Archiv der Kategorie: Datenschutz

Düsseldorfer Kreis legt Voraussetzungen für Smart TV fest

Hintergrund

Bei den sogenannten Smart TV Geräten handelt es sich um Fernsehgeräte, die mit Zusatzschnittstellen, wie zum Beispiel W-LAN ausgestattet sind. Dadurch wird dem Nutzer zumeist über Apps, ähnlich wie dies aus dem Smartphone-Bereich bekannt ist, ermöglicht, eine Verbindung zum Internet aufzubauen. So lassen sich insbesondere mittels Online-Videotheken on-demand die gewünschte Sendungen abrufen.

Neben diesen von Nutzern offenbar nachgefragten Anwendungsmöglichkeiten entsteht durch die Internetverbindung gleichzeitig auch ein Rückkanal vom Zuschauer zum Fernsehsender, zum Endgerätehersteller oder zu sonstigen Dritten. Dadurch lässt sich das individuelle Nutzungsverhalten erfassen und auswerten, was in der Regel dem Nutzer insbesondere dann missfallen dürfte, wenn er davon keine Kenntnis hat.

Eben diese Möglichkeit soll eingeschränkt werden. Der Düsseldorfer Kreis, ein Gremium der obersten Aufsichtsbehörden im nicht-öffentlichen Bereich, der die Ergebnisse seiner Zusammentreffen in Beschlüssen bekannt macht, hat sich nun zu der Frage geäußert, welche Anforderungen hinsichtlich des Datenschutzes beim Smart TV zu beachten sind. Diese wurden im Beschluss vom 26.02.2014 nun unter dem Titel „Smartes Fernsehen nur mit smartem Datenschutz“ (PDF hier abrufbar) veröffentlicht.

Voraussetzungen des Düsseldorfer Kreises

Eine Profilbildung über das individuelle Fernsehverhalten ist grundsätzlich unzulässig. Daher muss zunächst sicher gestellt werden, dass die anonyme Nutzung von Fernsehangeboten möglich ist.

Des Weiteren unterliegen Webdienste dem Anwendungsbereich des Telemediengesetzes (TMG). Dies gilt entsprechend für die Nutzung von Smart-TV. Endgeräthersteller, Sender sowie alle sonstigen Anbieter von Telemedien müssen dementsprechend die datenschutzrechlichen Anforderungen des TMG beachten. Namentlich umfasst dies vor allem die §§ 13, 15 TMG. Liegt keine Einwilligung des Betroffenen vor, darf die Erhebung und Verwendung von personenbezogenen Daten nur in den engen Grenzen des § 15 TMG erfolgen.

Auch soll nach Auffassung des Düsseldorfer Kreises das Prinzip „privacy by default“ beachtet werden. Demnach sollen die Werkseinstellungen der Geräte so gestaltet werden, dass eine anonyme Nutzung des Fernsehens möglich ist. Eine wechselseitige Kommunikation dürfe erst nach einer umfassenden Information durch die Nutzer selbst initiiert werden.

Schließlich sollen nach Auffassung der obersten Aufsichtsbehörden die Geräte über sicherheitstechnische Mechanismen verfügen, damit die Geräte beim Datenverkehr vor dem Zugriff unbefugter Dritter geschützt sind.

Fazit

Nur wenn diese vier Anforderungen kumulativ erfüllt werden, steht nach Auffassung des Düsseldorfer Kreises der Nutzung von Smart-TV aus datenschutzrechtlicher Sicht nichts entgegen. Inwieweit die Hersteller von Smart-TV diesen Anforderungen nachkommen werden, bleibt abzuwarten.

EuGH: Datenverarbeitung durch Muttergesellschaft erfolgt „im Rahmen der Tätigkeit“ einer werbenden Tochtergesellschaft

Mit Urteil vom 13.5.2014 (Az. C-131/12, Volltext) hat sich der EuGH in einem Vorabentscheidungsverfahren überraschend zur Reichweite des Merkmals der Datenverarbeitung „im Rahmen der Tätigkeiten einer Niederlassung“ im Sinne des Art. 4 Abs. 1 Buchst. a DSRL geäußert. Um eine solche Tätigkeit handele es sich, wenn die Muttergesellschaft Daten verarbeitet, die im engen Zusammenhang mit der Werbetätigkeit der Niederlassung (Tochtergesellschaft) stehen. Das Urteil, das sich im Kern mit der Pflicht eines Suchmaschinenbetreibers zur Löschung von Links aus seinen Indizes befasst, dürfte auch für die Datenverarbeitung in anderen Social Media die Werbeflächen unterhalten, vor allem soziale Netzwerke, erhebliche Bedeutung erlangen.
Weiterlesen

BAG: Datenschutzrechtliche Wirkung einer Betriebsvereinbarung über die Durchführung von Torkontrollen

Mit Beschluss vom 15.4.2014 (Az. 1 ABR 2/13 – Volltext) hat sich der Erste Senat des Bundesarbeitsgericht (BAG) mit der datenschutzrechtlichen Bedeutung einer Betriebsvereinbarung über die Durchführung von Torkontrollen befasst. Der Betriebsrat hat (neben einem formellen Ladungsfehler) insbesondere einen Verstoß gegen das Bundesdatenschutzgesetz (BDSG) gerügt, weshalb die Betriebsvereinbarung unwirksam sei.

Inhalt der Entscheidung

In dem Sachverhalt, welcher der Entscheidung zugrunde lag, schloss der Betriebsrat mit der Rechtsvorgängerin der Arbeitgeberin eine Betriebsvereinbarung ab, welche die Durchführung von Torkontrollen (BV-Türkontrolle) in einem Unternehmen regelt. Diese war so ausgestaltet, dass über einen Zufallsgenerator eine zuvor definierte Anzahl an Beschäftigten ausgewählt wird. Diese müssen sich einer Kontrolle an einer nicht einsehbaren Stelle im Pförtnerraum unterziehen, welche sich insbesondere auf die Durchsicht mitgeführter Behältnisse, Jacken- und Manteltaschen beziehen kann. Die Durchführung dieser Maßnahmen wird protokolliert.

Weiterlesen

OLG Koblenz: Zur Wirksamkeit von Klauseln zur Verwendung von Bestandsdaten zu Werbezwecken

In seinem Urteil vom 26.03.2014 (Az: 9 U 1116/13 – Volltext liegt noch nicht vor) befasste sich das OLG Koblenz mit der Wirksamkeit von Klauseln in den Allgemeinen Geschäftsbedingungen (AGB) eines Telekommunikationsunternehmen über die Einholung einer Einwilligung zur Nutzung personenbezogener Daten zu Werbezwecken sowie den Anforderungen an die sogenannte „Buttonlösung“ zum Abschluss einer Bestellung im elektronischen Geschäftsverkehr.

Inhalt der Entscheidung

Das beklagte Unternehmen bewirbt und verkauft über seine Internetseite Telekommunikationsprodukte. Dabei wurde in seinen AGB die nachfolgende Klausel verwendet:

„Die X-GmbH darf Sie zum Zwecke der Beratung, Werbung und Marktforschung zu eigenen Produkten postalisch oder per E-Mail kontaktieren, sofern Sie nicht gegenüber der X-GmbH widersprechen.“

Das Gericht ist der Auffassung, dass diese Klausel nicht hinreichend verständlich und transparent ist. Eine derartige Klausel sei geeignet, den Kunden über sein Widerspruchsrecht zur Einwilligung im Unklaren zu lassen. Denn es sei nicht ausreichend, dass der Kunde bei der Erhebung von Rufnummer, Anschrift und E-Mail-Adresse über sein Widerspruchsrecht hinsichtlich der Datennutzung belehrt werde. Erforderlich sei, dass der Kunde deutlich auf sein jederzeitiges Widerspruchsrecht hingewiesen werde.

Weiterlesen

LG Frankfurt: Wettbewerbsrechtliche Abmahnung bei Webtracking mit Piwik

Mit Urteil vom 18.02.2014 (Az. 3-10 O 86/12 – Volltext) befasste sich das LG Frankfurt a.M. unter anderem mit der Frage , ob der Einsatz eines Tracking-Tool (hier: Piwik, gilt aber entsprechend für Google Analytics und andere Tools) ohne einen wahrnehmbaren Hinweis durch den Seitenbetreiber auf die Widerspruchsmöglichkeit in seiner Datenschutzerklärung einen wettbewerbsrechtlichen Verstoß begründet.

Inhalt der Entscheidung

Die Antragsgegnerin betreibt eine Internetpräsenz, auf der sie Programme zum Download anbietet. Zur Analyse des Nutzungsverhaltens der Besucher auf ihrer Homepage verwendet sie das Programm Piwik. Dabei handelt es sich um eine Open-Source-Software (OSS), die ähnlich wie Google Analytics eine Tracking-Software bereitstellt, welche es dem Website-Betreiber  ermöglicht, Statistiken über Seitenabrufe sowie eine Besucheranalyse zu erstellen und einzusehen. Im Rahmen der Besuchererkennung benutzt Piwik eine Heuristik, die einen Besucher mit einem vorherigen Aufruf der Internetseite zu identifizieren versucht, indem bestimmte Daten wie z.B. die IP-Adresse  und verwendete Plug-Ins berücksichtigt werden. Durch die Kombination dieser Daten kann anschließend ein sogenannter Hashwert gebildet werden.

Gegen den Internetauftritt der Antragsgegnerin wendet die Antragstellerin mehrere wettbewerbsrechtliche Verstöße ein. So sieht sie etwa einen Verstoß gegen datenschutzrechtliche Vorgaben, weil sich kein Hinweis beim Erstbesuch der Internetseite auf die Widerspruchsmöglichkeit  prominent und ansonsten dauerhaft, z.B. in der Datenschutzerklärung der Website, finde.

Weiterlesen

Gesetzgebungsverfahren: EU-Datenschutzgrundverordnung DSGVO

Update zum europäischen Gesetzgebungsverfahren bzgl. der Datenschutzgrundverordnung (DSGVO) und der diese ergänzenden Datenschutzrichtlinie für den Bereich der Strafverfolgung:

Am 12.3.2014 billigte das Plenum des Europäischen Parlaments den Entscheidungsvorschlag seines Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), der in seiner Sitzung am 21.10.2013 mit großer Mehrheit die Vorlage des Berichterstatters Jan Philipp Albrecht angenommen hatte. Damit schließt das Parlament die erste Lesung ab, so dass der Abschluss des Gesetzgebungsverfahrens gegenwärtig nur noch von einer Zustimmung seitens des Rates abhängt. Diese steht nach wie vor unverändert aus. Es steht jedoch zu erwarten, dass der Rat der aktuellen textlichen Fassung nicht zustimmen, sondern mit Änderungsvorschlägen die zweite Lesung im Parlament erforderlich machen wird.

Weiterlesen

BGH: Keine Anspruch auf Auskunft über Berechnung des Score durch Auskunfteien

Mit seinem Urteil vom 28.1.2014 – VI 156/13 (Volltext) befasste sich der BGH mit der Frage, wie weit die Auskunftspflicht der Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA) gegenüber einem Betroffenen reicht. Die SCHUFA bewertet mit den  von ihr gesammelten personenbezogenen Daten die Kreditwürdigkeit der Betroffenen. Dazu berechnet die SCHUFA aus den personenbezogenen Daten einen sogenannten Score, welcher einen Wahrscheinlichkeitswert über das künftige Verhalten von Personengruppen darstellt und darüber eine Aussage trifft, mit welcher Wahrscheinlichkeit der Betroffene seine Verbindlichkeiten vertragsgemäß erfüllen wird. Die Vertragspartner der Schufa können diesen Scorewert abrufen, um die Bonität ihrer Kunden zu überprüfen. Die Berechnung des Score war Gegenstand des Verfahrens.

Weiterlesen

Mitteilungsrecht einer Auskunftei nach der Sperrung von Daten

Mit seinem Beschluss vom 2.1.2014 (Az.: 10 B 1397/13 – Volltext) hat der Hessische Verwaltungsgerichtshof (VGH) ausgeführt, dass Kreditschutzunternehmen gegenüber Dritten keine Auskunft über die Sperrung von Daten geben dürfen. Dasselbe gilt auch für eine Auskunft, die zwar nicht unmittelbar die Tatsache der Sperrung mitteilt, jedoch aufgrund ihrer Formulierung vom Auskunftsadressaten als eine versteckte Mitteilung der Datensperrung aufgefasst werden kann.

Inhalt der Entscheidung

Die in einem Transportgewerbe tätige Kauffrau erhielt von mehreren Leasinggebern die Mitteilung, dass eine Finanzierung wegen ihrer schlechten Bonität abgelehnt werde. Die Kauffrau brachte hierzu in Erfahrung, dass die Auskunftei ihren Kunden mitteilte, dass eine Auskunft über sie nicht möglich sei. Daraufhin wendete sie sich an die hessische Datenschutzaufsichtsbehörde, welche die Auskunftei verpflichtete, keine Auskünfte mehr zu erteilen, welche auf die Speicherung von Daten hinweisen. Der VGH bestätigte nach der Beschwerde durch die Auskunftei den Beschluss des vorgehenden VG Darmstadt vom 21.5.2013 (Az.: 5 L 304/13.DA – Volltext).

Weiterlesen

Düsseldorfer Kreis: Orientierungshilfe für regulierte Selbstregulierung veröffentlicht

Der Düsseldorfer Kreis (Zusammenschluss der Aufsichtsbehörden zum Datenschutz in Deutschland) hat eine „Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG“ (PDF) veröffentlicht.

§ 38a BDSG erlaubt die Vorlage von Entwürfen für Verhaltensregeln an die Aufsichtsbehörde, die deren Vereinbarkeit mit geltendem Recht überprüft. Damit wird die Möglichkeit zur Schaffung datenschutzrechtlicher Verhaltenskodizes als „Vollzugsregelungen“ geschaffen, dies freilich nur in sehr rudimentärer Form, ohne dass die Anforderungen an derartige Verhaltenskodizes festgelegt und die Bedeutung der Prüfung durch die Aufsichtsbehörden durch § 38a BDSG geregelt wird.

Um diese Lücken der gesetzlichen Regelung zu schließen, konkretisiert die Orientierungshilfe zunächst den Begriff der Verhaltensregel:

Konkret folgt daraus, dass durch Verhaltensregeln insbesondere unbestimmte Rechtsbegriffe, Ermessenskriterien, Musterklauseln, verfahrensrechtliche Vorkehrungen, Vorgaben für die Bearbeitung von Betroffenenrechten oder technisch organisatorische Maßnahmen festgelegt werden können.“

Zu einer Erhöhung des Datenschutzniveaus über die gesetzlichen Standards hinaus müssen Verhaltensregeln damit nach dem Düsseldorfer Kreis nicht (mehr) führen.

Wird die Verhaltensregel „anerkannt“ ist damit die

„Feststellung der Rechtskonformität der Verhaltensregeln“

verbunden. Unternehmen, die sich an derartige Verhaltensregeln halten, können nach einer solchen Anerkennung davon ausgehen, sich datenschutzkonform zu verhalten und hierauf ggf. auch in ihrem Außenauftritt werblich hinweisen. Die Erarbeitung solcher Verhaltensregeln kann demnach für die hiervon profitierenden Unternehmen zur Beseitigung von Unklarheiten bei der Anwendung der sehr allgemein gehaltenen datenschutzrechtlichen Bestimmungen und damit der Schaffung von Rechtsklarheit führen.

Anonymität im Internet vs. Auskunftsansprüche (zugleich Urteilsbesprechung: LG München I, Urt. v. 3.7.2013 – 25 O 23782/12)

In den nachstehend skizzierten Gesamtkontext fügt sich nunmehr ein weiteres Urteil zu einer anderen Facette des Themas Anonymität im Internet ein. Dieses ist jedoch auf einer anderen Ebene angesiedelt als jene Urteile, die in den vergangenen drei Jahren für Furore sorgten. Entsprechend der im Datenschutzrecht üblichen Dreiteilung von zugrunde liegender Transportleistung (TKG), angebotenem Informations- und Kommunikationsdienst (TMG) und konkreten Inhalten (BDSG) bewegten sich jene Streitigkeiten auf Ebene der Transportleistung. Das nachstehend dargestellte Urteil des Landgericht München I in Bezug auf ein Bewertungsportal für Ärzte betrifft die Diensteebene (TMG), ebenso wie das vor einigen Jahren ergangene und damals in der Presse ebenfalls viel beachtete Urteil des BGH in Sachen Spickmich (Bewertungsportal für Lehrer).

Weiterlesen