Kategorie-Archiv: Social Media

EuGH: Safe-Harbor-Entscheidung mit den USA ungültig

Der EuGH folgte in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook] – Volltext) in seiner Entscheidung vom 6.10.2015 den Schlussanträgen (siehe Beitrag auf dieser Website) des Generalanwalts Bot. Demnach ist die Übermittlung von personenbezogenen Daten von Nutzern in Europa in die USA nicht schon auf Grundlage der sog. Safe-Harbor-Entscheidung (2000/520/EG v. 26.7.2000) durch ein „angemessenes Schutzniveau“ geschützt. Die Safe-Harbor-Entscheidung der EU-Kommission ist vielmehr ungültig, und die Datenschutzbehörden der befassten Mitgliedsstaaten sind befugt eigenständig zu prüfen, inwiefern für die USA ein sog. „angemessenes Schutzniveau“ besteht.

Inhalt des Urteils

Die Richtlinie 95/46/EG (Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281, S. 31 ff) regelt, dass eine Übermittlung von personenbezogenen Daten in ein sog. Drittland (ein Staat außerhalb von EU/EWR) nur zulässig ist, wenn dieses Drittland ein „angemessenes“ Schutzniveau der Daten gewährleistet. Nach der Richtlinie ist die Kommission legitimiert zu bestimmen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, etwa aufgrund des innerstaatlichen Rechts oder internationaler Verpflichtungen. Letztere ist die sog. Safe-Harbor-Entscheidung (näher: Beitrag auf dieser Website).

Der EuGH führt in dem Urteil vom 6.10.2015 aus, dass eine Aufsichtsbehörde aufgrund der Vermutung der Rechtmäßigkeit von Rechtsakten solange keine zuwiderlaufende Maßnahme gegen die Safe-Harbor-Entscheidung treffen könne, wie die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt werde. Aus diesem Grunde „ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese […] um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Denn der Aufsichtsbehörde müsse – trotz einer Entscheidung der Kommission – die Möglichkeit bleiben, in völliger Unabhängigkeit prüfen zu können, ob bei der Übermittlung von Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Daher könne eine Entscheidung der Kommission (hier: Safe-Harbor-Entscheidung), die Aufsichtsbehörde nicht an der Kontrolle der Übermittlung personenbezogener Daten in Drittländer hindern.

Sodann prüft der EuGH die Gültigkeit der Safe-Harbor-Entscheidung und erklärt diese für ungültig. Er beanstandet u.a., dass die Safe-Harbor-Entscheidung nur für Unternehmen mit Sitz in den USA gelte, nicht aber für die Behörden innerhalb der USA. Darüber hinaus werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung eingeräumt, weshalb die Unternehmen in den USA „ohne jede Einschränkung verpflichtet [sind], die Grundsätze […] unangewandt zu lassen“, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Dadurch werde ein Eingriff der US Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermöglicht. Hinzu komme das fehlende Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe.

Schließlich fehle die Möglichkeit des Betroffenen mittels gerichtlichen Rechtsbehelfen den Zugang zu den ihn betreffenden Daten zu erhalten und ggf. deren Berichtigung oder Löschung zu erwirken, was den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletze.
Die Entscheidung trifft die Meinung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.3.2015, die gemäß ihrer Entschließung ebenfalls auf dem Standpunkt steht, dass Safe-Harbor kein angemessenes Schutzniveau gewährleistet.

Folgen des Urteils

Die irische Datenschutzbehörde muss nun die Beschwerde von Herrn Schrems prüfen, was sie im Prüfungsverfahren abgelehnt hatte. Stellt sie fest, dass die USA kein angemessenes Schutzniveau im Sinne der Richtlinie aufweist, hat sie die Übermittlung der personenbezogenen Daten der europäischen Nutzer des Social-Media-Anbieters Facebook in die USA auszusetzen. Denkbar ist aber auch, dass die irische Datenschutzbehörde ein angemessenes Schutzniveau feststellt, was Herrn Schrems wahrscheinlich dazu bewegen wird, das Verfahren weiter zu betreiben und erneut den High Court anzurufen, sofern eine beschwerdefähige Entscheidung ergeht.

Aus alledem folgt, dass nationale Aufsichtsbehörden innerhalb der EU die Übermittlung europäischer Daten auf US-Server verbieten können. Das Urteil wirkt sich nicht nur auf personenbezogene Daten der Facebook-Nutzer aus, sondern betrifft sämtliche der mehr als 4.000 Unternehmen mit Sitz in den USA, die sich dem Safe-Harbor-Abkommen im Wege einer Selbstzertifizierung unterworfen haben. Dies führt dazu, dass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss, sofern nicht im Einzelfall unter Nutzung der EU Model Contracts vorgegangen wird. Die einzuhaltenden Grundsätze hat der EuGH in seinem Urteil skizziert. Das Urteil trifft vor allem kleinere Unternehmen, die sich bislang auf die Safe-Harbor-Entscheidung verlassen haben. Unternehmen müssen nun die Zulässigkeit der Datenübermittlung prüfen und auf andere Weise sicherstellen.

 

Generalanwalt EuGH: Safe-Harbor steht nicht über der Entscheidungsbefugnis nationaler Aufsichtsbehörden

In seinem Schlussantrag in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook], veröffentlicht am 23.09.2015 – Volltext) äußert der Generalanwalt am EuGH, Yves Bot, die Auffassung, dass die sog. Safe-Harbor-Entscheidung der EU-Kommission (2000/520/EG, ABl. L 215/7 v. 25.8.2000 – Volltext) nicht dem Vorhaben der irischen Aufsichtsbehörde entgegenstehe, die Übermittlung von Daten europäischer Facebook-Nutzer an Server in den Vereinigten Staaten verbieten zu können.

Hintergrund

Facebook als amerikanischer Social-Media-Anbieter unterhält in Irland eine Tochtergesellschaft und übermittelt von dort die Daten der Nutzer mit Wohnsitz in der EU an in den USA belegene Server. Die Richtlinie (95/46/EG – Volltext) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlaubt die Übermittlung von personenbezogenen Daten in ein Drittland (also Länder außerhalb der EU/EWR) nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Drittstaaten mit angemessenem Schutzniveau können entweder als solche festgestellt werden oder auf vertraglicher Grundlage als solche gelten. Hierauf bezog sich, soweit die USA betroffen waren, die o. a. Safe-Harbor-Entscheidung der Europäischen Kommission. Unternehmen in den USA, die der Zuständigkeit der Federal Trade Commission unterliegen, können in dem Safe-Harbor-Verfahren eine Selbstverpflichtung zur Einhaltung der in dem Abkommen niedergelegten Grundsätze erklären. Diesen Grundsätzen hatte sich das Unternehmen Facebook unterworfen, sodass der Datenaustausch nach Auffassung der zuständigen irischen Aufsichtsbehörde nicht zu beanstanden sei.

Im Zusammenhang mit dem Vorgehen des Österreichers Maximilian Schrems gegen Facebook legte der irische High-Court dem EuGH im Wege des Vorabentscheidungsersuchens die Frage vor, ob das Safe-Harbor-Verfahren eine nationale Aufsichtsbehörde daran hindere, eine Beschwerde zu untersuchen, die darauf abzielt, dass das Drittland kein angemessenes Schutzniveau gewährleiste.

Schlussantrag des Generalanwalts

Der Generalanwalt vertritt in den Schlussanträgen im Wesentlichen die Auffassung, dass die Europäische Kommission die USA nicht hätte als Safe-Harbor qualifizieren dürfen und hält dieses somit für ungültig. Er begründet seine Auffassung unter anderem mit der in den USA gelebten Praxis, personenbezogene Daten in großem Umfang zu sammeln, ohne dass Unionsbürger über einen wirksamen Rechtsschutz verfügen. Dies gelte insbesondere aufgrund der massiven und wahllosen Überwachung in den USA durch Nachrichtendienste und dem fehlenden Rechtsbehelf europäischer Bürger, was letztlich zu einem Verstoß gegen den Grundsatz der Verhältnismäßigkeit führe.

Auch stehe das Safe-Harbor-Verfahren nicht über der Entscheidungsbefugnis von nationalen Aufsichtsbehörden. Ihnen müssen als unabhängige Instanzen die Befugnis bleiben, feststellen zu können, dass kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet sei und gegebenenfalls die Übertragung dieser Daten auszusetzen.

Folgen des Schlussantrags

Folgt der EuGH den Schlussanträgen des Generalanwalts, so wie er dies meist tut, sind die Auswirkungen nicht nur für Facebook spürbar, sondern wirkt sich auf sämtliche mehr als 4.000 Unternehmen mit Sitz in den USA aus, die sich dem Safe-Harbor-Abkommen unterworfen haben. Ihnen ist dann die Rechtsgrundlage der Übermittlung personenbezogener Daten in die USA entzogen, sodass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss. Bis ein solches umgesetzt ist, können die Betroffenen ggf. den Weg über die sog. EU-Standardvertragsklauseln oder Binding-Corporate-Rules (BCR) gehen.

Update: Den Beitrag zum Urteil des EuGH finden Sie auf dieser Website.

 

LG Berlin: WhatsApp muss Datenschutzerklärung den Nutzern in deutscher Sprache zur Verfügung stellen

Mit Versäumnisurteil vom 9.5.2014 (Az. 15 O 44/13 – Volltext abrufbar über vzbv) entschied das LG Berlin nach einer Klage durch den Verbraucherzentrale Bundesverband (vzbv), dass WhatsApp, ein Messenger-Anbieter, der ermöglicht, Nachrichten zwischen Smartphones in Echtzeit zu versenden, seine Datenschutzerklärung dem Nutzer auf deutsch zur Verfügung stellen muss. Daneben rügte das Gericht die unzureichenden Angaben, die der Messenger-Anbieter auf seiner Internetseite verfügbar hält.

Inhalt der Entscheidung

Englischsprachige Datenschutzerklärung

Der vzbv beanstandete die Website der Beklagten, da die unter dem Link „Datenschutz & AGB“ enthaltenen Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzerklärung nur in englischer Sprache abgefasst worden seien, obwohl ansonsten der Kunde auf der Internetseite in deutscher Sprache angesprochen werde. Nachdem der Kläger zwei erfolglos gebliebene Abmahnungen aussprach, erhob er hierauf Klage vor dem zuständigen LG Berlin.

Das Gericht folgte der Auffassung des Klägers. Denn lediglich durch die Bereitstellung der in den AGB enthaltenen Datenschutzhinweisen enthaltenen Informationen in englischer Sprache kann nicht davon ausgegangen werden, dass die in Deutschland angesprochenen Kunden hinreichende Kenntnis vom Inhalt erlangen können.

Impressumspflicht

Daneben liegt nach Auffassung des LG Berlin auch ein Verstoß gegen die Impressumspflicht aus § 5 Abs. 1 TMG vor. Danach hat der Dienstanbieter die in der Vorschrift näher bestimmten Informationspflichten verfügbar zu machen. Diese dienen in erster Linie dazu, dass der Nutzer im Falle von Beschwerden auf einfache Möglichkeit mit dem Unternehmen in Kontakt treten kann. Um dies zu gewährleisten, nennt der Gesetzgeber Mindestangaben, die der Dienstanbieter zur Verfügung stellen muss. Auf der Internetseite von WhatsApp fehlen jedoch insbesondere die Postanschrift sowie ein zweiter Kommunikationsweg neben der E-Mail-Adresse.

Auswirkungen

Aus verbraucherrechtlicher Sicht ist das Urteil des LG Berlin begrüßenswert, sind doch auch AGB im grenzüberschreitenden Rechtsverkehr mit dem Verbraucher auf Deutsch abzufassen, wenn sich das Angebot (auch) an Kunden in Deutschland richtet.

Im vorliegenden Urteil war die Datenschutzerklärung jedenfalls den AGB zugeordnet. Bereits zuvor vertrat das LG Berlin Auffassung, dass bei einer Einbindung der Datenschutzbestimmungen in den Vertrag, diese als AGB der Inhaltskontrolle nach § 307ff. BGB unterfallen (siehe den Beitrag auf dieser Webseite).

Gleichwohl beansprucht das Urteil auch dann Geltung, wenn die Datenschutzhinweise eigenständig zu betrachten sind. Denn Rechtsgrundlage für die als Datenschutzerklärung bezeichnete Unterrichtung ist § 13 Abs. 1 TMG. Danach muss der Dienstanbieter in „allgemein verständlicher Form“ unterrichten, also die tatsächliche Verständlichkeit für den Durchschnittsnutzer gewährleisten. Wie das Gericht in seinem Urteil richtigerweise ausführt, kann grundsätzlich nicht von vornherein erwartet werden, dass Kunden in Deutschland als Empfänger einer Erklärung in englischer (Rechts-) Sprache diese ohne Weiteres verstehen werden.

Richtet ein Unternehmen mit Sitz im Ausland seine Waren oder Dienstleistungen an Kunden in Deutschland, sollte daher genau geprüft werden, ob der Dienstanbieter davon ausgehen kann, dass der Nutzer die Informationen versteht. Dies gilt umso mehr, wenn diese in den AGB enthalten sind, da andernfalls keine wirksame Einbeziehung in den Vertrag vorliegt.

Neben Google, Apple (jeweils Beiträge auf dieser Seite) und Facebook reiht sich nun WhatsApp zu den US-amerikanischen Unternehmen ein, welche allesamt nach einer Klage durch den vzbv vom LG Berlin aufgrund Fehler in den Datenschutz- oder Nutzungsbedingungen verurteilt wurden. Wird das Urteil rechtskräftig, muss WhatsApp insbesondere eine deutschsprachige Datenschutzerklärung verwenden sowie ein vollständiges Impressum bereithalten.

Hält sich WhatsApp nach Rechtskraft nicht an das Urteil, droht ein Ordnungsgeld. Gleichzeitig dürfte sich die kürzlich geführte Diskussion über die Reichweite der durch WhatsApp eingeräumten Nutzungsrechte hinsichtlich von versendeten Bildern zugunsten der Nutzer auflösen.

Anonymität im Internet vs. Auskunftsansprüche (zugleich Urteilsbesprechung: LG München I, Urt. v. 3.7.2013 – 25 O 23782/12)

In den nachstehend skizzierten Gesamtkontext fügt sich nunmehr ein weiteres Urteil zu einer anderen Facette des Themas Anonymität im Internet ein. Dieses ist jedoch auf einer anderen Ebene angesiedelt als jene Urteile, die in den vergangenen drei Jahren für Furore sorgten. Entsprechend der im Datenschutzrecht üblichen Dreiteilung von zugrunde liegender Transportleistung (TKG), angebotenem Informations- und Kommunikationsdienst (TMG) und konkreten Inhalten (BDSG) bewegten sich jene Streitigkeiten auf Ebene der Transportleistung. Das nachstehend dargestellte Urteil des Landgericht München I in Bezug auf ein Bewertungsportal für Ärzte betrifft die Diensteebene (TMG), ebenso wie das vor einigen Jahren ergangene und damals in der Presse ebenfalls viel beachtete Urteil des BGH in Sachen Spickmich (Bewertungsportal für Lehrer).

Weiterlesen

VG Schleswig-Holstein: Untersagungsverfügung gegen Facebook-Fanpage rechtswidrig

Die 8. Kammer des Verwaltungerichts Schleswig-Holstein entschied mit Urteil vom 09.10.2013 – 8 A 218/11, 8 A 14/12, 8 A 37/12, dass die vom Unabhängigen Landeszentrum für Datenschutz (ULD) erlassenen Untersagungsverfügungen auf der Grundlage von § 38 Abs. 5 BDSG gegen die Betreiber von Fanseiten auf Facebook rechtswidrig sind. Die Entscheidung ist noch nicht im Volltext veröffentlicht, allerdings gibt es bereits eine diesbezügliche Pressemitteilung des Gerichts.

Den “Betreibern” der Fanpages war es durch das ULD verboten worden, die der Allgemeinheit angebotenen Funktionen einer für sie vollständig fremden Internetseite (www.facebook.de) zu benutzen, die es ermöglichen, sich dort selbst darzustellen. Diese Selbstdarstellungen auf Facebook, die dort ebenso möglich sind wie in allen anderen “Sozialen Netzwerken” (auch als “Profilseite” oder “Fanseite” bezeichnet), sollten nach Meinung des ULD rechtswidrig sein, weshalb man sich zum Einschreiten verpflichtet sah.  Hintergrund seien die evidenten Verstöße gegen europäisches Datenschutzrecht durch die Betreiber der Sozialen Netzwerke und eine Mitverantwortlichkeit der “Betreiber” der Profilseiten.

Weiterlesen

LG Berlin: Dynamische IP-Adressen sind nicht per se personenbezogene Daten

Landgericht Berlin, Urteil vom 31.01.2013 – 57 S 87/08

Leitsätze des Verfassers

1. Für die Auslegung des Wortes “bestimmbar” in § 3 Abs. 1 BDSG ist der subjektive Ansatz zugrundezulegen. Daher ist die dem Computer einer natürlichen Person dynamisch zugeteilte IP-Adresse für alle anderen an der IP-basierten Kommunikation Beteiligten (mit Ausnahme des die Adresse zuteilenden Internetzugangsdiensteanbieters (i.d.R. Betreiber des Tier-3 Telekommunikationsnetzes, z.B. NetCologne, Deutsche Telekom, etc.)), also insbesondere für die Betreiber von Internetseiten, für sich genommen ohne Weiteres kein personenbezogenes Datum i.S.v. § 3 Abs. 1 BDSG. Dies gilt auch, wenn der Betreiber der Internetseite die IP-Adresse eines auf die Seite zugreifenden Computers gemeinsam mit dem Zugriffszeitpunkt speichert.

2. Das zuvor nicht-personenbezogene Datum IP-Adresse wird aber zu einem personenbezogenen Datum i.S.v. § 3 Abs. 1 BDSG, sobald und solange die für die Speicherung verantwortliche Stelle – also i.d.R. der Betreiber der Internetseite – über Zusatzinformationen, bzw. Kontextwissen verfügt, welches die Zuordnung der IP-Adresse zu einer bestimmten natürlichen Person zulässt. Derartiges Kontextwissen liegt insbesondere dann vor, wenn der auf die Internetseite zugreifende Nutzer im Rahmen der Benutzung der Internetseite seinen Namen (auch als Teil seiner E-Mail-Adresse) angibt. Dabei kommt es nicht auf die korrekte Identifikation der Person an, die tatsächlich die IP-Adresse zur Kommunikation verwendet hat, sondern nur darauf, dass die IP-Adresse (irgend-)einer bestimmten natürlichen Person zugeordnet werden kann.

3. Dagegen reicht es für den Bezug einer (dynamischen) IP-Adresse zu einer “bestimmbaren” natürlichen Person i.S.v. § 3 Abs. 1 BDSG nicht per se aus, dass die verantwortliche Stelle (hier: der Betreiber der Internetseite) die theoretische Möglichkeit hat, durch ein Auskunftsverfahren i.S.v. § 101 UrhG gegen den die dynamische Zuordnung vornehmenden Internetzugangsdiensteanbieter oder vermittelt durch eine Akteneinsicht im Rahmen eines Strafverfahrens Kenntnis von der Identität der auf die Internetseite zugreifenden Person erlangen zu können. Für die Frage, ob eine natürliche Person in diesem Sinne “bestimmbar” ist, ist nur auf das Kontextwissen abzustellen, welches bei der verantwortlichen Stelle tatsächlich vorhanden ist, sowie ergänzend auf diejenigen Zusatzinformationen, die von der verantwortlichen Stelle mit einem Aufwand beschafft werden können, bei dem es nach der allgemeinen Lebenserfahrung zu erwarten steht, dass die verantwortliche Stelle diesen zur Aufdeckung der Identität auf sich nehmen wird. Weil dies eine Frage des konkreten Einzelfalls ist, entzieht sich die dahingehende Bewertung von (dynamischen) IP-Adressen einer pauschalen Beurteilung, ob es sich um personenbezogene Daten handelt oder nicht.

4. Die getrennte Speicherung von IP-Adresse und Zugriffszeitpunkt in verschiedenen Datenbeständen schließt nicht aus, dass die IP-Adresse – sobald die verantwortliche Stelle Kontextinformationen erlangt -  zum personenbezogenen Datum i.S.v. § 3 Abs. 1 BDSG wird, es sei denn, es wäre jedermann in der Position der verantwortlichen Stelle, also objektiv, unmöglich, die IP-Adresse mit dem zur Identifikation benötigten Kontextwissen zusammen zu führen.

Auswirkungen für die Praxis:

Ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht, ist die zentrale Gretchenfrage, die sich jeder Betreiber einer Internetseite stellen muss, der die Benutzung seiner Seite auch nur erfassen, geschweige denn darauf aufbauend auswerten möchte. Das vom Landgericht Berlin erlassene Berufungsurteil festigt die vorhandene Rechtsprechung, die entgegen dem von den Aufsichtsbehörden i.S.v. § 38 BDSG teilweise vertretenen objektiven Ansatz die “Bestimmbarkeit” nach dem subjektiven Ansatz beurteilt, also auf das Wissen, die Möglichkeiten der verantwortlichen Stelle und den vernüftiger Weise zu erwartenden Aufwand abstellt. Dies mindert zwar die Rechtssicherheit, erhöht aber die Gerechtigkeit im Einzelfall. Ob der Anwendungsbereich des Datenschutzrechts – der maßgeblich von der Bewertung von Informationen als personenbezogene Daten abhängt – muss daher immer genau im Einzelfall geprüft werden. Eine rechtssichere pauschale Aussage wird man in der Regel nur dahingehend treffen können, dass bei Zweifelsfällen eher vom ein personenbezogenen Datum und daher von der Anwendbarkeit des Datenschutzrechts ausgegangen werden sollte.

In vielen Fällen ergeben sich jedoch keine Anhaltspunkte für Zweifel. Alle Internetseiten, die nur Inhalte zum Abruf durch Anklicken bereit halten, ohne die Möglichkeit vorzusehen, dass der Nutzer auch nur irgendeine Art von Tastatureingabe machen kann (kein Login, kein Kontaktformular, keine Kommentarmöglichkeit, etc.), setzen den Betreiber der Internetseite so gut wie nie der Gefahr aus, Wissen zu erlangen, welches zur Identifikation eines Nutzers genutzt werden könnte. Für die Anbieter solcher Internetseiten, die kein Kontextwissen über den Nutzer vermitteln, ist durch das vorliegende Urteil klargestellt, dass das deutsche Datenschutzrecht für ihre Tätigkeiten rund um die Internetseite keine Anwendung findet, solange die Betreiber auch sonst kein Kontextwissen erlangen. Dies ergibt sich aus dem wichtigsten Aussagegehalt des Urteils, oben im Leitsatz zu 3. formuliert (aus den Gründen II – 3) b) bb) (1) (b)), dass die theoretische Möglichkeit der Erlangung des Wissens über die der IP-Adresse zuzuordnende Person bei Dritten, insbesondere beim Internetzugangsdiensteanbieter, nicht dafür ausreichend ist, für den Betreiber einer Internetseite die IP-Adresse (eines sonst nicht bekannten Nutzers) zu einem personenbezogenen Datum zu machen. Das bedeutet für derartige Internetseiten die unbeschränkte Möglichkeit des Trackings des Nutzerverhaltens auf der Seite, z.B. mittels Google Analytics. Erklärungen zum Datenschutz i.S.v. § 13 Abs. 1 TMG können denkbar schlank gefasst werden, mit der Auskunft: “Im Zusammenhang mit dem Abruf dieser Internetseite werden keine personenbezogenen Daten erhoben, verarbeitet oder genutzt.”

Zweifel bestanden insoweit nur bezüglich der Frage, ob das (zu) weitgehende Verständnis der Aufsichtsbehörden nicht doch möglicherweise von einem Gericht geteilt wird. Dies erscheint nach dem sehr überzeugend begründeten Urteil des Landgerichts Berlin in Zukunft noch unwahrscheinlicher. Das Landgericht Berlin hat ausdrücklich die Revision zum Bundesgerichtshof zugelassen, da es der Auffassung ist, dass es sich um eine Rechtsfrage von grundsätzlicher Bedeutung handelt und dass die Fortbildung des Rechts eine Entscheidung des Bundesgerichtshofs erforderlich macht. Die Beklagte – die Bundesrepublik Deutschland – täte im Sinne des Gemeinwesens gut daran, eine Entscheidung des Bundesgerichtshofs herbeizuführen, selbst wenn die zuständigen Behördenvertreter das vorliegende Urteil für richtig und überzeugend halten sollten.

Bemerkenswerte Randnotiz:

Die Beklagte hatte argumentiert, sie müsse die Daten der Nutzer über die Beendigung der Nutzungsvorgänge hinaus speichern, um die von ihr zur entgeltfreien Nutzung angebotenen Internetseiten gegen technische Angriffe (insbesondere DoS) zu verteidigen. Was jedoch dem Anbieter von Telekommunikationsdiensten gem. § 100 Abs. 1 TKG erlaubt ist (Verarbeitung personenbezogener Daten über die Beendigung des Nutzungsvorgangs hinaus, für Zwecke des Erkennens, Eingrenzens oder Beseitigens von Störungen), ist dem Anbieter von Telemedien gem. § 12 Abs. 1 TMG verboten. Der ursprünglich im Gesetzesentwurf geplante (zu § 100 TKG parallele) Erlaubnistatbestand in § 15 Abs. 9 TMG wurde nie als Gesetz erlassen. Auch die aufgrund der besonderen Beklagten in diesem Zusammenhang durchaus interessante Norm des § 5 Abs. 1 BSIG konnte jedoch das von der Beklagten zugestandene Verhalten nicht rechtfertigen.

Big Data Summit 2013 – ein Erfahrungsbericht

Zu Beginn dieser Woche hatte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) zum Gipfeltreffen 2013 “Big Data” nach Bonn geladen. Der Einladung folgten über 600 Teilnehmer, die (laut Untertitel der Veranstaltung) auf der Suche waren nach Impulsen für ihr Business.

Um für den eiligen Leser das Fazit an dieser Stelle schon vorweg zu nehmen: Die Suchenden dürften wohl leer ausgegangen sein. Zwar wurden die Ideen und Konzepte, die zusammenfassend mit dem Schlagwort Big Data bezeichnet werden, zu Beginn der Veranstaltung durch einen kurzweiligen gespielten Dialog eines fiktiven Unternehmers mit seinem fiktiven IT-Abteilungsleiter in verständlichen Worten dargestellt und anschließend wissenschaftlich korrekt von Prof. Dr. Wrobel vom Fraunhofer IAIS aufbereitet. Danach ist Big Data die Fortschreibung von gegenwärtig vier vorhandenen Trends, u.a. Social Media und die damit verbundenen nutzergenerierten Inhalte. Aber vor der Mittagspause waren konkrete Handlungsvorschläge oder Beispiele Mangelware und die Ausführungen der Referenten erschöpften sich in “Heilsversprechen”. Dieses Wort hatte Dr. Thilo Weichert, Leiter des ULD Schleswig-Holstein, zuvor in seinem Beitrag in der Zeitschrift für Datenschutz (ZD) 2013, Seiten 251 ff im Rahmen seines Problemaufriss völlig zu Recht verwendet. Tenor der ersten Vorträge war, dass mit dem Einsatz von Big Data Werkzeugen alles besser und effizienter würde. Kosten ließen sich sparen, Umsätze steigern oder gar neue Quellen erschließen, etc. Kurz: Das Übliche bei vertriebsorientierten Vorträgen. Substantieller Vortrag fehlte derweil. Anders dagegen der Nachmittagsbereich. Nun kamen neben den klassischen Einsatzgebieten wie Wettervorhersage und Stauprognose, bzw. Navigationssysteme erste praktische Anwendungsbeispiele zur Sprache, die sich schon schemenhaft aus der Ankündigung der Referenten und ihrer Herkunft ergaben. Für den durchschnittlichen Mittelständler ergaben sich jedoch, unabhängig von der Branche, wohl keine konkreten Impulse fürs Geschäft.

Ganz im Gegenteil: Bezüglich des Themas Big Data, welches nun schon seit einiger Zeit durch die IT-Fachpresse geistert und sich nach Einschätzung der Referenten im Gartner-Hype-Cycle schon auf dem absteigenden Ast nach dem ersten Zenit befindet, wurde von einem referierenden Mittelständler konstatiert, dass der Einsatz entsprechender Methoden und Werkzeuge in seiner Branche derzeit nur bei den Big Five zu vernehmen ist. Der Markt sei hart umkämpft, der Einsatz neuer Methoden risikoreich. Sollten sich doch erst die Großkonzerne eine “blutige Nase” holen, solange die Verfahren noch in der Kinderschuhen stecken. Die Mittelständler würden entsprechende Methoden und Werkzeuge erst einsetzen, wenn diese sich bewährt haben.

Die Skepsis ist völlig zu Recht angebracht. Sämtliche Träume von Marketingabteilungen in Zusammenhang mit Big Data sind pure Illusion. Entsprechende Werkzeuge sind konzeptionell darauf ausgelegt, zunächst alle verfügbaren Daten zu erfassen und zu speichern. Danach erst beginnt zu einem späteren Zeitpunkt die Nutzung der Daten und damit auch erst die Festlegung des Zwecks der Verarbeitung. Soweit die erhobenen Daten nicht ausschließlich aus dem Bereich machine-to-machine (M2M) stammen, wo sicherlich lohnenswerte Einsatzmöglichkeiten zu finden sind, sind im Bereich der personenbezogenen Daten nahezu keine Einsatzmöglichkeiten erkennbar, die mit geltendem Recht in Europa vereinbar sind. Hier treffen einfach zwei Grundideen diametral aufeinander: Big Data vs. Datenvermeidung und Datensparsamkeit.

Dass sich Anwendungsbeispiele durchaus anhand us-amerikanischer Unternehmen aufzeigen lassen, ergibt sich schlicht aus dem dortigen Datenschutzrecht. Als Europäer darf man es aber durchaus für sehr bedenklich halten, wenn unter Geringschätzung der IT-sicherheitsrelevanten Gefahren, die großen Datensammlungen immanent sind, große Gefährdungen der Persönlichkeitsrechte in Kauf genommen werden. Der Schritt zum gläsernen Menschen ist nicht mehr weit, wenn mittels Big Data Verfahren individuelle Verhaltensvorhersagen ermöglicht werden, welche selbstverständlich für Marketingzwecke interessant sind. Wenn sodann die Technick noch entgegen bewährter Prinzipien der Statistik – Definieren eine These und validiere sie mittels Zahlen! – die Zahlen die These vorgeben (oder jedenfalls durch das Aufzeigen von Korrelationen das Formulieren der These stark beeinflussen), dann dürfte dem Thema doch tatsächlich mit Bedenken zu begegnen sein.

Facebook: OVG Schleswig-Holstein bestätigt die Beschlüsse des VG Schleswig-Holstein

Das OVG Schleswig-Holstein hat auf die Beschwerde des ULD Schleswig-Holstein hin, mit Beschlüssen vom 22. April 2013 (Az.: 4 MB 10/13 – Volltext) und (Az.: 4 MB 11/13 – Volltext) die beiden Beschlüsse des VG Schleswig-Holstein vom 14. Februar 2013 (Az.: 8 B 60/12 und 8 B 61/12 – Beitrag zur Vorinstanz) bestätigt. Es hat die Beschwerde des ULD Schleswig-Holstein mit der Begründung abgewiesen, das VG Schleswig-Holstein habe zu Recht entschieden, dass die auf § 13 Abs. 6 TMG gestützten Verfügungen gegen Facebook rechtswidrig waren.

Weiterlesen

Facebook: Welches Datenschutzrecht gilt?

Welches Datenschutzrecht auf Facebook Anwendung findet und welche Aufsichtsbehörde in der Folge für die Kontrolle und Prüfung von Facebook zuständig ist, ist bislang ungeklärt. Denn Facebook ist in den USA niedergelassen, unterhält aber Niederlassungen sowohl in Irland als auch in Hamburg.

Dank zweier vom ULD Schleswig-Holstein erlassener und von Facebook im Eilverfahren angegriffener Bescheide gibt es nun eine erste gerichtliche Bewertung: das Schleswig-Holsteinische Verwaltungsgericht hat mit zwei Beschlüssen vom 14.2.2013 (8 B 60/12 und 8 B 61/12) die Anwendbarkeit des BDSG verneint.

Die Facebook Germany GmbH sei ausschließlich mit Marketing befasst, verarbeite aber keine Daten von Nutzern des sozialen Netzwerks. Dies geschehe aber bei der Facebook Limited Ireland, weshalb irisches Datenschutzrecht Anwendung finde, vgl. § 1 Abs. 5 S. 1 BDSG. Ein Rückgriff auf § 1 Abs. 5 S. 2 BDSG wegen ggf. in Deutschland von den Nutzern erhobener Daten (auch) durch die Facebook Inc. mit Sitz in den USA sei ausgeschlossen; § 1 Abs. 5 S. 1 BDSG entfalte insoweit bei richtinienkonformer Auslegung Sperrwirkung gegen § 1 Abs. 5 S. 2 BDSG.

Details in der Pressemitteilung des Gerichts.

Die Stellungnahme des ULD im Wortlaut.

Die Volltexte der gerichtlichen Entscheidungen (PDF): 8 B 60/12 und 8 B 61/12.

Update 1.3.2013: In einem der folgenden juris PraxisReport IT-Recht wird eine Anmerkung und Besprechung von Sascha Kremer, der als externer Datenschutzbeauftragter für die LLR DSC GmbH tätig ist, und Herrn Rechtsanwalt Sebastian Laoutoumai (LLR LegerlotzLaschet Rechtsanwälte, Köln) veröffentlicht.