Datenschutzrecht

Osborne Clarke ist eine der führenden Kanzleien in der Beratung von Unternehmen im Datenschutzrecht.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterliegen im deutschen Datenschutzrecht konsequenten Beschränkungen. Sie dürfen nur erfolgen, soweit entweder ein Gesetz es erlaubt oder die betroffene Person eine informierte Einwilligung erteilt hat – eine solche kann auch nicht ohne Weiteres im Kleingedruckten von Allgemeinen Geschäftsbedingungen versteckt werden, sondern muss gerade im Online-Bereich besonderen Formvorschriften genügen.

Personenbezogene Daten sind dabei mehr als nur Name und Adresse. Jede Information, die einer bestimmten oder zumindest bestimmbaren Person zugeordnet werden kann, wird vom Datenschutzrecht erfasst. Das sind zum Beispiel auch MAC-Adressen und eindeutige Gerätekennungen (UDID). Umstritten ist die Frage für dynamische IP-Adressen.

Erlaubnistatbestände im Datenschutzrecht

Gesetzliche Erlaubnistatbestände finden sich insbesondere im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG). Je nach Art der betrachteten Daten, die etwa bei einem Websitebesuch anfallen, können beide Gesetze für Onlineanbieter und Spielebetreiber relevant werden. Beispielsweise erlaubt das Datenschutzrecht die Erhebung, Verarbeitung und Nutzung von Daten in dem Umfang, wie sie benötigt werden, um den Vertrag mit dem Betreiber einer Plattform, einer Website oder eines Spiels zu ermöglichen. Auch in diesen Fällen gibt es aber Einschränkungen, wenn die Daten durch ein anderes Konzernunternehmen oder gar einen Dienstleister verarbeitet werden sollen, insbesondere wenn das im Ausland passiert. Auf jeden Fall braucht man dann eine schriftliche Auftragsdatenverarbeitungsvereinbarung (ADV).

Datenschutzerklärung

Über die erhobenen personenbezogenen Daten und was mit ihnen geschieht muss der Anbieter – im Datenschutzrecht als „verantwortliche Stelle“ bezeichnet – jeden Nutzer grundsätzlich vor Beginn des Datenverarbeitungsvorgangs in verständlicher, vollständiger Form informieren. Das geschieht durch eine Datenschutzerklärung, die ausführt wer welche Daten zu welchen Zwecken erhebt, aber auch an welche Dritten sie eventuell weiter gegeben werden, und welche technischen Verfahren mit Datenschutzrelevanz eingesetzt werden – zum Beispiel Cookies, Trackingtechnologien und Google Analytics. Wichtig ist, dass alle diese Anwendungen unabhängig von ihrer Nennung in der Datenschutzerklärung erlaubt sein müssen. Die bloße Nutzung der Seite oder des Spiels ist keine wirksame Einwilligung, egal wie die Datenschutzerklärung formuliert ist!

Unsere Meldungen und Analysen zum Datenschutzrecht sollen allen Akteuren des Online-Business, insbesondere Betreibern von Websites, Plattformen, Medien, Spielen und Onlinediensten als kleine Orientierungshilfe für die Welt des Datenschutzes und der Auftragsdatenverarbeitung, der Zweckbindung und des Gebots der Datensparsamkeit (Privacy by Design) dienen. Sie können aber die individuelle Prüfung durch einen Rechtsanwalt nicht ersetzen. Wir sind als Kanzlei auf die Beratung von Unternehmen im Datenschutzrecht spezialisiert – sprechen Sie uns gerne an!

Unsere Leistungen im Datenschutzrecht

Zu unseren Leistungen im Datenschutzrecht gehören insbesondere:

  • Strukturieren von Datenverarbeitungsprozessen und Produkten sowie Dienstleistungen
  • Datenschutzrechtliche Bewertung von Geschäftsmodellen
  • Erstellen von Datenschutzerklärungen
  • Erstellen von Auftragsdatenverarbeitungsvereinbarungen
  • Vertretung gegenüber den Datenschutzbehörden, Verbraucherzentralen und sonstigen Einrichtungen
  • Tätigkeit als externe Datenschutzbeauftragte
 

Nach Safe Harbor: Erste Bußgelder wegen unzulässiger Datenübermittlung in die USA

8. Juni 2016
Mit dem Urteil des Europäischen Gerichtshofs gegen die Safe-Harbor-Entscheidung der Europäischen Kommission ist für viele Unternehmen, welche bis dahin personenbezogene Daten in die USA übermittelt hatten, eine wesentliche Grundlage für die rechtlich zulässige Ausgestaltung solcher Datentransfers entfallen. Nunmehr haben deutsche Behörden erste Konsequenzen gezogen und Bußgelder gegen Unternehmen verhängt, die ihren Datenumgang nicht auf eine andere rechtliche Grundlage gestellt hatten. Weiterlesen

LG Düsseldorf: Einbindung von Social Media Plugins ohne vorherige Aufklärung und Zustimmung des Nutzers unzulässig

10. März 2016
Am 9. März 2016 hat das Landgericht Düsseldorf ein wichtiges Urteil zum Thema Social Media Plugins verkündet.

Die Verbraucherzentrale NRW klagte gegen den Betreiber eines großen Webshops, der Kleidung verschiedener Hersteller anbietet. Die Verbraucherzentrale hatte den Betreiber im April 2015 abgemahnt und zur Abgabe einer strafbewährten Unterlassungserklärung aufgefordert. Da die Beklagte die geforderte Unterlassungserklärung nicht abgab, erhob die Verbraucherzentrale NRW Klage. Das Gericht gab ihr nun in weiten Teilen Recht.

Hintergrund der Abmahnung war die Integration der “gefällt mir”-Funktion von Facebook auf der Webseite der Beklagten. Die Nutzer des Webshops der Beklagten konnten von dieser Funktion durch einmaliges Klicken auf den Button “gefällt mir” Gebrauch machen. Dies halt das LG Düsseldorf für rechtswidrig. Weiterlesen

OLG Frankfurt a.M.: „opt-out“-Verfahren bei Einwilligung in „Cookies“ zulässig

16. Februar 2016
Obwohl bereits im September 2009 die sog. Cookie-Richtlinie (Richtlinie 2009/236/EG) erlassen wurde, ist bis heute die Umsetzung der Regelung in Deutschland weiterhin Gegenstand von zahlreichen Kritik und Diskussionen. Während nach Stellungnahmen der Bundesregierung und der EU-Kommission die bestehenden Vorschriften als ausreichend angesehen werden, werden diese nicht zuletzt von Vertretern des Datenschutzes in Frage gestellt. Frischen Wind in die Debatte (wir berichteten hier) bringt nun eine Entscheidung des OLG Frankfurt a.M. Weiterlesen

Gelten auch für Games: Neue Regeln für IT-Sicherheit bei Online-Services

13. August 2015 1 Kommentar
Am 1. August ist das IT-Sicherheitsgesetz in Kraft getreten. Damit werden vor allem Betreiber von sog. “kritischen Infrastrukturen” – zum Beispiel Energieversorgung, Banken, Telekommunikationsanbieter – zu sehr umfangreichen Sicherheitsmaßnahmen verpflichtet. Heimlich, still und leise haben sich aber auch neue Regeln für die IT-Sicherheit bei “normalen” Online-Services wie Online-Games, Apps oder Webshops mit eingeschlichen.

Ab sofort müssen alle “geschäftsmäßigen” Onlinedienste neue Regelungen beachten – andernfalls drohen Bußgelder und möglicherweise auch Abmahnungen.

Weiterlesen

Online.Spiele.Jahresrückblick 2014

23. Dezember 2014
Hinter uns liegt ein ereignisreiches Spiele-Jahr: Der BGH hat uns mit seiner Runes of Magic Entscheidung Rätsel aufgegeben, bei Mobile Apps stand der Datenschutz verstärkt im Fokus, und neben den Verbraucherschützern haben nun auch Jugendschützer europaweit das Thema Free to Play entdeckt und der Branche Kopfzerbrechen bereitet.

A propos Jugendschutz: Das VG Köln hat kurzerhand den Tätigkeitsbereich der Bundesprüfstelle für jugendgefährdende Medien erweitert, und bei der Plakatwerbung rund um die gamescom gab es wieder innovative Nicht-Alterskennzeichen zu bestaunen.

Weiterlesen

Das polizeiliche Auskunftsersuchen – wenn die Polizei Hilfe braucht

5. November 2014 4 Kommentare
Viele Spiele-Betreiber kennen das Problem: Die meisten Spiele haben mittlerweile eine Nutzergemeinde, die sich in Foren oder auch ingame miteinander austauschen kann. Und wenn Menschen mehr oder weniger anonym miteinander kommunizieren, kommt es auch hin und wieder zu Straftraten. Meistens handelt es sich dabei um Beleidigungen, Verleumdungen oder gar Bedrohungen. Bei Spielen mit einem virtuellen Währungs- bzw. Wirtschaftssystem gehören auch Vermögensdelikte zum Alltag: selbst wenn es gegen die Nutzungsbedingungen vieler Anbieter verstößt, bieten Nutzer virtuelle Güter oder Währungen gegen Echt-Geld an und werden dabei nicht selten Opfer von Betrugsfällen.

Da Täter und Opfer oft bei dem Spiele-Betreiber registriert sind, geht kurz darauf bei dem Spiele-Betreiber ein Fax mit der Überschrift „Polizeiliches Auskunftsersuchen“ ein. Dort bittet die Polizei – manchmal freundlich, oft auch fordernd – um die Auskunft zu personenbezogenen Daten eines registrierten Nutzers. Als Rechtsgrundlage werden in der Regel die Normen §§ 160 ff StPO, §§ 14, 15 TMG oder gar § 113 TKG genannt. Bei dem Spiele-Betreiber stellen sich dann stets die Fragen: sind wir zur Auskunft verpflichtet? Was sind die Konsequenzen, wenn das polizeiliche Auskunftsersuchen ignoriert wird? Weiterlesen

Nach Urteil: Rechtssicherheit für Facebook-Fanpage Betreiber

5. September 2014
Gestern entschied das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) in einem Urteil (Az.: 4 LB 20/13), dass Betreiber von Facebook Fanpages keine Verantwortung für die über die Fanpages ausgelöste Verarbeitung von personenbezogenen Daten bei Facebook tragen. Die Betreiber der Seiten sind weder verantwortliche Stelle im Sinne des Datenschutzrechts noch als Störer verantwortlich zu machen. Das Gericht bestätigt damit ein Urteil der Vorinstanz  (Schleswig-Holsteinisches VG,Urteil vom 9. Oktober 2013, Az. 8 A 218/11) und gibt somit Seitenbetreibern Rechtssicherheit. Weiterlesen

Datenschutz in den USA: Ist COPPA ein Kinderspiel?

13. August 2014
Seit gut 15 Jahren regelt in den USA der Children’s Online Privacy Protection Act (COPPA) den Schutz personenbezogener Daten von Kindern unter 13 Jahren im Onlinesektor. Grundgedanke: Die Erziehungsberechtigten sollen über die Sammlung und Verarbeitung der Daten ihrer Kinder bestimmen. Das soll vor allem durch vorherige Einwilligung der Eltern erzielt werden.

COPPA gilt für kommerzielle Webseiten und Onlinedienste, einschließlich Apps und Online-Spiele, die sich gezielt an Kinder unter 13 Jahren richten und deren personenbezogenen Daten sammeln, verwenden, oder weitergeben. Ebenso erfasst sind Webseiten und Dienste, die sich zwar an ein altersunabhängiges Publikum wenden, aber deren Betreiber oder Entwickler Kenntnis davon haben, dass auch persönliche Daten von Kindern erfasst werden könnten. Auch wenn die Daten über Dritte erlangt werden, findet COPPA Anwendung. Relevant ist COPPA hierzulande dann, wenn sich Webseiten, Spiele oder Apps gezielt an Kinder in den USA richten oder wenn wissentlich auch persönliche Daten von US-amerikanischen Kindern erfasst und verarbeitet werden könnten. Weiterlesen

Liebesgrüße aus Montréal: Das neue kanadische Anti-Spam-Gesetz [update]

24. Juli 2014
Seit einigen Wochen bekomme ich eine Menge E-Mails aus Kanada. Unternehmen, mit denen ich irgendwann – teilweise zuletzt vor Jahren – zu tun hatte, schicken mir jetzt bunte, freundliche E-Mails, teilen mit was sich in letzter Zeit so getan hat, und fragen nach: Wollen wir in Kontakt bleiben? Dann bitte diesen Bestätigungslink anklicken.

Solche Post kommt nicht von ungefähr. Seit dem 1. Juli 2014 gilt in Kanada ein neues Anti-Spam-Gesetz, das nun in vielen Fällen ein ausdrückliches Opt-In für den Erhalt von Werbe-E-Mails erfordert. Bei einem Verstoß drohen Bußgelder, die sich gewaschen haben [update 9.3.2015: Das erste verhängte Bußgeld beläuft sich auf über 1 Million kanadische Dollar]. Weiterlesen

USA: Datenschutz-Tipps für Online- und Mobile-Games von der Federal Trade Commission

25. Juni 2014
Die Federal Trade Commission (FTC) ist eine unabhängige US-Regierungsbehörde mit diversen Kompetenzen in der Organisation des bundesweite Wirtschaftslebens. Neben der Untersuchung von Verbraucherschutzverstößen ist sie auch mit allgemeiner Information und Aufklärung von Marktteilnehmern – Unternehmen wie Verbrauchern – befasst. In dieser Funktion hat die FTC im vergangenen Jahr mehrere Handreichungen zum Online-Datenschutz und Verbraucherschutz veröffentlicht, die sich Online- und Mobile-Anbieter bei einer eventuellen Expansion in die USA genau ansehen sollten.

Weiterlesen