Datenschutz

Als ob das Urteil des europäischen Gerichtshofes, welches vor ein paar Tagen bereits die Runde gemacht hat, nicht genug wäre. Der EuGH hat unlängst entschieden, dass Betreiber von Fanpages bei Facebook in gleichem Maße datenschutzrechtlich verantwortlich sind, wie Facebook selbst. Das Urteil ist für sich genommen schon harter Tobak für alle Fanpagebetreiber, vor allem weil es unerheblich ist, wer hinter den Fanpages steht. Durch das Urteil wird jeder auf Augenhöhe mit Facebook gehoben, egal ob Anwalt, Sportverein oder der Bäcker von nebenan. Das Urteil unterstellt latent, dass jeder, der eine Facebook-Fanpage betreibt, den gleichen Datenhunger haben müsse, wie Facebook. Ob das tatsächlich der Fall ist, dürfte mehr als zweifelhaft sein.

Hinzu kommt, dass Fanpagebetreiber zwangsläufig selbst Mitglieder von Facebook sein müssen, um eine solche Fanpage überhaupt zu erstellen. Sie sind somit aus datenschutzrechtlicher Sicht sowohl Betroffene, als jetzt auch Verantwortliche. Ihnen wurden jetzt die gleichen Pflichten aufgetragen, wie Facebook. Der Unterschied ist jedoch: Fanpagebetreiber haben nicht die gleichen Mittel, um diesen Pflichten nachzukommen. Als Mitglieder von Facebook haben sie kaum bessere Möglichkeiten, Angaben darüber zu machen, welche Daten der Fanpagebesucher (selbst der Besuch von Nicht-Facebook-Mitgliedern genügt) gesammelt und verarbeitet werden. Diese Vorgänge verbleiben weiterhin bei Facebook, sodass Fanpagebetreiber jetzt auf Facebook angewiesen sind, um rechtskonforme Angaben machen zu können. Ob sich Facebook hierzu wird bewegen lässt, darf bezweifelt werden. Schließlich hat Facebook kaum Anreiz, sich in die Karten schauen zu lassen. Die Folge: Fanpagebetreiber können ihre Pflichte nicht erfüllen und bleiben auf der Strecke.

Die Entschließung der Konferenz der unabhängigen Datenschutzbehörden vom 06.06.2018 legt jetzt noch einen drauf. Sie begrüßt das Urteil des EuGH mit der fulminanten Überschrift „Die Zeit der Verantwortungslosigkeit ist vorbei“.

Starke Worte, die leider zeigen, dass die Konferenz das ganze Ausmaß des Urteils nicht ganz verstanden zu haben scheint. Bereits jetzt zeichnet sich ab, dass die neue DSGVO kaum wird erreichen können, was sie sich vorgenommen hat. Die wirklichen Datenkraken lächeln müde, nehmen sich gut bezahlte Anwälte und nutzen ihre Systemrelevanz, um ihre Nutzer zur Abgabe von Einwilligungen zu bewegen. Völlig freiwillig natürlich.

Wirklich hart trifft die DSGVO den Mittelstand, der jetzt aufwändige und kostspielige Datenschutzmaßnahmen betreiben muss, um allein das Risiko von Abmahnungen zu minimieren. Wer sich sowas leisten kann, ist fein raus. Der Rest muss sehen wo er bleibt und hoffen, weder von Abmahnanwälten noch von Datenschutzbehörden entdeckt zu werden.

Mit ihrer Stellungnahme hat die Konferenz eine Position bezogen, die ihrer Aufgabe entspricht. Schließlich geht es um den Schutz der Daten. Allerdings zeigt sie wenig Feingefühl für die gegenseitigen Interessen und Bedürfnisse. Gerade die „kleinen“ Fanpagebetreiber, wie besagter Sportverein, oder Frisöre, Handwerker, aber auch Anwälte oder Ärzte dürften sich durch diese Stellungnahme bitterlich im Stich gelassen fühlen. Es ist lebensfremd jedem Fanpagebetreiber den gleichen Datenhunger wie Facebook zu unterstellen. Nichtsdestotrotz drängt die Konferenz auf Eile, es bestehe „dringender Handlungsbedarf“.

Die Konferenz der unabhängigen Datenschutzbehörden hätte die Gelegenheit nutzen können, ein Zeichen dafür zu geben, dass nicht alle Fanpagebetreiber über einen Kamm geschert werden können. Sie hat sich entschieden, dies nicht zu tun. Datenschutz um jeden Preis also. Ein Preis, den wieder die falschen zahlen müssen. Denn nach jetziger Rechtslage, bestärkt durch die Stellungnahme der Konferenz scheint der einige Weg, sich aus einer datenschutzrechtlichen Haftung zu entziehen, keine Fanpage zu betreiben. Damit dürfte Facebook für jeden, der sich das Risiko einer Abmahnung oder eines Bußgeldverfahrens nicht leisten kann, als „digitale Nutzfläche“ bis auf weiteres entfallen.

Dabei sind mögliche Lösungen nicht schwer vorstellbar: Die DSGVO kennt z.B. den Begriff der Datenschutz-Folgenabschätzung. Wie der Name es bereits andeutet, muss abgeschätzt werden, ob und welches Risiko für personenbezogene Daten besteht. Je höher das Risiko, desto besser müssen die Datenschutzmaßnahmen sein. Vielleicht wäre es eine Idee, diesen Gedanken auf Fanpages zu übertragen. Freilich steht auch dies wieder in Abhängigkeit zu der Zusammenarbeit mit Facebook. Aber Facebook könnte z.B. Aussagen über die Reichweite bestimmter Fanpages treffen, die wiederum zur Einschätzung eines datenschutzrechtlichen Risikos herangezogen werden könnten. Wenn sich dann beispielsweise herausstellt, dass der Fußballverein von nebenan eh Mühe hat, auf über 100 „Follower“ zu kommen, scheint eine „Entlassung“ aus der datenschutzrechtlichen Verantwortlichkeit zumindest nicht mehr völlig undenkbar. Aber das ist erst noch Zukunftsmusik. Es bleibt abzuwarten, wie sich die Dinge entwickeln werden.

Einziges „Trostpflaster“ scheint zu sein, dass das Urteil des EuGH keine unmittelbare Wirkung entfaltet. Das zugrundeliegende Verfahren muss erst beendet werden. Gleichwohl ist klar, wo die Reist hingeht: Solange Facebook kein datenschutzrechtskonformes Produkt anbietet, sind Fanpages keine Option mehr.

Zunächst hieß es: keine Panik wegen der DSGVO!

Dies haben anscheinend einige Marktteilnehmer zum Anlass genommen, Ihre Angebote nicht oder nicht rechtzeitig zu aktualisieren und haben prompt die ersten Abmahnungen kassiert.

So soll eine Esslinger Rechtsanwaltsgesellschaft mbH bereits vermeintliche Verstöße gegen die DSGVO wegen fehlender oder falscher Datenschutzinformationen auf der Webseite eines Kollegen ausgesprochen haben.

Unter anderem sollen die fehlende Opt-in und Opt-out-Möglichkeit bei Google-Analytics bemängelt worden sein.

Aber auch unter Händlern soll es schon Abmahnungen gegeben haben.

So wird berichtet, dass die Firma Erich Andreas Speck Dienstleistungen, Karlsruher Str. 22, 76351 Linkenheim-Hochstetten, eine Abmahnung wegen gänzlich fehlender Datenschutzhinweise auf der Seite des Mitbewerbers abgemahnt hat.

Ausgesprochen wurde die Abmahnung am 25.05.2018 durch Rechtsanwalt Orhan Aykac von der A ∙ Anwaltskanzlei, Konrad-Adenauer-Allee 63, 86150 Augsburg.

In der Abmahnung wurde neben der Abgabe einer strafbewehrten Unterlassungserklärung die Erstattung der Rechtsanwaltskosten auf einem Gegenstandwert von 7.500,00 € gefordert.

Dabei wurde ausgeführt, dass der Gegenstandswert sich aus „aus dem Jahreswert der Kosten für die vollständige und ordnungsgemäße Umsetzung der DSGVO“ ergebe.

Allein aufgrund der neuesten Abmahnung gilt nach unserer Auffassung nach wie vor der Grundsatz: keine Panik!

Es ist zu beachten, dass auch schon vor der Geltung der DSGVO die Notwendigkeit einer Datenschutzerklärung vorhanden war und nach UWG abgemahnt werden konnte – also wettbewerbsrechtlich relevant war.

Wer also bis zum heutigen Tage noch keine Datenschutzerklärung hat, sollte dies schnellmöglich nachholen.

Selbstversändlich helfen wir auch bei erhaltenen Abmahnungen. Ob die Abmahnung tatsächlich berechtigt ist, muss möglicherweise erstmal durch die  Gerichte geprüft werden.

Gerne stellen wir Ihnen auch entsprechende Rechtstexte zur Verfügung

Facebook und die Daten, ein immer wieder beliebtes Thema. Auch für Gerichte. In einem aktuellen Urteil hat das Kammergericht Berlin wichtige Klarstellungen getroffen, auch wenn diese angesichts der neuen Datenschutzgrundverordnung nicht mehr lange relevant sein dürften.

Ist Facebook kostenlos? Nein. Womit verdient Facebook eigentlich Geld? Mit Informationen. Facebook sammelt täglich eine unglaubliche Menge an Daten über seine Nutzer. Informationen über Aufenthaltsort, Aktivitäten, Freunde oder persönlichen Geschmack sind die Währung, mit der Facebook handelt. Diese sind Werbetreibenden bares Geld wert. Die Jagd auf Informationen macht Facebook und die Werbetreibenden erfinderisch.

Es wundert also nicht, dass Facebook immer wieder ins Fadenkreuz von Datenschützern und Verschwörungstheoretikern landet. Ab und zu landet es auch vor Gericht. Wie im vorliegenden Fall, in dem es darum ging, dass Nutzern von Facebook abverlangt wurde, Zugriff auf ihre Daten zu gewähren, um auf bestimmte Inhalte (Spiele) zugreifen zu können. Mehr noch, die Nutzer sollten sich damit einverstanden erklären, dass die Spiele-App im Namen der jeweiligen Nutzer Posts, also Statusmeldungen, Fotos „und mehr“ veröffentlichen darf. Hierbei war die Zustimmung dadurch zu erteilen, dass ein Button geklickt wird, der mit „Spiel spielen“ beschriftet war.

„So nicht!“ befand ein Verbraucherschutzverband und verklagte Facebook. Aufgrund der oben beschriebenen Ausgestaltung der Einwilligungserklärung könnten gerade Jugendliche und junge Erwachsene könnten die Tragweite ihrer Erklärung nicht richtig einschätzen. Vor dem Landgericht bekam der Verband Recht. Und auch vor dem Kammergericht scheiterte Facebook.

Der „Doppelschlag“ bezieht sich allerdings auf den Inhalt des Urteils. Das Kammergericht hat die Gelegenheit genutzt und zwei wichtige Aspekte klargestellt:

Zum einen hat es deutsches Datenschutzrecht für anwendbar erklärt. Diese Feststellung ist deshalb wichtig, weil Facebook bekanntermaßen kein deutsches Unternehmen ist. Egal, sagt das Kammergericht, wer eine Niederlassung innerhalb eines Mitgliedsstaates der EU unterhält, muss die datenschutzrechtlichen Vorschriften dieses Staates einhalten. Und mehr noch: Wer mehrere Niederlassungen in verschiedenen Mitgliedsstaaten unterhält, muss die jeweils geltenden Regelungen berücksichtigen. Dadurch dürfte endgültig klargestellt sein, dass die – leider – unterschiedlich hohen Datenschutzniveaus innerhalb der EU durch gezielte Wahl der Niederlassungsstandorte ausgenutzt werden können.

Zum anderen hat das Kammergericht die in dem vorliegenden Fall verwendete Aussage „Diese Anwendungen darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ als eine AGB eingestuft, sodass diese einer entsprechenden Prüfung unterzogen werden konnte. Ergebnis: Sie ist unangemessen i.S.d. § 307 BGB, weil sie zu intransparent ist. Der Nutzer wird nicht in ausreichendem Maße darüber aufgeklärt, welche Folgen eine Einwilligung in diese Klausel für ihn haben kann. Gleichzeitig stellt diese Ermächtigung für den Einwilligungsempfänger aufgrund der hohen Reichweite eine äußerst wertvolle Informations- und Marketingquelle dar. Denn mit mal erreicht der Einwilligungsempfänger mit seinen Posts nicht nur seine eigenen Fans, sondern auch Freunde, Familie und Kollegen aller Nutzer, die eingewilligt haben. Hinzu kommt: Einen Schutz davor, dass diese Einwilligung für unlautere Zwecke missbraucht werden könnte, war scheinbar nicht vorgesehen.

Die Entscheidung des Kammergerichts ist begrüßenswert. Vor allem die Klarstellung, dass datenschutzrechtliche Vorschriften nicht durch eine geschickte Standortauswahl umgangen werden können, verdient Beachtung. Es ist fast schade, dass diese gelungene Entscheidung nicht lange relevant bleiben wird. Der Grund dafür ist aber ein sehr guter: Zum 24.05.2018 tritt die neue Datenschutzgrundverordnung der EU in Kraft, sodass ab dann EU-weit ein einheitliches Datenschutzniveau gilt. Die Wahl des Standortes von Niederlassungen macht dann keinen Unterschied mehr.

Aber auch die pragmatisch wirkende Abhandlung zu dem so harmlos wirkenden Satz dürfte Datenschützer freuen. Das Kammergericht hat dargestellt, dass viel mehr dahinter steckt, als es den Anschein macht. Es ist gut, dass das Gericht diesem Vorgehen einen Riegel vorgeschoben hat.

 

Sie haben  Fragen zum Datenschutz? Dann sind sie bei uns richtig!

 

 

 

 

 

 

 

Die Teilnahme am Straßenverkehr kann frustrierend sein. Jeder hat schon seine eigenen Erfahrungen mit Drängern oder dreisten Verkehrsteilnehmern gemacht. Und nicht wenige dürften schuldige Erinnerungen haben an eigene unglückliche Szenen im Straßenverkehr.

Da in Zeiten des Internets mittlerweile fast alles bewertet werden kann, erscheint es auf den ersten Blick gar nicht so abwegig, auch die Fahrleistungen seiner Mitbürgerinnen und Mitbürger bewerten zu können, vor allem, wenn sonst keine Handhabe wie eine Anzeige oder Ordnungswidrigkeit in Betracht kommen.

Und siehe, diese Möglichkeit gibt es. Ein Bewertungsportal erlaubt es jedem, anonym die Fahrleistungen anderer in einem Ampelsystem zu bewerten. Eine Zuordnung findet hierbei durch die Nennung des amtlichen Kennzeichens statt. Zusätzlich zur Bewertung im Ampelsystem können weitere Angaben gemacht werden, was Marke und Farbe des dazugehörigen Kraftfahrzeuges angeht. Außerdem können grobe Angaben gemacht werden, aus welchem Verhalten des bewerteten Teilnehmers die Bewertung herrührt. Eine grüne Ampel bekommt, wer sich z.B. vorbildlich an Zebrastreifen hält, oder wer umsichtig fährt. Wer eine gelbe oder sogar rote Ampel bekommt, verhält sich sicher nicht so vorbildlich.

Darüber hinaus werden anhand der Bewertungen auch Statistiken angeboten. So werden z.B. die 5 Top Städte und die 5 Flop Städte angezeigt, oder die Automarken der angenehmsten Autofahrer.

Und es tauchen weitere Fragen auf: Ist es vertretbar, dass dem Halter das Verhalten seines Kollegen aufgebrummt wird, dem er sein Auto geliehen hat? Müssen Autovermieter mit Umsatzeinbußen rechnen, weil ihre Kunden zu aggressiv fahren?

So geht das nicht, befand die Landesbeauftragte für Datenschutz des Landes NRW und erließ Anordnungen gegen den Protalbetreiber, besseren Datenschutz zu gewährleisten. In der Pressemitteilung des OVG Münster heißt es hierzu: „Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abgegebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss.“ So könne wenigstens verhindert werden, dass eine unbegrenzte Öffentlichkeit ein Bild von den Fahrleistungen Einzelner machen kann. Nachdem der Portalbetreiber mit seiner Klage vor dem Verwaltungsgericht bereits gescheitert war, fing er sich auch vor dem OVG eine Schlappe ein.

Das OVG Münster bestätigte die Anordnungen der Landesdatenschutzbeauftragten, sodass der Portalbetreiber jetzt entsprechende Anpassungen vornehmen muss. Wie diese im Einzelnen auszusehen haben, z.B. hinsichtlich eines Nachweises über die Haltereigenschaft, kann nur vermutet werden.

Dennoch ist es eine begrüßenswerte Entscheidung. Selbst wenn der angeführte Zweck, Autofahrer zu Selbstreflexion anzuhalten durchaus nachvollziehbar ist, sieht die Praxis aller Wahrscheinlichkeit nach ganz anders aus. Dieses Portal dürfte vor allem als Frustventil wirken. Da die Bewertungen schnell, pauschal und anonym vorgenommen werden können, hat der Bewertende keinen Anreiz, auch seine eigene Bewertung selbst zu reflektieren. Abgesehen davon besteht theoretisch die Möglichkeit, sein eigenes Kennzeichen mit besten Bewertungen auszustatten. Nachgeprüft werden kann das nicht.

So sah es auch das Oberverwaltungsgericht: Es hat entschieden, dass es sich um die mit den Kennzeichen in Verbindung gesetzten Bewertungen um personenbezogene Daten handelt, sodass das Bundesdatenschutzgesetz anwendbar sei. Bei der Abwägung der Interessen zwischen Haltern und Halterinnen und den Interessen des Portalbetreibers und dessen Nutzer überwiege das informationelle Selbstbestimmungsrecht Ersterer, vor allem, „weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhalten für eine unbegrenzte Öffentlichkeit einsehbar sei.“ (sic)

Die testweise Abfrage des Kennzeichens des Autors hat übrigens keine Einträge gegeben. Hoffentlich bleibt das so.

Unsere Website verwendet Cookies, um einen schnellen und technisch einwandfreien Internetauftritt zu gewährleisten. Wenn Sie Ihren Besuch auf unserer Website fortsetzen, stimmen Sie der Verwendung dieser Cookies indirekt zu. Bitte lesen Sie unsere Datenschutzerklärung für weiterführende Informationen. Datenschutzerklärung | Zustimmen