Mit dem Aufkommen von Social Media-Diensten wie Facebook, Twitter & Co. wurden Internetseiten von einem neuen Trend erobert: Die altbewährte „Tell-A-Friend“ Funktion – welche einst ermöglichte, Freunden einen bestimmten Link ausschließlich per E-Mail mitzuteilen – hat sich nun zu einem Plugin für die verschiedensten sozialen Netzwerke entwickelt. Diese Funktion erfreut sich größter Beliebtheit, nicht zuletzt, da sich dadurch Links auf die eigene Webseite rasend schnell verbreiten lassen und den Besucherstrom enorm erhöhen. Allerdings stellt sich seit dem Aufkommen dieser Weiterempfehlungsfunktion die Frage, ob diese Funktion durch den Betreiber einer Internetseite auch datenschutzkonform eingesetzt werden kann.

Mit einem Klick auf den „Gefällt mir“-Button oder ähnlichen Verlinkungen zu Social Media-Plattformen wird auf dem Profil des Nutzers in dem jeweiligen sozialen Netzwerk die Information hinterlassen, dass der Nutzer gerade diese Daten empfiehlt. Die erhobenen Daten sind dabei personenbezogen, da durch die Verknüpfung mit dem Profil des sozialen Netzwerks der Nutzer eindeutig identifizierbar wird. Aus technischer Sicht kommunizieren die in die Webseite eingebetteten Plugins über eine Cookie- und Tracking-Technik mit den jeweiligen Netzwerken und leiten dadurch  personenbezogene Daten an die Dienste weiter.

Problematisch aus rechtlicher Sicht ist die Frage, ob deutsches Datenschutzrecht für ein Unternehmen gilt, welches seinen Sitz in den USA hat. Allerdings gilt beispielsweise für das Angebot des deutschen Facebook, dass nach den Angaben des Impressums der Betreiber die „Facebook Ireland Limited“ ist, womit die Seite zumindest der Datenschutzrechtrichtlinie der EU unterfällt. Deutsches Datenschutzrecht könnte sogar direkt Anwendung finden, wenn man entsprechend dem § 2a Abs. 1 TMG davon ausgeht, dass der Mittelpunkt der Tätigkeit des Angebots des deutschen Facebook gerade eben in Deutschland ist. Trotz dessen werden die durch Facebook Deutschland gewonnenen Daten an den Mutterkonzern in die USA weitergegeben.

Für den Webseitenbetreiber interessant ist daher nun die Frage, wie er die Vorteile der Social Media-Plugins nutzen kann und sich trotzdem datenschutzkonform verhält. Das Telemediengesetz macht hierzu in § 13 Abs. 1 TMG die Vorgabe, dass der Webseitenbetreiber den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU informieren muss, v.a. darüber, dass dieser Datenaustausch auch tatsächlich stattfindet. Erfolgt diese Datenschutzerklärung in nicht verständlicher Form oder erfolgt die Nutzung der „Tell-A-Friend“-Funktionen ohne jeglichen Hinweis in der Datenschutzerklärung, so drohen Bußgelder nach §16 TMG.

Wie dies nun im Fall einer Tell-A-Friend Funktion zu erfolgen hat, erscheint fraglich. Der Gesetzeswortlaut „Beginn des Nutzungsvorgangs“ i.S.d. §13 Abs. 1 TMG spricht für eine verpflichtende Anzeige einer Datenschutzerklärung beim Aufruf der jeweiligen Webseite oder bei Aktivierung des „Like-Buttons“, was in der Praxis jedoch quasi nicht umsetzbar sein wird. Das alleinige Bereithalten einer Datenschutzerklärung auf einer Webseite wird für sich betrachtet regelmäßig nicht ausreichen.

Grundsätzlich sieht das Telemediengesetz gem. § 12 Abs. 1 TMG ein Verbot mit Erlaubnisvorbehalt bei Erhebung und Verwendung von personenbezogenen Daten vor. Eine Zulässigkeit ist nur dann gegeben, wenn eine rechtliche Verpflichtung für die Übermittlung besteht, ein Gesetz dies zulässt oder eine Einwilligung des Nutzers gem. § 4a BDSG vorliegt. Letzteres kann zumindest vom Großteil der Nutzer aus Praktikabilitätsgründen nicht angenommen werden, da der Nutzer sonst pro Nutzungsvorgang einwilligen müsste.

Daher kommt nur § 15 TMG als Rechtsgrundlage in Betracht, welcher voraussetzt, dass die Datenverwendung erforderlich ist, um die Telemedien einzusetzen. Die Nutzung von derartigen Tell-A-Friend Funktionen ist jedoch gerade nicht erforderlich, um die Webseite oder Facebook zu nutzen, sondern bietet ausschließlich eine Zusatzfunktion. § 15 TMG betrifft gerade das Verhältnis zwischen Betreiber der Webseite und dem Nutzer und nicht das Verhältnis zwischen dem Nutzer und dem jeweiligen Dienst, an den die Daten übertragen werden. Dafür spricht auch das Gebot der Datensparsamkeit gem. § 3a BDSG, der eine derartig umfangreiche Datenerhebung gerade ablehnt.

Gelöst werden könnte das Problem über die Regelungen der Auftragsdatenverarbeitung gem. § 11 BDSG, allerdings ist aufgrund der dortigen strengen Voraussetzungen – insbesondere der in der Regel fehlenden Weisungsgebundenheit des Webseitenbetreibers gegenüber Facebook und anderen Diensten – im Ergebnis wohl auch keine Rechtfertigung für die Datenerhebung gegeben.

Fazit: Nach der derzeitigen Rechtslage entsprechen Tell-A-Friend Funktionen wie der „Like-Button“ von Facebook im Ergebnis wohl nicht den Vorgaben des deutschen Datenschutzrechts. Werden Daten ohne Einwilligung des Nutzers oder gar ohne Rechtsgrundlage übermittelt, belegt das Bundesdatenschutzgesetz den Datenverwender gem. § 43 Abs. 2 Nr. 1 BDSG mit einem Bußgeld bis zu 300.00.- Euro.

Es lässt sich allerdings auch argumentieren, dass der Nutzer des Buttons weiß, dass entsprechende Daten an den jeweiligen Social Media- Anbieter gehen und diese Informationen in seinem Profil geposted werden.  Der Nutzer hätte damit konkludent in die Weitergabe der personenbezogenen Daten in dem bekannten Umfang eingewilligt.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an mainz@res-media.net .

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Pixelstudio – Fotolia.com

Ab dem 01. November 2010 wird von den deutschen Behörden nur noch der elektronische Personalausweis ausgestellt und damit auf längere Sicht der bisherige Ausweis komplett ersetzt. Die Einführung des neuen elektronischen Personalausweises basiert auf dem Gesetz über Personalausweise und den elektronischen Identitätsnachweis (kurz Personalausweisgesetz, PAuswG) von Ende 2008.

Nachdem der Bundesrat bereits im Februar 2009 seine Zustimmung erteilt hat, wird das Gesetz nun im kommenden November in Kraft treten.

Aus datenschutzrechtlicher Sicht ist das neue Ausweisdokument für Bürger der Bundesrepublik

Deutschland bereits heftig in Kritik geraten. Während beim derzeitigen Personalausweis die Daten

nur optisch ausgelesen werden können, werden die Daten beim neuen Personalausweis im Scheckkartenformat auf einem Chip mit PIN-Abfrage digital abgespeichert. In seiner hoheitlichen Funktion als Personaldokument können auch biometrische Informationen wie ein digitalisiertes biometrisches Passbild (verpflichtend) sowie freiwillig die Fingerabdrücke des rechten und linken Zeigefingers abgespeichert werden (optional; anders der elektronische Reisepass [sog. „ePass“], wo dies verpflichtend ist), womit sich der Inhaber des Ausweises auch über das Internet – bei entsprechend vorhandenem Lesegerät – ausweisen kann. Allerdings muss dann auf der Webseite durch Zertifikate sichergestellt werden, dass der jeweilige Seiteninhaber auch berechtigt ist, den Ausweis digital auszulesen.

Der Ausweis soll neben einer Erhöhung der Sicherheit gegen Internetkriminalität auch eine Vereinfachung des elektronischen Identitätsnachweises (sog. „eID“) im Rahmen von elektronischen Geschäftstransaktionen durch höchst fälschungssicher eingestufte Authentifizierungsprozesse ermöglichen. Insbesondere für die elektronische Abwicklung von Verträgen im Bereich von E-Government und E-Business ist es durch die Integrierung einer – wenn auch nur optional erhältlichen – qualifizierten elektronischen Signatur (sog. „QES“) ermöglicht worden, eine eigenhändige Unterschrift auf digitalem Wege zu realisieren, was bisher für den einzelnen schlichtweg zu kostspielig und kompliziert war. Mit dem neuen Personalausweis ist der Bürger direkt Inhaber einer solchen Signatur, falls er denn eine solche auf seinem Ausweis abgespeichert wünscht und beantragt.

Kritische Bedenken erntet der neue elektronische Personalausweis insbesondere hinsichtlich der verwendeten Chip Technologie, die auf dem RFID-System basieren soll. Damit ist es möglich, kontaktlos die auf dem Chip hinterlegten verschlüsselten Daten auszulesen. Als Sicherheitssystem setzt der Ausweis das sog. PACE-Protokoll ein, das vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und derzeit bei verschiedenen Stellen auf Sicherheitslücken geprüft wird, um die Einhaltung bestimmter Sicherheitsstandards, die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, gem. § 2 Abs. 2 BDSG zu gewährleisten. Zwar ist der Auslesungsvorgang nur in einem bestimmten Funkfeld möglich, in welchen der RFID Chip „aktiviert“ wird, allerdings kann der Auslesevorgang gegebenenfalls nicht nur von den autorisierten RFID Lesegeräten erfolgen, sondern auch durch Nichtberechtigte mit der Folge, dass zum Beispiel Persönlichkeitsprofile erstellt werden.

Aus rein rechtlicher Sicht darf vom Ausweisinhaber künftig nicht mehr verlangt werden, den Personalausweis zu hinterlegen oder den Gewahrsam in sonstiger Weise daran aufzugeben, vgl. § 1 I 3 PAuswG. Dem Ausweisinhaber ist es aber gem. § 5 Abs.9 PAuswG ermöglicht, freiwillig seine Fingerabdrücke auf dem Ausweis zu speichern. Damit können Behörden einen Identifikationsabgleich vornehmen, allerdings müssen sie den Fingerabdruck unmittelbar nach Ausstellung wieder löschen. Daneben gibt es die bereits angesprochene, ebenfalls freiwillige Identifikationsmöglichkeit im Rahmen von elektronischen Geschäftsprozessen, vgl. § 10 PAuswG. Auch hier dienen die Ausweisnummer und die PIN zur Identifikation des jeweiligen Nutzers. Allerdings ist dieser verpflichtet, „zumutbare Maßnahmen“ gem. § 27 PAuswG zu treffen, um sicherzustellen, dass Dritte keine Kenntnis von der Geheimnummer erhalten. Im Rahmen von Internettransaktionen trifft den Bürger dabei die Pflicht, die Eingabe bzw. den Zugang zu den gespeicherten Daten nur über gesicherte Netzwerke und virengeschützte Computer erfolgen zu lassen. Wer auf die im elektronischen Personalausweis hinterlegten Daten zugreifen und diese verwenden darf, wird in § 15ff. PAuswG genau geregelt. Allerdings verlangt auch hier das Gebot der Datensparsamkeit gem. § 3a BDSG, dass nur auf die Daten zugegriffen wird, die im Geschäftsverkehr regelmäßig verlangt werden (wie z.B. die Adresse) – außerdem soll der Betroffene jeweils Einblick und Kontrolle über die zugegriffenen Daten haben.

Fazit: Es bleibt abzuwarten, wie der elektronische Personalausweis in der Praxis angenommen wird. Klar ist, dass sich durch den „kontaktlosen“ Zugriff auf personenbezogene Informationen im Sinne von § 3 Abs. 1 BDSG viele datenschutzrechtliche Problemfelder eröffnen. Umso mehr ist es wichtig, dass durch technisch abgesicherte Verfahren ein Zugriff auf die höchst persönlichen Informationen nur den zuständigen Behörden vorbehalten bleibt, um beispielsweise einer Profilbildung der Nutzer vorzubeugen. Mit Spannung bleibt ebenfalls abzuwarten, ob sich die im elektronischen Personalausweis integrierte elektronische Signatur durchsetzen und von den Bürgern auch tatsächlich genutzt werden wird.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an mainz@res-media.net .

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Thomas Melcher – Fotolia.com

Am 29. April 2010 hat sich der Düsseldorfer Kreis für die Zulässigkeit von Datentransfers von Deutschland in die USA an jene zertifizierten US-Unternehmen entschieden, die dem Safe Harbor Abkommen beigetreten sind. Dabei wurden unter anderem verschärfte Richtlinien erlassen, welche den Unternehmen erweiterte Pflichten aufbürden. Der Düsseldorfer Kreis ist die Bezeichnung für den Zusammenschluss von Datenschutz-Aufsichtsbehörden von nicht öffentlichen Stellen, also beispielsweise Unternehmen.

Grundsätzlich ist ein Export von Daten aus Deutschland heraus gem. §4b, c BDSG solange unbedenklich, wie sich die Unternehmen in der EU oder im Europäischen Wirtschaftsraum befinden. Bei Unternehmen, welche sich nicht in diesen Ländern befinden, ist eine gesonderte Überprüfung notwendig, ob die Behörde, welche die Daten erhalten soll, ein angemessenes Datenschutz-Niveau aufweist. Die EU Kommission hat dabei für ausgewählte Länder das Schutzniveau nach der dortigen Rechtslage für das ganze Land bestimmt.

Hinsichtlich den USA jedoch wurde dabei eine Sonderlösung durch die EU vereinbart, obwohl gerade in den vereinigten Staaten kein angemessenes Datenschutz-Niveau festgestellt werden konnte. Hier kam das Safe Harbor-Abkommen zum Einsatz: US-Unternehmen konnten sich bei einer US-Behörde als Unternehmen mit angemessenen Datenschutz-Schutzniveau zertifizieren lassen. Voraussetzung dafür war, dass das Unternehmen dem Abkommen beigetreten ist und sich den dort statuierten Regelungen zum Umgang mit personenbezogenen Daten formal unterworfen hat. Damit stand dem Export von Daten an das US-Unternehmen nichts mehr im Wege. Bisher war der Datentransfer nach §4b, c BDSG grundsätzlich gestattet, so dass beim Datenexport keine Sanktionen ausgesprochen wurden.

Dieses Safe Harbor-Abkommen wies jedoch enorme Datenschutzdefizite auf, da mangels Kontrolle durch die öffentliche Seite die Bestimmungen des Abkommens quasi nicht eingehalten wurden und ein angemessenes Datenschutz-Schutzniveau gerade nicht gewährleistet wurde.

Mit dem Beschluss des Düsseldorfer Kreises sind deutsche Unternehmen nun verpflichtet, die Einhaltung der datenschutzrechtlichen Mindeststandards aktiv zu überprüfen. Daraus folgt, dass das datenempfangende Unternehmen nun schriftlich nachweisen muss, dem Safe Harbor-Abkommen beigetreten zu sein, wobei der Nachweis nicht älter als sieben Jahre sein darf und die wesentlichen Verpflichtungen des Abkommens enthalten muss.

Darüber hinaus muss der Nachweis eingeholt werden, dass die Informationspflichten gegenüber den Betroffenen eingehalten werden. Das Unternehmen muss die Betroffenen darüber informieren, zu welchem Zweck die Daten erhoben werden. Dieser Nachweis muss der verantwortlichen Stelle der Aufsichtsbehörde vorgelegt werden können. Weiterhin sollen Verstöße gegen Safe Harbor-Bestimmungen der Aufsichtsbehörde nun direkt angezeigt werden.

Diese Vereinbarungen des Düsseldorfer Kreises werden damit zu Voraussetzungen für den Transfer von Daten in die USA. Wird gegen diese Voraussetzungen verstoßen, so haften die deutschen Unternehmen, welche Daten exportieren, nun mit Bußgeldern bis zu 300.000.- Euro neben möglichen Schadensersatzforderungen.

Fazit: Die Vorgaben des Düsseldorfer Kreises sollten von datenexportierenden Unternehmen in der Praxis ernst genommen werden. Der Export von personenbezogenen Daten an Safe Harbor-zertifizierte Unternehmen wird zwar dadurch einerseits erschwert, andererseits wird den Datenschutzvorgaben des Safe-Harbor-Abkommens endlich mehr Rechnung getragen.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an mainz@res-media.net .

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Andrea Danti – Fotolia.com

Anfang März entschied das Bundesverfassungsgericht in einem Grundsatzurteil (Urteil v. 02.03.2010 – Az.: 1 BvR 256/08), dass die anlasslose Protokollierung von IP-Adressen und deren Speicherung für mindestens 6 Monate – entsprechend den Vorgaben der EU – zwar nicht unvereinbar mit dem Grundgesetz ist. Für die konkrete Ausgestaltung der sog. Vorratsdatenspeicherung im Einzelfall machte das Gericht aber dem Gesetzgeber konkrete Vorgaben, damit dieser es verfassungskonform ausgestalten kann.

In einem erst kürzlich veröffentlichten Urteil des Oberlandesgerichts Frankfurt am Main (Urt. v. 16.06.2010 – 13 U 105/07) wurde nun entschieden, dass es Internet-Providern wie der Deutschen Telekom dennoch erlaubt sei, Verbindungsdaten für einen Zeitraum von 7 Tagen zu speichern, und zwar auch dann, wenn es sich um eine Flatrate handele. Das Berufungsgericht bestätigte damit die Entscheidung der Vorinstanz des LG Darmstadt, nach der ein Kunde der Deutschen Telekom AG keinen Anspruch auf unverzügliche Löschung seiner für die die Nutzung des Internets vergebenen IP-Adressen erhielt.

Im vorliegenden Fall hatte der Kläger einen DSL-Internet-Zugangsvertrag mit der DTAG-Tochter T-Online geschlossen. Im streitgegenständlichen Verfahren verlangte er von der Telekom, dass diese die ihm zugeteilten „dynamischen IP-Adressen“ unmittelbar nach Beendigung der jeweiligen Internetverbindung löschen. Die Beklagte speicherte zum gegenwärtigen Zeitpunkt der Klageerhebung im Juni 2007 die IP-Adressen für einen Zeitraum von 80 Tagen nach dem Rechnungsversand. Während es die Vorinstanz der Beklagten untersagte, die Daten länger als sieben Tage abzuspeichern, reduzierte die Telekom – einhergehend mit den Vorgaben des Bundesbeauftragen für Datenschutz – ihre Speicherzeit gerade auf diesen Zeitraum.

In der Berufung vor dem OLG Frankfurt a.M. begehrt der Kläger nun weiterhin die Löschung der Daten unmittelbar nach Beendigung der Internetverbindung. Die Klägerin sah ansonsten insbesondere die Gefahr, dass Persönlichkeitsprofile über den Einzelnen erstellt werden könnten, weswegen auch ein Speicherzeitraum von sieben Tagen nicht tragbar sei.

Der 13. Zivilsenat des OLG Frankfurt folgte jedoch der Ansicht der Beklagten und wies die Berufung zurück. Die Frankfurter Richter begründeten ihre Entscheidung damit, dass kein Rechtsgrund bestehe, die IP-Adressen sofort nach Beendigung der Internetverbindung zu löschen. Das Bundesverfassungsgericht habe die Rechtmäßigkeit solcher Datenspeicherungen durch Access-Provider niemals in Zweifel gezogen. Außerdem sei es nach derzeitigem technischem Stand quasi unmöglich, die IP-Adressen sofort nach Beendigung der Verbindung zu löschen, ohne eine Abrechnung mit dem Kunden untragbar zu erschweren; zumal der Kläger einen gegenteiligen Beweis schuldig geblieben sei. Die IP Adressen seien vielmehr die für die Berechnung des Entgelts erforderlichen Daten im Sinne des Telekommunikationsgesetzes. Außerdem wäre es der DTAG als Access Provider sonst unmöglich, einen wesentlichen Teil von Störungen und Fehlern zu erkennen, einzugrenzen und zu beseitigen.

Fazit: Das OLG Frankfurt a.M. bescheinigt der Beklagten die Löschung der Verbindungsdaten „ohne schuldhaftes Zögern“ und bestätigt damit die bestehende Regelung, dass IP-Adressen nicht vor Ablauf von sieben Tagen gelöscht werden müssen. Zu einer Neuregelung der Vorratsdatenspeicherung durch den Gesetzgeber ist es bisher nicht gekommen.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net .

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Dieser Beitrag wurde erstellt unter freundlicher Mitwirkung von Stud. iur. Sebastian Ehrhardt

Bildnachweis: © Ewe Degiampietro – Fotolia.com

In den letzten Monaten wurde in den Medien mehrfach von Datenskandalen berichtet, bei denen oftmals sensible Daten wie Bank- und Adressdaten von Personen ausgelesen und schließlich verkauft wurden. Der Verkauf von Adressdaten ist allerdings nicht per se rechtswidrig. Das OLG Düsseldorf hatte sich in einem aktuellen Urteil (Urteil vom 17.02.2010 – Az.: I-17 U 167/09) mit der umstrittenen Frage auseinanderzusetzen, welche rechtlichen Regelungen beim Kauf von Adressdaten zu Werbezwecken anwendbar sind.

Im konkret verhandelten Sachverhalt hatte die Beklagte von der Klägerin umfangreiche Adressdaten gekauft, die sie für Werbezwecke verwenden wollte. Diese Daten wurden aus vielen verschiedenen Datenpools erlangt und der Beklagten verkauft. Allerdings stellte die Käuferin nach kurzer Zeit fest, dass einige Daten zum erheblichen Teil fehlerhaft waren und weigerte sich daher, den vereinbarten Kaufpreis zu zahlen. Außerdem hatte die Klägerin vorliegend nicht das Einverständnis der Betroffenen zur Speicherung und Weitergabe der jeweiligen Adressdaten erfragt (sog. „Opt-in Verfahren“) und ist deswegen auch mehrfach abgemahnt worden. Die Klägerin hingegen bestand auf Zahlung und legte Klage ein.

Die Düsseldorfer Richter entschieden zu Gunsten der Klägerin und verurteilten die Beklagte zur Zahlung des Kaufpreises. Die Beklagte habe kein Recht, die Überweisung des Kaufpreises zu verweigern, da ihr keinerlei Zurückbehaltungs- oder Gewährleistungsrechte zustünden.

Das Gericht wandte für den Verkauf von Adressdaten die gesetzlichen Regelungen über den Rechtskauf an. Die Beklagte hätte die behauptete Fehlerhaftigkeit der gekauften Adressdaten glaubhaft darlegen müssen – und nicht wie vorliegend allgemein und pauschal zu behaupten, die Daten seien mangelbehaftet. Notwendig wäre eine detaillierte Auflistung gewesen, wann und bei welchen Daten konkret welche Fehler vorlagen. Zu diesen Umständen seien aber gerade keine Ausführungen durch die Beklagte erfolgt.

Fazit: Wie der Kauf und Verkauf von Adressdaten juristisch in den Griff zu bekommen ist, ist nach wie vor in der Rechtsprechung umstritten. Das OLG Düsseldorf wendet dazu die Vorschriften des Rechtskaufs an. Wendet der Käufer ein, dass die Adressdaten nicht den vertraglichen Bestimmungen entsprechen, muss er dies anhand konkreter Tatsachen glaubhaft machen.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net .

Florian Decker
Rechtsanwalt

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Berlin | Mannheim
—————————————————————————-

Dieser Beitrag wurde erstellt unter freundlicher Mitwirkung von Stud. iur. Sebastian Ehrhardt

Bildnachweis: © kebox – Fotolia.com

Je größer ein Unternehmen ist, desto größer ist in der Regel auch das Netzwerk, das es verwendet. Dies macht es notwendig, dass für einzelne Benutzer unterschiedliche Zugriffsrechte auf das Netzwerk festgelegt werden. Der jeweilige Benutzer wird über seinen Benutzernamen und ein Passwort identifiziert. Wie das LAG München in einem Urteil von Anfang August (Urteil vom 05.08.2009 – Az.: 11 Sa 1066/08) entschied, kann die Verwendung eines fremden Passworts durch einen Mitarbeiter arbeitsrechtlich einen außerordentlicher Kündigungsgrund darstellen.

Im zu entscheidenden Fall hatte sich der Kläger, ein angestellter Diplom-Wirtschaftsingenieur, der nur beschränkten Zugang auf eine SAP-Datenverarbeitung der Firma hatte, zur Erledigung einer Arbeitsaufgabe heimlich durch ein fremdes Passwort Zugang zum Rechnersystem verschafft, um Zugang zu bestimmten anderen Daten zu erlangen. Die beklagte Arbeitgeberin entließ den Kläger daraufhin außerordentlich und erstattete Strafanzeige wegen Datenveränderung, als sie von dessen Vorgehen Kenntnis erlangte. Darauf beschritt dieser den Gerichtsweg und forderte Rücknahme der Kündigung.

Das LAG München hat allerdings zugunsten der Beklagten entschieden und die Klage abgewiesen. Der Kläger hatte sich durch die Nutzung eines fremden Passworts Zugriff auf das SAP-Datensystem verschafft und dadurch unerlaubt Lese- und Schreibrechte erhalten. Im Rahmen seines Arbeitsverhältnisses verfügte er lediglich über begrenzte Zugriffsrechte für das firmeninterne EDV-System. Die Münchner Richter gewährten der Beklagten ein berechtigtes Interesse an einer Beschränkung der Nutzungsrechte. Dem Kläger habe bewusst sein müssen, dass er durch sein Verhalten gegen bestehende Sicherheitsvorgaben verstoßen habe – auch wenn er den hergestellten Zugang zum System zwingend benötigte, um die ihm aufgetragene Arbeitsaufgaben erledigen zu können. Außerdem habe er die Daten in unerlaubter Weise so manipuliert, dass der Eindruck entstand, der Arbeitskollege habe die Veränderungen an den Daten vorgenommen.

Fazit: Auch wenn der Arbeitnehmer hier nur auf ein fremdes Passwort zurückgriff, um eine Arbeitsanweisung zu erfüllen, sah das Landesarbeitsgericht München in seinem Verhalten einen groben Verstoß gegen arbeitsvertragliche Pflichten und einen Bruch des Vertrauensverhältnisses, was nach seiner Ansicht die außerordentliche Kündigung des Arbeitsverhältnisses rechtfertigt.

Arbeitnehmer sollten deshalb die ihnen im Netzwerk eingeräumten Befugnisse nicht ohne Erlaubnis überschreiten.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net .

Florian Decker
Rechtsanwalt

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Berlin | Mannheim
—————————————————————————-

Dieser Beitrag wurde erstellt unter freundlicher Mitwirkung von Stud. iur. Sebastian Ehrhardt

Bildnachweis: © Andrea Danti – Fotolia.com

In den letzten Monaten kam es vermehrt zu Datenskandalen, bei denen oftmals tausende sensible Daten wie Bank- und Adressdaten von Personen ausgelesen und dann verkauft wurden. Der Verkauf von Adressdaten ist allerdings nicht grundsätzlich unzulässig, sondern kann dann zulässig sein, wenn der Endverbraucher vor der Werbekontaktaufnahme der Weitergabe seiner Daten ausdrücklich über das Opt-in-Verfahren zugestimmt hat.

Das OLG Düsseldorf hat zu diesem Thema Ende November (Beschluss vom 24.11.2009 – Az.: I-20 U 137/09) entschieden, dass sich der Käufer der Daten nicht pauschal auf Zusicherungen des Verkäufers hinsichtlich der Einwilligung der betroffenen Kunden verlassen dürfe, sondern selbst die Pflicht habe, entsprechende Prüfungshandlungen vorzunehmen.

Im zu entscheidenden Fall betrieben beide Parteien Reiseportale im Internet. Der Beklagte hatte massenhaft E-Mails an Endverbraucher versendet, die zum großen Teil jedoch nicht vorher in diese E-Mail-Werbung eingewilligt hatten.

Darauf hin wurde der Beklagte vom Kläger abgemahnt und auf Unterlassung in Anspruch genommen.

Der Beklagte führte zu seiner Verteidigung aus, dass er die Mail-Adressen im Rahmen eines größeren Datenbestandes käuflich erworben hatte und der Veräußerer ihm ausdrücklich zusicherte, dass für alle erworbenen Adressen ein wirksames Opt-in vorliege.

Die Düsseldorfer Richter gewährten dem Antragssteller den begehrten Unterlassungsanspruch, da sie die pauschale Zusicherung bezüglich der Einwilligungserklärung als nicht ausreichend einstuften.

Das Gericht war vielmehr der Ansicht, dass die einzelnen, erworbenen Adressdaten von dem Beklagten selbst daraufhin hätten überprüft werden müssen, ob die jeweiligen Einwilligungen der Betroffenen tatsächlich vorlagen und dokumentiert wurden, vgl. § 7 II Nr. 3 UWG.

Da der Geschäftsführer diese Prüfung vorliegend jedoch nicht einmal stichprobenartig durchgeführt habe, sei er seinen Sorgfaltspflichten nicht ausreichend nachgekommen und hafte daher persönlich.

Fazit: Es muss sichergestellt sein, dass E-Mails nur an solche Personen versendet werden, von denen eine ausdrückliche Einwilligung vorliegt. Fehlt diese, so ist die versendete E-Mail als unzumutbare Belästigung und damit als wettbewerbswidrig einzustufen.

Werden die Mail-Adressen von einem Dritten erworben, so ist das Vorliegen der Einwilligung zumindest stichprobenartig zu überprüfen.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net .

Florian Decker
Rechtsanwalt

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Berlin | Mannheim
—————————————————————————-

Dieser Beitrag wurde erstellt unter freundlicher Mitwirkung von Stud. iur. Sebastian Ehrhardt

Bildnachweis: © Pixel @fotolia.com

Wer im Internet nach bestimmten Personennamen sucht, wird in der Regel bei der Personensuchmaschine Yasni.de fündig. Dort werden neben den verschiedenen Profilen bei sozialen Netzwerken vor allem namensentsprechende Bilder angezeigt. Problematisch ist allerdings, dass die Personen dort in der Regel ohne deren Einwilligung auftauchen. Das OLG Hamburg hat in einem Beschluss von Ende Oktober (Urteil vom 23.10.2009 – Az.: 7 W 119/09) entschieden, dass Yasni keine vorbeugende Prüfungspflicht trifft, Suchergebnisse auf rechtswidrige Verstöße hin zu überprüfen.

Im konkreten Fall befanden sich in der Suchmaschine Hyperlinks zu einer rechtswidrigen Seite eines Dritten, die den Mord am Schauspieler Walter Sedlmayer zum Gegenstand hatte. Als Yasni eine Abmahnung für diese Links erhielt, entfernte es die Links umgehend. Allerdings fanden sich weiterhin einige weitere Suchergebnisse, die auf Walter Sedlmayer verlinkten. Aufgrund dieser erneuten Rechtsverletzung begehrten die Kläger Unterlassung.

Nach Ansicht der Hamburger Richter könne darin aber gerade keine wiederholte Rechtsverletzung gesehen werden. Dazu müsste die Personensuchmaschine ihre Prüfungspflichten verletzt haben, was hier jedoch gerade nicht angenommen werden könne. Vielmehr habe Yasni unmittelbar nach Kenntniserlangung die rechtsverletzenden Links entfernt und sei damit ihren Prüfungspflichten in ausreichender Weise nachgekommen. Eine Haftung für inhaltsgleiche Verstöße sei ausgeschlossen, wenn der Betreiber der Suchmaschine in der Zwischenzeit eine Namenssperrung eingerichtet habe und damit seinen Prüfungspflichten in ausreichender Weise nachgekommen sei.

Eine entsprechende Verpflichtung entstünde nur bei einem entsprechenden Hinweis. Eine Pflicht, die Suchergebnis-Positionen nach möglichen Rechtsverletzungen zu durchsuchen, bestehe jedoch gerade nicht. Insbesondere sei keine vorbeugende Prüfungspflicht und damit keine Haftung als Störer anzunehmen, so das OLG Hamburg.

Eine andere Wertung des Sachverhalts ergebe sich nach Ansicht des Hamburger Oberlandesgerichts auch nicht wegen § 4 BDSG, da die von Yasni.de aufgezeigten Daten über Personen bereits an anderen Stellen des Internets vorzufinden seien und diese nicht selbst die Daten erhebt, gem. § 1 II Nr. 3 BDSG. Allerdings verkennt das Gericht in diesem Fall die Einschlägigkeit des § 29 BDSG, wonach bei geschäftsmäßiger Verwendung personenbezogener Daten aus allgemein zugänglichen Quellen eine Interessenabwägung mit dem in der Regel überwiegenden schutzwürdigen Interessen des Betroffenen am Ausschluss der Daten vorzunehmen ist.

Fazit: Die Hamburger Richter gehen von einer grundsätzlichen Zulässigkeit von Personensuchmaschinen aus. Allerdings zieht das Gericht die offensichtlich überwiegenden Interessen der Betroffenen gerade nicht mit in die Wertung ein. Insbesondere problematisch erscheint dabei, dass die personenbezogenen Information gebündelt von verschiedenen Webseiten an einem Ort zusammenkommen. Bei gewerblicher Nutzung ist dies gemäß § 29 BDSG aber nur möglich, wenn die persönlichen Interessen nicht entgegenstehen. Ein Abwägung der Rechte  unter Berücksichtigung des § 29 BDSG wurde vom OLG Hamburg aber leider nicht thematisiert. Eine Klärung diesbezüglich wäre im Interesse aller Parteien wünschenswert gewesen.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net.

Florian Decker
Rechtsanwalt

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Berlin | Mannheim
—————————————————————————-

Dieser Beitrag wurde erstellt unter freundlicher Mitwirkung von Stud. iur. Sebastian Ehrhardt

Bildnachweis: © yasni.de

Statistik-Dienste wie beispielsweise Google Analytics sind bei Webseiten-Betreibern ein beliebtes Mittel, um genaue Auskunft über die Besucher der Webseite und deren Aktivitäten zu erhalten. So geben sie diesen neben nützlichen Informationen wie dem benutzten Browser und dem installierten Betriebssystem vor allem Auskunft darüber, welche Unterseiten für den Besucher von Interesse waren, wie lange er sich diese angesehen hat und welche Seiten daraufhin aufgerufen wurden; kurz: die Besucherströme können sehr genau analysiert werden, um das eigene Internet-Angebot zu optimieren.

Diese Dienste werden jedoch nicht nur positiv betrachtet. So können sich Datenschützer insbesondere mit der Erstellung von Nutzungsprofilen nicht anfreunden, da mit diesen das Surfverhalten einzelner Personen ohne deren vorherige Einwilligung individuell gespeichert und ausgewertet wird.

Nachdem die NRW-Datenschützer des „Düsseldorfer Kreises“ in diesem Vorgehen eine Verletzung geltenden Rechts sahen, fassten am 27. November 2009 die Landesdatenschutzbeauftragten einen entsprechenden Entschluss, welcher unter Umständen das Aus für derartige Analysetools in Deutschland bedeuten könnte. Der informelle Kreis der obersten Datenschutz-Aufsichtsbehörden hatte dabei eine Reihe von Vorgaben gemacht, welche dem Nutzer unter anderem die Möglichkeit geben muss, der Erfassung von personenbezogenen Daten zu widersprechen und im Rahmen einer Datenschutzerklärung deutlich auf die Nutzung der Daten hingewiesen zu werden. Außerdem darf es nicht ermöglicht werden, anonyme Nutzungsdaten mit den Daten über die Nutzer zusammenzuführen.

Kritisiert wird dabei vor allem, dass der einzelne Seitenbesucher allein anhand seiner IP-Adresse – also der durch den Internet-Provider eindeutig zugeteilten Anschlusskennung – identifiziert werden kann. Auch wenn er immer noch für den Webseitenbetreiber anonym bleibt, wird allein die Möglichkeit der Identifizierung durch den jeweiligen Provider von den Datenschützern bemängelt – und daher die IP-Adresse vom „Düsseldorfer Kreis“ zu den sogenannten personenbezogenen Daten gezählt.

Für die Speicherung sei jedoch die ausdrückliche Einwilligung des jeweiligen Nutzers von Nöten, die generell nicht konkludent durch Webseitenbesucher erteilt werde. Daher ist nach Ansicht der Landesbehörden auch eine Speicherung nicht zulässig und rechtswidrig – und der Webseitenbetreiber zur Kürzung der jeweilig gespeicherten IP-Adresse oder zu Verwendung von Pseudonymen verpflichtet, so dass eine konkrete Identifizierung ausgeschlossen ist. Allerdings ist noch nicht höchstrichterlich und abschließend geklärt, ob IP-Adressen tatsächlich als personenbezogene Daten angesehen werden können.

Angesichts der vielen Millionen betroffenen Webseiten liegt nicht zuletzt wegen der hohen wirtschaftlichen Bedeutung der Webseitenanalyse das Bedürfnis einer baldigen Lösung nahe. Dabei solle der Fokus auf einvernehmliche Lösungswege gelegt werden, so die Datenschützer. Allerdings sollen rechtliche Schritte langfristig nicht ausgeschlossen sein.

Ob dies möglicherweise das Ende für Google Analytics & Co. bedeutet, deren Dienste gerade nur mit den IP-Adressen und ohne Einwilligung der Nutzer funktionieren, ist nicht klar. Diese Frage kann abschließend nur durch die Rechtsprechung geklärt werden. Allerdings haben die Datenschützer zu diesem Thema nun deutlich Stellung bezogen – der Einfluss auf die Rechtsprechung bleibt abzuwarten.

Fazit: Google Analytics zählt zu den wichtigsten Tools der geschäftlichen Internetnutzung.  Eine Einschränkung dahingehend, dass bei jedem Besuch einer deutschen Seite eine Datenschutzerklärung akzeptiert werden müsste, hätte verheerende Auswirkungen sowohl auf die praktische Verwendbarkeit von Internetseiten als auch auf den internationalen Wettbewerb.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net .

Florian Decker
Rechtsanwalt

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Berlin | Mannheim
—————————————————————————-

Dieser Beitrag wurde erstellt unter freundlicher Mitwirkung von Stud. iur. Sebastian Ehrhardt

Bildnachweis: © Gewoldi – Fotolia.com

Der für das Kaufrecht zuständige VIII. Zivilsenat des Bundesgerichtshofs hatte in seiner kürzlich veröffentlichten Entscheidung (Urteil v. 11.11.2009, Az. VIII ZR 12/08) zu prüfen, ob eine Datenschutz-Klausel des Bonuspunkteprogramms „Happy Digits“ per Opt-Out durch Verbraucher akzeptiert werden kann.

Im vorliegenden Fall war  Kläger der Bundesverband der Verbraucherzentralen, der für die Einwilligung in Datenverarbeitung zu Werbezwecken generell die ANwendung des Opt-In forderte. Im Streit stand vorliegend die Einwilligung zur Verarbeitung von personenbezogenen Daten zur Briefwerbung und zur Marktforschung, die lediglich als Opt-Out-Regelung und nicht als Opt-In-Regelung ausgestaltet war.
Die entsprechende AGB – Klausel wurde jedoch – ähnlich wie bereits die Entscheidung zum Payback-Programm –trotz der Datenschutz-Novelle durch die Richter des BGH  als zulässig anerkannt.

Die Einwilligung dürfe sich laut BGH aber nur auf die Verwendung von Briefwerbung beschränken, da  für elektronische Werbung (SMS, E-Mail) gem. § 7 II Nr. 3 UWG eine Opt-In-Klausel gesetzlich erforderlich ist. Außerdem müsse gemäß § 4a I BDSG die entsprechende Klausel besonders hervorgehoben werden.  Vorliegend wurde die streitige Klausel  in der Mitte des eine Druckseite umfassenden  Anmeldeformulars platziert und war als einziger Absatz der Seite mit einer zusätzlichen Umrahmung versehen, so dass sie schon deshalb Aufmerksamkeit auf sich zog. Dadurch sah der BGH das Kriterium der „Hervorhebung“ erfüllt.

Es sei darüber hinaus gerade nicht erforderlich, ein eigenes Auswahlkästchen zu führen, wie es noch in der Payback Entscheidung der Fall war. Durch die Datenschutzreform vom September 2009 sei die Rechtslage diesbezüglich nicht geändert worden.

Allerdings betont der BGH im vorliegenden Fall, dass die Allgemeinen Geschäftsbedingungen von Happy Digits nicht wirksam eingebunden wurden. Beim Anmeldeformular für das Happy Digits Programm wird darauf hingewiesen, dass man die AGB mit  der Happy Digits Karte erhält. Allerdings ist für die wirksame Einbeziehung erforderlich, dass dem Verbraucher bereits bei Vertragsschluss die Möglichkeit verschafft wird, den AGB Inhalt in zumutbarer Weise zur Kenntnis zu nehmen. Da hier jedoch bereits mit Ausfüllen des Vertragsformulars der Vertrag zustande kommt und der Kunde keine Möglichkeit hat, von den AGBs zu diesem Zeitpunkt Kenntnis zu haben, liegt eine nachträgliche Einbeziehung der AGBs vor. Für diese ist grundsätzlich die Einwilligung des Kunden nötig, welche hier jedoch fingiert worden sei. Dies ist jedoch gerade gemäß § 308 V BGB unzulässig, weswegen die AGBs kein Bestandteil des Vertrags werden konnten.

Fazit: Der BGH lässt eine Einwilligung zur Verwendung von Daten für postalische Werbezwecke durch ein Opt-Out zu und verlangt lediglich einen deutlichen Hinweis auf die Opt-Out-Erklärung in den AGB. Die Verbraucherschützer sind mit der Entscheidung äußerst unzufrieden, weil Sie für die Verwendung persönlicher Daten generell das Opt-In anstreben. Diese höchstrichterliche Entscheidung ist nun verbindlich – zumindest so lange, bis das Datenschutzrecht vom Gesetzgeber wieder einmal geändert werden sollte.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net .

Florian Decker
Rechtsanwalt

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Berlin | Mannheim
—————————————————————————-

Bildnachweis: © mipan – Fotolia.com