Datenschutz

Datenschutz in den USA: Ist COPPA ein Kinderspiel?
13. August 2014

Seit gut 15 Jahren regelt in den USA der Children’s Online Privacy Protection Act (COPPA) den Schutz personenbezogener Daten von Kindern unter 13 Jahren im Onlinesektor. Grundgedanke: Die Erziehungsberechtigten sollen über die Sammlung und Verarbeitung der Daten ihrer Kinder bestimmen. Das soll vor allem durch vorherige Einwilligung der Eltern erzielt werden.

COPPA gilt für kommerzielle Webseiten und Onlinedienste, einschließlich Apps und Online-Spiele, die sich gezielt an Kinder unter 13 Jahren richten und deren personenbezogenen Daten sammeln, verwenden, oder weitergeben. Ebenso erfasst sind Webseiten und Dienste, die sich zwar an ein altersunabhängiges Publikum wenden, aber deren Betreiber oder Entwickler Kenntnis davon haben, dass auch persönliche Daten von Kindern erfasst werden könnten. Auch wenn die Daten über Dritte erlangt werden, findet COPPA Anwendung. Relevant ist COPPA hierzulande dann, wenn sich Webseiten, Spiele oder Apps gezielt an Kinder in den USA richten oder wenn wissentlich auch persönliche Daten von US-amerikanischen Kindern erfasst und verarbeitet werden könnten. Weiterlesen

Liebesgrüße aus Montréal: Das neue kanadische Anti-Spam-Gesetz [update]
24. Juli 2014

Seit einigen Wochen bekomme ich eine Menge E-Mails aus Kanada. Unternehmen, mit denen ich irgendwann – teilweise zuletzt vor Jahren – zu tun hatte, schicken mir jetzt bunte, freundliche E-Mails, teilen mit was sich in letzter Zeit so getan hat, und fragen nach: Wollen wir in Kontakt bleiben? Dann bitte diesen Bestätigungslink anklicken.

Solche Post kommt nicht von ungefähr. Seit dem 1. Juli 2014 gilt in Kanada ein neues Anti-Spam-Gesetz, das nun in vielen Fällen ein ausdrückliches Opt-In für den Erhalt von Werbe-E-Mails erfordert. Bei einem Verstoß drohen Bußgelder, die sich gewaschen haben [update 9.3.2015: Das erste verhängte Bußgeld beläuft sich auf über 1 Million kanadische Dollar]. Weiterlesen

App-Anbieter aufgepasst! Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe
10. Juli 2014

Der Düsseldorfer Kreis – das gemeinsame Gremium der deutschen Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich – hat nun endlich die lang erwartete “Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter” veröffentlicht.

Auf überschaubaren 33 Seiten definieren die Behörden die rechtlichen Anforderungen an Apps und befassen sich auch mit den technischen Rahmenbedingungen. Überraschungen gibt es eigentlich keine. Gelesen haben sollte man sie allerdings trotzdem, immerhin liegt zum ersten Mal eine abgestimmte Zusammenfassung der datenschutzrechtlichen Spielregeln vor, die App-Anbieter nach Ansicht der Aufsichtsbehörden zu beachten haben. Und diese Spielregeln sollte man gut verinnerlichen, denn die deutschen Datenschutzbehörden werden ab sofort gegen Anbieter vorgehen, deren Apps den Anforderungen des Datenschutzrechts nicht genügen, machte der Leiter der federführenden bayerischen Aufsichtsbehörde bei der Vorstellung des Papiers unmissverständlich klar. Bisher haben die deutschen Datenschutzbehörden zwar auch Apps danach untersucht, ob sie den datenschutzrechtlichen Anforderungen genügen. Verstöße wurden jedoch nur in geringem Umfang geahndet. Häufiger Kritikpunkt war dabei die mangelnde Transparenz für die Nutzer darüber, welche Daten über die App gesammelt werden, auf welche Daten Zugriff besteht, wie die Daten verarbeitet und für welche Zwecke die Daten genutzt werden. Die Missachtung der neuen Orientierungshilfe kann mit Bußgeldern bis zu EUR 300.000,00 geahndet werden, oftmals in Verbindung mit einem erheblichen Imageschaden. Der bislang herrschende “Waffenstillstand” ist damit vorbei! Weiterlesen

USA: Datenschutz-Tipps für Online- und Mobile-Games von der Federal Trade Commission
25. Juni 2014

Die Federal Trade Commission (FTC) ist eine unabhängige US-Regierungsbehörde mit diversen Kompetenzen in der Organisation des bundesweite Wirtschaftslebens. Neben der Untersuchung von Verbraucherschutzverstößen ist sie auch mit allgemeiner Information und Aufklärung von Marktteilnehmern – Unternehmen wie Verbrauchern – befasst. In dieser Funktion hat die FTC im vergangenen Jahr mehrere Handreichungen zum Online-Datenschutz und Verbraucherschutz veröffentlicht, die sich Online- und Mobile-Anbieter bei einer eventuellen Expansion in die USA genau ansehen sollten.

Weiterlesen

VG Hannover: Speichern von “Persokopien” ist unzulässig [update]
6. Dezember 2013

Komplikationen für Anbieter von Onlinespielen und Versandhändler könnte ein aktuelles Urteil verursachen: Hiernach ist das Einscannen und Speichern von Personalausweisen durch ein privates Unternehmen unzulässig. Die Datenschutzbehörden können diese Praxis daher untersagen und die Löschung der erhobenen Daten anordnen. So hat das VG Hannover am 28.11.2013 (Az. 10 A 5342/11; Pressemitteilung) entschieden.

Damit dürfte die von manchen Spieleanbietern gelebte Praxis, das Alter von Spielern/Bestellern anhand zugesandter Personalausweiskopien zu überprüfen, nur noch mit Einschränkungen möglich sein. Es stellt sich damit auch die Frage nach Alternativen, um ein jugendschutzkonformes Verhalten zu ermöglichen.
Weiterlesen

LG Berlin: Dynamische IP-Adressen sind nicht immer personenbezogene Daten
31. Oktober 2013 1 Kommentar

Die Frage, ob IP-Adressen als personenbezogene Daten einzuordnen sind, beschäftigt die Gerichte seit einiger Zeit. Das Landgericht Berlin hat jetzt entschieden (Urt. v. 31.01.2013 – Az. 57 S 87/08, dass das jedenfalls für dynamische IP-Adressen nicht immer der Fall ist, und sich damit der Theorie vom relativen Personenbezug angeschlossen. Das Gericht hat keine Aussage zu der rechtlichen Einordnung von statischen IP-Adressen getroffen.

Die Entscheidung ist noch nicht rechtskräftig, und die Revision ist beim Bundesgerichtshof unter dem Aktenzeichen VI ZR 135/13 anhängig. Die Frage könnte in absehbarer Zeit also auch höchstrichterlich geklärt werden. Weiterlesen

VG Schleswig-Holstein: Deutsches Datenschutzrecht gilt für Facebook nicht.
11. März 2013 1 Kommentar

Mit Beschluss vom 14. Februar 2013 hat das VG Schleswig-Holstein entschieden, dass das deutsche Datenschutzrecht für die irische Facebook-Tochter, die das soziale Netzwerk in Europa betreibt, nicht gilt (Az. 8 B 60/12, Volltext).

Der als Hardliner bekannte Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hatte die Facebook Ireland Ltd. mit Sitz in Dublin per Bescheid angewiesen, Nutzerkonten freizuschalten, die Facebook wegen der Angabe falscher oder erfundener Namen und Profildaten gesperrt hatte. Nach den Nutzungsbedingungen von Facebook dürfen Profile nur unter dem echten Namen des jeweiligen Nutzers angelegt werden. In § 13 Abs. 6 des deutschen Telemediengesetzes (TMG) ist dagegen die Pflicht für Plattformbetreiber statuiert, eine anonyme oder pseudonyme Nutzung von Telemedien zu ermöglichen, wenn dies zumutbar ist.
Weiterlesen

Verbraucherschützer mahnen GMX/Web.de wegen unzureichender Umsetzung der “Buttonlösung” ab
30. August 2012

Die Verbraucherzentrale Bundesverband (VZVB) hat in Deutschland jüngst sowohl Facebook als auch die United Internet Unternehmen GMX und Web.de abgemahnt. Während der VZVB bei Facebook die Weitergabe persönlicher Daten der Nutzer an App-Anbieter, ohne dass die Nutzer ihre Einwilligung dazu gegeben hätten, und somit Datenschutzverstöße bemängelte, standen bei GMX und Web.de die nicht gesetzeskonforme Umsetzung von Informationspflichten im Zusammenhang mit der am 1. August 2012 in Kraft getretenen Gesetzesänderung zur Button-Lösung (wir berichteten hier) im Fokus.
Weiterlesen

Art. 29 Datenschutzgruppe gibt Hilfestellungen zur rechtskonformen Nutzung von Cookies
26. Juni 2012

Erst kürzlich berichteten wir über die immer noch kontrovers diskutierte Frage, ob Cookies nur noch nach vorheriger Einwilligung der Nutzer eingesetzt werden dürfen. Den Stein des Anstoßes lieferte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, mit seiner jüngst geäußerten Auffassung, wonach die in der bislang hierzulande nicht umgesetzten Richtlinie 2009/136/EC (ePrivacy Directive) festgelegten europäischen Cookie-Regeln nunmehr unmittelbar anwendbar sein sollen. Der Wortlaut der Richtlinie spricht sich weitestgehend gegen einen Einsatz von Cookies ohne ausdrückliche Einwilligung der Nutzer aus.
Weiterlesen

Bewegung in Sachen Cookie-Richtlinie: Cookies nur noch nach Einwilligung zulässig?
31. Mai 2012

Seit längerer Zeit sorgt die ePrivacy-Richtlinie (Richtlinie 2009/236/EG, auch unter der Bezeichnung “Cookie-Richtlinie” bekannt) in Deutschland im Hinblick auf den datenschutzkonformen Einsatz von Cookies für Rechtsunsicherheit. Nach den Vorgaben der ePrivacy-Richtlinie müssen die

Mitgliedstaaten […] sicher[stellen], dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. (Hervorhebung von uns)

Nach deutschem Recht durften Cookies ohne personenbezogene Daten bislang völlig frei eingesetzt werden und Cookies mit personenbezogenen Daten ebenfalls, solange dem Nutzer eine Widerspruchsmöglichkeit eingeräumt wurde. Dafür genügte es aber im Allgemeinen (mit Ausnahme von Flash Cookies), dass der Nutzer durch die Änderung seiner Browsereinstellungen das Setzen von Cookies verhindern konnte und der Cookie-Setzer den Nutzer darüber vorab (zum Beispiel in seiner Datenschutzerklärung) informierte.
Weiterlesen