Darin kritisiert das Gremium das Vorgehen einiger in Deutschland aktiver außereuropäischer Betreiber von sozialen Netzwerken, die eine rechtlich selbstständige Niederlassung in einem anderen Staat des Europäischen Wirtschaftsraumes gründen um den deutschen Datenschutzbestimmungen zu entgehen.

Betreiber von sozialen Netzwerken müssten zudem eine größtmögliche Transparenz zu Art und Umfang der Datenerhebung bei Vertragsabschluss durch Einwilligung des Nutzers gewährleisten. Die Möglichkeit des Widerspruchs im Nachhinein sei nicht ausreichend. Auch müssten sich die Kontaktdaten des Betreibers an transparenter Stelle befinden damit der Nutzer die Möglichkeit hat seine Rechte auf Auskunft, Berichtigung und Löschung der Daten geltend zu machen. Besonders sensible Daten müssten ausreichend geschützt werden. Dies gelte insbesondere für die Daten Minderjähriger.

Scharf kritisierte der Kreis die Nutzung von Social Plugins, welche z.B. Facebook, Google+ oder Twitter zur Verfügung stellen. Dabei können Online-Händler kleine Anwendungen, wie z.B. den „Gefällt-mir“-Button von Facebook, zu arketingzwecken auf ihrer eigenen Webseite integrieren. Facebook sammelt dann bei einem Besuch der Webseite durch einen eingeloggten Facebook-Nutzer dessen Daten. Dieses Vorgehen ist nach Meinung des Gremiums nur zulässig, wenn der Nutzer vorher umfassend über die Datenerhebung informiert werde und die Möglichkeit habe diese auch zu untersagen. Hierzu sei es erforderlich, dass der Nutzer eine die Datenerhebung rechtfertigende Erklärung abgebe. Grundlage hierfür sei, dass verlässliche Informationen über Art und Umfang der Erhebung durch den Netzwerkbetreiber gegeben würden. Danach wären die derzeitig möglichen Datenschutzhinweise der Webseite-Betreiber zu den Social Plugins bei Facebook unzureichend, denn sie haben keinen Zugriff auf den Datenaustausch und können daher auch nicht über diesen aufklären (vgl. § 13 Abs. 1 TMG). Gleiche Grundsätze gelten danach auch für Fanpages von Online-Händlern in sozialen Netzwerken.

Bei dem Beschluss handelt es sich aber um eine informelle Stellungnahme, die keine Bindungswirkung entfaltet. Die Anforderungen an die Nutzung von Social Plugins sind bis heute nicht endgültig geklärt.

Hier können Sie den Beschluss des Düsseldorfer Kreises einsehen: Beschluss

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an decker@res-media.net.

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

———————————————————————————————–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
———————————————————————————————–

Bildnachweis: © Michael Brown – Fotolia.com

In rechtlicher Hinsicht wird jedoch insbesondere der betriebliche Datenschutzbeauftragte die Hände über dem Kopf zusammenschlagen, wenn er erfährt, dass die gesamte sensible Unternehmenskommunikation der Mitarbeiter über deren private Endgeräte abgewickelt werden soll, konnten doch bislang die alten Blackberry-Geräte immer so schön zentral administriert und überwacht werden. Wenn sich nun die vertraulichen E-Mails und geschäftlichen Kontakte auf dem privaten iPhone der Mitarbeiter mit den privaten Urlaubsbildern auf dem Macbook oder dem iPad vermischen und Partygäste jederzeit Zugang zu sensiblen Unternehmensdaten erhalten, wenn die Musik auf der Party aus dem iPhone kommt, dann können empfindliche Sicherheitslücken entstehen.

Andererseits muss sich der moderne IT-Rechtsberater und auch der Datenschutzbeauftragte ebenso wie der CIO zunehmend als “Business-Enabler” und nicht als Spielverderber sehen. In dieser Hinsicht müssen künftig BYOD-Systeme gefunden und mit Wohlwollen juristisch geprüft werden, die gewährleisten, dass die Unternehmenskommunikation bestmöglich von der privaten abgeschottet wird. Hier wäre z. B. denkbar, dass der unternehmerische Bereich auf dem privaten Endgerät mit einem speziellen Profil von der privaten Kommunikation getrennt wird, so dass sich im Nachrichteneingang auch nicht die privaten und die geschäftlichen E-Mails vermischen. Außerdem müsste der Mitarbeiter, der sein eigenes Device mitbringt, dem Unternehmen gewisse Administrationsrechte einräumen, um den notwendigen Überwachungsstandard zu gewährleisten, z. B. Sperrung des Endgerätes bei Verlust etc. Es bleibt abzuwarten, wie die technische Entwicklung auf die juristischen Anforderungen reagieren wird. Wir können Ihnen gerne behilflich sein, hierzu rechtlich belastbare Lösungen zu erarbeiten.

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an welkenbach@res-media.net.

Christian Welkenbach
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

———————————————————————————————–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: welkenbach@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
———————————————————————————————–

Das aktuelle Gutachten kommt zu dem Ergebnis, dass das ULD im Falle eines Vorgehens gegen die Webseitenbetreiber seine Kompetenzen überschreite, da die Zuständigkeit allein beim Landesinnenministerium liege.

Hier der Link zum Gutachten:

http://www.sebastian-blumenthal.de/files/35704/Gutachten_Facebook_FINAL.pdf

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an shb@res-media.net.

Sabine Heukrodt-Bauer
Rechtsanwältin

Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Bildnachweis: © Max E. – fotolia.com

Die größten Bedenken der Datenschützer bestanden in der Vergangenheit darin, dass Google in großem Umfang Daten für die Anwender von Google Analytics auf eigenen Servern in  den USA erhebt, speichert und verarbeitet. Davon seien auch personenbezogene Daten betroffen, da die IP-Adresse nach Ansicht der Datenschützer wegen der (theoretischen) Möglichkeit der Zuordnung zu einer Person über den Provider einen datenschutzrechtlichen Personenbezug habe. Nicht nur unter Juristen ist diese Auslegung heftig umstritten, da die praktischen Auswirkungen erheblich sind. So sahen die Datenschützer bisher auch keine Möglichkeit, die Software Google Analytics wegen der Speicherung von IP-Adressen rechtskonform einzusetzen.

Bei Google war man jedoch kreativ in dem Bemühen, den strengen deutschen Anforderungen gerecht zu werden. So wurde Google Anaylytics um die Funktion „Anonymize IP“ erweitert, die bei der Speicherung von IP-Adressen die letzten Ziffern „abschneidet“. Die IP-Adressen sind damit anonymisiert, nicht mehr zurückzuverfolgen und können deshalb auch nicht mehr als personenbezogene Daten gelten.

Darüber hinaus wird dem Besucher der Website die Möglichkeit gegeben, die Datenübertragung an Google Analytics zu unterbinden. Zu diesem Zweck stellt Google ein Browser-Add-on zur Deaktivierung von Google Analytics für alle gängigen Browser-Typen zu Verfügung.

Da die Erhebung, Speicherung und Verarbeitung von fremden Daten nach dem BDSG auch besonderen Pflichten unterliegt, hat sich Google schließlich bereit erklärt, mit jedem Anwender von Google Analytics einen Vertrag über die Auftragsdatenverarbeitung zu schließen.

Mit diesen Maßnahmen wurden die Bedenken der deutschen Datenschützer letztlich ausgeräumt, so dass der rechtskonforme Einsatz von Google Analytics nun möglich ist. Für die praktische Umsetzung ist es erforderlich, dass

• der Vertrag über die Auftragsdatenverarbeitung unterzeichnet an Google Germany gesendet wird,
• die Funktion „Anonymize IP“ in Google Analytics integriert wird,
• auf diese Punkte sowie auf die Widerspruchsmöglichkeit mittels des Browser-Add-on zur Deaktivierung von Google Analytics in einer entsprechenden Datenschutzinformation hingewiesen wird.

Der hamburgische Datenschutzbeauftragte Johannes Caspar hat noch einmal ausdrücklich darauf hingewiesen, dass jeder Webseitenbetreiber selbst für die Einhaltung dieser Vorgaben verantwortlich ist.

Wir empfehlen beim Einsatz von Google Analytics deshalb, die angesprochenen Punkte so schnell wie möglich umzusetzen, um einer behördlichen Verwarnung oder sogar einem Ordnungsgeld vorzubeugen.

Fazit:

Es ist erfreulich, dass nun endlich ein rechtskonformer Einsatz von Google Analytics möglich ist. Allerdings sind die deutschen Datenschützer hier wieder einmal zu weit gegangen. Es ist bereits stark umstritten, IP-Adressen als personenbezogene Daten zu bewerten. Die Auswirkungen dieser Rechtsansicht der Datenschützer auf die deutsche Wirtschaft sind extrem negativ. So beklagen viele deutsche Unternehmen, dass Ihnen durch den deutschen Datenschutz im Wettbewerb mit ausländischen Unternehmen große Steine in den Weg gelegt werden.

In soweit ist es erstaunlich, dass Google sich sogar bereit erklärt hat, mit jedem Anwender von Google Analytics einen eigenen ADV-Vertrag zu schließen. Der Nutzen hinter diesem Aufwand erscheint jedoch fraglich; im Verhältnis zwischen Google und seinen Nutzern wird sich durch dieses Stück Papier praktisch jedenfalls nichts ändern.   Ein vergleichbares Prozedere dürfte es auch ausschließlich in Deutschland geben.

Spannend ist in diesem Zusammenhang die Frage, wie die anderen Anbieter von Analyse- und Trackingsoftware reagieren werden. Rechtlich gesehen stehen diese nun gegenüber Google im Abseits und müssten unverzüglich mit ähnlichen Lösungen nachziehen.

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an decker@res-media.net.

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Ewe Degiampietro – Fotolia.com

Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.

Quelle: Pressemitteilung der ULD vom 19.08.2011, die Sie hier abrufen können:

https://www.datenschutzzentrum.de/presse/20110819-facebook.htm

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an shb@res-media.net.

Sabine Heukrodt-Bauer
Rechtsanwältin
Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Bildnachweis: © pdesign– fotolia.com

Selbst falls die Verwendung des „Gefällt mir“-Buttons gegen deutsches Datenschutzrecht verstoßen sollte, kann dies nach einer aktuellen Entscheidung aus Berlin jedoch nicht von Mitbewerbern abgemahnt werden, weil es sich bei § 13 Absatz 1 TMG nicht um eine Marktverhaltensvorschrift im Sinne von § 4 Nr. 11 UWG handelt (KG Berlin, Beschluss vom 29.04.2011, Az. 5 W 88/1).

Der Charakter als Marktverhaltensvorschrift ist zwingende Voraussetzung für die Abmahnbarkeit eines Rechtsverstoßes durch Mitbewerber. Laut Kammergericht handelt es sich bei § 13 Abs. 1 TMG aber lediglich um eine Informationspflicht, die gewährleisten soll, dass der Nutzer “sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verschaffen kann” (mit Verweis auf BT-Drucksache 13/7385, S. 22 zum TDDSG). Mit § 13 Abs. 1 TMG habe der Gesetzgeber allein Persönlichkeitsrechtsbeschränkungen der Nutzer von Telediensten rechtfertigen wollen, nicht aber das Interesse einzelner Wettbewerber.

Der Beschluss spiegelt die herrschende juristische Meinung wieder und ist insbesondere deshalb zu begrüßen, weil die Rechtsprechung den Kreis der Marktverhaltensregeln abgesehen vom Datenschutzrecht sehr weit zieht. Bereits eine sekundäre wettbewerbsbezogene Schutzfunktion der verletzten Vorschrift reicht aus (vgl. BGH, Urteil vom 02.12.2009 – I ZR 152/07 – Zweckbetrieb).

Fazit:

Die Verwendung des „Gefällt mir“-Buttons kann von Mitbewerbern nicht erfolgreich abgemahnt werden. Entsprechende Abmahnungen sollten nach Rücksprache mit einem spezialisierten Anwalt zurückgewiesen werden.

Unabhängig von der fehlenden Abmahnbarkeit verbleibt es aber (wohl) bei einem Datenschutzverstoß, der mit einem behördlichen Ordnungsgeld geahndet werden kann. Zudem weist das KG darauf hin, dass die Informationsverpflichtung nach § 13 TMG Verbrauchern dazu dienen kann, „Beeinträchtigungen der Privatsphäre durch unerwünschte Werbung abzuwehren und zu unterbinden“, sodass die wettbewerbsbezogene Schutzfunktion gegenüber dieser Gruppe nicht von vornherein ausgeschlossen werden kann.

Res Media hat daher in Kooperation mit dem Kölner IT-Unternehmen Yagendoo Media GmbH für Webseitenbetreiber ein kostenloses Datenschutz-Plug-In für WordPress entwickelt.

Sollten Sie zu diesem Thema Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an plutte@res-media.net.

Niklas Plutte
Rechtsanwalt
—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht
Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: plutte@res-media.net
Internet: www.res-media.net
Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Max E. – Fotolia.com

Das Problem:

Bei der Verwendung von „Like-Buttons“ werden Daten des Nutzers z.B.  an die Facebook Inc. in den USA weiter gegeben, was letztlich ohne die vorherige, datenschutzrechtliche Einwilligung des Nutzers unzulässig sein könnte. Die rechtliche Problematik liegt u. a. darin, dass Facebook bislang nicht darüber informiert, welche Daten in welchem Umfang tatsächlich übertragen werden. Bei vollständigen IP-Adressen handelt es sich nach vielfach vertretener Ansicht um parsonenbezogene Daten, so dass bei deren Übertragung ein Verstoß gegen datenschutzrechtliche Bestimmungen vorliegen könnte.

Die Lösung:

Die Yagendoo Media GmbH mit Firmensitz in Köln bietet auf ihrer Plattform www.yagendoo.com jetzt in Kooperation mit unserer Kanzlei ein Plugin zur datenschutzrechtlich korrekten Einholung der Einwilligung des Nutzers ein. Der Nutzer wird hierdurch – wie rechtlich notwendig – vor dem Laden aller Tools über das Übergeben der Daten informiert.  Es öffnet sich ein Pop-Up-Fenster, in dem der Nutzer – bervor er weiter über die Webseiten surft – die Nutzung von Social Media-Plugins akzeptieren kann – oder auch nicht. Verweigert er die Zustimmung, werden die Daten nicht übertragen. Das Plugin ist zunächst nur für WordPress nutzbar. Weitere sollen in Kürze folgen.

Die Datenschutztexte, welche im Plugin enthalten sind, wurden von unserer Kanzlei erstellt und klären den Nutzer über die Nutzung der entsprechenden Dienste auf. Alle enthaltenen Rechtstexte werden in kommenden Updates des Plugins ebenfalls aktualisiert, falls das notwendig sein sollte.

Weitere Informationen dazu finden Sie bei Yagendoo unter http://www.yagendoo.com/de/wordpress/wordpress-plugins/wordpress-datenschutz-plugin.html.

Ihr Team von Res Media.

Update vom 18.03.2011:

Das Plugin wurde allgemein gut aufgenommen, von unserem Kollegen Dr. Bahr erfolgte auch bereits eine Auseinandersetzung mit dem Plugin auf juristischer Ebene. Er vertritt  grundsätzlich eine strengere Auslegung der gesetzlichen Vorgaben und hält das Plugin für nicht ausreichend.

Sicherlich kann man darüber streiten, wie weit die datenschutzrechtliche Erklärung inhaltlich gehen muss. Personenbezogene Daten können bei den Social-Media-Plugins nur die IP-Adressen betreffen, wobei bereits das umstritten ist. Darüber hinaus kann noch die User-ID Personenbezug haben, wenn der Nutzer bei dem Anbieter angemeldet ist. Dann hat er im Zweifel aber dessen Datenschutzbestimmungen bereits akzeptiert. Die Möglichkeit des Widerrufs ist in dem Plugin zumindest schon durch den Hinweis auf die Entfernung der Cookies gegeben.

Es ist uns jedoch grundsätzlich nicht daran gelegen, einen wissenschaftlichen Streit zu führen, sondern vielmehr daran, die Datenschutzinteressen des Nutzers  so weit wie möglich zu schützen. Insoweit nehmen wir die Anmerkungen des Kollegen Dr. Bahr als konstruktive Kritik auf. Es schadet auf keinen Fall, auch strengere Auslegungen zu berücksichtigen, soweit diese praktisch umsetzbar sind.

Aus diesem Grund haben wir gemeinsam nach entsprechenden Lösungen gesucht, woraufhin die Firma Yagendoo Media  einige Anpassungen an dem Plugin vorgenommen hat.

• Es ist dem Seitenbetreiber jetzt möglich, die Anbieter der Social-Media-Plugins auf seiner Seite mit Adressen einzutragen. Diese Einträge werden in die datenschutzrechtliche Erklärung übernommen. So wird der Benutzer ganz detailliert darüber augeklärt, an wen ggf. Daten übertragen werden.
• Darüber hinaus können zu den Anbietern auch unmittelbar deren Datenschutzerklärungen verlinkt werden, so dass der Nutzer sich über den Verwendungszweck der Daten durch den jeweiligen Anbieter informieren kann.
• Unter den Social-Media-Plugins wurde ein Link eingefügt, über den der Nutzer mit einem Klick eine Einwilligung widerrufen kann. Dies vereinfacht die Möglichkeit des Widerrufs für den Nutzer. Alternativ kann immer noch manuell der entsprechende Cookie gelöscht werden.

Die Datenschutzerklärung wurde entsprechend angepasst und erweitert. Wir gehen davon aus, dass das Plugin der Firma Yagendoo Media damit auch strengen datenschutzrechtlichen Auslegungen genügt, und dem Seitenbetreiber dadurch noch mehr Sicherheit bei der Verwendung von Social-Media-Plugins bietet.

—————————————————————————-
Res Media | Kanzlei für IT- und Medienrecht
Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: mainz@res-media.net
Internet: www.res-media.net

Mainz | Mannheim

—————————————————————————-

Bildnachweis © Max E. – Fotolia.com

Bei der Verwendung von „Like-Buttons“ werden Daten des Nutzers an Facebook weiter gegeben, was letztlich ohne die Einwilligung des Nutzers nicht zulässig sein könnte. Allerdings: Selbst wenn man in der Verwendung dieses Facebook-Plugins einen datenschutzrechtlichen Verstoß sehen würde – was sehr fraglich ist – könnte ein Mitbewerber diesen trotzdem nicht abmahnen. Die Pflicht zur Datenschutzerklärung ist kein Gesetz, das einen geregelten Wettbewerb schützen soll und damit nicht von Mitbewerbern abmahnbar ist. Datenschutzrechtliche Vorschriften gehören daher nicht zu den Regelungen, die auch dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln (§ 4 Nr. 11 Gesetz gegen den Unlauteren Wettbewerb, UWG).

Auf der anderen Seite kann es aber auch nicht abgemahnt werden, wenn Sie in der Datenschutzerklärung auf die Verwendung des Like-Buttons hinweisen. Ein „Zuviel“ ist dagegen nicht problematisch“ und die Information unter Verbraucherschutz- und Informationsgesichtspunkten sogar wünschenswert. Daher können Webseitenanbieter zur Sicherheit, diese Formulierung in ihre Datenschutzinformation aufnehmen:

Wir verwenden auf einigen unserer Webseiten Plugins der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA, wie den Facebook-Like-Button („Gefällt mir”-Button“). Damit können Sie Ihre Facebook-Freunden darüber informieren, dass Ihnen eine unsere Seiten gefallen.

Wenn Sie eine mit einem solchen Plugin versehene Internetseiten innerhalb unserer Website aufrufen, wird automatisch eine Verbindung zu den Servern von Facebook hergestellt. Damit werden automatisch dieselben Daten an Facebook übertragen, als würden Sie facebook.com selbst besuchen, auch dann, wenn Sie kein Facebook-Nutzer sind und den Like-Button nicht anklicken. Folgende Daten werden übermittelt:

• IP-Adresse
• Browserversion und Betriebssystem
• Herkunft der Besucher (Referrer), wenn Sie einem Link gefolgt sind
• Bildschirmauflösung
• Installierte Plugins wie Flash oder Adobe Reader
• URL der Seite, auf der der Like-Button eingebunden ist

Wenn Sie die Datenübertragung verhindern möchten, müssen Sie hierfür die Sicherheitseinstellungen in dem von Ihnen genutzten Internetbrowser  (z.B. Internet Explorer, Firefox, Google Chrome, Safari) anpassen. Hinweise dazu finden Sie unter “Hilfe” in Ihrem Browser.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an shb@res-media.net.

Sabine Heukrodt-Bauer, LL.M
Rechtsanwältin
Fachanwältin für Informationstechnologierecht

———————————————————————————————–—–
RES MEDIA | Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz
Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: shb@res-media.net
Internet: www.res-media.net

Bildnachweis: © Max E. – Fotolia.com

Nachdem der Bundesrat bereits im Februar 2009 seine Zustimmung erteilt hat, wird das Gesetz nun im kommenden November in Kraft treten.

Aus datenschutzrechtlicher Sicht ist das neue Ausweisdokument für Bürger der Bundesrepublik

Deutschland bereits heftig in Kritik geraten. Während beim derzeitigen Personalausweis die Daten

nur optisch ausgelesen werden können, werden die Daten beim neuen Personalausweis im Scheckkartenformat auf einem Chip mit PIN-Abfrage digital abgespeichert. In seiner hoheitlichen Funktion als Personaldokument können auch biometrische Informationen wie ein digitalisiertes biometrisches Passbild (verpflichtend) sowie freiwillig die Fingerabdrücke des rechten und linken Zeigefingers abgespeichert werden (optional; anders der elektronische Reisepass [sog. „ePass“], wo dies verpflichtend ist), womit sich der Inhaber des Ausweises auch über das Internet – bei entsprechend vorhandenem Lesegerät – ausweisen kann. Allerdings muss dann auf der Webseite durch Zertifikate sichergestellt werden, dass der jeweilige Seiteninhaber auch berechtigt ist, den Ausweis digital auszulesen.

Der Ausweis soll neben einer Erhöhung der Sicherheit gegen Internetkriminalität auch eine Vereinfachung des elektronischen Identitätsnachweises (sog. „eID“) im Rahmen von elektronischen Geschäftstransaktionen durch höchst fälschungssicher eingestufte Authentifizierungsprozesse ermöglichen. Insbesondere für die elektronische Abwicklung von Verträgen im Bereich von E-Government und E-Business ist es durch die Integrierung einer – wenn auch nur optional erhältlichen – qualifizierten elektronischen Signatur (sog. „QES“) ermöglicht worden, eine eigenhändige Unterschrift auf digitalem Wege zu realisieren, was bisher für den einzelnen schlichtweg zu kostspielig und kompliziert war. Mit dem neuen Personalausweis ist der Bürger direkt Inhaber einer solchen Signatur, falls er denn eine solche auf seinem Ausweis abgespeichert wünscht und beantragt.

Kritische Bedenken erntet der neue elektronische Personalausweis insbesondere hinsichtlich der verwendeten Chip Technologie, die auf dem RFID-System basieren soll. Damit ist es möglich, kontaktlos die auf dem Chip hinterlegten verschlüsselten Daten auszulesen. Als Sicherheitssystem setzt der Ausweis das sog. PACE-Protokoll ein, das vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und derzeit bei verschiedenen Stellen auf Sicherheitslücken geprüft wird, um die Einhaltung bestimmter Sicherheitsstandards, die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, gem. § 2 Abs. 2 BDSG zu gewährleisten. Zwar ist der Auslesungsvorgang nur in einem bestimmten Funkfeld möglich, in welchen der RFID Chip „aktiviert“ wird, allerdings kann der Auslesevorgang gegebenenfalls nicht nur von den autorisierten RFID Lesegeräten erfolgen, sondern auch durch Nichtberechtigte mit der Folge, dass zum Beispiel Persönlichkeitsprofile erstellt werden.

Aus rein rechtlicher Sicht darf vom Ausweisinhaber künftig nicht mehr verlangt werden, den Personalausweis zu hinterlegen oder den Gewahrsam in sonstiger Weise daran aufzugeben, vgl. § 1 I 3 PAuswG. Dem Ausweisinhaber ist es aber gem. § 5 Abs.9 PAuswG ermöglicht, freiwillig seine Fingerabdrücke auf dem Ausweis zu speichern. Damit können Behörden einen Identifikationsabgleich vornehmen, allerdings müssen sie den Fingerabdruck unmittelbar nach Ausstellung wieder löschen. Daneben gibt es die bereits angesprochene, ebenfalls freiwillige Identifikationsmöglichkeit im Rahmen von elektronischen Geschäftsprozessen, vgl. § 10 PAuswG. Auch hier dienen die Ausweisnummer und die PIN zur Identifikation des jeweiligen Nutzers. Allerdings ist dieser verpflichtet, „zumutbare Maßnahmen“ gem. § 27 PAuswG zu treffen, um sicherzustellen, dass Dritte keine Kenntnis von der Geheimnummer erhalten. Im Rahmen von Internettransaktionen trifft den Bürger dabei die Pflicht, die Eingabe bzw. den Zugang zu den gespeicherten Daten nur über gesicherte Netzwerke und virengeschützte Computer erfolgen zu lassen. Wer auf die im elektronischen Personalausweis hinterlegten Daten zugreifen und diese verwenden darf, wird in § 15ff. PAuswG genau geregelt. Allerdings verlangt auch hier das Gebot der Datensparsamkeit gem. § 3a BDSG, dass nur auf die Daten zugegriffen wird, die im Geschäftsverkehr regelmäßig verlangt werden (wie z.B. die Adresse) – außerdem soll der Betroffene jeweils Einblick und Kontrolle über die zugegriffenen Daten haben.

Fazit: Es bleibt abzuwarten, wie der elektronische Personalausweis in der Praxis angenommen wird. Klar ist, dass sich durch den „kontaktlosen“ Zugriff auf personenbezogene Informationen im Sinne von § 3 Abs. 1 BDSG viele datenschutzrechtliche Problemfelder eröffnen. Umso mehr ist es wichtig, dass durch technisch abgesicherte Verfahren ein Zugriff auf die höchst persönlichen Informationen nur den zuständigen Behörden vorbehalten bleibt, um beispielsweise einer Profilbildung der Nutzer vorzubeugen. Mit Spannung bleibt ebenfalls abzuwarten, ob sich die im elektronischen Personalausweis integrierte elektronische Signatur durchsetzen und von den Bürgern auch tatsächlich genutzt werden wird.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net oder wenden Sie sich direkt an mainz@res-media.net .

Florian Decker
Rechtsanwalt
und Fachanwalt für Informationstechnologierecht (IT-Recht)

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Mannheim
—————————————————————————-

Bildnachweis: © Thomas Melcher – Fotolia.com

Im konkret verhandelten Sachverhalt hatte die Beklagte von der Klägerin umfangreiche Adressdaten gekauft, die sie für Werbezwecke verwenden wollte. Diese Daten wurden aus vielen verschiedenen Datenpools erlangt und der Beklagten verkauft. Allerdings stellte die Käuferin nach kurzer Zeit fest, dass einige Daten zum erheblichen Teil fehlerhaft waren und weigerte sich daher, den vereinbarten Kaufpreis zu zahlen. Außerdem hatte die Klägerin vorliegend nicht das Einverständnis der Betroffenen zur Speicherung und Weitergabe der jeweiligen Adressdaten erfragt (sog. „Opt-in Verfahren“) und ist deswegen auch mehrfach abgemahnt worden. Die Klägerin hingegen bestand auf Zahlung und legte Klage ein.

Die Düsseldorfer Richter entschieden zu Gunsten der Klägerin und verurteilten die Beklagte zur Zahlung des Kaufpreises. Die Beklagte habe kein Recht, die Überweisung des Kaufpreises zu verweigern, da ihr keinerlei Zurückbehaltungs- oder Gewährleistungsrechte zustünden.

Das Gericht wandte für den Verkauf von Adressdaten die gesetzlichen Regelungen über den Rechtskauf an. Die Beklagte hätte die behauptete Fehlerhaftigkeit der gekauften Adressdaten glaubhaft darlegen müssen – und nicht wie vorliegend allgemein und pauschal zu behaupten, die Daten seien mangelbehaftet. Notwendig wäre eine detaillierte Auflistung gewesen, wann und bei welchen Daten konkret welche Fehler vorlagen. Zu diesen Umständen seien aber gerade keine Ausführungen durch die Beklagte erfolgt.

Fazit: Wie der Kauf und Verkauf von Adressdaten juristisch in den Griff zu bekommen ist, ist nach wie vor in der Rechtsprechung umstritten. Das OLG Düsseldorf wendet dazu die Vorschriften des Rechtskaufs an. Wendet der Käufer ein, dass die Adressdaten nicht den vertraglichen Bestimmungen entsprechen, muss er dies anhand konkreter Tatsachen glaubhaft machen.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung. Zur Kontaktaufnahme besuchen Sie bitte unsere Seite www.res-media.net .

Florian Decker
Rechtsanwalt

—————————————————————————-
res media – Kanzlei für IT-Recht und Medienrecht

Fischtorplatz 21 | 55116 Mainz

Fon 06131.144 560 | Fax 06131.144 56 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

Mainz | Berlin | Mannheim
—————————————————————————-

Dieser Beitrag wurde erstellt unter freundlicher Mitwirkung von Stud. iur. Sebastian Ehrhardt

Bildnachweis: © kebox – Fotolia.com