Datenschutzrecht

Osborne Clarke ist eine der führenden Kanzleien in der Beratung von Unternehmen im Datenschutzrecht.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterliegen im deutschen Datenschutzrecht konsequenten Beschränkungen. Sie dürfen nur erfolgen, soweit entweder ein Gesetz es erlaubt oder die betroffene Person eine informierte Einwilligung erteilt hat – eine solche kann auch nicht ohne Weiteres im Kleingedruckten von Allgemeinen Geschäftsbedingungen versteckt werden, sondern muss gerade im Online-Bereich besonderen Formvorschriften genügen.

Personenbezogene Daten sind dabei mehr als nur Name und Adresse. Jede Information, die einer bestimmten oder zumindest bestimmbaren Person zugeordnet werden kann, wird vom Datenschutzrecht erfasst. Das sind zum Beispiel auch MAC-Adressen und eindeutige Gerätekennungen (UDID). Umstritten ist die Frage für dynamische IP-Adressen.

Erlaubnistatbestände im Datenschutzrecht

Gesetzliche Erlaubnistatbestände finden sich insbesondere im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG). Je nach Art der betrachteten Daten, die etwa bei einem Websitebesuch anfallen, können beide Gesetze für Onlineanbieter und Spielebetreiber relevant werden. Beispielsweise erlaubt das Datenschutzrecht die Erhebung, Verarbeitung und Nutzung von Daten in dem Umfang, wie sie benötigt werden, um den Vertrag mit dem Betreiber einer Plattform, einer Website oder eines Spiels zu ermöglichen. Auch in diesen Fällen gibt es aber Einschränkungen, wenn die Daten durch ein anderes Konzernunternehmen oder gar einen Dienstleister verarbeitet werden sollen, insbesondere wenn das im Ausland passiert. Auf jeden Fall braucht man dann eine schriftliche Auftragsdatenverarbeitungsvereinbarung (ADV).

Datenschutzerklärung

Über die erhobenen personenbezogenen Daten und was mit ihnen geschieht muss der Anbieter – im Datenschutzrecht als „verantwortliche Stelle“ bezeichnet – jeden Nutzer grundsätzlich vor Beginn des Datenverarbeitungsvorgangs in verständlicher, vollständiger Form informieren. Das geschieht durch eine Datenschutzerklärung, die ausführt wer welche Daten zu welchen Zwecken erhebt, aber auch an welche Dritten sie eventuell weiter gegeben werden, und welche technischen Verfahren mit Datenschutzrelevanz eingesetzt werden – zum Beispiel Cookies, Trackingtechnologien und Google Analytics. Wichtig ist, dass alle diese Anwendungen unabhängig von ihrer Nennung in der Datenschutzerklärung erlaubt sein müssen. Die bloße Nutzung der Seite oder des Spiels ist keine wirksame Einwilligung, egal wie die Datenschutzerklärung formuliert ist!

Unsere Meldungen und Analysen zum Datenschutzrecht sollen allen Akteuren des Online-Business, insbesondere Betreibern von Websites, Plattformen, Medien, Spielen und Onlinediensten als kleine Orientierungshilfe für die Welt des Datenschutzes und der Auftragsdatenverarbeitung, der Zweckbindung und des Gebots der Datensparsamkeit (Privacy by Design) dienen. Sie können aber die individuelle Prüfung durch einen Rechtsanwalt nicht ersetzen. Wir sind als Kanzlei auf die Beratung von Unternehmen im Datenschutzrecht spezialisiert – sprechen Sie uns gerne an!

Unsere Leistungen im Datenschutzrecht

Zu unseren Leistungen im Datenschutzrecht gehören insbesondere:

  • Strukturieren von Datenverarbeitungsprozessen und Produkten sowie Dienstleistungen
  • Datenschutzrechtliche Bewertung von Geschäftsmodellen
  • Erstellen von Datenschutzerklärungen
  • Erstellen von Auftragsdatenverarbeitungsvereinbarungen
  • Vertretung gegenüber den Datenschutzbehörden, Verbraucherzentralen und sonstigen Einrichtungen
  • Tätigkeit als externe Datenschutzbeauftragte
 

Liebesgrüße aus Montréal: Das neue kanadische Anti-Spam-Gesetz [update]

24. Juli 2014
Seit einigen Wochen bekomme ich eine Menge E-Mails aus Kanada. Unternehmen, mit denen ich irgendwann – teilweise zuletzt vor Jahren – zu tun hatte, schicken mir jetzt bunte, freundliche E-Mails, teilen mit was sich in letzter Zeit so getan hat, und fragen nach: Wollen wir in Kontakt bleiben? Dann bitte diesen Bestätigungslink anklicken.

Solche Post kommt nicht von ungefähr. Seit dem 1. Juli 2014 gilt in Kanada ein neues Anti-Spam-Gesetz, das nun in vielen Fällen ein ausdrückliches Opt-In für den Erhalt von Werbe-E-Mails erfordert. Bei einem Verstoß drohen Bußgelder, die sich gewaschen haben [update 9.3.2015: Das erste verhängte Bußgeld beläuft sich auf über 1 Million kanadische Dollar]. Weiterlesen

USA: Datenschutz-Tipps für Online- und Mobile-Games von der Federal Trade Commission

25. Juni 2014
Die Federal Trade Commission (FTC) ist eine unabhängige US-Regierungsbehörde mit diversen Kompetenzen in der Organisation des bundesweite Wirtschaftslebens. Neben der Untersuchung von Verbraucherschutzverstößen ist sie auch mit allgemeiner Information und Aufklärung von Marktteilnehmern – Unternehmen wie Verbrauchern – befasst. In dieser Funktion hat die FTC im vergangenen Jahr mehrere Handreichungen zum Online-Datenschutz und Verbraucherschutz veröffentlicht, die sich Online- und Mobile-Anbieter bei einer eventuellen Expansion in die USA genau ansehen sollten.

Weiterlesen

Update zur Cookie-Richtlinie: Die Argumentation der Bundesregierung

24. Februar 2014 1 Kommentar
Die Cookie-Richtlinie gilt auch in Deutschland. Wie wir vorvergangene Woche im Blog berichtet haben, hat das die EU-Kommission überraschend bestätigt. Das Jurablog Telemedicus hat inzwischen auch die genaue Argumentation veröffentlicht, mit der die deutsche Bundesregierung und die europäische Kommission zu ihrem Urteil gelangen.

Nach Auslegung des Bundeswirtschaftsministeriums gilt danach schon jetzt in Deutschland ein strenges Opt-in für den Einsatz von Cookies. Doch überzeugend ist diese Ansicht nicht. Weiterlesen

Die Cookie-Richtlinie ist umgesetzt und keiner hat’s gemerkt. Was nun?

10. Februar 2014
Nach Auskunft der EU-Kommission und des Bundeswirtschaftsministeriums ist die ePrivacy-Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/136/EG (die sogenannte “Cookie-Richtlinie”) in Deutschland bereits umgesetzt.

Bitte was?

Die ursprüngliche ePrivacy-Richtlinie hat Deutschland schon länger umgesetzt. Was die Änderungen in der neuen Fassung der Richtlinie von 2009 betrifft, ist das aber weniger klar.
Weiterlesen

VG Hannover: Speichern von “Persokopien” ist unzulässig [update]

6. Dezember 2013
Komplikationen für Anbieter von Onlinespielen und Versandhändler könnte ein aktuelles Urteil verursachen: Hiernach ist das Einscannen und Speichern von Personalausweisen durch ein privates Unternehmen unzulässig. Die Datenschutzbehörden können diese Praxis daher untersagen und die Löschung der erhobenen Daten anordnen. So hat das VG Hannover am 28.11.2013 (Az. 10 A 5342/11; Pressemitteilung) entschieden.

Damit dürfte die von manchen Spieleanbietern gelebte Praxis, das Alter von Spielern/Bestellern anhand zugesandter Personalausweiskopien zu überprüfen, nur noch mit Einschränkungen möglich sein. Es stellt sich damit auch die Frage nach Alternativen, um ein jugendschutzkonformes Verhalten zu ermöglichen.
Weiterlesen

LG Berlin: Dynamische IP-Adressen sind nicht immer personenbezogene Daten

31. Oktober 2013 1 Kommentar
Die Frage, ob IP-Adressen als personenbezogene Daten einzuordnen sind, beschäftigt die Gerichte seit einiger Zeit. Das Landgericht Berlin hat jetzt entschieden (Urt. v. 31.01.2013 – Az. 57 S 87/08, dass das jedenfalls für dynamische IP-Adressen nicht immer der Fall ist, und sich damit der Theorie vom relativen Personenbezug angeschlossen. Das Gericht hat keine Aussage zu der rechtlichen Einordnung von statischen IP-Adressen getroffen.

Die Entscheidung ist noch nicht rechtskräftig, und die Revision ist beim Bundesgerichtshof unter dem Aktenzeichen VI ZR 135/13 anhängig. Die Frage könnte in absehbarer Zeit also auch höchstrichterlich geklärt werden. Weiterlesen

Keine Beschlagnahme von Daten zum Zweck der Vernichtung (Teil 2 von 2)

30. September 2013
Das Landgerichts (LG) Hamburg entschied in seinem Beschluss vom 02. September 2013 (Az. 629 Qs 34/13; Volltext), dass Daten nicht tauglicher Gegenstand einer wirksamen Beschlagnahme und Löschung im Rahmen eines Ermittlungsverfahrens sein können – wenn es eben nicht um den Beweis einer Tatsache, sondern um die Vernichtung von Daten als Tatwerkzeug geht.

Auslöser war der bundesweit viel beachtete Fall des in der Psychiatrie festgehaltenen Gustl Mollath. Dessen Hamburger Rechtsanwalt Gerhard Strate hat zahlreiche Dokumente veröffentlicht, die mit dem Vorgang rund um Mollaths Prozess und psychiatrische Unterbringung zusammenhängen. Um den gesamten Vorgang zu dokumentieren, machte er Sachverständigengutachten, Anträge, gerichtliche Beschlüsse und ähnliche Dokumente auf der Website seiner Kanzlei verfügbar. Weiterlesen

Beschlagnahme von gehosteten Daten zu Beweiszwecken (Teil 1 von 2)

25. September 2013
Die Beschlagnahme eines Servers oder zumindest von Teilen des darauf gehosteten Datenbestandes ist wohl für nahezu jeden Anbieter so etwas wie ein „worst case scenario“. Die Beschlagnahme stellt einen Eingriff in die eigene Serverstruktur dar, der einerseits geduldet werden muss, andererseits aber vielleicht weitere, eigentlich nicht betroffene Kunden schwer beeinträchtigt und obendrein Ressourcen beim Anbieter binden. Diesen zusätzlichen Aufwand möchte der Anbieter gerne nach Möglichkeit vermeiden.
Weiterlesen

VG Schleswig-Holstein: Deutsches Datenschutzrecht gilt für Facebook nicht.

11. März 2013 1 Kommentar
Mit Beschluss vom 14. Februar 2013 hat das VG Schleswig-Holstein entschieden, dass das deutsche Datenschutzrecht für die irische Facebook-Tochter, die das soziale Netzwerk in Europa betreibt, nicht gilt (Az. 8 B 60/12, Volltext).

Der als Hardliner bekannte Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hatte die Facebook Ireland Ltd. mit Sitz in Dublin per Bescheid angewiesen, Nutzerkonten freizuschalten, die Facebook wegen der Angabe falscher oder erfundener Namen und Profildaten gesperrt hatte. Nach den Nutzungsbedingungen von Facebook dürfen Profile nur unter dem echten Namen des jeweiligen Nutzers angelegt werden. In § 13 Abs. 6 des deutschen Telemediengesetzes (TMG) ist dagegen die Pflicht für Plattformbetreiber statuiert, eine anonyme oder pseudonyme Nutzung von Telemedien zu ermöglichen, wenn dies zumutbar ist.
Weiterlesen

Art. 29 Datenschutzgruppe gibt Hilfestellungen zur rechtskonformen Nutzung von Cookies

26. Juni 2012
Erst kürzlich berichteten wir über die immer noch kontrovers diskutierte Frage, ob Cookies nur noch nach vorheriger Einwilligung der Nutzer eingesetzt werden dürfen. Den Stein des Anstoßes lieferte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, mit seiner jüngst geäußerten Auffassung, wonach die in der bislang hierzulande nicht umgesetzten Richtlinie 2009/136/EC (ePrivacy Directive) festgelegten europäischen Cookie-Regeln nunmehr unmittelbar anwendbar sein sollen. Der Wortlaut der Richtlinie spricht sich weitestgehend gegen einen Einsatz von Cookies ohne ausdrückliche Einwilligung der Nutzer aus.
Weiterlesen