Internet-Law

Bereits vor einigen Wochen hatte ich über eine neue Entscheidung des Kammergerichts berichtet, die eine Entscheidung des Landgerichts Berlin bestätigt hatte, wonach der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen (Urteil vom 24.01.2014, Az.: 5 U 42/12).

Mittlerweile liegt das Urteil im Volltext vor. Die Ausführungen des Gerichts sind vor allem deshalb interessant, weil es eine Anwendbarkeit des deutschen Datenschutzrechts auf Facebook ausdrücklich bejaht. Das OVG Schleswig geht demgegenüber davon aus, dass für Facebook irisches Datenschutzrecht gilt.

Das Kammergericht stellt maßgeblich darauf ab, dass die Datenverarbeitung bei Facebook faktisch nicht in Irland, sondern in den USA bzw. durch die amerikanische Muttergesellschaft erfolgt. Das KG geht insoweit zudem davon aus, dass Facebbook in Deutschland Daten erhebt, weil es inländische „Mittel“ im Sinne der Datenschutzrichtlinie verwendet, indem es Daten – u.a. Cookies – auf den Computern der Nutzer speichert.

Darüber hinaus weist das Kammergericht auch darauf hin, dass das deutsches Datenschutzrecht zudem aufgrund einer Rechtswahl zwischen Facebook und dem Nutzer gelten würde, weil die Nutzungsbedingungen von Facebook ausdrücklich die Geltung des deutschen Rechts vorsehen.

Die Auffassung, dass für Facebook deutsches Datenschutzrecht gilt, habe ich in einem älteren Blogbeitrag ebenfalls vertreten.

Die vielleicht umstrittensten Olympischen Spiele der jüngeren Zeit beginnen in zwei Tagen. Der Deutsche Olympische Sportbund (DOSB) bietet dazu eine offizielle Olympia-App für iOS und Android an, die vollmundig folgendermaßen beworben wird:

Erlebe die Faszination Olympia direkter als je zuvor. Sei ganz nah dran, wenn die Deutsche Olympiamannschaft um Medaillen kämpft. In der App der Deutschen Olympiamannschaft nehmen Dich Deine Stars unter dem Motto „Wir für Deutschland“ mit auf ihre olympische Reise: Training, Wettkämpfe, Olympische Spiele. Sei immer und überall dabei und blicke hinter die Kulissen, wenn es um mehr geht als Gold, Silber und Bronze.

Wer sich die App runterlädt, wird anschließend verschiedenste Werbemails des DOSB und der DOSB New Media GmbH erhalten:

Außerdem informieren wir Dich nach Deiner Anmeldung per E-Mail über News rund um die Themen „Wir für Deutschland“, Deutsche Olympiamannschaft, diese App und weitere Onlineangebote des DOSB e. V. und der DOSB New Media GmbH

Als Jurist reibt man sich da schon mal kräftig die Augen. Denn Onlinewerbemails ohne ausdrückliche Einwilligung des Nutzers (Opt-In), stellen sowohl eine Wettbewerbsverletzung dar als auch eine unerlaubte Handlung im Sinne des BGB. Daniel Mack hat diesbezüglich beim DOSB nachgefragt und ist dort auf die Möglichkeit eines Opt-Out verwiesen worden, wie er in seinem Blog schreibt. Das beseitigt den Rechtsverstoß bekanntlich aber nicht.

Noch bedenklicher ist aber der Umstand, dass man die App effektiv nur nutzen kann, wenn man sich wie z.B. in der Rubrik Fancorner gefordert, mit seinem Facebook- oder Twitter-Account einloggt. Bei einem solchen Facebook-Log-In bekommt man als Nutzer dann den Hinweis, dass die „Deutsche Olympiamannschaft“ folgende Informationen erhält: Öffentliches Profil, Freundesliste und E-Mail-Adresse. Nach einer Datenschutzerklärung die, wie von § 13 TMG gefordert, in verständlicher Form darüber informieren würde, zu welchem Zweck diese Daten erhoben und verarbeitet werden und ob eine Weiterleitung an Dritte erfolgt, sucht man vergeblich. Wer die „Deutsche Olympiamannschaft“ genau ist und damit verantwortliche Stelle im Sinne des Datenschutzrechts wird ebenfalls nicht deutlich gemacht.

Mein Fazit: Die offizielle App des DOSB verstößt gegen geltendes Recht. Datenschutzbehörden und Verbraucherverbände dürfen sich aufgerufen fühlen, dagegen vorzugehen.

Danke an Daniel Mack für den Hinweis. Dass der DOSB hier vielleicht Daten zu Gold machen will, ist keine ganz abwegige Annahme.

Nach § 34 Abs. 4 BDSG müssen Auskunfteien wie die Schufa, die eine Bonitätseinstufung aufgrund eines Scoring-Verfahrens durchführen, dem Betroffenen verschiedene Auskünfte über die dem Scoring zugrunde liegenden Daten und Informationen erteilen.

Hierzu hat der BGH heute entschieden, dass die Schufa zwar Auskunft darüber erteilen muss, welche bei ihr gespeicherten personenbezogenen Daten in ein Scoring-Verfahren einfließen, allerdings nicht darüber, wie die in den Scoring-Wert eingeflossenen Daten gewichtet werden (Urteil vom 28.01.2014, Az.: VI ZR 156/13).

In der Pressemitteilung des BGH heißt es hierzu:

Allerdings hat die Beklagte Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte eingeflossen sind. Diese Auskunft hat die Beklagte gegenüber der Klägerin (teilweise erst im vorliegenden Verfahren) erteilt. Ihr wurden alle bei der Beklagten zu ihrer Person gespeicherten Daten übermittelt. Ferner wurde sie über die in den letzten zwölf Monaten an Dritte übermittelten und die aktuell berechneten Wahrscheinlichkeitswerte sowie über die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten informiert. Die Einzelheiten wurden in einem Merkblatt erläutert.

Einen darüber hinausgehenden Auskunftsanspruch der Klägerin hat das Berufungsgericht zu Recht verneint. Die von ihr beanspruchten konkreten Angaben zu Vergleichsgruppen zählen nicht zu den Elementen des Scoringverfahrens, über die nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG Auskunft zu erteilen ist. Gleiches gilt für die Gewichtung der in den Scorewert eingeflossenen Merkmale. Dem Auskunftsanspruch des § 34 Abs. 4 BDSG liegt die gesetzgeberische Intention zugrunde, trotz der Schaffung einer größeren Transparenz bei Scoringverfahren Geschäftsgeheimnisse der Auskunfteien, namentlich die sog. Scoreformel, zu schützen. Die Auskunftsverpflichtung soll dazu dienen, dass der Betroffene den in die Bewertung eingeflossenen Lebenssachverhalt erkennen und darauf reagieren kann. Hierzu bedarf es keiner Angaben zu Vergleichsgruppen und zur Gewichtung einzelner Elemente. Das gesetzgeberische Ziel eines transparenten Verfahrens wird dadurch erreicht, dass für den Betroffenen ersichtlich ist, welche konkreten Umstände als Berechnungsgrundlage in die Ermittlung des Wahrscheinlichkeitswerts eingeflossen sind. Dieses Ziel wird durch die der Klägerin erteilten Auskünfte erreicht.

Auch wenn bislang nur die Pressemitteilung vorliegt, überzeugt mich die Entscheidung des BGH auf den ersten Blick nicht. Nach dem Gesetz hat der Betroffene ganz ausdrücklich Anspruch darauf, über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form informiert zu werden. Das Zustandekommen und die Bedeutung eines einzelnen Scoring-Werts kann man allerdings nur dann nachvollziehen, wenn man weiß, wie der Scoring-Wert zustande gekommen ist und das erfordert eine Kenntnis der Gewichtung der verschiedenen Einzelaspekte.

Das Landgericht Berlin hatte mit Urteil vom 06.03.2012 (Az.: 16 O 551/10) entschieden, dass der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen. Zum Urteil des Landgerichts Berlin hatte ich hier, hier und hier gebloggt.

Gegen dieses Urteil hat Facebook erwartungsgemäß Berufung eingelegt, die mit Urteil des Kammgerichts vom 24.01.2014 (Az.: 5 U 42/12) zurückgewiesen wurde. Die schriftliche Urteilsbegründung liegt noch nicht vor, in der sehr knappen Pressemitteilung des KG heißt es:

Das Landgericht Berlin hatte der Facebook Ireland Limited mit Urteil vom 6. März 2012 bestimmte Verfahrensweisen bei der Versendung von Freundschaftsanfragen an Dritte untersagt und die Verwendung eines unzureichenden Hinweises auf Datenimport bei der Registrierung beanstandet. Ferner hatte es Facebook die Verwendung verschiedener Vertragsklauseln verboten (vgl. PM 11/2012 und 12/2012). Hiergegen hatte Facebook Berufung zum Kammergericht eingelegt, die heute vom Kammergericht zurückgewiesen worden ist.

Das OLG Celle hat mit Urteil vom 19.12.2013 (Az.: 13 U 64/13) entschieden, dass das Inausssichtstellen einer Datenübermittlung an die SCHUFA durch ein Inkassobüro dann unzulässig ist, wenn die Forderung bereits bestritten wurde. Dies gelte auch dann, wenn diese Ankündigung ausdrücklich den Zusatz erhält, dass eine Übermittlung nur bei einredefreien und unbestrittenen Forderungen erfolgen wird. In der Entscheidung heißt es hierzu u.a.:

Bereits die Wiederholung des Hinweises, die konkret die dem Kläger von einer Mitteilung drohenden Nachteile benannte, ließ befürchten, dass die Beklagte davon ausging, zu einer Mitteilung berechtigt zu sein. Zwar enthielt der letzte Satz des Hinweises die – für einen Laien ohnehin möglicherweise schwer verständliche (vgl. dazu OLG Düsseldorf, Urteil vom 9. Juli 2013 – I-20 U 102/12, MDR 2013, 1057) – Einschränkung, dass eine Übermittlung nur dann erfolge, wenn die Forderung einredefrei und unbestritten ist. Angesichts des Umstandes, dass der Kläger jedoch unmittelbar zuvor durch Anwaltsschreiben vom 6. Juli 2012 die geltend gemachte Forderung bestritten hatte, ließ dieser Hinweis der Beklagten vermuten, dass sie – aus welchen Gründen auch immer – das Bestreiten des Klägers nicht für maßgeblich hielt. Dass sie das Bestreiten schlicht versehentlich nicht zur Kenntnis genommen hatte, war und ist aus Sicht eines objektiven Dritten fernliegend, da der Kläger die Forderung bereits ein weiteres Mal zuvor schriftlich bestritten hatte.

Gesetzlicher Hintergrund der Entscheidung des Oberlandesgerichts ist die Vorschrift des § 28a BDSG,wonach eine Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien u.a. dann unzulässig ist, wenn der Schuldner die Forderung bestritten hat. Das OLG Celle hat das Inkassobüro zur Unterlassung dieser Ankündigung verurteilt.

Carlo Piltz bespricht die Entscheidung in seinem Blog ebenfalls.

Dass die umstrittene Richtlinie über die Vorratsdatenspeicherung vom EuGH nicht gänzlich unbeanstandet bleiben würde, konnte man nach dem kritischen Fragenkatalog des Gerichts fast erwarten. Die Ansicht des Generalanwalt beim EuGH in seinem Schlussantrag, wonach die Richtlinie in vollem Umfang mit dem Verhältnismäßigkeitsgrundsatz des Art. 52 der Grundrechtecharta unvereinbar ist, überrascht dann allerdings doch.

Der EuGH ist freilich an dieses Votum nicht gebunden, folgt ihm allerdings häufig, aber durchaus nicht immer.

Der Generalanwalt lehnt sich inhaltlich an die Entscheidung des BVerfG an, indem er insbesondere rügt, dass der Unionsgesetzgeber selbst keinerlei Schutzmaßmechanismen im Hinblick auf den Datenzugriff und die Auswertung der Daten vorgesehen hat. Hierzu heißt es im Schlussantrag:

Der Unionsgesetzgeber darf es, wenn er einen Rechtsakt erlässt, mit dem Verpflichtungen auferlegt werden, die mit qualifizierten Eingriffen in Grundrechte der Unionsbürger verbunden sind, nämlich nicht vollständig den Mitgliedstaaten überlassen, die Garantien festzulegen, die sie zu rechtfertigen vermögen. (…)

Somit war es – ohne Anspruch auf Vollständigkeit – Sache des Unionsgesetzgebers, die Grundprinzipien zu definieren, die für die Festlegung der Mindestgarantien zur Beschränkung des Zugangs zu den erhobenen und auf Vorrat gespeicherten Daten und ihrer Auswertung gelten sollten (…)

Der Generalanwalt beanstandet zudem auch die in der Richtlinie vorgesehene Speicherdauer von bis zu zwei Jahren, wobei anderseits zum Ausdruck kommt, dass er eine Speicherdauer von unter einem Jahr durchaus noch für angemessen halten würde.

Nach Ansicht des Generalanwalts verstößt die jetzige Richtline über die Vorratsdatenspeicherung in vollem Umfang gegen europäische Grundrechte. Andererseits macht er aber auch deutlich, dass eine Richtlinie, die die von ihm gemachten Vorgaben beachtet, durchaus grundrechtskonform ausgestaltet werden könnte.

Man darf gespannt, wie der Europäische Gerichtshof entscheidet und ob er dem Vorschlag des Generalanwalts folgt.

§ 81 h StPO sieht sog. Massengentests vor. Allerdings sind diese grundsätzlich freiwillig und bedürfen der schriftlichen Einwilligung der Betroffenen. Bei der Fahndung in Mordfällen wird freilich ein erheblicher Druck erzeugt, weil sich der Testverweigerer zwangsläufig verdächtigt macht. Diese Regelung will die große Koalition nach einem Bericht von ZEIT-Online jetzt dahingehend ausweiten, dass künftig zur Aufklärung von Sexual- und Gewaltverbrechen bei Massengentests auch sogenannte Beinahetreffer verwertet werden können, wenn die Teilnehmer vorab über die Verwertbarkeit zulasten von Verwandten belehrt worden sind. Dieses „Family-Searching“ wäre bereits deshalb problematisch, weil damit das Erfordernis der Einwilligung des Betroffenen umgangen würde.

Derzeit dürfen festgestellte DNA-Identifizierungsmuster mit den DNA-Identifizierungsmustern von Spurenmaterial automatisiert abgeglichen werden, um feszustellen, ob das Spurenmaterial von diesen Personen stammt. Künftig könnte man dann auch feststellen, ob das Spurenmaterial zu einem Verwandten einer Person passt, deren DNA man schon erfasst hat. Dieser Verwandte hat natürlich nie in den Gentest eingewilligt. Das ist nicht nur verfassungsrechtlich fragwürdig, sondern erhöht auch die Gefahr der Verdächtigung oder gar Verurteilung Unschuldiger. Denn es gibt auch uneindeutiges Spurenmaterial, das nicht wissenschaftlich exakt einer Person zuzuordnen ist.

In allen möglichen Bereichen erliegt die Politik immer wieder der Verlockung, alles das was technisch möglich ist bzw. möglich erscheint, auch umzusetzen. Das läuft auf eine rechtsstaatswidrige Ermittlung um jeden Preis hinaus, die die Grenze zum Unrechtsstaat langsam verwischt.

(via lawblog)

Laut einer Pressemitteilung des Verbraucherzentrale Bundesverbands hat das Landgericht Berlin (Az.: 15 O 402/12) entschieden, dass 25 Klauseln aus den Nutzungs- und Datenschutzbestimmungen von Google unwirksam sind. Auf Abmahnung des vzbv hatte sich Google geweigert, eine Unterlassungserklärung abzugeben, weshalb der Verband Unterlasusngsklage erhoben hat. Dass die Datenschutzerklärung von Google nicht rechtskonform ist, hatte ich bereits vor längerer Zeit erläutert.

Das schriftliche Urteil dürfte noch nicht vorliegen. Man darf auf die Urteilsbegründung gespannt sein.

Porf. Franz C. Mayer geht im Verfassungsblog der interessanten Frage nach, ob gegen die Abhöraktionen des britischen Geheimdienstes GCHQ mit Mitteln des EU-Rechts vorgegangen werden kann.

Mayer sieht zunächst Kerngewährleistungen des Unionsrechts betroffen, die sich u.a. aus Art. 8 der Charta der Grundrechte, aus Art. 16 AEUV und den Richtlinien zum Datenschutz (95/46/EG und 2002/58/EG) ergeben.

Sodann weist Mayer aber auf den Umstand hin, dass diese Kerngewährleistungen die Mitgliedsstaaten häufig gar nicht binden. Darauf, dass das europäische Datenschutzrecht den Bereich Strafverfolgung, innere Sicherheit und Staatsicherheit der Mitgliedsstaaten nicht regelt und insbesondere keine Handhabe gegen die Datenerhebung durch Geheimdienste bietet, hatte ich hier ebenfalls hingewiesen.

Mayer meint gleichwohl, dass diese Bereichsausnahmen des Europarechts für öffentliche und nationale Sicherheit eventuell nicht eingreifen werden, weil die britischen Maßnahmen zu breit, zu unbestimmt und zu ungezielt sein könnten. Sollte es ein diesbezügliches Verfahren vor dem EuGH geben, dürfte auch die Frage zentral sein, ob die europäischen Grundrechte nur die EU-Organe oder auch die Mitgliedsstaaten binden, was nach der Grundrechtecharta allerdings zweifelhaft erscheint.

Das Ganze ist am Ende aber natürlich auch eine politische Frage. Was ist die Gewährleistung eines hohen Datenschutzniveaus durch die EU denn überhaupt wert, wenn einzelne Mitgliedsstaaten gleichzeitig in uferloser Art und Weise den Internet- und Telefonverkehr überwachen und anlasslos und massenhaft Daten speichern? Zumal dies, wie wir mittlerweile wissen, durchaus auch zum Zwecke der Polit- und Wirtschaftsspionage geschieht.

Mayer fordert in seinem Beitrag schließlich mit Blick auf das deutsche Recht und die Rolle des BND, dass die sog. „strategische Fernmeldeu?berwachung“ – die in der Tat ein Relikt aus dem Kalten Krieg ist – eineinhalb Jahrzehnte nach der letzten Äußerung des BVerfG auf den verfassungsrechtlichen Prüfstand gehört. Eine Forderung, mit der er bei mir offene Türen einrennt.

Wir brauchen insoweit aber nicht nur eine neue juristische Debatte, sondern vor allen Dingen auch eine gesellschaftliche. Der tatsächliche Umfang der Überwachung durch Geheimdienste war einer breiten Öffentlichkeit bislang nicht bekannt, weil er von der Politik gezielt verschleiert wird und die Medien zu wenig berichtet haben. Es ist deshalb essentiell, die Rolle des BND bei der Überwachung des Internets besser auszuleuchten und kritisch zu hinterfragen.

Wie die Deutsche Apothekerzeitung berichtet, hat das Verwaltungsgericht Schleswig dem schleswig-holsteinischen Datenschutzbeauftragten Thilo Weichert verschiedene Aussagen, wonach das Münchener Apothekenrechenzentrum VSA bei der Verarbeitung von Rezeptdaten gegen datenschutzrechtliche Vorschriften verstößt, untersagt.

Weichert hatte über die VSA u.a. wörtlich gesagt: „Für die VSA und den IMS-Konzern ist die illegale Nutzung der Rezeptdaten ein lohnendes Geschäftsmodell, das sie anscheinend solange fortsetzen wollen, bis es ihnen gerichtlich untersagt wird“. Außerdem hat Weichert in verschiedenen Interviews behauptet, bei der VSA würden Daten, die dann weitergegeben werden, nicht ausreichend anonymisiert.

Weichert ist für seine forsche Art, die häufig auch juristisch über das Ziel hinausschießt, bekannt. In letzter Zeit war das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, dem Weichert vorsteht, mehrfach vor den Verwaltungsgerichten unterlegen.