenn der Schuldner die Forderung bestritten hat. Das OLG Celle hat das Inkassobüro zur Unterlassung dieser Ankündigung verurteilt.

Carlo Piltz bespricht die Entscheidung in seinem Blog ebenfalls.

posted by Stadler at 12:21  
Nächste Seite »