Datenschutzrecht

Osborne Clarke ist eine der führenden Kanzleien in der Beratung von Unternehmen im Datenschutzrecht.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterliegen im deutschen Datenschutzrecht konsequenten Beschränkungen. Sie dürfen nur erfolgen, soweit entweder ein Gesetz es erlaubt oder die betroffene Person eine informierte Einwilligung erteilt hat – eine solche kann auch nicht ohne Weiteres im Kleingedruckten von Allgemeinen Geschäftsbedingungen versteckt werden, sondern muss gerade im Online-Bereich besonderen Formvorschriften genügen.

Personenbezogene Daten sind dabei mehr als nur Name und Adresse. Jede Information, die einer bestimmten oder zumindest bestimmbaren Person zugeordnet werden kann, wird vom Datenschutzrecht erfasst. Das sind zum Beispiel auch MAC-Adressen und eindeutige Gerätekennungen (UDID). Umstritten ist die Frage für dynamische IP-Adressen.

Erlaubnistatbestände im Datenschutzrecht

Gesetzliche Erlaubnistatbestände finden sich insbesondere im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG). Je nach Art der betrachteten Daten, die etwa bei einem Websitebesuch anfallen, können beide Gesetze für Onlineanbieter und Spielebetreiber relevant werden. Beispielsweise erlaubt das Datenschutzrecht die Erhebung, Verarbeitung und Nutzung von Daten in dem Umfang, wie sie benötigt werden, um den Vertrag mit dem Betreiber einer Plattform, einer Website oder eines Spiels zu ermöglichen. Auch in diesen Fällen gibt es aber Einschränkungen, wenn die Daten durch ein anderes Konzernunternehmen oder gar einen Dienstleister verarbeitet werden sollen, insbesondere wenn das im Ausland passiert. Auf jeden Fall braucht man dann eine schriftliche Auftragsdatenverarbeitungsvereinbarung (ADV).

Datenschutzerklärung

Über die erhobenen personenbezogenen Daten und was mit ihnen geschieht muss der Anbieter – im Datenschutzrecht als „verantwortliche Stelle“ bezeichnet – jeden Nutzer grundsätzlich vor Beginn des Datenverarbeitungsvorgangs in verständlicher, vollständiger Form informieren. Das geschieht durch eine Datenschutzerklärung, die ausführt wer welche Daten zu welchen Zwecken erhebt, aber auch an welche Dritten sie eventuell weiter gegeben werden, und welche technischen Verfahren mit Datenschutzrelevanz eingesetzt werden – zum Beispiel Cookies, Trackingtechnologien und Google Analytics. Wichtig ist, dass alle diese Anwendungen unabhängig von ihrer Nennung in der Datenschutzerklärung erlaubt sein müssen. Die bloße Nutzung der Seite oder des Spiels ist keine wirksame Einwilligung, egal wie die Datenschutzerklärung formuliert ist!

Unsere Meldungen und Analysen zum Datenschutzrecht sollen allen Akteuren des Online-Business, insbesondere Betreibern von Websites, Plattformen, Medien, Spielen und Onlinediensten als kleine Orientierungshilfe für die Welt des Datenschutzes und der Auftragsdatenverarbeitung, der Zweckbindung und des Gebots der Datensparsamkeit (Privacy by Design) dienen. Sie können aber die individuelle Prüfung durch einen Rechtsanwalt nicht ersetzen. Wir sind als Kanzlei auf die Beratung von Unternehmen im Datenschutzrecht spezialisiert – sprechen Sie uns gerne an!

Unsere Leistungen im Datenschutzrecht

Zu unseren Leistungen im Datenschutzrecht gehören insbesondere:

  • Strukturieren von Datenverarbeitungsprozessen und Produkten sowie Dienstleistungen
  • Datenschutzrechtliche Bewertung von Geschäftsmodellen
  • Erstellen von Datenschutzerklärungen
  • Erstellen von Auftragsdatenverarbeitungsvereinbarungen
  • Vertretung gegenüber den Datenschutzbehörden, Verbraucherzentralen und sonstigen Einrichtungen
  • Tätigkeit als externe Datenschutzbeauftragte
 

Nach Urteil: Rechtssicherheit für Facebook-Fanpage Betreiber

5. September 2014
Gestern entschied das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) in einem Urteil (Az.: 4 LB 20/13), dass Betreiber von Facebook Fanpages keine Verantwortung für die über die Fanpages ausgelöste Verarbeitung von personenbezogenen Daten bei Facebook tragen. Die Betreiber der Seiten sind weder verantwortliche Stelle im Sinne des Datenschutzrechts noch als Störer verantwortlich zu machen. Das Gericht bestätigt damit ein Urteil der Vorinstanz  (Schleswig-Holsteinisches VG,Urteil vom 9. Oktober 2013, Az. 8 A 218/11) und gibt somit Seitenbetreibern Rechtssicherheit. Weiterlesen

Datenschutz in den USA: Ist COPPA ein Kinderspiel?

13. August 2014
Seit gut 15 Jahren regelt in den USA der Children’s Online Privacy Protection Act (COPPA) den Schutz personenbezogener Daten von Kindern unter 13 Jahren im Onlinesektor. Grundgedanke: Die Erziehungsberechtigten sollen über die Sammlung und Verarbeitung der Daten ihrer Kinder bestimmen. Das soll vor allem durch vorherige Einwilligung der Eltern erzielt werden.

COPPA gilt für kommerzielle Webseiten und Onlinedienste, einschließlich Apps und Online-Spiele, die sich gezielt an Kinder unter 13 Jahren richten und deren personenbezogenen Daten sammeln, verwenden, oder weitergeben. Ebenso erfasst sind Webseiten und Dienste, die sich zwar an ein altersunabhängiges Publikum wenden, aber deren Betreiber oder Entwickler Kenntnis davon haben, dass auch persönliche Daten von Kindern erfasst werden könnten. Auch wenn die Daten über Dritte erlangt werden, findet COPPA Anwendung. Relevant ist COPPA hierzulande dann, wenn sich Webseiten, Spiele oder Apps gezielt an Kinder in den USA richten oder wenn wissentlich auch persönliche Daten von US-amerikanischen Kindern erfasst und verarbeitet werden könnten. Weiterlesen

Liebesgrüße aus Montréal: Das neue kanadische Anti-Spam-Gesetz [update]

24. Juli 2014
Seit einigen Wochen bekomme ich eine Menge E-Mails aus Kanada. Unternehmen, mit denen ich irgendwann – teilweise zuletzt vor Jahren – zu tun hatte, schicken mir jetzt bunte, freundliche E-Mails, teilen mit was sich in letzter Zeit so getan hat, und fragen nach: Wollen wir in Kontakt bleiben? Dann bitte diesen Bestätigungslink anklicken.

Solche Post kommt nicht von ungefähr. Seit dem 1. Juli 2014 gilt in Kanada ein neues Anti-Spam-Gesetz, das nun in vielen Fällen ein ausdrückliches Opt-In für den Erhalt von Werbe-E-Mails erfordert. Bei einem Verstoß drohen Bußgelder, die sich gewaschen haben [update 9.3.2015: Das erste verhängte Bußgeld beläuft sich auf über 1 Million kanadische Dollar]. Weiterlesen

USA: Datenschutz-Tipps für Online- und Mobile-Games von der Federal Trade Commission

25. Juni 2014
Die Federal Trade Commission (FTC) ist eine unabhängige US-Regierungsbehörde mit diversen Kompetenzen in der Organisation des bundesweite Wirtschaftslebens. Neben der Untersuchung von Verbraucherschutzverstößen ist sie auch mit allgemeiner Information und Aufklärung von Marktteilnehmern – Unternehmen wie Verbrauchern – befasst. In dieser Funktion hat die FTC im vergangenen Jahr mehrere Handreichungen zum Online-Datenschutz und Verbraucherschutz veröffentlicht, die sich Online- und Mobile-Anbieter bei einer eventuellen Expansion in die USA genau ansehen sollten.

Weiterlesen

Update zur Cookie-Richtlinie: Die Argumentation der Bundesregierung

24. Februar 2014 1 Kommentar
Die Cookie-Richtlinie gilt auch in Deutschland. Wie wir vorvergangene Woche im Blog berichtet haben, hat das die EU-Kommission überraschend bestätigt. Das Jurablog Telemedicus hat inzwischen auch die genaue Argumentation veröffentlicht, mit der die deutsche Bundesregierung und die europäische Kommission zu ihrem Urteil gelangen.

Nach Auslegung des Bundeswirtschaftsministeriums gilt danach schon jetzt in Deutschland ein strenges Opt-in für den Einsatz von Cookies. Doch überzeugend ist diese Ansicht nicht. Weiterlesen

Die Cookie-Richtlinie ist umgesetzt und keiner hat’s gemerkt. Was nun?

10. Februar 2014
Nach Auskunft der EU-Kommission und des Bundeswirtschaftsministeriums ist die ePrivacy-Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/136/EG (die sogenannte “Cookie-Richtlinie”) in Deutschland bereits umgesetzt.

Bitte was?

Die ursprüngliche ePrivacy-Richtlinie hat Deutschland schon länger umgesetzt. Was die Änderungen in der neuen Fassung der Richtlinie von 2009 betrifft, ist das aber weniger klar.
Weiterlesen

VG Hannover: Speichern von “Persokopien” ist unzulässig [update]

6. Dezember 2013
Komplikationen für Anbieter von Onlinespielen und Versandhändler könnte ein aktuelles Urteil verursachen: Hiernach ist das Einscannen und Speichern von Personalausweisen durch ein privates Unternehmen unzulässig. Die Datenschutzbehörden können diese Praxis daher untersagen und die Löschung der erhobenen Daten anordnen. So hat das VG Hannover am 28.11.2013 (Az. 10 A 5342/11; Pressemitteilung) entschieden.

Damit dürfte die von manchen Spieleanbietern gelebte Praxis, das Alter von Spielern/Bestellern anhand zugesandter Personalausweiskopien zu überprüfen, nur noch mit Einschränkungen möglich sein. Es stellt sich damit auch die Frage nach Alternativen, um ein jugendschutzkonformes Verhalten zu ermöglichen.
Weiterlesen

LG Berlin: Dynamische IP-Adressen sind nicht immer personenbezogene Daten

31. Oktober 2013 1 Kommentar
Die Frage, ob IP-Adressen als personenbezogene Daten einzuordnen sind, beschäftigt die Gerichte seit einiger Zeit. Das Landgericht Berlin hat jetzt entschieden (Urt. v. 31.01.2013 – Az. 57 S 87/08, dass das jedenfalls für dynamische IP-Adressen nicht immer der Fall ist, und sich damit der Theorie vom relativen Personenbezug angeschlossen. Das Gericht hat keine Aussage zu der rechtlichen Einordnung von statischen IP-Adressen getroffen.

Die Entscheidung ist noch nicht rechtskräftig, und die Revision ist beim Bundesgerichtshof unter dem Aktenzeichen VI ZR 135/13 anhängig. Die Frage könnte in absehbarer Zeit also auch höchstrichterlich geklärt werden. Weiterlesen

Keine Beschlagnahme von Daten zum Zweck der Vernichtung (Teil 2 von 2)

30. September 2013
Das Landgerichts (LG) Hamburg entschied in seinem Beschluss vom 02. September 2013 (Az. 629 Qs 34/13; Volltext), dass Daten nicht tauglicher Gegenstand einer wirksamen Beschlagnahme und Löschung im Rahmen eines Ermittlungsverfahrens sein können – wenn es eben nicht um den Beweis einer Tatsache, sondern um die Vernichtung von Daten als Tatwerkzeug geht.

Auslöser war der bundesweit viel beachtete Fall des in der Psychiatrie festgehaltenen Gustl Mollath. Dessen Hamburger Rechtsanwalt Gerhard Strate hat zahlreiche Dokumente veröffentlicht, die mit dem Vorgang rund um Mollaths Prozess und psychiatrische Unterbringung zusammenhängen. Um den gesamten Vorgang zu dokumentieren, machte er Sachverständigengutachten, Anträge, gerichtliche Beschlüsse und ähnliche Dokumente auf der Website seiner Kanzlei verfügbar. Weiterlesen

Beschlagnahme von gehosteten Daten zu Beweiszwecken (Teil 1 von 2)

25. September 2013
Die Beschlagnahme eines Servers oder zumindest von Teilen des darauf gehosteten Datenbestandes ist wohl für nahezu jeden Anbieter so etwas wie ein „worst case scenario“. Die Beschlagnahme stellt einen Eingriff in die eigene Serverstruktur dar, der einerseits geduldet werden muss, andererseits aber vielleicht weitere, eigentlich nicht betroffene Kunden schwer beeinträchtigt und obendrein Ressourcen beim Anbieter binden. Diesen zusätzlichen Aufwand möchte der Anbieter gerne nach Möglichkeit vermeiden.
Weiterlesen