von Oliver Gönner
Die Bundesregierung vertagt die Entscheidung über eine Ausgestaltung Regelung zur Verwendbarkeit von Cookies.
Entwurf:
“Einzelfragen der Umsetzung der Änderung von Art. 5 Abs. 3 der Richtlinie 2002/58/EG sind derzeit Gegenstand umfangreicher Konsultationen auf europäischer Ebene, die auch Selbstregulierungsansätze der betroffenen Werbewirtschaft umfassen. Das Ergebnis dieses Prozesses wird vor einer Entscheidung über weitergehenden gesetzgeberischen Handlungsbedarf zunächst abgewartet. ”
Auf Grund obiger Richtline müßte nach aktuellem Stand für jedes Cookie eine Einwilligung durch den Nutzer erteilt werden.
Die praktischen Auswirkungen einer solchen Regelung könnte in einer wahren Pop Up Flut enden. Zudem ist nicht klar inwieweit das Kopplungsverbot, dass mit Gesetzesänderung aus dem TMG in das BDSG gewandert ist, weiterhin für die Nutzung von Telemedien besteht. In der alten TMG Regelung war klar, dass Mediendienste nicht an Einwilligungen in Datenverarbeitungen gekoppelt werden durften. Die neue BDSG Regelung die ausweislich der Gesetzesbegründung auch für das TMG als Lex Generalis gelten soll, bezieht sich im Hinblick auf das Kopplungsverbot allerdings nur auf das Verbot der Kopplung von Einwilligung in eine Datenverarbeitung mit einen Vertragsschluss.
Im Extremfall könnte also Webseitenbetreiber die Nutzung ihrer Webseite von der Einwilligung in das Setzen von Cookies abhängig machen.
Da in dieser Frage noch keine Rechtsprechung existiert, bleibt die Rechtslage unklar.
von Oliver Gönner
Der Personenbezug von IP Adressen wird von Aufsichtsbehörden generell angenommen. Dieser Auffassung ist auch das Amtsgericht Berlin gefolgt.
Das Oberlandesgericht Hamburg stellt diese seit langem geltende Prämisse jetzt in Frage. In der Entscheidung 5W126/10 äußern sich die Richter bezüglich des generellen Personenbezugs von IP Adressen sehr kritisch.
“Dass das Ermitteln der IP-Adressen nach deutschem Datenschutzrecht rechtswidrig sein könnte, ist nicht ersichtlich, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann. Der Personenbezug wird erst durch die seitens der Staatsanwaltschaft nach §§ 161 Abs. 1 S. 1 und 163 StPO angeforderte oder gem. § 101 Abs. 9 UrhG gerichtlich angeordnete Auskunft des Providers ermöglicht. Das Erteilen derartiger Auskünfte hat der BGH in der vorerwähnten Entscheidung „Sommer unseres Lebens“ (dort. Tz. 29) ausdrücklich als rechtmäßig angesehen.”
Mit dieser Oberlandesgerichtsrechtsprechung kann nicht uneingeschränkt an der bisherigen Prämisse festgehalten werden.
Der Gesetzgeber ist hier gefragt, in der anstehenden Änderung des TMG eine endgültige Entscheidung in der Frage des Personenbezugs von IP Adressen zu treffen.
von Oliver Gönner
Laut einer Meldung von Golem.de hat das Landgericht Berlin die Verwendung des Facebook Like Buttons als nicht wettbewerbswidrig angesehen.
Diese Entscheidung sollte aus Datenschutzsicht nicht falsch verstanden werden. Der Facebook Like Button ist weiterhin zumindest problematisch wenn nicht sogar gänzlich unzulässig.
Das Landgericht hat in seiner Entscheidung lediglich über die wettbewerbsrechtliche Komponente entschieden und ist zu dem Ergebnis gekommen, dass es durch die Verwendung des Buttons nicht zu einem Wettbewerbsvorteil kommt.
Das Gericht erkennt richtigerweise, dass Datenschutzrechte grundsätzlich nicht die Wettbewerber schützen sollten, es verkennt in dieser Entscheidung aber den Wettbewerbsvorteil, den positive Bewertungen einer Seite oder eines Angebots darstellen. Dieser Vorteil wird unter Missachtung von geltendem Medienrecht erlangt.
Weiterhin muss die Zulässigkeit des Facebook Like Buttons hinterfragt werden.
von Oliver Gönner
Die Art. 29 Datenschutzgruppe hat in ihrem Workingpaper 180 Stellung genommen zum Einsatz von RFID Technik. Das zur Zeit nur in der englischen Version erhältliche Workingpaper “Opinion 9/2011 on the revised Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications”
Vor der Einführung von RFID Technik sollen die datenschutzrelevanten Persönlichkeitsbeeinträchtigungen in geeigneter Weise geprüft und bewertet werden. Die Prüfberichte sollen für Berechtigte verfügbar sein und somit eine Transparenz des Verfahrens sicherstellen.
Das Analyseverfahren soll in zwei Schritten erfolgen. In einer ersten Phase soll ermittelt werden wie umfangreich die Prüfung der Eingriffe in Persönlichkeitsrechte ist. Soweit tatsächlich personenbezogene Daten verarbeitet werden, ist eine umfassende Prüfung der Rechte der Betroffenen erforderlich.
Im Rahmen der Risikoanalyse sollen folgende Punkte behandelt werden:
- Charakteriesierung der Datenverarbeitungen mit Datentypen, Datenflüsse, verwendete Technik, Speicherung und Transfer von Daten
- Risikoanalyse der Verletzung von Persönlichkeitsrechten bei Verlust von Vertraulichkeit im System
- Kontrollmechnismen, die die vorherigen Risiken minieren.
- Maßnahmen zur Sicherung der Persönlichkeitsrechte der Betroffenen.
Die von der Art. 29 Gruppe zusammengestellt Anforderung waren im Prinzip so auch schon über die Notwendigkeit einer Vorabkontrolle nach § 4d Abs. 5 BDSG im deutschen Recht verankert. In der Praxis wurde insbesondere die Risikoanalyse bisher nicht mit der erforderlichen Ernsthaftigkeit betrieben.
von Oliver Gönner
Der BGH bestätigt die Verantwortlichkeit des Hostproviders für das Persönlichkeitsrecht verletzende Blogeinträge.
Der Geschädigte wendete sich in der Unterlassungsklage gegen den amerikanischen Blog Betreiber. Die Anwendbarkeit deutschen Rechts und die Zuständigkeit deutscher Gerichte wurden gerügt, aber vom BGH anerkannt.
Der Hostprovider wird in Verantwortung genommen, wenn folgende Voraussetzungen erfüllt sind:
“Ein Tätigwerden des Hostproviders ist nur veranlasst, wenn der Hinweis so konkret gefasst ist, dass der Rechtsverstoß auf der Grundlage der Behauptungen des Betroffenen unschwer – das heißt ohne eingehende rechtliche und tatsächliche Überprüfung – bejaht werden kann.”
Im Ergebnis sind somit auch Anbieter von Plattformen verantwortlich für von Nutzern veröffentlichte rechtswidrige Inhalte.
Die Pressemeldung und das Urteil sind unter juris.bundesgerichtshof.de zu finden.
Eine genauere Analyse des Urteils mit weiteren Handlungsempfehlungen folgt in einer späteren Meldung.
von Oliver Gönner
Der wissenschaftliche Dienst des Bundestages wurde mit der Frage konfrontiert, ob Facebook gegen deutsches Datenschutzrecht verstößt. Dieser Auffassung ist unter anderem das ULD Schleswig Holstein.
Der wissenschaftliche Dienst – die Verletzung datenschutzrechtlicher Bestimmungen durch sogenannte Facebook Fanpages und Social-Plugins – zum Arbeitspapier des unabhängigen Landeszentrums für Datenschutz
Schleswig-Holstein des Bundestages kommt zu dem Ergebnis, dass die Bewertung des ULD einige Praktiken von Facebook würden eindeutig gegen geltendes Datenschutzrecht verstoßen, zumindest in dieser Eindeutigkeit nicht gegeben sei.
Auch in der Bewertung dieses Falles zeigt, dass es in der Frage des Online-Datenschutzes eine Reihe von Auffassungen von Aufsichtsbehörden gibt, die aber alle noch nicht gerichtlich festgestellt worden sind. So stellt das Gutachten auch die Bewertung der IP Adresse als personenbezogenes Datum infrage.
