Viele Rechtsanwaltskollegen stellen seit einiger Zeit “Warnmeldungen” auf ihre Websites, wenn sie von urheber- oder wettbewerbsrechtlichen Abmahnungen bestimmter Personen erfahren. Das mag dazu dienen, Betroffene per Nennung in den Google-Suchergebnissen auf die eigene Seite zu lenken und damit Akquise zu betreiben, was ja nicht verwerflich ist. Trotzdem klingen diese Postings in meinen Ohren manchmal etwas arg nach Online-Pranger: Sehr her, die bösen Abmahn-Abzocker sind wieder unterwegs. Jetzt ist mir eine solche Meldung wegen einer Abmahnung von Jugendschutzverstößen aufgefallen, die mir den willkommenen Anlass gibt, anstatt mich über das üble Wetter in Toronto zu ärgern einmal über eine der schrägsten Fiktionen des Jugendschutzrechts zu bloggen.

Gegenstand der Abmahnung ist der Verkauf von Computerspielen

ohne dass eine Altersüberprüfung erfolgt und ohne dass sichergestellt worden [ist], dass kein Versand an Kinder oder Jugendliche erfolgt.

Warum ist das verboten und was hat der abmahnende Händler dagegen? Will er nur einen unliebsamen Konkurrenten in Schwierigkeiten bringen?

Computerspiele mit einer USK-Altersfreigabe “ab 18″ (eigentlich “keine Jugendfreigabe”, siehe § 14 Abs. 2 JuSchG) dürfen an Minderjährige nicht abgegeben werden, weder im Laden noch im e-Commerce. Ähnlich wie bei indizierten Medien, für die aber noch weitere Einschränkungen gelten, ist der Vertrieb im Versandhandel grundsätzlich sogar ganz verboten (§ 12 Abs. 3 JuSchG; Hervorhebung von mir):

Bildträger, die nicht oder mit “Keine Jugendfreigabe” nach § 14 Abs. 2 von der obersten Landesbehörde oder einer Organisation der freiwilligen Selbstkontrolle im Rahmen des Verfahrens nach § 14 Abs. 6 oder nach § 14 Abs. 7 vom Anbieter gekennzeichnet sind, dürfen

1. einem Kind oder einer jugendlichen Person nicht angeboten, überlassen oder sonst zugänglich gemacht werden,

2. nicht im Einzelhandel außerhalb von Geschäftsräumen, in Kiosken oder anderen Verkaufsstellen, die Kunden nicht zu betreten pflegen, oder im Versandhandel angeboten oder überlassen werden.

Nach dieser Vorschrift dürften USK-18-Spiele also eigentlich überhaupt nicht bei eBay verkauft werden. Wäre da nicht die bemerkenswerte Begriffsdefinition des § 1 Abs. 4 JuSchG:

Versandhandel im Sinne dieses Gesetzes ist jedes entgeltliche Geschäft, das im Wege der Bestellung und Übersendung einer Ware durch Postversand oder elektronischen Versand ohne persönlichen Kontakt zwischen Lieferant und Besteller oder ohne dass durch technische oder sonstige Vorkehrungen sichergestellt ist, dass kein Versand an Kinder und Jugendliche erfolgt, vollzogen wird.

Oder anders gesagt: Versandhandel ist doch kein Versandhandel, wenn kein Versand an Minderjährige erfolgt.

Hier liegt dann auch der Hase im Pfeffer: Jede “technische oder sonstige Vorkehrung”, die den Versand an Minderjährige verhindert, erfordert organisatorischen Aufwand, kostet zusätzliches Geld und schreckt potentielle Kunden ab, weil sie per Definiton komplizierter sein muss als “normaler” Versandhandel. Große Onlineversender wie Amazon setzen etwa ein System ein, bei dem der Zusteller die Lieferung erst nach Ausweiskontrolle aushändigt – dazu muss der Besteller aber persönlich zuhause sein wenn der Postmann zweimal klingelt, ansonsten geht die Lieferung retour. An andere Haushaltsmitglieder darf das Päckchen nicht ausgehändigt werden, auch wenn diese ebenfalls volljährig sind. Lieferungen an Packstationen oder in Postfächer sind nicht möglich, und zusätzliche Versandkosten fallen auch noch an.

Verzichtet ein Händler unter Verstoß gegen das JuSchG auf solche Maßnahmen, kann er natürlich billiger verkaufen und unkomplizierteren Service bieten. Das ist, wie das OLG Düsseldorf in seiner später vom BGH bestätigten Entscheidung zu dem Altersverifikationssystem “ueber18.de” (Az. I-20 U 143/04) anschaulich begründet hat, wettbewerbswidrig:

Im Hinblick darauf, dass deutsche Anbieter von Internetpornografie, die zum Zwecke der Vermeidung einer strafrechtlichen Verfolgung Altersverifikationssysteme einsetzen, dazu neigen werden, dasjenige mit den geringsten Hürden auch für erwachsene Benutzer zu wählen, ist eine spürbare Beeinträchtigung für solche Mitbewerber, die wie die Beklagte das sogenannte “Postident”-Verfahren einsetzen, zu befürchten, wenn gleichzeitig Systeme mit erheblich geringeren Zugangshürden angeboten werden. Das auf einer persönlichen Kontrolle des Alters durch Postbedienstete beruhende Verfahren wirkt, wie die Beklagte selbst hervorhebt, auf viele erwachsene Benutzer erheblich abschreckender als die bloße Eingabe der Personalausweisnummer und weiterer Daten vom eigenen Computer aus

Was konkret den Versandhandel mit jugendgefährdenden Medien betrifft, hat der BGH schon 2007 in seiner Entscheidung “Jugendgefährdende Medien bei eBay” (Az. I ZR 18/04)  ebenfalls ausdrücklich die Wettbewerbswidrigkeit bejaht.

Von “Abzocke” also keine Spur. Wer online Handel mit USK-18-Ware treiben will, muss sich an die Vorgaben des JuSchG halten, auch wenn es ihm (zu) umständlich und teuer erscheinen mag. Rechtstreue Händler haben ein legitimes Interesse, mit Abmahnungen gegen schwarze Schafe vorzugehen.

No Comments

Bei unseren Specials haben wir jetzt einen englischsprachigen Beitrag zu den Auswirkungen der Buttonlösung für Online-Anbieter.

No Comments

Die Verbraucherzentrale Bundesverband (VZVB) hat in Deutschland jüngst sowohl Facebook als auch die United Internet Unternehmen GMX und Web.de abgemahnt. Während der VZVB bei Facebook die Weitergabe persönlicher Daten der Nutzer an App-Anbieter, ohne dass die Nutzer ihre Einwilligung dazu gegeben hätten, und somit Datenschutzverstöße bemängelte, standen bei GMX und Web.de die nicht gesetzeskonforme Umsetzung von Informationspflichten im Zusammenhang mit der am 1. August 2012 in Kraft getretenen Gesetzesänderung zur Button-Lösung (wir berichteten hier) im Fokus.

Bei Verträgen im elektronischen Geschäftsverkehr, die keine Finanzdienstleistungen im Sinne des Fernabsatzrechts sind, müssen Onlinehändler den Verbraucher seit dem 1. August 2012 in klarer und verständlicher und vor allen Dingen hervorgehobener Weise die folgenden Informationen zur Verfügung stellen:

• die wesentlichen Merkmale der Ware oder Dienstleistung,
• die Mindestlaufzeit des Vertrags, wenn dieser eine dauernde oder regelmäßig wiederkehrende Leistung zum Inhalt hat,
• den Gesamtpreis der Ware oder Dienstleistung einschließlich aller damit verbundenen Preisbestandteile sowie alle über den Unternehmer abgeführten Steuern oder, wenn kein genauer Preis angegeben werden kann, seine Berechnungsgrundlage, die dem Verbraucher eine Überprüfung des Preises ermöglicht sowie
• gegebenenfalls zusätzlich anfallende Liefer- und Versandkosten sowie einen Hinweis auf mögliche weitere steuern oder Kosten, die nicht über den Unternehmer abgeführt oder von ihm in Rechnung gestellt werden.

Weiter gibt das Gesetz nunmehr klar vor, in welcher Art und Weise der Onlinehändler den Bestell- bzw. Kaufbutton bezeichnen und ausgestalten muss. Das Gesetz fordert eine Beschriftung in gut lesbarer Art und Weise mit den Wörtern „Zahlungspflichtig bestellen“ oder mit einer entsprechenden eindeutigen Formulierung.

Zwar sollen GMX und Web.de laut Angaben der VZBV den geforderten Button in ihr Angebot kostenpflichtiger Leistungen integriert haben, jedoch fänden sich wichtige Informationen zu Vertragsbedingungen aber nicht wie vom Gesetzgeber gefordert in unmittelbarer Nähe des Buttons.

Das schnelle Vorgehen der VZBV gegen Verstöße wegen nicht rechtskonformer Umsetzung der Gesetzesänderung zeigt, dass Onlinehändler und Plattformanbieter möglichst schnell reagieren und – sofern noch nicht geschehen - Ihre Webseiten zeitnah an die Vorgaben des Gesetzesgebers anpassen sollten.

No Comments

Erst kürzlich berichteten wir über die immer noch kontrovers diskutierte Frage, ob Cookies nur noch nach vorheriger Einwilligung der Nutzer eingesetzt werden dürfen. Den Stein des Anstoßes lieferte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, mit seiner jüngst geäußerten Auffassung, wonach die in der bislang hierzulande nicht umgesetzten Richtlinie 2009/136/EC (ePrivacy Directive) festgelegten europäischen Cookie-Regeln nunmehr unmittelbar anwendbar sein sollen. Der Wortlaut der Richtlinie spricht sich weitestgehend gegen einen Einsatz von Cookies ohne ausdrückliche Einwilligung der Nutzer aus.

In der Zwischenzeit hat die Art. 29 Datenschutzgruppe in ihrer erst am 7. Juni 2012 veröffentlichten Stellungnahme einen Leitfaden zur rechtskonformen Nutzung von Cookies nach der ePrivacy Directive erstellt. Während die Gruppe in der Vergangenheit bereits in zwei ihrer Stellungnahmen (WP 171 vom 22. Juni 2010 sowie WP 188 vom 8. Dezember 2011) detailliert die Voraussetzung einer erforderlichen Zustimmung bei der Nutzung von Cookies beleuchtet hat, nimmt sie nunmehr zu den Ausnahmen dieses Zustimmungserfordernisses ausführlich Stellung und gibt somit weitere Hilfestellungen im Umgang mit Cookies.

Im Einzelfall können Cookies demnach nicht nur für die Steuerung von Multimedia-Playern, Voreinstellungen (wie Spracheinstellungen o.ä.), Eingabedaten von Usern sowie zu Authentifizierungs- und Sicherheitszwecken eingesetzt, sondern auch zur Webanalyse ohne eine erforderliche Zustimmung der Nutzer verwendet werden.

Jedoch sollten zum Zwecke der Webanalyse nur solche Cookies eingesetzt werden, die keine Daten an Drittparteien übermitteln und lediglich rein statistischen Zwecken dienen. Die Nutzer sollen auch darüber aufgeklärt werden, wie die Daten genutzt werden (beispielsweise in einer Datenschutzerklärung). Auch soll der Einbau einer “Opt-out”-Möglichkeit einen datenschutzkonformen Einsatz ermöglichen. Als besonders wichtig wurde die Verwendung von umfangreichen Anonymisierungsmaßnahmen personenbezogener Daten – wie beispielsweise IP-Adressen – angesehen. Es könnte aber auch den datenschutzrechtlichen Vorgaben genügen, wenn die Anbieter nach Möglichkeit auf die Speicherung von personenbezogenen Informationen verzichten würden.

Für die Betreiber sozialer Netzwerke gibt es dagegen auch im Falle der direkten Geltung der ePrivacy Directive zunächst Entwarnung. Wenn sie nämlich die Ein- und Auslogprozesse ihrer Migtlieder überwachen wollen und die Nutzer vorher hierüber informieren, dürfen sie Cookies auch ohne vorherige Einwilligung der Nutzer setzten. Dies gilt jedoch nicht ohne Weiteres für “Social Plug-ins” Cookies, durch die das Surfverhalten von Nutzern in sozialen Netzwerken nachverfolgt werden kann und mit deren Hilfe eine Erfassung von Daten der Mitglieder und Nicht-Mitglieder möglich ist. Die Nutzung solcher Cookies bedarf einer ausdrücklichen vorherigen Einwilligung durch den Nutzer. Problematisch ist nach dem Leitfaden zudem die Nutzung von Cookies, mittels derer die Bewegungen von Nutzern über mehrere verschiedene Homepages im Web verfolgt oder personenbezogene Daten Dritter erfasst werden können.

Wir danken unserem wissenschaftlichen Mitarbeiter István Fancsik für die Mitarbeit an diesem Artikel.

No Comments

Am 8. und 9. Mai fand der 13. Datenschutzkongress in Berlin statt. Als Redner waren prominente Datenschützer, wie beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, und der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar, sowie der Bundesinnenminister Dr. Hans-Peter Friedrich anwesend.

Neben Diskussionen um den Entwurf einer Datenschutzverordnung sowie Fragen rund um die ePrivacy Richtlinie und die Cookie-Vorgaben war insbesondere der Beitrag des Hamburgischen Datenschutzbeauftragten, Herrn Caspar, interessant:

Er erwähnte nämlich die 2-Klick-Lösung des Heise Verlages als datenschutzkonforme Möglichkeit, Social Plug-Ins (wie den Facebook Like Button) zu verwenden. Social Plug-Ins waren vom Düsseldorfer Kreis als datenschutzwidrig eingestuft worden und auch die Variante mit der 2-Klick-Lösung zum Teil als kritisch angesehen.

Unklar bleibt, ob Prof. Caspars Meinung sich auch mit denen der Datenschutzbeauftragten der übrigen Bundesländer deckt. Dennoch bringt diese mündliche Äußerung zumindest ein kleines Stück Rechtssicherheit.

3 Comments

Wie im Herbst 2011 berichtet, konnte eine Einigung zwischen den Datenschützern und Google im Hinblick auf die Tracking Software Google Analytics erzielt werden und ein datenschutzkonformer Einsatz ist seitdem unter bestimmten Voraussetzungen zulässig.

Der richtige Einsatz von Google Analytics wird durch die Datenschutzbehörden auch überprüft: Bereits im Januar überprüfte die Datenschutzbehörde in Rheinland-Pfalz stichprobenartig Webseiten auf den richtigen Einsatz von Google Analytics hin, nun zieht auch Bayern nach: Das Bayerische Landesamt für Datenschutzaufsicht hat 13.404 Sites bayerischer Betreiber auf die einwandfreie Verwendung von Google Analytics überprüft. Das Ergebnis war, dass von den Betreibern, die Google Analytics einsetzten, lediglich 3% das Tracking Programm rechtskonform verwendeten. Die übrigen wurden schriftlich aufgefordert, den Missstand zu beheben. Bußgelder sollen allerdings erst einmal nicht verhängt werden.

Das Vorgehen der Datenschützer zeigt, dass es durchaus praktische Relevanz hat, sich an die datenschutzrechtlichen Vorgaben zu halten, um Kontakt mit den Aufsichtsbehörden zu vermeiden. Wir empfehlen daher noch einmal zu überprüfen, ob die nachfolgenden Anforderungen auch tatsächlich umgesetzt worden sind.

Checkliste zum datenschutzkonformen Einsatz von Google Analytics:

• Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abschließen.
• Anonymisierung der IP-Adressen durch das  _anonymizeIp()-Tool von Google
• Widerspruchsrecht der Betroffenen durch ein Deaktivierungs-Add-On
• Datenschutzhinweis in der Datenschutzerklärung mit umfassender Information über die Funktionsweise von Google Analytics und die Rechte des betroffenen Nutzers
• Löschung von Altdaten (bestehende Google Analytics Profile).

No Comments

Nachdem soziale Netzwerke wie Google+ und Facebook Tools zur automatisierten Erkennung von Gesichtern integriert haben, kam es in den vergangenen Monaten zu massiver Kritik durch Verbraucher- und Datenschützer. Diese Tools ermöglichen die automatische Erkennung von angemeldeten Usern auf hochgeladenen Fotos und sollen dadurch unter anderem das Verlinken erleichtern. Datenschützer befürchten darüber hinaus einen flächendeckenden Einsatz dieser Technik. Denn es existieren bereits diverse Apps und Entwicklungen, die beispielsweise ein mit einem Handy geschossenes Foto einer Person mit persönlichen Informationen zu dieser Person (nach erfolgreicher Gesichtserkennung) aus dem Internet, insbesondere aus sozialen Netzwerken verknüpfen können.

Der Einsatz solcher Techniken würde dazu führen, dass jeder Smartphone-Nutzer in der Lage wäre, Fremde auf der Straße, in Bars, Diskotheken, im Kino etc. zu identifizieren – vorausgesetzt vom Fotografierten existieren Fotos und persönliche Informationen im Internet. Neben der Gefahr des Anlegens von Profilen und der Beschränkung der Privatssphäre würde der flächendeckende Einsatz dieser Techniken auch die Anonymität des Einzelnen erheblich einschränken.

Aus diesem Grunde hat die Art. 29-Datenschutzgruppe nun ein Arbeitspapier vorgelegt, in dem sie Regeln zum datenschutzkonformen Einsatz von Gesichtserkennungssoftware aufstellt. Ein wesentlicher Punkt in dem Arbeitspapier ist die Forderung, dass Betroffene zuvor der Verwendung ihrer personenbezogenen Daten für Gesichtserkennung zustimmen müssen. Anbieter von sozialen Netzwerken seien zudem gehalten, bei hochgeladenen Bilder in jedem Fall vorab eine informierte Einwilligung in entsprechende Nutzungen einzuholen, egal ob ein User eigene Fotos in ein Profil einbinde oder ob Dritte Aufnahmen von Personen in ihre Profile integrierten.

Beim Hochladen, Speichern und der Verarbeitung der verwendeten Fotos müsse der Anbieter zudem für Sicherheit sorgen, weswegen die Art. 29-Datenschutzgruppe den Einsatz von Verschlüsselungs- und Verifizierungstechniken empfiehlt. Weiter müssten Anbieter es ihren Usern ermöglichen, die über sie gespeicherten Fotos und Daten einsehen und kontrollieren zu können.
 

No Comments

Nachdem die vergangenen Monate schon vielfach über den zunächst geleakten und Ende November dann doch öffentlich gemachten ersten Entwurf einer Datenschutzverordnung für Europa diskutiert wurde, stellte die EU-Kommissarin Vivianne Reding am Mittwoch offiziell den überarbeiteten Entwurf für eine neue europäische Datenschutz-Verordnung vor.

Mit der Verordnung soll zum einen das Datenschutzrecht innerhalb der Europäischen Union reformiert und zum anderen europaweit vereinheitlicht werden. Der Entwurf muss nun zunächst einmal das europäische Gesetzgebungsverfahren durchlaufen. Änderungen sind daher noch durchaus möglich. Sollte die Verordnung allerdings verabschiedet werden, so wird sie ab Inkraftreten in allen EU-Mitgliedsstaaten gleichermaßen unmittelbare Rechtswirkung entfalten. EIne mühsame Umsetzung in nationales Recht ist bei einer Verordnung nicht notwendig.

Im Wesentlichen ergeben sich durch im Vergleich zum deutschen aktuellen Datenschutzrecht für in Deutschland tätige Unternehmen folgende Veränderungen:

1. Ein wichtiger Grundsatz soll „Privacy by Design“ werden. Das bedeutet, dass die Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt berücksichtigt werden sollen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht. Datenschutzprobleme sollen daher schon bei der Entwicklung neuer Technologien festgestellt, geprüft und von vorneherein in die Gesamtkonzeption der Technologie einbezogen werden.
2. Interessanterweise wird nicht erwähnt, ob oder dass die Übermittlung perso-nenbezogener Daten, beispielsweise in USA, im Rahmen des bislang etablierten Safe Harbor Programmes möglich ist. Es ist daher davon auszugehen, dass diese Option wegfallen könnte.
3. Die Verwendung von Kunden- und Interessendaten wird deutlich erschwert. Auch Verhaltensdaten können nur unter besonderen Voraussetzungen verwendet werden.
4. Datenschutzverstöße müssen bislang nur in bestimmten Fällen gemeldet werden. Diese Pflicht soll erheblich ausgedehnt werden.
5. Die möglichen Sanktionen für Datenschutzvertsöße werden verschärft; Bußgelder können bis zu 2 % des weltweiten Umsatzes des Unternehmens betragen. Bislang liegen die Bußgelder bei maximal EUR 300.000.

Im Verhältnis zu anderen EU-Ländern dürfte die Umstellung – sofern die Verordnung verabschiedet werden sollte – für deutsche Unternehmen oder solche, die sich bereits jetzt an deutsches Datenschutzrecht halten, am wenigsten einschneidend sein. Denn die EU-Kommission erwähnte ausdrücklich Deutschland als Vorbild für die neue Verordnung. Der Entwurf greift tatsächlich einige Prinzipien des deutschen Datenschutzrechts auf. Dies hat zur Folge, dass Unternehmen, die bislang im Einklang mit den deutschen Datenschutzgesetzen operieren, auf das neue Datenschutzrecht gut vorbereitet sein sollten. Umgekehrt behalten alle Anstrengungen von Unternehmen, die bis zum Inkrafttreten der Verordnung unternommen werden, um den geltenden Gesetzen gerecht zu werden, ihre Wirkung auch unter der neuen Verordnung.

1 Comment

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen,  da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

“Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.”

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

No Comments

In der Endlosdebatte um die Zulässigkeit von Social PlugIns (wir berichteten hier und hier) eskaliert der Streit. Wie die Lübecker Nachrichten heute berichten hat der Schleswig-Holsteinische Datenschutzbeauftragte nun die ersten Abmahnungen verschickt. Und wen hat es zuerst getroffen? Die Staatskanzlei des Ministerpräsidenten Peter Harry Carstensen und das Wirtschaftsministerium. Das ULD beweist hierbei einen gewissen Sinn für Humor. So wird Sven Polenz vom Unabhängigen Landeszentrum für Datenschutz  in Kiel in dem Artikel wie folgt zitiert:

„Die öffentlichen Stellen bekommen jetzt die Gelegenheit, Stellung zu nehmen und gesetzeskonforme technische Lösungen vorzuschlagen, die uns vielleicht unbekannt sind“

Als hätten nicht schon einige andere über solche Lösungen nachgedacht…

Gemeinsam mit den staatlichen Stellen hat es zehn Unternehmen in Schleswig-Holstein erwischt. Anders als den staatlichen Stellen droht den Unternehmen jedoch ein Bußgeld.

4 Comments