Datenschutz

Facebook und die Daten, ein immer wieder beliebtes Thema. Auch für Gerichte. In einem aktuellen Urteil hat das Kammergericht Berlin wichtige Klarstellungen getroffen, auch wenn diese angesichts der neuen Datenschutzgrundverordnung nicht mehr lange relevant sein dürften.

Ist Facebook kostenlos? Nein. Womit verdient Facebook eigentlich Geld? Mit Informationen. Facebook sammelt täglich eine unglaubliche Menge an Daten über seine Nutzer. Informationen über Aufenthaltsort, Aktivitäten, Freunde oder persönlichen Geschmack sind die Währung, mit der Facebook handelt. Diese sind Werbetreibenden bares Geld wert. Die Jagd auf Informationen macht Facebook und die Werbetreibenden erfinderisch.

Es wundert also nicht, dass Facebook immer wieder ins Fadenkreuz von Datenschützern und Verschwörungstheoretikern landet. Ab und zu landet es auch vor Gericht. Wie im vorliegenden Fall, in dem es darum ging, dass Nutzern von Facebook abverlangt wurde, Zugriff auf ihre Daten zu gewähren, um auf bestimmte Inhalte (Spiele) zugreifen zu können. Mehr noch, die Nutzer sollten sich damit einverstanden erklären, dass die Spiele-App im Namen der jeweiligen Nutzer Posts, also Statusmeldungen, Fotos „und mehr“ veröffentlichen darf. Hierbei war die Zustimmung dadurch zu erteilen, dass ein Button geklickt wird, der mit „Spiel spielen“ beschriftet war.

„So nicht!“ befand ein Verbraucherschutzverband und verklagte Facebook. Aufgrund der oben beschriebenen Ausgestaltung der Einwilligungserklärung könnten gerade Jugendliche und junge Erwachsene könnten die Tragweite ihrer Erklärung nicht richtig einschätzen. Vor dem Landgericht bekam der Verband Recht. Und auch vor dem Kammergericht scheiterte Facebook.

Der „Doppelschlag“ bezieht sich allerdings auf den Inhalt des Urteils. Das Kammergericht hat die Gelegenheit genutzt und zwei wichtige Aspekte klargestellt:

Zum einen hat es deutsches Datenschutzrecht für anwendbar erklärt. Diese Feststellung ist deshalb wichtig, weil Facebook bekanntermaßen kein deutsches Unternehmen ist. Egal, sagt das Kammergericht, wer eine Niederlassung innerhalb eines Mitgliedsstaates der EU unterhält, muss die datenschutzrechtlichen Vorschriften dieses Staates einhalten. Und mehr noch: Wer mehrere Niederlassungen in verschiedenen Mitgliedsstaaten unterhält, muss die jeweils geltenden Regelungen berücksichtigen. Dadurch dürfte endgültig klargestellt sein, dass die – leider – unterschiedlich hohen Datenschutzniveaus innerhalb der EU durch gezielte Wahl der Niederlassungsstandorte ausgenutzt werden können.

Zum anderen hat das Kammergericht die in dem vorliegenden Fall verwendete Aussage „Diese Anwendungen darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ als eine AGB eingestuft, sodass diese einer entsprechenden Prüfung unterzogen werden konnte. Ergebnis: Sie ist unangemessen i.S.d. § 307 BGB, weil sie zu intransparent ist. Der Nutzer wird nicht in ausreichendem Maße darüber aufgeklärt, welche Folgen eine Einwilligung in diese Klausel für ihn haben kann. Gleichzeitig stellt diese Ermächtigung für den Einwilligungsempfänger aufgrund der hohen Reichweite eine äußerst wertvolle Informations- und Marketingquelle dar. Denn mit mal erreicht der Einwilligungsempfänger mit seinen Posts nicht nur seine eigenen Fans, sondern auch Freunde, Familie und Kollegen aller Nutzer, die eingewilligt haben. Hinzu kommt: Einen Schutz davor, dass diese Einwilligung für unlautere Zwecke missbraucht werden könnte, war scheinbar nicht vorgesehen.

Die Entscheidung des Kammergerichts ist begrüßenswert. Vor allem die Klarstellung, dass datenschutzrechtliche Vorschriften nicht durch eine geschickte Standortauswahl umgangen werden können, verdient Beachtung. Es ist fast schade, dass diese gelungene Entscheidung nicht lange relevant bleiben wird. Der Grund dafür ist aber ein sehr guter: Zum 24.05.2018 tritt die neue Datenschutzgrundverordnung der EU in Kraft, sodass ab dann EU-weit ein einheitliches Datenschutzniveau gilt. Die Wahl des Standortes von Niederlassungen macht dann keinen Unterschied mehr.

Aber auch die pragmatisch wirkende Abhandlung zu dem so harmlos wirkenden Satz dürfte Datenschützer freuen. Das Kammergericht hat dargestellt, dass viel mehr dahinter steckt, als es den Anschein macht. Es ist gut, dass das Gericht diesem Vorgehen einen Riegel vorgeschoben hat.

 

Sie haben  Fragen zum Datenschutz? Dann sind sie bei uns richtig!

 

 

 

 

 

 

 

Die Teilnahme am Straßenverkehr kann frustrierend sein. Jeder hat schon seine eigenen Erfahrungen mit Drängern oder dreisten Verkehrsteilnehmern gemacht. Und nicht wenige dürften schuldige Erinnerungen haben an eigene unglückliche Szenen im Straßenverkehr.

Da in Zeiten des Internets mittlerweile fast alles bewertet werden kann, erscheint es auf den ersten Blick gar nicht so abwegig, auch die Fahrleistungen seiner Mitbürgerinnen und Mitbürger bewerten zu können, vor allem, wenn sonst keine Handhabe wie eine Anzeige oder Ordnungswidrigkeit in Betracht kommen.

Und siehe, diese Möglichkeit gibt es. Ein Bewertungsportal erlaubt es jedem, anonym die Fahrleistungen anderer in einem Ampelsystem zu bewerten. Eine Zuordnung findet hierbei durch die Nennung des amtlichen Kennzeichens statt. Zusätzlich zur Bewertung im Ampelsystem können weitere Angaben gemacht werden, was Marke und Farbe des dazugehörigen Kraftfahrzeuges angeht. Außerdem können grobe Angaben gemacht werden, aus welchem Verhalten des bewerteten Teilnehmers die Bewertung herrührt. Eine grüne Ampel bekommt, wer sich z.B. vorbildlich an Zebrastreifen hält, oder wer umsichtig fährt. Wer eine gelbe oder sogar rote Ampel bekommt, verhält sich sicher nicht so vorbildlich.

Darüber hinaus werden anhand der Bewertungen auch Statistiken angeboten. So werden z.B. die 5 Top Städte und die 5 Flop Städte angezeigt, oder die Automarken der angenehmsten Autofahrer.

Und es tauchen weitere Fragen auf: Ist es vertretbar, dass dem Halter das Verhalten seines Kollegen aufgebrummt wird, dem er sein Auto geliehen hat? Müssen Autovermieter mit Umsatzeinbußen rechnen, weil ihre Kunden zu aggressiv fahren?

So geht das nicht, befand die Landesbeauftragte für Datenschutz des Landes NRW und erließ Anordnungen gegen den Protalbetreiber, besseren Datenschutz zu gewährleisten. In der Pressemitteilung des OVG Münster heißt es hierzu: „Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abgegebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss.“ So könne wenigstens verhindert werden, dass eine unbegrenzte Öffentlichkeit ein Bild von den Fahrleistungen Einzelner machen kann. Nachdem der Portalbetreiber mit seiner Klage vor dem Verwaltungsgericht bereits gescheitert war, fing er sich auch vor dem OVG eine Schlappe ein.

Das OVG Münster bestätigte die Anordnungen der Landesdatenschutzbeauftragten, sodass der Portalbetreiber jetzt entsprechende Anpassungen vornehmen muss. Wie diese im Einzelnen auszusehen haben, z.B. hinsichtlich eines Nachweises über die Haltereigenschaft, kann nur vermutet werden.

Dennoch ist es eine begrüßenswerte Entscheidung. Selbst wenn der angeführte Zweck, Autofahrer zu Selbstreflexion anzuhalten durchaus nachvollziehbar ist, sieht die Praxis aller Wahrscheinlichkeit nach ganz anders aus. Dieses Portal dürfte vor allem als Frustventil wirken. Da die Bewertungen schnell, pauschal und anonym vorgenommen werden können, hat der Bewertende keinen Anreiz, auch seine eigene Bewertung selbst zu reflektieren. Abgesehen davon besteht theoretisch die Möglichkeit, sein eigenes Kennzeichen mit besten Bewertungen auszustatten. Nachgeprüft werden kann das nicht.

So sah es auch das Oberverwaltungsgericht: Es hat entschieden, dass es sich um die mit den Kennzeichen in Verbindung gesetzten Bewertungen um personenbezogene Daten handelt, sodass das Bundesdatenschutzgesetz anwendbar sei. Bei der Abwägung der Interessen zwischen Haltern und Halterinnen und den Interessen des Portalbetreibers und dessen Nutzer überwiege das informationelle Selbstbestimmungsrecht Ersterer, vor allem, „weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhalten für eine unbegrenzte Öffentlichkeit einsehbar sei.“ (sic)

Die testweise Abfrage des Kennzeichens des Autors hat übrigens keine Einträge gegeben. Hoffentlich bleibt das so.

Datenschutz ist in aller Munde. Die Frage über den Umgang mit persönlichen Daten wird nicht nur bei prominenten Beispielen wie Facebook, Google oder Youtube heiß diskutiert.

 

Im Kampf gegen den „gläsernen Bürger“ sind es vor allem die Datenschutzbeauftragten der Länder, die über die Einhaltung derjenigen Regeln wachen sollen, welche die Erhebung, Speicherung und Verwertung von persönlichen Daten ermöglichen. Doch so ehrenhaft diese Tätigkeit sein mag, sie hat auch ihre Grenzen.

 

Eine solche Grenze wurde dem Datenschutzbeauftragen des Landes Baden-Württemberg durch das Verwaltungsgericht Karlsruhe aufgezeigt. Was war passiert?

 

Da auch die EU die Notwendigkeit einer einheitlichen Regelung zum Schutz persönlicher Daten erkannt hat, brachte sie die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG auf den Weg, kurz: EU-Datenschutzgrundverordnung, oder EU-DSGVO.

 

Hierbei ist wichtig zu wissen, dass sie zwar bereits am 24. Mai 2016 in Kraft getreten ist, aber erst ab dem 24. Mai 2018 angewendet werden muss. Diese „Schonfrist“ von zwei Jahren soll ermöglichen, dass sich alle auf die neuen Regelungen einstellen können, bis diese verbindlich werden.

 

Scheinbar ging dies dem Datenschutzbeauftragten des Landes Baden-Württemberg nicht schnell genug. Schon im November 2016 erließ er eine Verfügung gegenüber einer Wirtschaftsauskunftei, welche Daten über die Kreditwürdigkeit von Personen sammelt und speichert. Gegenstand der Verfügung war, dass alle Forderungen und die mit ihnen in Zusammenhang stehenden Informationen nach 3 Jahren zu löschen seien, wenn diese über den 24 Mai 2018 hinaus gespeichert werden sollten.

 

Nach Auffassung des Datenschutzbeauftragten war diese Verfügung notwendig, da nicht sicher sei, ob die Auskunftei den zweijährigen Zeitraum dazu nutzen werde, die Verarbeitung personenbezogener Daten an die neuen Vorgaben anzupassen. Folglich könnten zukünftige Verstöße nicht ausgeschlossen werden.

 

Die Auskunftei wehrte sich hiergegen. Und bekam Recht. Das Verwaltungsgericht Karlsruhe erteilte dem Vorgehen des Datenschutzbeauftragten eine deftige Absage. Die Verfügung des Datenschutzbeauftragten wurde auf mehreren Ebenen für unrechtmäßig erklärt.

 

Zunächst moniert das Gericht, dass die gewählte Ermächtigungsgrundlage nicht anwendbar sei. Zwar darf der Datenschutzbeauftrage Maßnahmen ergreifen, um festgestellte Verstöße bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zu beseitigen. Für noch zu erwartende Verstöße gilt dies allerdings nicht. Bestehende Verstöße sah das Gericht nicht. Außerdem würdigte das Gericht die Anstrengungen der Auskunftei, zusammen mit Verbänden und anderen Auskunfteien zusammen einen neuen „Code of Conduct“, also einen selbst auferlegten Verhaltenscodex, zu entwerfen.

 

Die spannende Frage, ob eine in Kraft getretene aber noch nicht verbindliche Verordnung auch zu behördlichem Handeln ermächtigen kann, musste dann nicht mehr beantwortet werden.

 

Aber damit nicht genug. Obwohl schon an diesem Punkt die Klage der Auskunftei erfolgreich gewesen wäre, holt das Verwaltungsgericht zu weiteren Schlägen aus.

 

Neben der fehlenden bzw. nicht anwendbaren Rechtsgrundlage bemängelte das Gericht auch, dass die Verfügung nicht bestimmt genug war. Es entschied, dass die Verfügung der Auskunftei nicht deutlich genug klar mache, was diese eigentlich zu tun habe. Vor allem die Aufforderung, alle „mit [den zu löschenden Forderungen; Anm. des Autors] in Zusammenhang stehende Informationen“ zu löschen stieß dem Gericht sauer auf. Es sei nicht genug konkretisiert worden, was damit gemeint ist.

 

Auskunftei 2, Datenschutzbeauftragter 0.

 

Zuletzt stellt das Verwaltungsgericht fest, dass die Verfügung gar keine Verfügung ist. Sondern eine Rechtsnorm, „welche unzulässigerweise in Form des Verwaltungsaktes erlassen wurde und auch aus diesem Grund – da eine Umdeutung nicht möglich ist – aufzuheben ist“ (sic!). Zu diesem Ergebnis kommt das Gericht aufgrund des zeitlichen und inhaltlichen Geltungsbereiches der Verfügung. Diese habe eine unbestimmte Geltungsdauer und sei darauf ausgerichtet, den gewünschten Rechtszustand nicht nur gegenüber der klagenden, sondern gegenüber ALLEN in Baden-Württemberg ansässigen Auskunfteien herbeizuführen.

 

Treffer, versenkt.

 

Das Verwaltungsgericht macht damit klar, dass die Datenschutzbeauftragten beim Erlass derartiger Verfügungen große Sorgfalt walten lassen sollten, um ihrem hehren Ziel des Datenschutzes nicht unnötige Probleme zu bereiten. Auch wird deutlich, dass die „Schonfrist“ ernst zu nehmen ist und behördliches Handeln erst auf europäische Verordnungen gestützt werden kann, wenn diese auch anzuwenden sind

SIe haben Fragen zum Datenschutz oder beötigen einen Datenschutzbeauftragten. Gerne stehen wir Ihnen mit Rat und Tat zur Seite. 

 

Derzeitiger Trend ist ganz eindeutig das neue Handy-Spiel Pokémon Go, bei dem die Spieler auf die Straßen gehen, um die kleinen „Taschenmonster“ zu finden, einzusammeln und mit ihrem Monsterbestand gegen andere Spieler antreten zu können. Das Besondere an diesem Spiel ist das sog. Augmented Reality, bei der virtuelle und echte Welt verbunden werden und die Monster in der realen Umgebung angezeigt und gesammelt werden können. Um das Spiel spielen zu können, muss zunächst beim Entwickler Niantic eine App heruntergeladen werden zu deren Nutzung eine Anmeldung über ein Google-Konto oder im Pokémon Trainer Club erforderlich ist. Für diese Anmeldung müssen von den Nutzer Daten wie die E-Mailadresse, aber auch der Standort des Smartphones freigegeben werden. Ein anonymes Spielen ist dadurch unmöglich, die Eingabe personenbezogener Daten sind zwingend erforderlich. Zudem enthalten die Nutzungsbedingungen dieses Spiels weitreichende Haftungs- und Gewährleistungsausschlüsse, es soll kalifornisches Recht gelten und im Falle von Streitigkeiten soll der Nutzer ein Gericht in den USA aufrufen. Außerdem behält sich Niantic auch das Recht vor bei eine mit dem Nutzer geschlossenen Vertrag die Dienste jederzeit abzustellen oder den Vertrag abzuändern. Auch die Datenschutzerklärung enthält schwer verständliche und weitreichende Einwilligungserklärungen, so dass personenbezogene Daten nach Ermessen von Niantic an Dritte weitergereicht werden dürfen. All diese Bestimmungen veranlassten den Verbraucherzentrale Bundesverbands (vzbv) dazu, die Entwicklungsfirma Niantic abzumahnen. Der vzbv forderte Niantic auf, insgesamt 15 Vertragsbestimmungen bis zum 09.08.2016 nicht weiter zu verwenden und diesbezüglich eine strafbewährte Unterlassungs- und Verpflichtungserklärung abzugeben. Kommt Ninatic dieser Aufforderung nach, darf das Unternehmen diese Bestimmungen künftig nicht mehr verwenden. Für den gegenteiligen Fall könnte der vzbv die Ansprüche gerichtlich, im Wege einer einstweiligen Verfügung oder eines Klagverfahrens, geltend machen.    
Unsere Website verwendet Cookies, um einen schnellen und technisch einwandfreien Internetauftritt zu gewährleisten. Wenn Sie Ihren Besuch auf unserer Website fortsetzen, stimmen Sie der Verwendung dieser Cookies indirekt zu. Bitte lesen Sie unsere Datenschutzerklärung für weiterführende Informationen. Datenschutzerklärung | Zustimmen