Internet-Law

Gerade habe ich versucht, mich online zum Netzkongress der CSU anzumelden. Aber die CSU macht die Anmeldung davon abhängig, dass man sich mit der Zusendung aktueller Informationen zur Politik, den Veranstaltungen und den Terminen der CSU einverstanden erklärt und mit einer Speicherung und Verwendung der Anmeldedaten zu diesem Zweck. Wenn man das entsprechende Häkchen nicht setzt, kann man sich nicht zum Netzkongress anmelden, sondern erhält den Hinweis, dass die „Datenschutz-Zustimmung“ fehlt:

Anmelden kann sich online bei der CSU also nur, wer gleichzeitig erklärt, dass sein E-Mail-Account mit politischer Information bzw. Werbung geflutet werden darf und diesbezüglich natürlich auch in die Speicherung seiner Anmeldedaten einwilligt.

Nachdem insoweit von einer Datenschutz-Zustimmung – gemeint ist wohl eine Einwilligung – die Rede ist, müssen auch die Vorgaben des § 13 Abs. 2 TMG beachtet werden. Zudem müsste die Einwilligungserklärung getrennt von anderen Erklärungen stehen und gesondert hervorgehoben sein.

Liebe CSU, ich wäre gern zu eurem Netzkongress gekommen, aber ich glaube so wird das nichts mit uns.

Was vielen Juristen schon länger klar war, ist nunmehr in Deutschland auch erstmals gerichtlich bestätigt worden. Mehrere von Apple verwendete Datenschutzklauseln sind rechtswidrig.

Das Landgericht Berlin (Urteil vom 30.04.2013, AZ.: 15 O 92/12) verurteile Apple, auf eine Klage des Verbraucherzentrale Bundesverband e.V. hin, zur Unterlassung von insgesamt acht für Apple zentralen Datenschutzklauseln.

Danach ist die Regelung, nach der Apple und seine verbundenen Unternehmen die Kundendaten untereinander austauschen und mit anderen Daten verbinden können, ebenso unwirksam, wie die Klausel, dass Apple auch Daten von Freunden und Familienangehörigen erheben darf, die der Apple-Kunde im Rahmen des Produktversandes oder aus anderen Gründen zur Verfügung stellt. Unwirksam ist zudem die Klausel, wonach die Erhebung von personenbezogenen Daten gleichzeitig dazu berechtigt, den Kunden über neue Produkte, Updates und Veranstaltungen zu informieren.

Auch die Klauseln, nach denen Apple die erhobenen Daten an strategische Partner und andere Dritte weitergeben darf, um beispielsweise Produkte zur Verfügung zu stellen oder Apple beim Marketing gegenüber Kunden zu helfen, hat das Landgericht Berlin beanstandet.

Ebenfalls rechtswidrig sind die Regeln zur Erhebung von Standortdaten der Apple-Nutzer (Geolocation).

Das Gericht beanstandet im Einzelnen immer wieder, dass Apple eine nur allgemeine und globale Einwilligung in Datenverarbeitungsprozesse einholt, ohne, dass der Kunde erfährt, welche Daten konkret betroffen sind. Auch die fehlende Erläuterung des Zwecks der Datenverarbeitung wird mehrfach beanstandet und bei der Datenweitergabe an Dritte auch die fehlende Information darüber, wer diese Dritten sind.

Apple wird diese Entscheidung vermutlich nicht rechtskräftig werden lassen und Berufung einlegen. Einige der Klauseln sind allerdings derart intransparent, dass man überwiegende Erfolgsaussichten von Apple wohl kaum attestieren kann.

Der vzbv geht in letzter Zeit verstärkt auch gegen die großen Player der TK- und IT-Wirtschaft vor und nimmt damit die Interessen der Nutzer und Verbraucher sehr effektiv wahr.

Der Kollege Dosch berichtet ebenfalls etwas ausführlicher über das Urteil.

Update:
Der Kollege Carlo Piltz thematisiert zu Recht die Frage, ob deutsches Datenschutzrecht hier überhaupt anwendbar ist und kritisiert die diesbezügliche Begründung des Landgerichts. In einem älteren Blogbeitrag habe ich am Beispiel Facebooks schon einmal dargelegt, weshalb ich deutsches Datenschutzrecht in derartigen Konstellationen für anwendbar halte. Die Frage ist freilich derzeit äußerst umstritten, wie aktuelle verwaltungsgerichtliche Entscheidungen aus Schleswig-Holstein zeigen.

Die vom Kollegen Härting geäußerte Kritik an der Entscheidung des Landgerichts Berlin teile ich nicht. Sie wählt bereits einen unzutreffenden Ansatz. Nach dem geltenden Recht ist eine Datenverarbeitung nur dann zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsvorschrift die Datenverarbeitung erlaubt (§§ 4 Abs. 1 BDSG, 12 Abs. 1 TMG). Rechtsvorschriften, die die gerügte Datenverarbeitung erlauben würden, sind nicht ersichtlich.

Apple könnte sich also nur auf eine Einwilligung berufen, die man bei Apple in der Tat versucht im Hinblick auf diese Klauseln auch einzuholen. Die mir bekannten Einwilligungserklärungen von Apple genügen aber noch nicht einmal den formellen Anforderungen von § 13 Abs. 2 TMG. Weder kann der Nutzer den Inhalt der Einwilligung jederzeit abrufen, noch wird er darüber unterrichtet, dass er die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Inhaltlich gilt im deutschen Datenschutzrecht der Grundsatz der informierten Einwilligung. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Er muss also konkret darüber informiert werden, welche Daten erhoben werden und was mit diesen Daten dann genau passiert. Dazu findet man in den schwammigen Klauseln von Apple aber nichts erhellendes.

Die Klauseln von Apple weichen also von den wesentlichen Grundgedanken der §§ 12 Abs. 1 TMG, 4 Abs. 1 BDSG  ab und sind daher als AGB nach § 307 BGB unwirksam.

Facebook darf vorerst auch weiterhin die Konten von Nutzern, die nicht ihre Klarnamen angeben, sperren. Das Oberverwaltungsgericht Schleswig hat die Beschwerden des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen Eilentscheidungen des Verwaltungsgerichts Schleswig zurückgewiesen (Beschlüsse vom 22. April 2013, Az.: 4 MB 10/13 und 11/13).

Auch wenn es sich lediglich um ein Eilverfahren handelt, dürfte es damit für das ULD im Hauptsacheverfahren schwierig werden. Denn das OVG wird seine rechtliche Einschätzung, wonach Facebook nicht an deutsches Datenschutzrecht gebunden ist, vermutlich aufrecht erhalten. Aber vielleicht marschiert Thilo Weichert ja bis zum Bundesverwaltungsgericht.

Warum ich die Ansicht, Facebook sei nicht an deutsches Datenschutzrecht gebunden, für falsch halte und dennoch das Vorgehen des ULD nicht als gerechtfertigt ansehe, habe ich hier und hier erläutert.

Der Bayerische Landesbeauftragte für den Datenschutz hat 66 bayerische Behörden bzw. öffentliche Stellen aufgefordert, die direkte Einbindung von Social Plugins – wie den Gefällt-Mir-Button von Facebook – in ihren Internetauftritt zu unterlassen.

Nach Auffassung der Datenschutzbehörde ist die Einbindung von Social Plugins in die eigene Website datenschutzwidrig. In einer Orientierungshilfe für öffentliche Stellen erläutert der Datenschutzbeauftragte seine Rechtsauffassung folgendermaßen:

Durch eine bloße direkte Einbindung erhält die hinter dem Social Plugin stehende Stelle (beispielsweise Facebook) allein durch den Aufruf der Behördenseite als Information zumindest die IP-Adresse des Seitenbesuchers (bzw. des von ihm verwendeten Rechners), Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite. Im Falle von Facebook fließen die entsprechenden Daten in die USA. Dieser Datenfluss ist unabhängig davon, ob der Besucher der Behördenwebseite ein Mitglied von Facebook ist oder auch nur jemals eine Facebookseite besucht hat.

Auf der Grundlage, dass IP-Adressen personenbezogene Daten sind, gilt Folgendes: Dieser Datenfluss erfolgt ohne gesetzliche Befugnis und regelmäßig ohne wirksame Einwilligung zumindest bei Besuchern der Behördenwebseite, die keine Facebookmitglieder sind.

Eine bayerische Behörde, die durch die direkte Einbindung des Social Plugins in ihre Webseite diesen Informationsfluss erst ermöglicht, muss sich eine entsprechende (Mit-)Verantwortlichkeit zurechnen lassen. Damit werden die datenschutzrechtlichen Vorgaben des Telemediengesetzes, beispielsweise §§ 12, 13 TMG, von dieser Behörde nicht erfüllt.

Über den gerade beschriebenen Datenfluss hinaus können im Übrigen je nach Konstellation weitere Datenflüsse erfolgen, bei denen Datenschutzverstöße im Raum stehen. Enthält der Browser eines Behördenseitenbesuchers etwa bereits einen Facebook Cookie, so wird dieser mit bloßem Aufruf der Behördenseite durch Facebook erkannt und ausgelesen. Facebook Cookies werden übrigens auch in die Browser von Nicht-Facebookmitgliedern gesetzt, wenn sie eine Facebookseite besuchen oder einen Like-Button anklicken.

Diese Vorgaben des Bayerischen Datenschutzbeauftragten gelten unmittelbar nur für Behörden und öffentliche Stellen, da der Datenschutzbeauftragte in Bayern nur für den öffentlichen Bereich zuständig ist. Für Private, insbesondere Unternehmen, ist in Bayern das Landesamt für Datenschutzaufsicht die zuständige Aufsichtsbehörde. In einigen anderen Bundesländern existiert diese gesplittete Zuständigkeit nicht, dort ist vielmehr der Landesdatenschutzbeaftragte sowohl für den öffentlichen als auch den nichtöffentlichen Bereich zuständig.

Die Verbraucherzentrale Bundesverbandes (vzbv) hat Google wegen eines Verstoßes gegen die gesetzlichen Impressumspflichten des § 5 TMG abgemahnt.

Hintergrund ist der Umstand, dass die im Impressum von Google angegebene E-Mail-Adresse keine direkte Kontaktaufnahme mit dem Suchmaschinenanbieter ermöglicht. Wer sich an die angegebene Adresse support-de@google.com wendet, enthält nur eine automatisierte Antwort, die Mails werden aber tatsächlich von niemandem gelesen, wie es im GoogleWatchBlog heißt. In der automatisierten Antwortmail wird stattdessen auf Onlinekontaktformulare verwiesen.

Das Gesetz fordert in § 5 Abs. 1 Nr. 2 TMG

Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation (…) ermöglichen, einschließlich der Adresse der elektronischen Post.

Auch die zugrundeliegende E-Commerce-Richtlinie verlangt die Möglichkeit einer schnellen Kontaktaufnahme und einer unmittelbaren und effizienten Kommunikation.

Diese Voraussetzungen dürften im Falle eines Autoresponders, der nur auf verschiedene Onlinekontaktformulare verweist, kaum erfüllt sein. Der Sinn der Angabe einer E-Mail-Adresse besteht nämlich gerade darin, dass sich der Nutzer damit direkt an den Anbieter wenden kann.

Mir wurde heute eine nette kleine Anekdote zum Thema Datenschutz in Schilda Deutschland zugetragen. Der niedersächsische Datenschutzbeauftragte war bekanntlich ja schon immer mal für eine datenschutzrechtliche Groteske gut und er liefert auch aktuell wieder.

Denn der Landesdatenschutzbeauftragte verstößt – wie auch der gesamte Server niedersachsen.de – höchstselbst gegen datenschutzrechtliche Vorschriften.

Die Website des Landesdatenschutzbeauftragten enthält nämlich folgenden Tracking-Code des Tools Piwik:

In der Datenschutzerklärung des Landesdatenschutzbeauftragten findet sich dazu nichts. An anderer Stelle kann man allerdings beim Datenschutzbeauftragten den folgenden Hinweis finden:

Aus datenschutzrechtlicher Sicht sind viele der bekannten verwendeten Webtracking-Dienste unzulässig

Das würde ich so pauschal zwar nicht formulieren. Unzulässig ist es aber in jedem Fall dann, wenn man die Nutzer des Angebots nicht auf das Tracking hinweist. Die Nutzung des Tracking-Tools gehört wegen § 13 Abs. 1 TMG zumindest in die Datenschutzerklärung.

Wer kontrolliert eigentlich Datenschutzbehörden, die sich selbst nicht an die gesetzlichen Vorgaben halten?

Mit Urteil vom 07.03.2013 (Az.: III ZR 231/12) hat der BGH über die Frage der Zulässigkeit einer fristlosen Kündigung eines Telefon- und DSL-Anschlussvertrags mit einer Laufzeit von 24 Monaten entschieden. Als wichtiger Kündigungsgrund wurde der Umstand angesehen, dass die Rufnummernmitnahme nicht funktioniert hat – was im konkreten Fall auf Versäumnisse des alten Anbieters zurückzuführen war – und der Kunde nach dem Wechsel nicht aus allen Netzen erreichbar war.

Der beklagte Kunde hatte einen Vertrag mit einem Pauschaltarif (Flatrate) für Telefon und Internetnutzung mit einer Vertragslaufzeit von 24 Monaten abgeschlossen und den vom klagenden TK-Unternehmen angebotenen Service in Anspruch genommen, seine alte Rufnummer mitzunehmen.

Nach der Umstellung bemerkte der Beklagte, dass sein Anschluss nur noch aus dem Netz des neuen Anbieters erreichbar war, aber nicht mehr aus dem Netz der Telekom (sein früherer Anbieter). Nachdem der Fehler trotz mehrfacher Rügen innerhalb eines Zeitraums von drei Wochen nicht behoben worden war, erklärte der Kunde die fristlose Kündigung des abgeschlossenen Vertrags. Der Anbieter akzeptierte die Kündigung nicht und stellte weiterhin die monatlichen Grundentgelte in Rechnung.

Der Bundesgerichtshof hat das Urteil des Berufungsgerichts bestätigt und die außerordentliche Kündigung für wirksam gehalten.

Der BGH weist zunächst darauf hin, dass er dazu neigt, Verträge über den Zugang zum Internet und zum Telefonfestnetz als Dienstvertrag zu qualifizieren. Er lässt dies aber offen, weil die fristlose Kündigung sowohl nach § 626 BGB als auch der allgemeineren Vorschrift des § 314 BGB gerechtfertigt war.

Das von dem TK-Anbieter behauptete Versäumnis des früheren Netzbetreibers (Telekom) bei der Aktualisierung der Portierungsdatenbanken fällt nach Ansicht des BGH nämlich in den Risikobereich des neuen Abieters, wenn dieser die gesamte Abwicklung des Anbieterwechsels, einschließlich der Mitnahme der bisherigen Rufnummer übernommen hat. Das beinhaltet dann auch die Abwicklung und Auseinandersetzung mit dem bisherigen Anbieter.

Die mehrwöchige Nichterreichbarkeit des Anschlusses stellt nach Ansicht des BGH einen wichtigen Grund zur Kündigung des Vertrags dar, weil damit eine wesentliche Funktion des Telefons, mithin ein entscheidender Teil der von der Klägerin geschuldeten Leistung, ausfiel. Im konkreten Fall kam erschwerend hinzu, dass die Klägerin ein vergleichsweise kleines Netz unterhält und insbesondere Anrufe aus dem Netz der Telekom nicht möglich waren.

Der BGH stellt außerdem klar, dass es für die Rechtzeitigkeit der Kündigung nicht auf den Zeitpunkt ankommt, zu dem der Beklagte Kenntnis davon erhalten hat, dass sein Anschluss aus Fremdnetzen nicht erreichbar war. Dieser Umstand allein hätte noch kinen wichtigen Grund für eine fristlose Kündigung dargestellt. Vielmehr war der Klägerin Gelegenheit zu geben, diesen Mangel binnen angemessener Frist abzustellen. Der wichtige Grund, der zur fristlosen Kündigung berechtigte, ergab sich nach Ansicht des BGH dann erst aus dem ergebnislosen Verstreichen der Frist zur Behebung des Fehlers.

In verschiedenen Bundesländern gab es Bemühungen, auf eine gesetzliche Regelung zur Einschränkung der Störerhaftung von Betreibern offener W-LANs hinzuwirken. Die Linke hat auch einen Gesetzesentwurf in den Bundestag eingebracht.

Die Bundesregierung sieht nach einem aktuellen Bericht von SPON aber keinen Handlungsbedarf und will vielmehr eine Entscheidung des BGH abwarten.

Was der BGH im Bereich der Störerhaftung entscheidet, bewegt sich äußerst nahe an einer Ersatzgesetzgebung. Die Grenzen zur Rechtspolitik sind an dieser Stelle fließend. Die Kritiker der Störerhaftung haben seit jeher darauf verwiesen, dass die Störerhaftung eine voraussetzungsarme aber haftungsreiche Rechtskonstruktion sei. Und das beschreibt es auch sehr trefflich. Die Störerhaftung verfügt letztlich über keine vernünftige dogmatische Grundlage, sondern stellt im Ergebnis nichts weiter dar als Billigkeitsrechtsprechung. Und was angemessen ist, entscheidet dann eben nicht der Gesetzgeber, sondern in urheberrechtlichen Fragen die Richter des I. Senats des BGH. Was dabei herauskommen kann, verdeutlicht die fragwürdige „Sommer unseres Lebens“ Entscheidung des BGH wohl am Deutlichsten. Hier zeigt sich eine Fehlentwicklung, die zu korrigieren wäre.

Der BGH hat sich in den Filesharingfällen außerdem dazu entschlossen, äußerst eng am jeweiligen Sachverhalt zu bleiben und gerade nicht zu einem Rundumschlag auszuholen. Wir werden deshalb noch Jahre warten müssen, bis halbwegs alle relevanten Fallkonstellationen entschieden sein werden.

Der Eindruck, dass diese Bundesregierung gerade beim Thema Netzpolitik, aber nicht nur dort, äußerst mutlos agiert, drängt sich nicht zum ersten mal auf.

Das Verwaltungsgericht Schleswig hat in zwei Verfahren des einstweiligen Rechtsschutzes den Anträgen von Facebook stattgegeben.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte Facebook per Verwaltungsakt verpflichtet, registrierte Facebooknutzer aus Schleswig-Holstein, die allein wegen der Nichtangabe oder der nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung gesperrt wurden, zu entsperren.

Das Verwaltungsgericht ist nach summarischer Prüfung der Ansicht, dass deutsches Datenschutzrecht nicht anwendbar sei und stellte die aufschiebende Wirkung der Bescheide wieder her, mit der Folge, dass sie vorläufig nicht vollzogen werden können. Die Ansicht des VG halte ich für unzutreffend. Warum deutsches Datenschutzrecht auch für Facebook gilt, habe ich in einem älteren Beitrag ausführlich erläutert.

Die aktuellen Bescheide des ULD sind nach meiner Einschätzung aus anderen Gründen dennoch rechtswidrig.

Die vorliegenden Verfahren werden vermutlich einerseits im Hauptsacheverfahren abschließend entschieden und voraussichtlich aber mindestens bis zum Oberverwaltungsgericht fortgesetzt werden. Es bleibt also spannend.

Gewerbsmäßige Facebookprofile unterliegen nach einer neuen Entscheidung des Landgerichts Regensburg (Urteil vom 31.01.2013, Az.:1 HK O 1884/12) den Informationspflichten des § 5 TMG. Das Fehlen eines Impressums ist nach Ansicht des Gerichts wettbewerbswidrig. Ähnlich hatte bereits das Landgericht Aschaffenburg entschieden.

Die Entscheidung des LG Regensburg ist auch deshalb interessant, weil ihr offenbar eine wettbewerbsrechtliche Massenabmahnung zugrunde lag. Das Gericht geht insweit davon aus, dass 180 Abmahnungen binnen einer Woche, auch wenn der Abmahner ein eher kleiner Betrieb ist, allein nicht ausreichend sind, um auf einen Rechtsmissbrauch schließen zu können.