© Adrian Bozic

Mit freundlicher Genehmigung von Adrian Bozic

Sabine Heukrodt-Bauer
Rechtsanwältin
Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Nach jahrelangen Diskussionen zwischen deutschen Datenschützern und Google um den rechtskonformen Einsatz der Software Google Analytics hat man sich nun endlich auf eine einvernehmliche Lösung geeinigt.

Die größten Bedenken der Datenschützer bestanden in der Vergangenheit darin, dass Google in großem Umfang Daten für die Anwender von Google Analytics auf eigenen Servern in  den USA erhebt, speichert und verarbeitet. Davon seien auch personenbezogene Daten betroffen, da die IP-Adresse nach Ansicht der Datenschützer wegen der (theoretischen) Möglichkeit der Zuordnung zu einer Person über den Provider einen datenschutzrechtlichen Personenbezug habe. Nicht nur unter Juristen ist diese Auslegung heftig umstritten, da die praktischen Auswirkungen erheblich sind. So sahen die Datenschützer bisher auch keine Möglichkeit, die Software Google Analytics wegen der Speicherung von IP-Adressen rechtskonform einzusetzen.

Bei Google war man jedoch kreativ in dem Bemühen, den strengen deutschen Anforderungen gerecht zu werden. So wurde Google Anaylytics um die Funktion „Anonymize IP“ erweitert, die bei der Speicherung von IP-Adressen die letzten Ziffern „abschneidet“. Die IP-Adressen sind damit anonymisiert, nicht mehr zurückzuverfolgen und können deshalb auch nicht mehr als personenbezogene Daten gelten.

Darüber hinaus wird dem Besucher der Website die Möglichkeit gegeben, die Datenübertragung an Google Analytics zu unterbinden. Zu diesem Zweck stellt Google ein Browser-Add-on zur Deaktivierung von Google Analytics für alle gängigen Browser-Typen zu Verfügung.

Da die Erhebung, Speicherung und Verarbeitung von fremden Daten nach dem BDSG auch besonderen Pflichten unterliegt, hat sich Google schließlich bereit erklärt, mit jedem Anwender von Google Analytics einen Vertrag über die Auftragsdatenverarbeitung zu schließen.

Mit diesen Maßnahmen wurden die Bedenken der deutschen Datenschützer letztlich ausgeräumt, so dass der rechtskonforme Einsatz von Google Analytics nun möglich ist. Für die praktische Umsetzung ist es erforderlich, dass

• der Vertrag über die Auftragsdatenverarbeitung unterzeichnet an Google Germany gesendet wird,
• die Funktion „Anonymize IP“ in Google Analytics integriert wird,
• auf diese Punkte sowie auf die Widerspruchsmöglichkeit mittels des Browser-Add-on zur Deaktivierung von Google Analytics in einer entsprechenden Datenschutzinformation hingewiesen wird.

Der hamburgische Datenschutzbeauftragte Johannes Caspar hat noch einmal ausdrücklich darauf hingewiesen, dass jeder Webseitenbetreiber selbst für die Einhaltung dieser Vorgaben verantwortlich ist.

Wir empfehlen beim Einsatz von Google Analytics deshalb, die angesprochenen Punkte so schnell wie möglich umzusetzen, um einer behördlichen Verwarnung oder sogar einem Ordnungsgeld vorzubeugen.

Fazit:

Es ist erfreulich, dass nun endlich ein rechtskonformer Einsatz von Google Analytics möglich ist. Allerdings sind die deutschen Datenschützer hier wieder einmal zu weit gegangen. Es ist bereits stark umstritten, IP-Adressen als personenbezogene Daten zu bewerten. Die Auswirkungen dieser Rechtsansicht der Datenschützer auf die deutsche Wirtschaft sind extrem negativ. So beklagen viele deutsche Unternehmen, dass Ihnen durch den deutschen Datenschutz im Wettbewerb mit ausländischen Unternehmen große Steine in den Weg gelegt werden.

In soweit ist es erstaunlich, dass Google sich sogar bereit erklärt hat, mit jedem Anwender von Google Analytics einen eigenen ADV-Vertrag zu schließen. Der Nutzen hinter diesem Aufwand erscheint jedoch fraglich; im Verhältnis zwischen Google und seinen Nutzern wird sich durch dieses Stück Papier praktisch jedenfalls nichts ändern.   Ein vergleichbares Prozedere dürfte es auch ausschließlich in Deutschland geben.

Spannend ist in diesem Zusammenhang die Frage, wie die anderen Anbieter von Analyse- und Trackingsoftware reagieren werden. Rechtlich gesehen stehen diese nun gegenüber Google im Abseits und müssten unverzüglich mit ähnlichen Lösungen nachziehen.

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an decker@res-media.net.

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Ewe Degiampietro – Fotolia.com

Das Thema der Zulässigkeit insbesondere auch des Facebook Like-Buttons wurde erst kürzlich im Rahmen wettbewerbsrechtlicher Abmahnungen heiß diskutiert. Als gerichtlich entschieden wurde, dass ein Verstoß gegen Datenschutzrecht zumindest wettbewerbsrechtlich nicht relevant sei, war in die Diskussion kurzzeitig etwas Ruhe eingekehrt.

Durch die Pressemitteilung des ULD ist das Thema jedoch brisanter geworden als jemals zuvor. Die Diskussion erstreckt sich nunmehr nicht mehr nur auf den Like-Button, sondern auch auf die „Fanpages“. Diese sollen nach Ansicht des ULD wegen Verstößen gegen das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) entfernt werden. Hauptkritikpunkt ist die Datenübertragung in die USA und das dauerhafte Tracking im Rahmen der sog. „Reichweitenanalyse“.

Das ULD beschäftigt sich schon seit geraumer Zeit mit dem Thema Facebook. In diesem Zusammenhang wurde am 19.08.2011 eine Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook herausgegeben.

Die Aufforderung des ULD zur Entfernung der Facebook-Dienste ist übrigens zumindest im Land Schleswig-Holstein durchaus ernst zu nehmen. Das ULD ist als Anstalt des öffentlichen Rechts nach Landesrecht befugt, den Datenschutz in Schleswig-Holstein nicht nur zu überwachen, sondern auch Untersagungsverfügungen zu erlassen und Bußgeldverfahren einzuleiten.

Bereits jetzt wird durch die Ankündigung solcher Maßnahmen ein großer Druck auf Facebook ausgeübt. Es bleibt abzuwarten, inwieweit das ULD seinen Ankündigungen Taten folgen lässt. Im Zweifel müsste gegen jeden Webseitenbetreiber aus Schleswig-Holstein, der den Like-Button nutzt, eine Unterlassungsverfügung ergehen. Ob das tatsächlich so durchgeführt wird, ist schon aus Gründen des enormen Verwaltungsaufwands mehr als fraglich. Darüber hinaus dürfte es interessant sein, wie man auf den datenschutzrechtlichen Aktionismus im Land Schleswig-Holstein auf Bundesebene reagiert. Das ULD hat auf jeden Fall einen Schritt gewagt, der voraussichtlich auch bundesweit noch für sehr viel Wirbel sorgen wird.

Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages  und Social-Plugins wie den „”Like-Button” auf ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen.

Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.

Quelle: Pressemitteilung der ULD vom 19.08.2011, die Sie hier abrufen können:

https://www.datenschutzzentrum.de/presse/20110819-facebook.htm

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an shb@res-media.net.

Sabine Heukrodt-Bauer
Rechtsanwältin
Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Bildnachweis: © pdesign– fotolia.com

In seinem Gesetzentwurf zur Änderung des Telemediengesetzes (Drucksache 156/11) vom 17.06.2011 hat sich der Bundesrat eine Verbesserung des Schutzes privater Daten, insbesondere in Social Networks zum Ziel gesetzt. Der Entwurf wird nun zunächst der Bundesregierung und anschließend dem Bundestag vorgelegt. Der Bundesrat lässt dabei in seiner Pressemitteilung keine Zweifel daran, dass er die Verwendung von Daten in Social Networks potentiell für gefährlich hält:

„Zum anderen fehlt es oft auch an einer ausreichenden Aufklärung der Internetnutzer über die Risiken für Persönlichkeitsrechte bei der Preisgabe persönlicher Daten. Gerade bei Telemediendiensten mit nutzergenerierten Inhalten, wie z.B. den sozialen Netzwerken, machen sich die Nutzer häufig gar keine Gedanken über die Gefahren und bringen solchen Telemediendiensten blindes Vertrauen entgegen.“

Deshalb sollen künftig  bei der Einrichtung eines Nutzerkontos in Social Networks erhöhte Datenschutzanforderungen gelten.

Zunächst soll der Nutzer leicht erkennbar, unmittelbar erreichbar und ständig verfügbar über seine datenschutzrechtlichen Sicherheitseinstellungen unterrichtet werden. Dabei müssen diese Einstellungen vom Anbieter bereits auf „die höchste Sicherheitsstufe gemäß dem Stand der Technik“ voreingestellt werden.

Dabei soll es unter Anderem verhindert werden, dass nutzergenerierter Content von externen Suchmaschinen ausgelesen werden kann. Nutzer, die unter 16 Jahre alt sind, sollen die Voreinstellungen nicht verändern dürfen.

Darüber hinaus soll der Nutzer vorab  „über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen seiner Persönlichkeitsrechte“ in verständlicher Form informiert werden. Nach Vorstellung des Bundesrats umfasst diese Aufklärung Gefahren „vom Identitätsdiebstahl bis hin zum Verlust des Arbeitsplatzes“.

Schließlich sollen nach der Löschung des Nutzerkontos unverzüglich alle Daten einschließlich dem nutzergenerierten Content aus dem Netzwerk gelöscht oder zumindest anonymisiert werden.

Die entsprechenden Regelungen sollen in einem neuen § 13 a TMG umgesetzt werden.

Zusätzlich hat sich der Bundesrat auch mit dem Thema Cookies beschäftigt. Der neue § 13 Abs. 8 TMG soll demnach vorsehen:

„Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz1 unterrichtet worden ist und er hierin eingewilligt hat.“

Künftig soll der Nutzer also vor der Verwendung von Cookies auf seinem Endgerät eine ausdrückliche Einwilligung erteilen.

Fazit: Sollten die Änderungen in der vorgesehen Form auch den Bundestag passieren, müssen die Betreiber von Social Networks in Deutschland beim Thema Datenschutz deutlich nachbessern. Sowohl hinsichtlich der Belehrungstexte als auch auf technischer Ebene werden entsprechende Verbesserungen verlangt.

Einen deutlichen Einschnitt in den Alltag eines jeden Internetnutzers und für die Mehrzahl der Internetanbieter würde die Einwilligungspflicht für Cookies darstellen. Vor dem Besuch einer Webseite, die Cookies auf dem Endgerät installiert, müsste der Nutzer die Datenschutzbestimmungen ausdrücklich akzeptieren. Dass dies vollkommen unpraktikabel sein dürfte, wissen wir nicht erst seit der ähnlichen Diskussion über die Zustimmungspflicht zur Verwendung von Google Analytics.

Es ist deshalb zumindest in diesem Punkt unwahrscheinlich, dass das Gesetz in dieser Form umgesetzt wird.

Welche Änderungen letztlich in die Gesetzesänderung aufgenommen werden, bleibt nach der Bearbeitung durch Bundesregierung und Bundestag abzuwarten.

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an decker@res-media.net.

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Gewoldi @ Fotolia.com

Die Verwendung des Facebook „Gefällt mir“-Buttons hat bei Webseitenbetreibern in letzter Zeit vermehrt für Unsicherheit gesorgt, weil damit Nutzerdaten an Facebook in die USA gesendet werden, ohne dass eine vorherige Einwilligung des Nutzers in die Weiterleitung vorliegt. Die Einzelheiten sind umstritten, auch weil öffentlich nicht genau bekannt ist, welche Daten übermittelt werden. Wir berichteten bereits in mehreren Beiträgen, z.B. hier und hier.

Selbst falls die Verwendung des „Gefällt mir“-Buttons gegen deutsches Datenschutzrecht verstoßen sollte, kann dies nach einer aktuellen Entscheidung aus Berlin jedoch nicht von Mitbewerbern abgemahnt werden, weil es sich bei § 13 Absatz 1 TMG nicht um eine Marktverhaltensvorschrift im Sinne von § 4 Nr. 11 UWG handelt (KG Berlin, Beschluss vom 29.04.2011, Az. 5 W 88/1).

Der Charakter als Marktverhaltensvorschrift ist zwingende Voraussetzung für die Abmahnbarkeit eines Rechtsverstoßes durch Mitbewerber. Laut Kammergericht handelt es sich bei § 13 Abs. 1 TMG aber lediglich um eine Informationspflicht, die gewährleisten soll, dass der Nutzer “sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verschaffen kann” (mit Verweis auf BT-Drucksache 13/7385, S. 22 zum TDDSG). Mit § 13 Abs. 1 TMG habe der Gesetzgeber allein Persönlichkeitsrechtsbeschränkungen der Nutzer von Telediensten rechtfertigen wollen, nicht aber das Interesse einzelner Wettbewerber.

Der Beschluss spiegelt die herrschende juristische Meinung wieder und ist insbesondere deshalb zu begrüßen, weil die Rechtsprechung den Kreis der Marktverhaltensregeln abgesehen vom Datenschutzrecht sehr weit zieht. Bereits eine sekundäre wettbewerbsbezogene Schutzfunktion der verletzten Vorschrift reicht aus (vgl. BGH, Urteil vom 02.12.2009 – I ZR 152/07 – Zweckbetrieb).

Fazit:

Die Verwendung des „Gefällt mir“-Buttons kann von Mitbewerbern nicht erfolgreich abgemahnt werden. Entsprechende Abmahnungen sollten nach Rücksprache mit einem spezialisierten Anwalt zurückgewiesen werden.

Unabhängig von der fehlenden Abmahnbarkeit verbleibt es aber (wohl) bei einem Datenschutzverstoß, der mit einem behördlichen Ordnungsgeld geahndet werden kann. Zudem weist das KG darauf hin, dass die Informationsverpflichtung nach § 13 TMG Verbrauchern dazu dienen kann, „Beeinträchtigungen der Privatsphäre durch unerwünschte Werbung abzuwehren und zu unterbinden“, sodass die wettbewerbsbezogene Schutzfunktion gegenüber dieser Gruppe nicht von vornherein ausgeschlossen werden kann.

Res Media hat daher in Kooperation mit dem Kölner IT-Unternehmen Yagendoo Media GmbH für Webseitenbetreiber ein kostenloses Datenschutz-Plug-In für WordPress entwickelt.

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an plutte@res-media.net.

Niklas Plutte
Rechtsanwalt
—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: plutte@res-media.net
Internet: www.res-media.net
Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Max E. – Fotolia.com

Mittlerweile ist der Hack des PlayStation Network in aller Munde. Es ist ein Ereignis globalen Ausmaßes, die Rede ist vom größten Datendiebstahl aller Zeiten. Nach Angaben von Sony wurde zwischen dem 17. und dem 19. April in das Netzwerk eingebrochen, dabei mutmaßlich personenbezogene Daten von über 75 Millionen Usern gestohlen. Ob auch Kreditkartendaten betroffen sind, ist laut Sony noch immer unklar. Das Netzwerk ist seit dem 20. April komplett abgeschaltet, die User laufen Sturm. In einschlägigen Foren munkelt man, dass es sich bei dem Hack um einen Insider-Job handeln müsse.

Jedenfalls zeigt die Dauer der Abschaltung, wie hilflos Sony anscheinend in dieser Situation ist. Eine Downtime von mehr als einer Woche ist in unserer heutigen Welt der IT eigentlich undenkbar. Für zusätzliche Verärgerung sorgt, dass Sony mit seiner Kommunikationspolitik äußerst sparsam ist. Viele Datenschüzer forden bereits jetzt, dass das ganze Ausmaß der Katastrophe durch Sony vollständig transparent gemacht wird. Hierzulande wäre Sony nach § 42a BDSG sogar dazu verpflichtet. Das Problem bei der ganzen Sache ist jedoch, dass Sony scheinbar selbst noch immer keine Ahnung vom konkreten Ausmaß des Hacks und vom Umfang des Datendiebstahls hat. Anders ist es nicht zu erklären, dass Sony nun die Cybercrimes Unit des FBI zur Hilfe rufen möchte:

“Reuters reports that Sony has contacted the San Diego office of the Federal Bureau of Investigation’s cybercrimes unit to look into the data breach. The news service could not get public comment, but did cite unnamed sources as saying the law enforcement body was investigating the matter.”

Es ist allerdings mehr als zeifelhaft, ob dies datenschutzrechtlich überhaupt zulässig ist, weil damit eine weitere Partei potentiell auf die Daten zugreifen kann. Bei Sony wird man sich sagen, dass wenn die Userdaten schon einmal an Kriminelle gelangt sind, man dann auch getrost noch das FBI auf die Daten zugreifen lassen, dort werden Sie sicherlich in guten Händen sein. Vielleicht sehen wir Europäer das alles auch etwas zu eng, in den USA geht man bekanntermaßen deutlich entspannter mit dem Thema Datenschutz um. Dazu ein Zitat von Dan Burk, Professor der University of California, Irvine School of Law gegenüber Reuters:

“European countries are going to go crazy and be all over this. They are absolutely obsessed about companies holding personal information.”

Besser als durch dieses Zitat lassen sich die unterschiedlichen Mentalitäten zum Thema Datenschutz eigentlich nicht ausdrücken.

Auf Sony werden nun stürmische Zeiten zukommen. Was der Hack und der Datenverlust das Unternehmen am Ende an Wirtschaftsmitteln und Publicity kosten wird, ist noch völlig unklar. Es ist jedoch sehr wahrscheinlich, dass diese Affäre den Firmenwert von Sony deutlich negativ beeinflussen wird. Wir sind jedenfalls gespannt, wie sich die Sache weiter entwickeln wird.

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Die Nutzung von Social-Media-Plugins wie den Like-Button von Facebook ist aus datenschutzrechtlichen Gründen derzeit sehr umstritten.

Das Problem:

Bei der Verwendung von „Like-Buttons“ werden Daten des Nutzers z.B.  an die Facebook Inc. in den USA weiter gegeben, was letztlich ohne die vorherige, datenschutzrechtliche Einwilligung des Nutzers unzulässig sein könnte. Die rechtliche Problematik liegt u. a. darin, dass Facebook bislang nicht darüber informiert, welche Daten in welchem Umfang tatsächlich übertragen werden. Bei vollständigen IP-Adressen handelt es sich nach vielfach vertretener Ansicht um parsonenbezogene Daten, so dass bei deren Übertragung ein Verstoß gegen datenschutzrechtliche Bestimmungen vorliegen könnte.

Die Lösung:

Die Yagendoo Media GmbH mit Firmensitz in Köln bietet auf ihrer Plattform www.yagendoo.com jetzt in Kooperation mit unserer Kanzlei ein Plugin zur datenschutzrechtlich korrekten Einholung der Einwilligung des Nutzers ein. Der Nutzer wird hierdurch – wie rechtlich notwendig – vor dem Laden aller Tools über das Übergeben der Daten informiert.  Es öffnet sich ein Pop-Up-Fenster, in dem der Nutzer – bervor er weiter über die Webseiten surft – die Nutzung von Social Media-Plugins akzeptieren kann – oder auch nicht. Verweigert er die Zustimmung, werden die Daten nicht übertragen. Das Plugin ist zunächst nur für WordPress nutzbar. Weitere sollen in Kürze folgen.

Die Datenschutztexte, welche im Plugin enthalten sind, wurden von unserer Kanzlei erstellt und klären den Nutzer über die Nutzung der entsprechenden Dienste auf. Alle enthaltenen Rechtstexte werden in kommenden Updates des Plugins ebenfalls aktualisiert, falls das notwendig sein sollte.

Weitere Informationen dazu finden Sie bei Yagendoo unter http://www.yagendoo.com/de/wordpress/wordpress-plugins/wordpress-datenschutz-plugin.html.

Ihr Team von Res Media.

Update vom 18.03.2011:

Das Plugin wurde allgemein gut aufgenommen, von unserem Kollegen Dr. Bahr erfolgte auch bereits eine Auseinandersetzung mit dem Plugin auf juristischer Ebene. Er vertritt  grundsätzlich eine strengere Auslegung der gesetzlichen Vorgaben und hält das Plugin für nicht ausreichend.

Sicherlich kann man darüber streiten, wie weit die datenschutzrechtliche Erklärung inhaltlich gehen muss. Personenbezogene Daten können bei den Social-Media-Plugins nur die IP-Adressen betreffen, wobei bereits das umstritten ist. Darüber hinaus kann noch die User-ID Personenbezug haben, wenn der Nutzer bei dem Anbieter angemeldet ist. Dann hat er im Zweifel aber dessen Datenschutzbestimmungen bereits akzeptiert. Die Möglichkeit des Widerrufs ist in dem Plugin zumindest schon durch den Hinweis auf die Entfernung der Cookies gegeben.

Es ist uns jedoch grundsätzlich nicht daran gelegen, einen wissenschaftlichen Streit zu führen, sondern vielmehr daran, die Datenschutzinteressen des Nutzers  so weit wie möglich zu schützen. Insoweit nehmen wir die Anmerkungen des Kollegen Dr. Bahr als konstruktive Kritik auf. Es schadet auf keinen Fall, auch strengere Auslegungen zu berücksichtigen, soweit diese praktisch umsetzbar sind.

Aus diesem Grund haben wir gemeinsam nach entsprechenden Lösungen gesucht, woraufhin die Firma Yagendoo Media  einige Anpassungen an dem Plugin vorgenommen hat.

• Es ist dem Seitenbetreiber jetzt möglich, die Anbieter der Social-Media-Plugins auf seiner Seite mit Adressen einzutragen. Diese Einträge werden in die datenschutzrechtliche Erklärung übernommen. So wird der Benutzer ganz detailliert darüber augeklärt, an wen ggf. Daten übertragen werden.
• Darüber hinaus können zu den Anbietern auch unmittelbar deren Datenschutzerklärungen verlinkt werden, so dass der Nutzer sich über den Verwendungszweck der Daten durch den jeweiligen Anbieter informieren kann.
• Unter den Social-Media-Plugins wurde ein Link eingefügt, über den der Nutzer mit einem Klick eine Einwilligung widerrufen kann. Dies vereinfacht die Möglichkeit des Widerrufs für den Nutzer. Alternativ kann immer noch manuell der entsprechende Cookie gelöscht werden.

Die Datenschutzerklärung wurde entsprechend angepasst und erweitert. Wir gehen davon aus, dass das Plugin der Firma Yagendoo Media damit auch strengen datenschutzrechtlichen Auslegungen genügt, und dem Seitenbetreiber dadurch noch mehr Sicherheit bei der Verwendung von Social-Media-Plugins bietet.

—————————————————————————-
Res Media | Kanzlei für IT- und Medienrecht
Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: mainz@res-media.net
Internet: www.res-media.net

Mainz | Mannheim

—————————————————————————-

Bildnachweis © Max E. – Fotolia.com

Die SCHUFA ist eine deutsche Wirtschaftsauskunftei, die dazu dient, Unternehmen über Zahlungsunfähigkeit der jeweiligen Vertragspartner beim Abschluss von Kreditverträgen zu informieren. Das Oberlandesgericht Frankfurt hatte sich in einem Urteil von Mitte Juli (Urteil v. 13.07.2010 – Az.: 19 W 33/10) mit der Frage auseinanderzusetzen, ob die Speicherung und Übermittlung kreditrelevanter Daten einer rechtskräftig titulierten Forderung aus einem Kreditvertrag durch die Schufa zulässig ist.

Im konkreten Fall hatte der Antragssteller Beschwerde eingereicht, da eine Bank Daten über eine von ihm rechtskräftig festgestellte Forderung an die Schufa übertragen hatte. Er begehrte nach § 35 II 2 Nr. 1 BDSG oder §§ 823, 1004 BGB eine Sperrung des Datenbestandes, der sich bei der Antragsgegnerin, der Schufa, befand. Eine Einwilligungserklärung hatte er dabei nach eigener Überzeugung nicht erteilt, weswegen die Datenübermittlung und –speicherung nach seiner Ansicht unzulässig war.

Das OLG Frankfurt gab in seiner Entscheidung der Beschwerde nicht statt, da nach Ansicht des Gerichts eine rechtswirksame Einwilligung in die Datenverarbeitung gem. § 4a Abs. 1 BDSG vorlag. Grundsätzlich sei eine Verwendung personenbezogener Daten nach § 4 I BDSG nur zulässig, wenn das Gesetz die Datenverarbeitung erlaube oder der Betroffene einwillige.

Im zugrundeliegenden Kreditvertrag vom 6.3.2003 lag die Besonderheit, dass die im Bereich der Kreditwirtschaft übliche SCHUFA-Klausel, welche die Übermittlung von Daten von Kreditinstituten an die SCHUFA gestatte, nicht als gesonderte Erklärung vorlag, sondern vielmehr auf der ersten Seite des Kreditvertrags ein fettgedruckter Hinweis auf die Einwilligungserklärung gegeben wurde, welcher sich auf den umseitig abgedruckten Text bezog. Es konnte nicht festgestellt werden, ob Einwilligung nach §4a BDSG wirksam war, da nur Seite 1 des Kreditvertrags vorlag und damit nicht der Wortlaut der Einwilligung.

Die Frankfurter Richter gingen jedoch davon aus, dass die Einwilligungserklärung nicht im Kleingedruckten gem. § 4a Absatz 1 Nr. 4 BDSG versteckt wurde, sondern vielmehr, dass der Antragssteller durch seine Unterschrift die Einwilligung erteilt habe. Der fettgedruckte Verweis genügte nach Ansicht des OLG Frankfurt grundsätzlich für die Einwilligung in Übermittlung von SCHUFA-Daten, der Antragssteller sei sich demnach  mit Unterzeichnung des Vertragsstücks auch des Bezugsgegenstandes der Einwilligung bewusst gewesen.

Aber selbst wenn man davon ausginge, dass diese Einwilligungserklärung des Antragsstellers unwirksam wäre, dann wäre die Datenverarbeitung gem. § 28 I Nr. 2 BDSG legitimiert gewesen, so das Gericht. Danach sei das Übermitteln personenbezogener Daten zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stellen erforderlich sei und kein Grund zu der Annahme bestehe, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung überwiege.

Das Gericht geht damit einen anderen Weg als die bisherige herrschende Meinung in der Datenschutzpraxis. Danach war bisher ein Rückgriff auf die gesetzlichen Zulässigkeitstatbestände nicht mehr möglich, wenn bereits von einer Einwilligung ausgegangen wurde. Im Normalfall trage grundsätzlich die datenverarbeitende Stelle für eine wirksame Einwilligung die Beweislast. Nach Ansicht der Richter des OLG Frankfurt trage jedoch der Antragssteller zunächst einmal die Beweislast dafür, dass seine Einwilligungserklärung vorliege. Nicht zuletzt stünden die Zulässigkeitstatbestände nach § 4 BDSG gleichwertig nebeneinander und könnten unabhängig voneinander vorliegen.

In dem Fall, dass eine Einwilligung erteilt werde, diese aber unwirksam sei, kann der Betroffene also nach Ansicht des OLG Frankfurt mit einem „plötzlich“ eingreifenden gesetzlichen Zulässigkeitstatbestand „überrascht“ werden.

Fazit: Ob sich dieser Ansicht des OLG Frankfurt weitere Gerichte anschließen werden, darf angezweifelt werden. Entsprechende Einwilligungserklärungen sollten daher in keinem Fall nachlässig formuliert werden, sondern es sollte sichergegangen werden, dass die Einwilligungserklärung auch wirklich vorliegt.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an mainz@res-media.net .

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Dieser Beitrag wurde erstellt unter freundlicher Mitwirkung von Stud. iur. Sebastian Ehrhardt

Bildnachweis: © fotoschuh – Fotolia.com

Nach den Änderungen des Bundesdatenschutzgesetzes zum 1. April 2009 (BDSG-Novelle I zum „Scoring“) sowie zum  1. September 2009 (BDSG-Novelle II zum Datenhandel) ist am 11. Juni 2010 das Gesetz zur Umsetzung der Verbraucherkreditlinie (BDSG-Novelle III) in Kraft getreten und hat neue Transparenzregelungen zugunsten der Verbraucher geschaffen. Damit hat das von der großen Koalition beschlossenen Änderungspaket zum Datenschutzrecht seine abschließende Umsetzung erfahren. Nachfolgend soll aufgezeigt werden, welche wesentlichen Teile das Bundesdatenschutzgesetz dabei ergänzt und was neu eingeführt worden ist.

Als neue Vorschriften im Bundesdatenschutzgesetz sind insbesondere die § 29 Abs. 6 BDSG sowie § 29 Abs. 7 BDSG zu nennen. Gemäß § 29 Abs. 6 BDSG sind Darlehensgeber aus dem Gebiet der EU und aus Mitgliedstaaten des Europäischen Wirtschaftsraumes künftig mit inländischen Darlehensgebern gleichgestellt, sofern Informationen von Auskunfteien über die Kreditwürdigkeit und Bonität von Verbrauchern begehrt werden. § 29 Abs. 7 BDSG statuiert hingegen die Informationsverpflichtung, Verbraucher unterrichten zu müssen, wenn ein Verbraucherdarlehensvertrag oder ein Vertrag über eine entgeltliche Finanzierungshilfe wegen der Auskunft über dessen Kreditwürdigkeit gem. § 29 Abs. 6 S. 1 BDSG nicht zustande gekommen ist. Etwas anderes würde nur dann gelten, wenn dadurch die öffentliche Sicherheit oder Ordnung gefährdet werden würde, vgl. § 29 Abs. 6 S. 2 BDSG. Wird diesen Verpflichtungen nicht nachgekommen, sieht der Katalog an Ordnungswidrigkeiten in § 43 BDSG in seinem Absatz 1 Nr. 7a und b bei Zuwiderhandlung die Verhängung einer Geldbuße von bis zu 50.000 Euro vor.

Dies wirkt sich insbesondere für Unternehmen wie große Elektronikmärkte aus, die beim Kauf von Waren eine Ratenzahlung ermöglichen oder sonstige Unternehmen, die ihren Kunden Ratenkredite und sonstige Verbraucherdarlehen anbieten. Bei Ablehnung eines solchen Kreditvertrags ist damit das Unternehmen künftig verpflichtet, den Verbraucher unmittelbar nach Kenntniserlangung einer negativen Schufa-Auskunft als Entscheidungsgrundlage über deren Inhalt zu informieren.

Fazit: Die Novellierung des Bundesdatenschutzgesetzes (BDSG) in seinen 3 Etappen bringt zahlreiche Änderungen im Bundesdatenschutzgesetz mit sich, nicht zuletzt als Reaktion auf die zahlreichen Datenschutzskandale, die in den letzten Monaten durch die Medien gingen. Für Unternehmen und deren betrieblichen Datenschutzbeauftragten bedeuten die Novellen I bis III konkreten Handlungsbedarf, um die betriebliche Datenschutzstruktur an die neuen gesetzlichen Vorgaben anzupassen. Ein Abschluss der Novellierungen im BDSG ist jedoch noch nicht abzusehen, um neuartige Datenschutzthemen wie etwa „Google Street View“  datenschutzrechtlich in den Griff zu bekommen.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an mainz@res-media.net .

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © fotoschuh – Fotolia.com