Mit der Datenschutzverordung soll das Datenschutzrecht in allen EU-Mitgliedsstaaten vereinheitlicht werden. Als Vorbild diente dabei das deutsche Bundesdatenschutzgesetz (BDSG), das nach den Worten der EU-Justizkommissarin den höchsten datenschutzrechtlichen Standard weltweit gewährleistet. Doch leider schießt der Gesetzesentwurf in weiten Teilen über das Ziel hinaus.

Die Gesetzesinitiative hat zunächst den lobenswerten Anspruch, die datenschutzrechtlichen Anforderungen an die neuen technologischen Herausforderungen anzupassen, zumal die bestehenden Vorschriften im Wesentlichen aus dem Jahre 1995 stammen. Damit soll insbesondere der Bereich der sozialen Netzwerke erfasst werden. So soll jeder Bürger der EU künftig ein Recht vergessen zu werden (“right to be forgotten”)  erhalten, das es ihm ermöglichen soll, z. B. ein bei Facebook eingestelltes Foto jederzeit wieder aus dem Internet zu entfernen oder entfernen zu lassen. Außerdem soll Europäisches Datenschutzrecht künftig auch dann Anwendung finden, wenn ein außerhalb der EU sitzendes Unternehmen Dienste auch in Europa anbietet und zu diesen Zweck personenbezogene Daten erhebt und verarbeitet. So sollen insbesondere Anbieter wie Facebook, Google oder Apple in die Verantwortung gezogen werden können. Die Sanktionen im Falle eines Verstoßes gegen die Datenschutzverordnung können bis zu 2% des weltweiten Jahresumsatzes des verstoßenden Unternehmens betragen, was angesichts der Jahresumsätze von Google, Facebook Apple und Co. schon ein scharfes Schwert darstellen kann. Schließlich sollen die datenverarbeitenden Unternehmen zu mehr Transparenz und Selbstkontrolle bei der Datenverarbeitung angehalten werden. Im Gegenzug soll die Bestellung eines betrieblichen Datenschutzbeauftragten statt bei jetzt 10 künftig erst ab einer Mitarbeiteranzahl von  250 Pflicht werden. Ob dies die Unternehmen dazu bringen wird, das Thema Datenschutz weiter oben auf der Tagesordnung zu platzieren, bleibt abzuwarten.Nicht ganz unproblematisch ist auch, dass der Grundrechtsschutz im Bereich des Datenschutzrechts durch eine einheitliche EU-Datenschutzverordnung den nationalen Gerichten entzogen wird, so dass Betroffene statt des Bundesverfassungsgerichts den Europäischen Gerichtshof anzurufen haben.

Die Datenschutzverordnung muss aber ohnehin noch das Europäische Parlament passieren und von den Mitgliedsstaaten gebilligt werden, bevor diese endgültig in Kraft treten kann. Dies bedeutet, dass diese zum einen noch in vielerlei Hinsicht abgeändert werden kann und zum anderen voraussichtlich nicht vor dem Jahre 2016 endgültig wirksam wird. Bis dahin darf mit Spannung beobachtet werden, wie sich die großen Datenkraken wie Facebook, Google oder Apple auf die neuen Standards einstellen werden.

Das Interview können Sie auf der Homepage von 17:30live unter http://www.1730live.de/aktuell/neu/news-details/datum/2012/01/26/neuregelung-beim-datenschutz.html im Videostream anschauen.

Falls Sie Fragen zu datenschutzrechtlichen Themen haben, zögern Sie nicht, uns zu kontaktieren.

———————————————————————————–
Res Media | Kanzlei für IT- und Medienrecht
Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: kanzlei@res-media.net
Internet: www.res-media.net

Mainz | Mannheim

———————————————————————————–

Bildnachweis: ©  Sat.1 (1730live.de)

Darin kritisiert das Gremium das Vorgehen einiger in Deutschland aktiver außereuropäischer Betreiber von sozialen Netzwerken, die eine rechtlich selbstständige Niederlassung in einem anderen Staat des Europäischen Wirtschaftsraumes gründen um den deutschen Datenschutzbestimmungen zu entgehen.

Betreiber von sozialen Netzwerken müssten zudem eine größtmögliche Transparenz zu Art und Umfang der Datenerhebung bei Vertragsabschluss durch Einwilligung des Nutzers gewährleisten. Die Möglichkeit des Widerspruchs im Nachhinein sei nicht ausreichend. Auch müssten sich die Kontaktdaten des Betreibers an transparenter Stelle befinden damit der Nutzer die Möglichkeit hat seine Rechte auf Auskunft, Berichtigung und Löschung der Daten geltend zu machen. Besonders sensible Daten müssten ausreichend geschützt werden. Dies gelte insbesondere für die Daten Minderjähriger.

Scharf kritisierte der Kreis die Nutzung von Social Plugins, welche z.B. Facebook, Google+ oder Twitter zur Verfügung stellen. Dabei können Online-Händler kleine Anwendungen, wie z.B. den „Gefällt-mir“-Button von Facebook, zu arketingzwecken auf ihrer eigenen Webseite integrieren. Facebook sammelt dann bei einem Besuch der Webseite durch einen eingeloggten Facebook-Nutzer dessen Daten. Dieses Vorgehen ist nach Meinung des Gremiums nur zulässig, wenn der Nutzer vorher umfassend über die Datenerhebung informiert werde und die Möglichkeit habe diese auch zu untersagen. Hierzu sei es erforderlich, dass der Nutzer eine die Datenerhebung rechtfertigende Erklärung abgebe. Grundlage hierfür sei, dass verlässliche Informationen über Art und Umfang der Erhebung durch den Netzwerkbetreiber gegeben würden. Danach wären die derzeitig möglichen Datenschutzhinweise der Webseite-Betreiber zu den Social Plugins bei Facebook unzureichend, denn sie haben keinen Zugriff auf den Datenaustausch und können daher auch nicht über diesen aufklären (vgl. § 13 Abs. 1 TMG). Gleiche Grundsätze gelten danach auch für Fanpages von Online-Händlern in sozialen Netzwerken.

Bei dem Beschluss handelt es sich aber um eine informelle Stellungnahme, die keine Bindungswirkung entfaltet. Die Anforderungen an die Nutzung von Social Plugins sind bis heute nicht endgültig geklärt.

Hier können Sie den Beschluss des Düsseldorfer Kreises einsehen: Beschluss

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an decker@res-media.net.

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

———————————————————————————————–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
———————————————————————————————–

Bildnachweis: © Michael Brown – Fotolia.com

“Compliance Aspekte (GRC) im Identity und Access Management-Umfeld”

Wann: 29.03.2012

Wo: Frankfurt, Novotel

Weitere Informationen zur Veranstaltung finden Sie unter

http://www.marcusevansassets.com/HTMLEmail/BL1106decker.pdf

—————————————————————————-
Res Media | Kanzlei für IT- und Medienrecht
Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: kanzlei@res-media.net
Internet: www.res-media.net

Mainz | Mannheim

—————————————————————————-

In rechtlicher Hinsicht wird jedoch insbesondere der betriebliche Datenschutzbeauftragte die Hände über dem Kopf zusammenschlagen, wenn er erfährt, dass die gesamte sensible Unternehmenskommunikation der Mitarbeiter über deren private Endgeräte abgewickelt werden soll, konnten doch bislang die alten Blackberry-Geräte immer so schön zentral administriert und überwacht werden. Wenn sich nun die vertraulichen E-Mails und geschäftlichen Kontakte auf dem privaten iPhone der Mitarbeiter mit den privaten Urlaubsbildern auf dem Macbook oder dem iPad vermischen und Partygäste jederzeit Zugang zu sensiblen Unternehmensdaten erhalten, wenn die Musik auf der Party aus dem iPhone kommt, dann können empfindliche Sicherheitslücken entstehen.

Andererseits muss sich der moderne IT-Rechtsberater und auch der Datenschutzbeauftragte ebenso wie der CIO zunehmend als “Business-Enabler” und nicht als Spielverderber sehen. In dieser Hinsicht müssen künftig BYOD-Systeme gefunden und mit Wohlwollen juristisch geprüft werden, die gewährleisten, dass die Unternehmenskommunikation bestmöglich von der privaten abgeschottet wird. Hier wäre z. B. denkbar, dass der unternehmerische Bereich auf dem privaten Endgerät mit einem speziellen Profil von der privaten Kommunikation getrennt wird, so dass sich im Nachrichteneingang auch nicht die privaten und die geschäftlichen E-Mails vermischen. Außerdem müsste der Mitarbeiter, der sein eigenes Device mitbringt, dem Unternehmen gewisse Administrationsrechte einräumen, um den notwendigen Überwachungsstandard zu gewährleisten, z. B. Sperrung des Endgerätes bei Verlust etc. Es bleibt abzuwarten, wie die technische Entwicklung auf die juristischen Anforderungen reagieren wird. Wir können Ihnen gerne behilflich sein, hierzu rechtlich belastbare Lösungen zu erarbeiten.

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an welkenbach@res-media.net.

Christian Welkenbach
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

———————————————————————————————–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: welkenbach@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
———————————————————————————————–

Was das für die Nutzer bedeutet, zeigt die Website. Wer die Umsetzung praktisch testen möchte, klickt auf den Button “Experience An Overly Strict Law Now” und läßt sich überraschen.

Es bleibt zu hoffen, dass die Politik  ein Einsehen hat und die Regelung noch angepasst wird. Anderenfalls werden wir alle wesentlich mehr Zeit fürs Surfen einplanen müssen….

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an shb@res-media.net.

Sabine Heukrodt-Bauer
Rechtsanwältin
Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Das aktuelle Gutachten kommt zu dem Ergebnis, dass das ULD im Falle eines Vorgehens gegen die Webseitenbetreiber seine Kompetenzen überschreite, da die Zuständigkeit allein beim Landesinnenministerium liege.

Hier der Link zum Gutachten:

http://www.sebastian-blumenthal.de/files/35704/Gutachten_Facebook_FINAL.pdf

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an shb@res-media.net.

Sabine Heukrodt-Bauer
Rechtsanwältin

Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Bildnachweis: © Max E. – fotolia.com

© Adrian Bozic

Mit freundlicher Genehmigung von Adrian Bozic

Sabine Heukrodt-Bauer
Rechtsanwältin
Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Die größten Bedenken der Datenschützer bestanden in der Vergangenheit darin, dass Google in großem Umfang Daten für die Anwender von Google Analytics auf eigenen Servern in  den USA erhebt, speichert und verarbeitet. Davon seien auch personenbezogene Daten betroffen, da die IP-Adresse nach Ansicht der Datenschützer wegen der (theoretischen) Möglichkeit der Zuordnung zu einer Person über den Provider einen datenschutzrechtlichen Personenbezug habe. Nicht nur unter Juristen ist diese Auslegung heftig umstritten, da die praktischen Auswirkungen erheblich sind. So sahen die Datenschützer bisher auch keine Möglichkeit, die Software Google Analytics wegen der Speicherung von IP-Adressen rechtskonform einzusetzen.

Bei Google war man jedoch kreativ in dem Bemühen, den strengen deutschen Anforderungen gerecht zu werden. So wurde Google Anaylytics um die Funktion „Anonymize IP“ erweitert, die bei der Speicherung von IP-Adressen die letzten Ziffern „abschneidet“. Die IP-Adressen sind damit anonymisiert, nicht mehr zurückzuverfolgen und können deshalb auch nicht mehr als personenbezogene Daten gelten.

Darüber hinaus wird dem Besucher der Website die Möglichkeit gegeben, die Datenübertragung an Google Analytics zu unterbinden. Zu diesem Zweck stellt Google ein Browser-Add-on zur Deaktivierung von Google Analytics für alle gängigen Browser-Typen zu Verfügung.

Da die Erhebung, Speicherung und Verarbeitung von fremden Daten nach dem BDSG auch besonderen Pflichten unterliegt, hat sich Google schließlich bereit erklärt, mit jedem Anwender von Google Analytics einen Vertrag über die Auftragsdatenverarbeitung zu schließen.

Mit diesen Maßnahmen wurden die Bedenken der deutschen Datenschützer letztlich ausgeräumt, so dass der rechtskonforme Einsatz von Google Analytics nun möglich ist. Für die praktische Umsetzung ist es erforderlich, dass

• der Vertrag über die Auftragsdatenverarbeitung unterzeichnet an Google Germany gesendet wird,
• die Funktion „Anonymize IP“ in Google Analytics integriert wird,
• auf diese Punkte sowie auf die Widerspruchsmöglichkeit mittels des Browser-Add-on zur Deaktivierung von Google Analytics in einer entsprechenden Datenschutzinformation hingewiesen wird.

Der hamburgische Datenschutzbeauftragte Johannes Caspar hat noch einmal ausdrücklich darauf hingewiesen, dass jeder Webseitenbetreiber selbst für die Einhaltung dieser Vorgaben verantwortlich ist.

Wir empfehlen beim Einsatz von Google Analytics deshalb, die angesprochenen Punkte so schnell wie möglich umzusetzen, um einer behördlichen Verwarnung oder sogar einem Ordnungsgeld vorzubeugen.

Fazit:

Es ist erfreulich, dass nun endlich ein rechtskonformer Einsatz von Google Analytics möglich ist. Allerdings sind die deutschen Datenschützer hier wieder einmal zu weit gegangen. Es ist bereits stark umstritten, IP-Adressen als personenbezogene Daten zu bewerten. Die Auswirkungen dieser Rechtsansicht der Datenschützer auf die deutsche Wirtschaft sind extrem negativ. So beklagen viele deutsche Unternehmen, dass Ihnen durch den deutschen Datenschutz im Wettbewerb mit ausländischen Unternehmen große Steine in den Weg gelegt werden.

In soweit ist es erstaunlich, dass Google sich sogar bereit erklärt hat, mit jedem Anwender von Google Analytics einen eigenen ADV-Vertrag zu schließen. Der Nutzen hinter diesem Aufwand erscheint jedoch fraglich; im Verhältnis zwischen Google und seinen Nutzern wird sich durch dieses Stück Papier praktisch jedenfalls nichts ändern.   Ein vergleichbares Prozedere dürfte es auch ausschließlich in Deutschland geben.

Spannend ist in diesem Zusammenhang die Frage, wie die anderen Anbieter von Analyse- und Trackingsoftware reagieren werden. Rechtlich gesehen stehen diese nun gegenüber Google im Abseits und müssten unverzüglich mit ähnlichen Lösungen nachziehen.

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an decker@res-media.net.

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Ewe Degiampietro – Fotolia.com

Durch die Pressemitteilung des ULD ist das Thema jedoch brisanter geworden als jemals zuvor. Die Diskussion erstreckt sich nunmehr nicht mehr nur auf den Like-Button, sondern auch auf die „Fanpages“. Diese sollen nach Ansicht des ULD wegen Verstößen gegen das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) entfernt werden. Hauptkritikpunkt ist die Datenübertragung in die USA und das dauerhafte Tracking im Rahmen der sog. „Reichweitenanalyse“.

Das ULD beschäftigt sich schon seit geraumer Zeit mit dem Thema Facebook. In diesem Zusammenhang wurde am 19.08.2011 eine Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook herausgegeben.

Die Aufforderung des ULD zur Entfernung der Facebook-Dienste ist übrigens zumindest im Land Schleswig-Holstein durchaus ernst zu nehmen. Das ULD ist als Anstalt des öffentlichen Rechts nach Landesrecht befugt, den Datenschutz in Schleswig-Holstein nicht nur zu überwachen, sondern auch Untersagungsverfügungen zu erlassen und Bußgeldverfahren einzuleiten.

Bereits jetzt wird durch die Ankündigung solcher Maßnahmen ein großer Druck auf Facebook ausgeübt. Es bleibt abzuwarten, inwieweit das ULD seinen Ankündigungen Taten folgen lässt. Im Zweifel müsste gegen jeden Webseitenbetreiber aus Schleswig-Holstein, der den Like-Button nutzt, eine Unterlassungsverfügung ergehen. Ob das tatsächlich so durchgeführt wird, ist schon aus Gründen des enormen Verwaltungsaufwands mehr als fraglich. Darüber hinaus dürfte es interessant sein, wie man auf den datenschutzrechtlichen Aktionismus im Land Schleswig-Holstein auf Bundesebene reagiert. Das ULD hat auf jeden Fall einen Schritt gewagt, der voraussichtlich auch bundesweit noch für sehr viel Wirbel sorgen wird.

Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.

Quelle: Pressemitteilung der ULD vom 19.08.2011, die Sie hier abrufen können:

https://www.datenschutzzentrum.de/presse/20110819-facebook.htm

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an shb@res-media.net.

Sabine Heukrodt-Bauer
Rechtsanwältin
Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Bildnachweis: © pdesign– fotolia.com