Dr. Ole Damm | Rechtsanwalt & Fachanwalt
IT-Recht, IP-Recht und Datenschutzrecht
Aktuelle Beiträge und Urteile
- Kein sicherer Datenschutz bei SSL-Verbindung?veröffentlicht am 19. Dezember 2008
Das Institut für Internet-Sicherheit hat nach Berichten von heise.de an realen Datenströmen im Internet gemessen, dass nur 5 – 15 Prozent der Daten, die über Verschlüsselungssysteme (Kryptosysteme) weitergeleitet werden, verschlüsselt werden. Weit über die Hälfte dieser Daten werde mit veralteten Verfahren verschlüsselt. Nach Erkenntnissen des IIS komme es gelegentlich gar vor, dass eine auf den ersten Blick geschützte SSL-Verbindung – am „https“ in der Browser-Adresszeile erkennbar – vollkommen unverschlüsselt, also im Klartext mitlesbar sei. (? Klicken Sie bitte auf diesen Link, der JavaScript verwendet: Heise).
- Yahoo speichert Nutzerdaten aus Suchmaschinenanfragen weltweit nur noch 3 Monate, Microsoft eventuell 6 Monate und Google 9 Monateveröffentlicht am 18. Dezember 2008
Yahoo wird künftig weltweit seine Daten aus der Suchmaschinennutzung sowie aus den Seiten- und Anzeigenaufrufen nach drei Monaten anonymisieren, soweit dem nicht konkrete gesetzliche Regelungen widersprechen oder ein konkreter Verdacht vorläge, berichtet heise.de (? Klicken Sie bitte auf diesen Link, der JavaScript verwendet: Heise). Google will seine Daten aus der Suchmaschinennutzung wenigstens 9 Monate aufbewahren, bevor sie anonymisiert werden, während Microsoft zu erkennen gegeben hatte, diese Datenspeicherung auf 6 Monate zu verkürzen, wenn Konkurrenten sich gleichermaßen verhalten würden, wie das Handelsblatt berichtete (? Klicken Sie bitte auf diesen Link, der JavaScript verwendet: Handelsblatt).
- OLG Stuttgart: Wettbewerbsrechtliche Abmahnung wegen Verstoß gegen Datenschutzrechtveröffentlicht am 8. Dezember 2008
OLG Stuttgart, Urteil vom 22.02.2007, Az. 2 U 132/06
§§ 3, 4 Nr. 11 UWG i.V. mit § 28 Abs. 3 BDSGDas OLG Stuttgart hat entschieden, dass die Weitergabe von Kundendaten einschließlich der Kontoverbindung des Kunden an Dritte für Werbezwecke wettbewerbswidrig ist, wenn keine wirksame Einwilligung des Kunden vorliegt. Das Gericht führte aus, dass Verstöße gegen das Bundesdatenschutzgesetz in einer Vielzahl von Fällen zwar nicht wettbewerbswidrig seien, da es an der erforderlichen Marktbezogenheit bei einer Verletzung in der Regel fehle. Hier hatte die Beklagte, ein Telekommunikationsdienstleister, jedoch Kundendaten an eine verbundene Lottereieinnahmestelle weitergegeben, in dem Wissen, dass an diese Kunden mit massiver Werbung herangetreten und sogar unberechtige Abbuchungen von Kundenkonten getätigt würden. Die dadurch ausgelösten Auswirkungen auf den Wettbewerb gingen über die rechtswidrige Datenweitergabe an sich hinaus, so dass eine Marktbezogenheit in diesem Fall zu bejahen sei. Zweck der Weitergabe sei die Verschaffung eines wettbewerbsrechtlichen Vorteils. Die Beklagte war durch die Weitergabe der Daten wissende und willentliche Teilnehmerin am Wettbewerbsverstoß und wurde auf dieser Basis verurteilt.
(mehr …) - OLG Köln: Auskunftsanspruch per einstweiliger Verfügung?veröffentlicht am 21. November 2008
OLG Köln, Beschluss vom 21.10.2008, Az. 6 Wx 2/08
§§ 19 a, 101UrhG; 20 Abs. 1 FGG; 280, 281BGB; 2 RDG; 1Abs. 1UrhWG; 96 TKGDas OLG Köln hat bestätigt, dass ein Auskunftsbegehren nicht im Wege der einstweiligen Verfügung verfolgt werden kann. Im vorliegenden Fall wäre die Antragsgegnerin berechtigt und bei Vorliegen der Voraussetzungen des § 101 Abs. 2 UrhG auch verpflichtet, die von der Antragstellerin begehrte Auskunft zu erteilen. Das weitere Verfahren gemäß § 101 Abs. 9 UrhG würde auf diese Weise hinfällig und der damit bezweckte Schutz der datenschutzrechtlichen Interessen des am Verfahren unbeteiligten Kunden der Antragsgegnerin könne nicht erreicht werden. Es sei auch kein Ausnahmefall ersichtlich, nach dem eine Vorwegnahme der Hauptsache zulässig wäre, selbst wenn die Antragsgegnerin die Verkehrsdaten ihrer Kunden nach sieben Tagen zu löschen pflege. Es könne auch auf andere Weise verhindert werden, dass der Antragsgegnerin die Erfüllung des Auskunftsanspruchs der Antragstellerin unmöglich gemacht werde. Hierzu sei es ausreichend, dass (wie vom Senat angeordnet und im Einzelnen begründet) der Beschwerdeführerin einstweilen die Löschung der Daten untersagt werde.
- Datenschutzaudit-Gesetz: Ein gesetzliches Gütesiegel für den Datenschutz?veröffentlicht am 23. Oktober 2008
In einem Datenschutzgespräch haben sich der Bundesinnenminister, der Bundesdatenschutzbeauftragte, die Datenschutzbeauftragten der Länder und die Vertreter weiterer Bundesministerien am 04.09.2008 darauf verständigt, ein Gesetz über sog. Datenschutzaudits zu entwerfen, dass § 9 a BDSG vervollständigen soll. Der Entwurf soll spätestens Ende November 2008 dem Bundeskabinett zur Beschlussfassung vorgelegt werden. Eckpunkte der Gesetzesregelung sollen sein:
„* Vergabe des Datenschutzauditsiegels, wenn über die Einhaltung der Gesetze hinaus Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllt werden
* Erarbeitung der Richtlinien in einem Ausschuss mit Experten aus Wirtschaft und Verwaltung
* kontinuierliches Kontrollverfahren statt einmaliger Kontroll- und Vergabeprozedur
* Durchführung durch staatlich überwachte, private Kontrollstellen
* zentrale und bundesweite Zulassung der Kontrollstellen nach einheitlichen Kriterien
* Begrenzung des Datenschutzaudits auf Unternehmen
* Freiwilligkeit des Datenschutzaudits
* Stärkung des betrieblichen Datenschutzbeauftragten und Einbeziehung in das Kontrollverfahren
* ggf. Berücksichtigung eines Datenschutzaudits bei der noch zu prüfenden Informationspflicht von Unternehmen bei Datenschutzpannen. „ (mehr …) - BDSG: Zukünftig gelten strengere datenschutzrechtliche Anforderungen an die Bonitätsprüfung von Kundenveröffentlicht am 22. Oktober 2008
Nach dem Entwurf der Bundesregierung zur Änderung des Bundesdatenschutzgesetzes (? Klicken Sie bitte auf diesen Link, der JavaScript verwendet: Entwurf) ist eine Überarbeitung des geltenden Datenschutzrechtes geplant. Zu der Notwendigkeit, die gesetzliche Grundlage zu verändern, führt die Regierung einleitend aus: „Das Bundesdatenschutzgesetz (BDSG) in seiner derzeitigen Fassung trägt der gestiegenen und weiter steigenden Bedeutung von Auskunfteien in einer immer anonymer werdenden Geschäftswelt und ihrer Nutzung durch immer weitere Branchen nicht mehr ausreichend Rechnung. Problematisch ist insbesondere, dass aufgrund bestehender intransparenter Verfahrensweisen der Auskunfteien Betroffene häufig die sie betreffenden Entscheidungen ihrer (potentiellen) Geschäftspartner, der Auskunfteikunden, nicht oder nur schwer nachvollziehen können. Dies gilt insbesondere beim Einsatz sog. Scoringverfahren (mathematisch-statistische Verfahren zur Berechnung der Wahrscheinlichkeit, mit der eine bestimmte Person ein bestimmtes Verhalten zeigen wird), die vor allem zur Bewertung der Kreditwürdigkeit (Zahlungsfähigkeit und -willigkeit) der Betroffenen verwendet werden. Zudem ist hinsichtlich bestimmter Datenverarbeitungen durch Auskunfteien in der Praxis eine gewisse Rechtsunsicherheit zu erkennen. Aufgrund der mitunter sehr weiten Auslegungs- und Bewertungsspielräume der geltenden datenschutzrechtlichen Regelungen wird die Zulässigkeit bestimmter Datenverarbeitungen, mitunter auch von den Datenschutz-Aufsichtsbehörden der Länder, unterschiedlich beurteilt. Der Gesetzentwurf verfolgt das Ziel, die Transparenz der Verfahren zu verbessern und gleichzeitig mehr Rechtssicherheit und damit bessere Planungsmöglichkeiten für die Unternehmen zu schaffen.“ (mehr …)
- GOOGLE: Nutzung von Google Analytics® nur nach einem entsprechendem Datenschutzhinweis?veröffentlicht am 6. Oktober 2008
Der Bundesverband der Digitalen Wirtschaft hat am 02.10.2008 eine Presseerklärung veröffentlicht, wonach ein Einsatz von Google Analytics gemäß § 13 Abs. 1 TMG mit entsprechendem Datenschutzhinweis rechtmäßig sein soll (? Klicken Sie bitte auf den folgenden Link der JavaScript verwendet: bvdw). Zuletzt wurde weniger beanstandet, dass der Verwender von Google Analytics auf seiner Website das jeweilige Nutzerverhalten verfolge. Kritisch betrachtet wurde aber, dass die von verschiedenen, Google Analytics nutzenden Website-Betreibern gelieferten Daten bei der Firma Google gesammelt und verknüpft werden könnten und dort grundsätzlich ein Verhaltensprofil von dem jeweiligen Nutzer über die gespeicherte IP-Adresse erstellt werden könne. Google schließt dies in einer eigenen Datenschutzerklärung aus. Der Website-Betreiber sei laut BVDW verpflichtet, einen entsprechenden Hinweis bezüglich der Erfassung und Nutzung der Daten auf der Webseite zu platzieren. In diesem Zusammenhang sei darauf hingewiesen, dass die IP-Adresse lediglich zur Standortbestimmung des Nutzers genutzt wird, also nicht ohne weiteres Aufschluss über die persönlichen Daten des Nutzers gebe, womit sie für eine individuelle Nutzeranalyse wertlos ist.
- BGH: Vorformulierte Einwilligung in E-Mail-Werbung ist unzulässigveröffentlicht am 19. September 2008
BGH Urteil vom 16.07.2008, Az. VIII ZR 348/06
§ 307 Abs. 1 Satz 1, Abs. 3 Satz 1 BGB; §§ 4 Abs. 1, 4a Abs. 1, 28 Abs. 1 Satz 1 Nr. 1 BDSG; § 7 Abs. 2 Nr. 3 UWGDer BGH hat entschieden, dass es wettbewerbswidrig ist, wenn die Einwilligung des Kunden in die Zusendung von Werbung (auch per E-Mail) fingiert wird. Im vorliegenden Fall war ein entsprechendes Auswahlkästchen zu markieren, wenn die vom Betreiber eilfertig angenommene Einwilligung doch nicht erteilt werden sollte. Die Erklärung „Hier ankreuzen, falls die Einwilligung nicht erteilt wird“ sei unzulässig und halte der Inhaltskontrolle nach § 307 Abs. 1 Satz 1, Abs. 2 Nr. 1 BGB nicht stand, soweit sie die Einwilligung in die Speicherung und Nutzung der Daten für die Zusendung von Werbung per SMS oder E-Mail-Newsletter betreffe. Soweit die Klausel die Einwilligung in die Speicherung und Nutzung der Daten für die Zusendung von Werbung per Post sowie zu Zwecken der Marktforschung betreffe, unterliege sie nicht der Inhaltskontrolle. Ebenfalls nicht der AGB-Inhaltskontrolle unterliegt die Klausel: „Wenn Sie am Payback-Programm teilnehmen, werden … Ihr Geburtsdatum … benötigt. … „. Die Entscheidung dürfte auch für die Einbindung von Allgemeinen Geschäftsbedingungen Relevanz haben, wenn deren Kenntnisnahme in einem entsprechenden Auswahlkästchen vormarkiert ist. (mehr …)
- GOOGLE: Google versieht jeden Chrome-Browser mit einer eindeutigen Nummerveröffentlicht am 4. September 2008
Googles neuer Browser „Chrome“ sendet Daten an Google, worauf Google auch ausdrücklich hinweist ( ? Klicken Sie bitte auf diesen Link, der JavaScript verwendet: Anmerkung zum Datenschutz). Bei der Installation erhält jeder Chrome-Browser eine individuelle Nummer zur Identifikation zugeordnet, die mit weiteren Daten an Google gesendet wird. Dies ist angesichts der dominanten Stellung von Google im Internet (Suchmaschine, Werbeformen, webbasierte Applikationen) bedenklich. Google erhält auf diese Weise theoretisch die Möglichkeit, Nutzerdaten zusammenzuführen ohne dass dies dem Nutzer in dieser Form bewusst ist. Ob sich diese weitere Form der Datenerfassung zukünftig zum Orwell’schen „Big Brother“-Problem auswächst ist abzuwarten. Google überwacht Dateneingaben und -ströme bereits mit den Technologien Analytics oder AdSense. Näheres zum Problem des vielleicht gläsernen Chrome-Nutzers findet sich hier (? Klicken Sie bitte auf diesen Link, der JavaScript verwendet: Golem).
- LG Dortmund: Personenbezogene Kundendaten dürfen nicht pauschal an Dritte weitergegeben werdenveröffentlicht am 18. Juli 2008
LG Dortmund, Urteil vom 23.02.2007, Az. 8 O 194/06
§ 307 Abs. 1, Abs. 2 Nr. 1 BGB, §§ 4 Abs. 1, 4 a Abs. 1 BDSGDas LG Dortmund hat entschieden, dass personenbezogene Daten von Kunden nicht nach freiem Ermessen des die Information Erhebenden an Dritte übermittelt werden dürfen. Eine entsprechende AGB-Klausel verstoße gegen das Recht der Allgemeinen Geschäftsbedingungen (§§ 305 ff. BGB) und das Bundesdatenschutzgesetz (BDSG). Zwar sei es zulässig, so ließ das LG Dortmund durchblicken, die Einwilligung des Kunden für solche Daten per AGB zu fingieren, deren Weitergabe für die Vertragserfüllung wesentlich sei; denn der Kunde rechne geradezu damit. Eine pauschale Einwilligung in die Weitergabe aller Daten könne jedoch nicht vorausgesetzt bzw. fingiert werden.
(mehr …)