Datenschutzrecht

Osborne Clarke ist eine der führenden Kanzleien in der Beratung von Unternehmen im Datenschutzrecht.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterliegen im deutschen Datenschutzrecht konsequenten Beschränkungen. Sie dürfen nur erfolgen, soweit entweder ein Gesetz es erlaubt oder die betroffene Person eine informierte Einwilligung erteilt hat – eine solche kann auch nicht ohne Weiteres im Kleingedruckten von Allgemeinen Geschäftsbedingungen versteckt werden, sondern muss gerade im Online-Bereich besonderen Formvorschriften genügen.

Personenbezogene Daten sind dabei mehr als nur Name und Adresse. Jede Information, die einer bestimmten oder zumindest bestimmbaren Person zugeordnet werden kann, wird vom Datenschutzrecht erfasst. Das sind zum Beispiel auch MAC-Adressen und eindeutige Gerätekennungen (UDID). Umstritten ist die Frage für dynamische IP-Adressen.

Erlaubnistatbestände im Datenschutzrecht

Gesetzliche Erlaubnistatbestände finden sich insbesondere im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG). Je nach Art der betrachteten Daten, die etwa bei einem Websitebesuch anfallen, können beide Gesetze für Onlineanbieter und Spielebetreiber relevant werden. Beispielsweise erlaubt das Datenschutzrecht die Erhebung, Verarbeitung und Nutzung von Daten in dem Umfang, wie sie benötigt werden, um den Vertrag mit dem Betreiber einer Plattform, einer Website oder eines Spiels zu ermöglichen. Auch in diesen Fällen gibt es aber Einschränkungen, wenn die Daten durch ein anderes Konzernunternehmen oder gar einen Dienstleister verarbeitet werden sollen, insbesondere wenn das im Ausland passiert. Auf jeden Fall braucht man dann eine schriftliche Auftragsdatenverarbeitungsvereinbarung (ADV).

Datenschutzerklärung

Über die erhobenen personenbezogenen Daten und was mit ihnen geschieht muss der Anbieter – im Datenschutzrecht als „verantwortliche Stelle“ bezeichnet – jeden Nutzer grundsätzlich vor Beginn des Datenverarbeitungsvorgangs in verständlicher, vollständiger Form informieren. Das geschieht durch eine Datenschutzerklärung, die ausführt wer welche Daten zu welchen Zwecken erhebt, aber auch an welche Dritten sie eventuell weiter gegeben werden, und welche technischen Verfahren mit Datenschutzrelevanz eingesetzt werden – zum Beispiel Cookies, Trackingtechnologien und Google Analytics. Wichtig ist, dass alle diese Anwendungen unabhängig von ihrer Nennung in der Datenschutzerklärung erlaubt sein müssen. Die bloße Nutzung der Seite oder des Spiels ist keine wirksame Einwilligung, egal wie die Datenschutzerklärung formuliert ist!

Unsere Meldungen und Analysen zum Datenschutzrecht sollen allen Akteuren des Online-Business, insbesondere Betreibern von Websites, Plattformen, Medien, Spielen und Onlinediensten als kleine Orientierungshilfe für die Welt des Datenschutzes und der Auftragsdatenverarbeitung, der Zweckbindung und des Gebots der Datensparsamkeit (Privacy by Design) dienen. Sie können aber die individuelle Prüfung durch einen Rechtsanwalt nicht ersetzen. Wir sind als Kanzlei auf die Beratung von Unternehmen im Datenschutzrecht spezialisiert – sprechen Sie uns gerne an!

Unsere Leistungen im Datenschutzrecht

Zu unseren Leistungen im Datenschutzrecht gehören insbesondere:

  • Strukturieren von Datenverarbeitungsprozessen und Produkten sowie Dienstleistungen
  • Datenschutzrechtliche Bewertung von Geschäftsmodellen
  • Erstellen von Datenschutzerklärungen
  • Erstellen von Auftragsdatenverarbeitungsvereinbarungen
  • Vertretung gegenüber den Datenschutzbehörden, Verbraucherzentralen und sonstigen Einrichtungen
  • Tätigkeit als externe Datenschutzbeauftragte
 

Special: Die Fesseln des Online-Datenschutzes

20. Oktober 2011

Die ersten Facebook “Like” Abmahnungen fliegen – Thilo Weichert macht ernst

6. Oktober 2011 3 Kommentare
In der Endlosdebatte um die Zulässigkeit von Social PlugIns (wir berichteten hier und hier) eskaliert der Streit. Wie die Lübecker Nachrichten heute berichten hat der Schleswig-Holsteinische Datenschutzbeauftragte nun die ersten Abmahnungen verschickt. Und wen hat es zuerst getroffen? Die Staatskanzlei des Ministerpräsidenten Peter Harry Carstensen und das Wirtschaftsministerium. Das ULD beweist hierbei einen gewissen Sinn für Humor. Weiterlesen

Kurz gemeldet: Datenschutzbeauftragte halten Social Plugins für rechtswidrig

5. Oktober 2011 3 Kommentare
Die bereits zuvor in diesem Blog dargestellte Diskussion um die rechtliche Zulässigkeit von Social-Plugins geht in die nächste Runde und nun bildet sich eine einheitliche Meinung der staatlichen Datenschützer aus:

Im Rahmen der 82. Konferenz der Datenschutzbeauftragten haben die Datenschützer Ende September festgestellt, dass die Einbindung sogenannter Social-Plugins, wie von Facebook, Google+, Twitter und anderen Plattformbetreibern, in die Webseiten deutscher Anbieter ohne hinreichende Information der User und ohne Einräumung eines Wahlrechtes nicht mit deutschen und europäischen Datenschutzstandards in Einklang stehen. Nach Auffassung der Datenschutzbeauftragten ist die “aktuelle von Social-Plugin-Anbietern vorgesehene Funktionsweise [...] unzulässig, wenn bereits durch den Besuch einer Webseite und auch ohne Klick auf beispielsweise den „Gefällt-mir“-Knopf eine Übermittlung von Nutzendendaten in die USA ausgelöst wird, auch wenn die Nutzenden gar nicht bei der entsprechenden Plattform registriert sind.
Weiterlesen

Wendung bei Google Analytics – „beanstandungsfrei“ einsetzbar – irgendwie jedenfalls

27. September 2011 2 Kommentare

Die weit über zweijährige Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics ist beendet und erinnert an das Hornberger Schießen. „Beanstandungsfrei“ können Webseitenbetreiber den Dienst einsetzen, wenn sie ein bestimmtes Verfahren beachten. Das ist das Ergebnis langer Gespräche des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises mit dem Dienstanbieter Google.

Die Kurzform dessen, was zu tun ist: Man nehme eine neue Zeile Code, lösche Daten und tausche vor allem einen Haufen Papier aus. Fertig ist der „beanstandungsfreie Betrieb“. Oder noch kürzer: Es wird kompliziert, aber nicht sinnvoll.

Weiterlesen

We like Facebook – ein Update zur Debatte um Like-Buttons

5. September 2011
Nachdem das ULD seine Pressemitteilung mitsamt dem zugehörigen Arbeitspapier veröffentlichte, weht vom Norden her eine kühle Datenschutzbrise durch das gesamte Bundesgebiet, deren Ausläufer sogar das südliche Bayern erreichen. Weiterlesen

Thilo Weichert dislikes Facebook’s ‘Like’

20. August 2011
Wir befinden uns im Jahre 2011 n. Chr. Die ganze Welt ist von Facebook besetzt …die ganze Welt? Nein! Ein von unbeugsamen Galliern bevölkertes Dorf hört nicht auf, dem Eindringling Widerstand zu leisten. Und das Leben ist nicht leicht für Facebook, das als Besatzung in den befestigten Lagern Kiel, Dithmarschen, Elbmarschen und Holsteinische Schweiz liegt…
Weiterlesen

Kurz gemeldet: Bundesrat beschließt Verschärfung des TMG

18. Juni 2011
Über die hessischen Pläne zur Verschärfung der Datenschutzvorschriften des Telemediengesetzes (TMG) hatten wir bereits kritisch berichtet. Weiterlesen

A propos Geolocation – Malte Spitz’ Deutschlandreise

15. Juni 2011
Als Reaktion auf unseren letzten Artikel zu den datenschutzrechtlichen Aspekten von Geolocation erreichte uns ein Hinweis auf ein spannendes Experiment der ZEIT Weiterlesen

I know where you are – Geolocation aus datenschutzrechtlicher Sicht

14. Juni 2011
Dank der Ausstattung von Smartphones mit GPS-Chips (Global Positioning System) kann nun auch jeder Fußgänger, Jogger und Fahrradfahrer seine Position, Strecke und Geschwindigkeit auch ohne besondere Navigationsgeräte bestimmen. Gut entwickelte Apps bieten dem User zahlreiche hilfreiche Funktionen. Der Aufenthaltsort ist mithilfe von GPS oder WLAN bis auf ca. 4-15 Meter exakt zu bestimmen. Dabei können die Ortungsdaten jederzeit vom App-Anbieter und auch vom Telekommunikationsanbieter – durch Ortung des Smartphones – gesammelt und abgespeichert werden. Dies führt dazu, dass diese Anbieter genau wissen, wo man sich wann gerade aufhält, welchen Weg man zur Arbeit nutzt, wo man gerne mittags isst, ob man regelmäßig ins Stadion geht, welchen Arzt man aufsucht, welche Kirche man besucht oder wo genau man seine Nächte verbringt. Daraus ergeben sich für die Anbieter äußerst detaillierte Bewegungsprofile, von denen der User regelmäßig nichts mitbekommt. Zwar lässt sich Geolocation abschalten, viele User vergessen dies aber oder haben gar keine Kenntnis von dieser Abschaltfunktion.
Weiterlesen

Mitteilungspflicht bei Datenlecks

6. Juni 2011
Einbruch in das Playstation-Netzwerk bei Sony und Verlust von Millionen Spielekundendaten, Hack des auf IT-Sicherheit spezialisierten Unternehmens RSA, daraufhin Cyber-Attacken auf RSA-Kunde Lockheed-Martin, chinesischer E-Mail Diebstahl bei Morgan Stanley, angeblich Passwort-System von Googles Handy-Betriebssystem geknackt … Die Serie der Datenpannen bei international agierenden Großunternehmen scheint nicht abzureißen; die Aufmerksamkeit der Medien war nie größer. Aber was sind die rechtlichen Folgen?
Weiterlesen