Datenschutzrecht

Osborne Clarke ist eine der führenden Kanzleien in der Beratung von Unternehmen im Datenschutzrecht.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterliegen im deutschen Datenschutzrecht konsequenten Beschränkungen. Sie dürfen nur erfolgen, soweit entweder ein Gesetz es erlaubt oder die betroffene Person eine informierte Einwilligung erteilt hat – eine solche kann auch nicht ohne Weiteres im Kleingedruckten von Allgemeinen Geschäftsbedingungen versteckt werden, sondern muss gerade im Online-Bereich besonderen Formvorschriften genügen.

Personenbezogene Daten sind dabei mehr als nur Name und Adresse. Jede Information, die einer bestimmten oder zumindest bestimmbaren Person zugeordnet werden kann, wird vom Datenschutzrecht erfasst. Das sind zum Beispiel auch MAC-Adressen und eindeutige Gerätekennungen (UDID). Umstritten ist die Frage für dynamische IP-Adressen.

Erlaubnistatbestände im Datenschutzrecht

Gesetzliche Erlaubnistatbestände finden sich insbesondere im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG). Je nach Art der betrachteten Daten, die etwa bei einem Websitebesuch anfallen, können beide Gesetze für Onlineanbieter und Spielebetreiber relevant werden. Beispielsweise erlaubt das Datenschutzrecht die Erhebung, Verarbeitung und Nutzung von Daten in dem Umfang, wie sie benötigt werden, um den Vertrag mit dem Betreiber einer Plattform, einer Website oder eines Spiels zu ermöglichen. Auch in diesen Fällen gibt es aber Einschränkungen, wenn die Daten durch ein anderes Konzernunternehmen oder gar einen Dienstleister verarbeitet werden sollen, insbesondere wenn das im Ausland passiert. Auf jeden Fall braucht man dann eine schriftliche Auftragsdatenverarbeitungsvereinbarung (ADV).

Datenschutzerklärung

Über die erhobenen personenbezogenen Daten und was mit ihnen geschieht muss der Anbieter – im Datenschutzrecht als „verantwortliche Stelle“ bezeichnet – jeden Nutzer grundsätzlich vor Beginn des Datenverarbeitungsvorgangs in verständlicher, vollständiger Form informieren. Das geschieht durch eine Datenschutzerklärung, die ausführt wer welche Daten zu welchen Zwecken erhebt, aber auch an welche Dritten sie eventuell weiter gegeben werden, und welche technischen Verfahren mit Datenschutzrelevanz eingesetzt werden – zum Beispiel Cookies, Trackingtechnologien und Google Analytics. Wichtig ist, dass alle diese Anwendungen unabhängig von ihrer Nennung in der Datenschutzerklärung erlaubt sein müssen. Die bloße Nutzung der Seite oder des Spiels ist keine wirksame Einwilligung, egal wie die Datenschutzerklärung formuliert ist!

Unsere Meldungen und Analysen zum Datenschutzrecht sollen allen Akteuren des Online-Business, insbesondere Betreibern von Websites, Plattformen, Medien, Spielen und Onlinediensten als kleine Orientierungshilfe für die Welt des Datenschutzes und der Auftragsdatenverarbeitung, der Zweckbindung und des Gebots der Datensparsamkeit (Privacy by Design) dienen. Sie können aber die individuelle Prüfung durch einen Rechtsanwalt nicht ersetzen. Wir sind als Kanzlei auf die Beratung von Unternehmen im Datenschutzrecht spezialisiert – sprechen Sie uns gerne an!

Unsere Leistungen im Datenschutzrecht

Zu unseren Leistungen im Datenschutzrecht gehören insbesondere:

  • Strukturieren von Datenverarbeitungsprozessen und Produkten sowie Dienstleistungen
  • Datenschutzrechtliche Bewertung von Geschäftsmodellen
  • Erstellen von Datenschutzerklärungen
  • Erstellen von Auftragsdatenverarbeitungsvereinbarungen
  • Vertretung gegenüber den Datenschutzbehörden, Verbraucherzentralen und sonstigen Einrichtungen
  • Tätigkeit als externe Datenschutzbeauftragte
 

Abmahnung für fehlerhafte Datenschutzerklärung: Ja, nein, nicht mehr lang?

8. November 2018
Hoch umstritten ist in Deutschland zur Zeit die Frage, ob Online-Anbieter wegen einer fehlerhaften Datenschutzerklärung von Wettbewerbern oder Verbraucherschützern abgemahnt werden können. Grundsätzlich ist jeder Verstoß gegen eine so genannte Marktverhaltensregel zugleich ein abmahnfähiger Wettbewerbsverstoß (sog. Vorsprung durch Rechtsbruch, verankert in § 3a UWG). Ob aber die Vorschriften der DSGVO solche Marktverhaltensregeln darstellen (dürfen) ist unklar, da sie dem nationalen Recht vorgehen und somit, wenn sie abschließende Regelungen über Sanktionen treffen, möglicherweise auch die Abmahnung nach § 3a UWG ausschließen. Gerichte und Gesetzgeber sind sich da aber derzeit uneinig… Weiterlesen

Kurz gemeldet: Erstes “richtiges” DSGVO-Bußgeld in Portugal

23. Oktober 2018
Das erste “richtige” DSGVO-Bußgeld (nach dem eher vorsichtigen Aufschlag aus Österreich) kommt nun aus Portugal. Die dortige Aufsichtsbehörde hat ein Bußgeld von 400.000 EUR gegen ein Krankenhaus verhängt, in dessen Datenbanken jeder Nutzer (und nicht nur Ärzte) auf sensible Patientendaten zugreifen konnte. Außerdem habe es im System fast 1.000 Ärzte-Accounts gegeben, obwohl das Krankenhaus weniger als 300 Ärzte beschäftigt.

Zwar mögen hier auch allerlei Überlegungen einen Rolle gespielt haben, die spezifisch für den Gesundheitssektor sind. Eine Lektion gibt es aber dennoch für alle Digitalunternehmen: Privacy by Design ist keine bloße Beschwörungsformel mehr. Systeme müssen so konfiguriert sein, dass nur derjenige auf personenbezogene Daten zugreifen kann, der diese auch wirklich benötigt.

 

Best-Practice-Guide des Justizministeriums zu verbraucherfreundlichen Apps

9. November 2017
Das Bundesjustizministerium hat eine Orientierungshilfe für App-Entwickler zum Verbraucher-, Daten- und Jugendschutz veröffentlicht. Checklisten arbeiten die für Praktiker wichtigsten Themen übersichtlich auf und dienen als erste Orientierung, worauf – jedenfalls nach Meinung des Ministeriums – bei der Entwicklung und beim Vertrieb von Apps geachtet werden sollte. Weiterlesen

Datenschutz bei Google Play Store Apps: Jetzt handeln!

15. Februar 2017
Google geht derzeit gegen Apps vor, die gegen die Richtlinien zu Nutzerdaten  des Play Store verstoßen. Wie The Next Web berichtet, soll in den meisten Fällen die erforderliche Datenschutzerklärung (Privacy Policy) fehlen. Entwickler sind aufgefordert, die Verstöße bis zum 15. März 2017 zu beheben. Anderenfalls kündigt das Unternehmen an, die Sichtbarkeit der Apps im Store einzuschränken oder sie ganz aus dem Play Store zu entfernen.

Was konkret zu tun ist sowie was Entwickler und Anbieter bei Apps grundsätzlich beachten müssen, wollen wir im Folgenden erläutern. Auch unabhängig von diesem Anlass ist Datenschutz bei Apps ein Thema, welches häufig für viel Unsicherheit sorgt. Weiterlesen

Nach Safe Harbor: Erste Bußgelder wegen unzulässiger Datenübermittlung in die USA

8. Juni 2016
Mit dem Urteil des Europäischen Gerichtshofs gegen die Safe-Harbor-Entscheidung der Europäischen Kommission ist für viele Unternehmen, welche bis dahin personenbezogene Daten in die USA übermittelt hatten, eine wesentliche Grundlage für die rechtlich zulässige Ausgestaltung solcher Datentransfers entfallen. Nunmehr haben deutsche Behörden erste Konsequenzen gezogen und Bußgelder gegen Unternehmen verhängt, die ihren Datenumgang nicht auf eine andere rechtliche Grundlage gestellt hatten. Weiterlesen

LG Düsseldorf: Einbindung von Social Media Plugins ohne vorherige Aufklärung und Zustimmung des Nutzers unzulässig

10. März 2016
Am 9. März 2016 hat das Landgericht Düsseldorf ein wichtiges Urteil zum Thema Social Media Plugins verkündet.

Die Verbraucherzentrale NRW klagte gegen den Betreiber eines großen Webshops, der Kleidung verschiedener Hersteller anbietet. Die Verbraucherzentrale hatte den Betreiber im April 2015 abgemahnt und zur Abgabe einer strafbewährten Unterlassungserklärung aufgefordert. Da die Beklagte die geforderte Unterlassungserklärung nicht abgab, erhob die Verbraucherzentrale NRW Klage. Das Gericht gab ihr nun in weiten Teilen Recht.

Hintergrund der Abmahnung war die Integration der “gefällt mir”-Funktion von Facebook auf der Webseite der Beklagten. Die Nutzer des Webshops der Beklagten konnten von dieser Funktion durch einmaliges Klicken auf den Button “gefällt mir” Gebrauch machen. Dies halt das LG Düsseldorf für rechtswidrig. Weiterlesen

OLG Frankfurt a.M.: „opt-out“-Verfahren bei Einwilligung in „Cookies“ zulässig

16. Februar 2016
Obwohl bereits im September 2009 die sog. Cookie-Richtlinie (Richtlinie 2009/236/EG) erlassen wurde, ist bis heute die Umsetzung der Regelung in Deutschland weiterhin Gegenstand von zahlreichen Kritik und Diskussionen. Während nach Stellungnahmen der Bundesregierung und der EU-Kommission die bestehenden Vorschriften als ausreichend angesehen werden, werden diese nicht zuletzt von Vertretern des Datenschutzes in Frage gestellt. Frischen Wind in die Debatte (wir berichteten hier) bringt nun eine Entscheidung des OLG Frankfurt a.M. Weiterlesen

Gelten auch für Games: Neue Regeln für IT-Sicherheit bei Online-Services

13. August 2015 1 Kommentar
Am 1. August ist das IT-Sicherheitsgesetz in Kraft getreten. Damit werden vor allem Betreiber von sog. “kritischen Infrastrukturen” – zum Beispiel Energieversorgung, Banken, Telekommunikationsanbieter – zu sehr umfangreichen Sicherheitsmaßnahmen verpflichtet. Heimlich, still und leise haben sich aber auch neue Regeln für die IT-Sicherheit bei “normalen” Online-Services wie Online-Games, Apps oder Webshops mit eingeschlichen.

Ab sofort müssen alle “geschäftsmäßigen” Onlinedienste neue Regelungen beachten – andernfalls drohen Bußgelder und möglicherweise auch Abmahnungen.

Weiterlesen

Online.Spiele.Jahresrückblick 2014

23. Dezember 2014
Hinter uns liegt ein ereignisreiches Spiele-Jahr: Der BGH hat uns mit seiner Runes of Magic Entscheidung Rätsel aufgegeben, bei Mobile Apps stand der Datenschutz verstärkt im Fokus, und neben den Verbraucherschützern haben nun auch Jugendschützer europaweit das Thema Free to Play entdeckt und der Branche Kopfzerbrechen bereitet.

A propos Jugendschutz: Das VG Köln hat kurzerhand den Tätigkeitsbereich der Bundesprüfstelle für jugendgefährdende Medien erweitert, und bei der Plakatwerbung rund um die gamescom gab es wieder innovative Nicht-Alterskennzeichen zu bestaunen.

Weiterlesen

Das polizeiliche Auskunftsersuchen – wenn die Polizei Hilfe braucht

5. November 2014 4 Kommentare
Viele Spiele-Betreiber kennen das Problem: Die meisten Spiele haben mittlerweile eine Nutzergemeinde, die sich in Foren oder auch ingame miteinander austauschen kann. Und wenn Menschen mehr oder weniger anonym miteinander kommunizieren, kommt es auch hin und wieder zu Straftraten. Meistens handelt es sich dabei um Beleidigungen, Verleumdungen oder gar Bedrohungen. Bei Spielen mit einem virtuellen Währungs- bzw. Wirtschaftssystem gehören auch Vermögensdelikte zum Alltag: selbst wenn es gegen die Nutzungsbedingungen vieler Anbieter verstößt, bieten Nutzer virtuelle Güter oder Währungen gegen Echt-Geld an und werden dabei nicht selten Opfer von Betrugsfällen.

Da Täter und Opfer oft bei dem Spiele-Betreiber registriert sind, geht kurz darauf bei dem Spiele-Betreiber ein Fax mit der Überschrift „Polizeiliches Auskunftsersuchen“ ein. Dort bittet die Polizei – manchmal freundlich, oft auch fordernd – um die Auskunft zu personenbezogenen Daten eines registrierten Nutzers. Als Rechtsgrundlage werden in der Regel die Normen §§ 160 ff StPO, §§ 14, 15 TMG oder gar § 113 TKG genannt. Bei dem Spiele-Betreiber stellen sich dann stets die Fragen: sind wir zur Auskunft verpflichtet? Was sind die Konsequenzen, wenn das polizeiliche Auskunftsersuchen ignoriert wird? Weiterlesen