Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 16 2012

EuGH entscheidet erneut über die Frage der Unabhängigkeit der Datenschutzbehörden

Nachdem der EuGH bereits im Jahre 2010 die mangelnde Unabhängigkeit der deutschen Datenschutzaufsicht gerügt hatte, wurde nunmehr in einer weiteren Entscheidung vom heutigen Tag (Az.: C?614/10) in Bezug auf die österreichische Datenschutzkommission vom EuGH festgestellt, dass Österreich seine Verpflichtung aus der Datenschutzrichtlinie verletzt hat.

Der EuGH stellt in seiner Entscheidung klar, dass eine funktionale Unabhängigkeit der Datenschutzbehörde nicht ausreichend ist, sondern vielmehr die Leitung der Behörde keiner Dienstaufsicht unterliegen darf, die Datenschutzkommission nicht dem Kanzleramt angegliedert sein darf und auch keine Informationsrechte des Bundeskanzlers bzw. der Regierung bestehen dürfen.

Google soll seine Datenschutzerklärung ändern

24 der 27 nationalen Aufsichtsbehörden der EU-Mitgliedsstaaten für den Datenschutz haben nach Medienberichten Google schriftlich aufgefordert, seine vor einem halben Jahr eingeführte neue Datenschutzerklärung abzuändern. Die Datenschützer kritisieren primär die Zusammenführung der Daten aus den unterschiedlichen Diensten. Außerdem möchte offenbar auch die EU-Kommission die neuen Datenschutzregeln von Google beanstanden.

Eine aktuelle Pressemitteilung der französischen Datenschutzbehörde CNIL erläutert die Forderungen der europäischen Datenschützer etwas genauer.

Warum die neue Datenschutzerklärung von Google nicht mit deutschem und europäischem Datenschutzrecht vereinbar ist, habe ich vor einigen Monaten erläutert. Das Beispiel zeigt aber auch deutlich, dass das geltende Datenschutzrecht auf Geschäftsmodelle wie das von Google nicht ausgerichtet ist, weshalb es bei konsequenter Rechtsauslegung und -anwendung ohnehin schwierig werden wird, sämtliche Googledienste in ihrem aktuellen Funktionsumfang datenschutzkonform auszugestalten.

August 18 2011

Gilt deutsches Datenschutzrecht für Facebook überhaupt?

In Bezug auf Facebook kann man immer wieder lesen, dass das soziale Netzwerk sich nicht an deutsche Datenschutzstandards hält. Aber gilt das deutsche Datenschutzrecht für Facebook überhaupt?

Der norwegische Datenschutzbeauftragte ist beispielsweise der Ansicht, dass das norwegische Datenschutzrecht auf Facebook keine Anwendung findet, sondern für norwegische Facebook-Nutzer vielmehr irisches Datenschutzrecht gelten soll, weil sich der europäische Hauptsitz von Facebook in Irland befindet. Nachdem Norwegen die Datenschutzrichtlinie der EU ebenso wie Deutschland umgesetzt hat, stellt sich die Frage, ob die norwegische Einschätzung korrekt ist und ob sie auch auf Deutschland übertragen werden kann.

Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) Kollisionsregeln, die in Umsetzung der Datenschutzrichtlinie geschaffen wurden. Das BDSG gilt jedenfalls dann, wenn eine Niederlassung in Deutschland als verantwortliche Stelle Daten erhebt, verarbeitet oder nutzt. Befindet sich die Niederlassung in einem anderen Mitgliedsstaat der EU, ist das dortige nationale Datenschutzrecht anzuwenden. Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.

Eine derartige Niederlassung ist aber nur dann gegeben, wenn sie auch die datenschutzrelevanten Handlungen vornimmt. Erwägungsgrund 19 der Richtlinie spricht davon, dass in der Niederlassung die effektive und tatsächliche Ausübung einer (datenverarbeitenden) Tätigkeit mittels fester Einrichtungen erfolgen muss. Vor diesem Hintergrund dürfte Facebook weder in Deutschland noch in Irland eine entsprechende Niederlassung unterhalten.

Die Datenverarbeitung findet nämlich nicht in Deutschland statt und auch die zu Grunde liegenden wesentlichen Entscheidungen werden nicht von europäischen Niederlassungen getroffen, sondern allein von der amerikanischen Facebook-Mutter.

Die abweichende norwegische Ansicht stützt sich primär auf die Nutzungsbedingungen von Facebook, in denen es u.a. heißt, dass für Nutzer außerhalb der USA und Kanada eine Vertragbeziehung nur mit Facebook Irland zustande kommt. Nachdem § 1 Abs. 5 BDSG aber nicht vertraglich abbedungen werden kann, ist allein entscheidend, wo die datenverarbeitende Tätigkeit tatsächlich stattfindet und welche Stelle hierüber entscheidet. Bereits ein Blick in die Datenschutzrichtlinie von Facebook bestätigt, dass die Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika (so wörtlich Ziff. 9) erfolgt. In den Nutzungsbedingungen (Ziff. 16) heißt es ebenfalls:

Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

Facebook gibt also selbst an, dass die Datenverarbeitung in den USA stattfindet. Damit ist aber auch klar, dass die Facebook Inc. verantwortliche Stelle im datenschutzrechtlichen Sinne ist.

Dafür spricht auch der Umstand, dass Facebook ein weltweit einheitlicher Dienst ist, der zentral von Kalifornien aus betrieben und gesteuert wird. Die wesentlichen Entscheidungen fallen also weder in Deutschland noch in Irland, sondern allein in den USA.

Das BDSG ist in solchen Fällen wie gesagt dann anwendbar, wenn die verantwortliche Stelle Daten im Inland (Deutschland) erhebt, verarbeitet oder nutzt. Die entscheidende Frage lautet bei sozialen Netzwerken wie Facebook, Google Plus oder auch Twitter also, ob Daten in Deutschland erhoben werden. Die Anbieter sozialer Netze erheben zweifellos Daten von inländischen Nutzern, die diese an ihrem heimischen Rechner eingeben. Ob das als Datenerhebung im Inland zu qualifizieren ist, hängt nach Art. 4 Abs. 1 der Richtlinie  davon ab, ob der Verantwortliche auf Mittel zurückgreift, die sich im Inland befinden. Nach überwiegender Ansicht ist der Standort des Clients – also des Rechners des Nutzers – zumindest dann ein maßgebliches Mittel, wenn sich der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt. Das trifft aber auf die großen sozialen Netzwerke durchwegs zu.

Die letzte Frage ist dann die, ob die Kollisionsregel des § 1 Abs. 5 BDSG auch für die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) gilt. Aus § 1 Abs. 5 TMG ergibt sich, dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft, weshalb es bei den allgemeineren Kollisionsregeln, also § 1 Abs. 5 BDSG, verbleibt.

Facebook (wie auch Google+ und Twitter) müssen deshalb im Hinblick auf ihre deutschen Nutzer die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG und die des BDSG befolgen. Dieselbe rechtliche Schlussfolgerung ist nach meiner Einschätzung auch für alle anderen EU-Staaten zu ziehen.

June 28 2010

Apple verstößt gegen deutsches und europäisches Datenschutzrecht

Wer unlängst für sein iPhone ein Update auf die neueste Version des Betriebssystems iPhone OS4 gemacht hat oder sonst den iTunes-Store nutzt, hat von Apple eine Änderung der Nutzungsbedingungen und der Datenschutzrichtlinie untergeschoben bekommen, die mit deutschem und europäischem Datenschutzrecht schwerlich vereinbar ist. Neu ist in der Datenschutzrichtlinie z.B. folgende Klausel:

“Um standortbezogene Dienste auf Apple-Produkten anzubieten, können Apple und unsere Partner und Lizenznehmer präzise Standortdaten erheben, nutzen und weitergeben, einschließlich des geographischen Standorts Ihres Apple-Computers oder Geräts in Echtzeit.

Man stößt aber auch auf weitere bedenkliche Klauseln wie:

“Mitunter wird Apple bestimmte personenbezogene Daten an strategische Partner weitergeben, die mit Apple zusammenarbeiten, um Produkte und Dienste zur Verfügung zu stellen, oder die Apple beim Marketing gegenüber Kunden helfen. Wenn Sie beispielsweise Ihr iPhone kaufen und aktivieren, ermächtigen Sie Apple und seinen Mobilfunkanbieter zum Austausch der Daten, die Sie während des Aktivierungsprozesses bereitstellen, um den Dienst zu ermöglichen. Wenn Sie für den Dienst zugelassen werden, gelten die Datenschutzrichtlinien von Apple bzw. seinem Mobilfunkanbieter für Ihren Account. Die personenbezogenen Daten werden von Apple nur weitergegeben, um unsere Produkte, Dienste oder unsere Werbung zu erbringen oder zu verbessern; sie werden nicht an Dritte für deren Marketingzwecke weitergegeben.”

Apple fordert im Zuge des iPhone-Updates nur allgemein dazu auf, den neuen, geänderten Nutzungsbestimmungen zuzustimmen. Eine ausdrückliche Einwilligung des Nutzers in die die Datenverarbeitung wird nicht eingeholt. Eine detailierte Information über den Umfang und den Zweck der Datenerhebung erfolgt ebenfalls nicht. Es ist insbesondere nicht ersichtlich, dass hierauf in hervorgehobener Weise hingewiesen worden ist, wie § 4a Abs. 1 BDSG verlangt. Wenn man an dieser Stelle die Vorschrift des § 13 TMG für anwendbar hält, ändert dies am Ergebnis nichts, denn die Voraussetzungen dieser Norm sind ebensowenig erfüllt, wie die von § 4a BDSG.

Apple muss nach beiden Vorschriften über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten informieren und die ausdrückliche Einwilligung des Nutzers/Kunden einholen.

Bei Apple erfährt der Kunde allerdings den genauen Zweck der Datenerhebung nicht. Auch bleibt unklar, welche Daten im Einzelnen erhoben werden und an welche Dritte (“strategische Partner”) diese Daten übermittelt werden.

Die Datenschutzrichtline von Apple verstößt damit evident gegen datenschutzrechtliche Bestimmungen.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl