07

Kernpunkte:

  • Internetdienstleister
  • Internetfernsehen

 

7    Neue Medien

7.1          Verantwortlichkeit für Facebook -Fanpages

Der Konflikt um die datenschutzrechtliche Verantwortlichkeit der Betreiber von Facebook-Fanpages für die bei Facebook in den USA erfolgende Verarbeitung von Nutzungsdaten (34. TB, Tz. 7.1.1) geht in die nächste Runde. Das Verwaltungsgericht Schleswig hat Klagen von Webseitenbetreibern im Oktober 2013 gegen Untersagungsverfügungen des ULD stattgegeben. Im September 2014 bestätigte das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) in einem Musterverfahren diese Urteile und entschied, dass allein Facebook als verantwortliche Stelle anzusehen sei. Das ULD hat gegen die Entscheidung des OVG beim Bundesverwaltungsgericht (BVerwG) Revision eingelegt. Bei der von diesem Gericht zu klärenden Rechtsfrage sind aus Sicht des ULD folgende Punkte von Bedeutung:

  • Das OVG ignoriert, dass die von Facebook auf den Rechnern der Seitenbesucher gesetzten Cookies, mit denen die Nutzungsdaten erhoben werden, eine zentrale Rolle im Geschäftskonzept Facebooks spielen. Insbesondere die langfristig gespeicherten Cookies (datr- und fr-Cookie) liefern Facebook personalisierbare Daten über die Internetnutzung. Wenn die Nutzer durch ihre Browsereinstellungen die Annahme von Cookies nicht verweigern oder diese löschen, bleiben die Cookies bis zu zwei Jahren auf den Computern, Smartphones oder Tablets erhalten. Über diesen Zeitraum kann Facebook die markierten Systeme umfassend und weit über die eigene Plattform hinaus wiedererkennen und so das Verhalten der betroffenen Nutzer im Internet detailgenau erfassen.
  • Indem die Instanzgerichte zwischen der Bereitstellung von Webinhalten durch die Betreiber der Fanpages und der Verarbeitung der Nutzungsdaten durch Facebook sowie der Übermittlung der durch Facebook anonymisierten Nutzungsstatistik differenzieren, übersehen sie, dass darin ein einheitlicher technischer Vorgang liegt, auf den sich Fanpage-Betreiber und Facebook vertraglich geeinigt haben. Ohne die Inhalte der Fanpage würden die Nutzenden keine Nutzungsdaten hinterlassen, die Facebook zur Profilbildung und Werbeeinblendung verwendet.
  • Die datenschutzrechtlichen Regelungen zur Verantwortlichkeit gelten einheitlich für öffentliche und nicht öffentliche Stellen. Das OVG berücksichtigt nicht ausreichend die Bindung öffentlicher Stellen an die Grundrechte der Nutzer. Auch öffentliche Stellen, welche entsprechende Fanpages betreiben, tragen eine Verantwortlichkeit dafür, dass Facebook beim Seitenbesuch durch Nutzer deren Daten erhebt und verarbeitet. Dies gilt besonders für sensible Bereiche, etwa Schulen, wo Kinder angesprochen werden, oder die Polizei, wo fahndungsrelevante Daten ausgetauscht werden. Auch in diesen Fällen entstehen Kommunikations- und Nutzungsdaten bei der US-amerikanischen Firma Facebook. Wegen ihrer Grundrechtsbindung müssen öffentliche Stellen von einer Nutzung von Facebook absehen (34. TB, Tz. 1.5).
  • Beide Instanzen leugneten entgegen den realen Verhältnissen, dass die Fanpage-Betreiber und Facebook gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden und ihnen deshalb nach den europarechtlichen Vorgaben eine gemeinsame Verantwortlichkeit für die Nutzerdatenverarbeitung zukommt. Die Fanpage-Betreiber verfolgen mit der Ansprache der Nutzer über ihren Webauftritt Werbezwecke. Zum anderen möchten sie ihr Webangebot den Bedürfnissen der Seitenbesucher anpassen und optimieren, wozu die von Facebook abgelieferte anonymisierte Nutzungsstatistik „Insights“ einen wesentlichen Beitrag leistet. Mit dem Anlegen der Fanpage steuern und initiieren sie die Erhebung und Verarbeitung der Nutzungsdaten durch Facebook, wodurch ein zentrales Mittel in den Verarbeitungsprozess eingeführt wird.
  • Fanpage-Betreiber haben als Diensteanbieter durch technisch-organisatorische Vorkehrungen sicherzustellen, dass die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer nicht zusammengeführt werden. Damit will das deutsche Telemediengesetz die Zusammenführung von Daten zu Nutzungsprofilen verhindern. Individualisierte Nutzungsdaten dürfen nur für Abrechnungszwecke verwendet werden. Die Fanpage-Betreiber verfolgen keine Abrechnungszwecke, sondern allenfalls den Zweck der Werbung und den Zweck der bedarfsgerechten Gestaltung ihres Webauftritts. Gleichwohl lassen sie eine Verbindung der Nutzungsdaten, z. B. IP-Adresse und Cookie-Informationen, mit den Anmeldedaten der Nutzer, also z. B. Vorname, Familienname, Geburtsdatum, Geschlecht, durch Facebook zu und verletzen damit die Anforderungen zum technisch-organisatorischen Datenschutz.
  • Für Facebook gilt deutsches Datenschutzrecht. Dieser Schluss ergibt sich aus den Ausführungen, die der Europäische Gerichtshof (EuGH) in einem im Mai 2014 ergangenen Urteil zu Google gemacht hat. Die Facebook Inc. muss deutsches Datenschutzrecht beachten, denn sie betreibt in Deutschland mit der Facebook Germany GmbH, Großer Burstah 50-52, 20457 Hamburg, eine Niederlassung. Die Facebook Germany GmbH wurde nach den Angaben von Facebook im Jahr 2009 in Hamburg eröffnet, um die Zusammenarbeit von Marken und Unternehmen mit Kunden oder Fans auf Facebook zu verbessern. Die Facebook Germany GmbH unterstützt durch Werbe- und Marketingmaßnahmen die Nutzung der Facebook-Dienste. Diese Tätigkeit genügt, um die Facebook Germany GmbH als Niederlassung zu qualifizieren. Es ist hierfür nicht notwendig, dass die Facebook Germany GmbH selbst personenbezogene Daten verarbeitet, so wie dies noch das Schleswig-Holsteinische OVG in einer Entscheidung vom April 2013 angenommen hatte.

Die Umsetzung des Facebook-Fanpage-Urteils des OVG führt zu der absurden Konsequenz, dass Webseitenbetreiber generell – egal ob diese öffentlich oder privatwirtschaftlich organisiert sind – auf vertraglicher Basis von einer offenkundig rechtswidrigen Datenverarbeitung profitieren können, ohne dass ihnen hierfür ein datenschutzrechtlicher Vorwurf gemacht werden kann. Zu der zugrunde liegenden Rechtsfrage wird nun das BVerwG entscheiden.

Die Entscheidung des OVG Schleswig und die hierzu veröffentlichte Presseerklärung des ULD sind abrufbar unter: https://www.datenschutzzentrum.de/artikel/770-.html

Die Entscheidung des VG Schleswig und die hierzu veröffentlichte Presseerklärung des ULD sind abrufbar unter:
https://www.datenschutzzentrum.de/artikel/769-.html

Was ist zu tun?
Es ist zu hoffen, dass bald Rechtsklarheit in der Form hergestellt wird, dass deutsche Stellen sich ihrer datenschutzrechtlichen Verantwortlichkeit nicht dadurch entledigen können, dass sie ausländische Portale nutzen.

 

7.2          Klarnamenpflicht  bei Facebook

Nach mehreren Beschwerden von Facebook-Nutzenden, die sich bei dem sozialen Netzwerk nicht unter ihrem wirklichen Namen, dem Klarnamen, sondern unter einem Pseudonym angemeldet hatten, erließ das ULD sofort vollziehbare Verfügungen gegen Facebook Ltd. in Irland und Facebook Inc. in den USA, weil das Netzwerk deren Konten sperrte. Diese weltweite Praxis verstößt gegen deutsches Recht, das im Telemediengesetz (TMG) vorsieht, dass Diensteanbieter verpflichtet sind, die Nutzung „anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist“. Das von Facebook angerufene Verwaltungsgericht (VG) Schleswig gab den beiden Unternehmen recht mit der Behauptung, nicht deutsches, sondern irisches Recht sei anwendbar. Es spiele keine Rolle, dass Facebook in Deutschland eine Niederlassung hat und den deutschen Markt anspricht (34. TB, Tz. 7.1.3). Mit Beschlüssen vom April 2013 wurden die Entscheidungen des VG Schleswig vom Schleswig-Holsteinischen Oberverwaltungsgericht (OVG) auf die Beschwerden des ULD hin voll bestätigt.

https://www.datenschutzzentrum.de/facebook/20130422-ovg-beschluss-facebook-inc.pdf
https://www.datenschutzzentrum.de/facebook/20130422-ovg-beschluss-facebook.pdf

Die Anwendung der nicht anfechtbaren Beschlüsse des OVG hätten zur Folge, dass keine deutsche Aufsichtsbehörde gegen US-Unternehmen, deren wesentliche Datenverarbeitung in den USA erfolgt und die in Irland ihre europäische Hauptniederlassung haben, nach deutschem Datenschutzrecht vorgehen könnte. Die Entscheidungen haben glücklicherweise nach dem Google-Urteil des Europäischen Gerichtshofes (EuGH) vom April 2014 keinen rechtlichen Bestand mehr. Während die Verwaltungsgerichtsbarkeit des Landes die vom ULD vorgetragene grundrechtliche Begründung seiner Bescheide nicht aufgegriffen hatte, entschied der EuGH, dass das Marktortprinzip gilt, also bei Bestehen einer Niederlassung in Deutschland deutsches Recht beachtet werden muss. Dies hat zur Folge, dass die weiterhin von Facebook praktizierte Klarnamenpflicht rechtswidrig ist. Tatsächlich sperrt das Unternehmen weiterhin Konten, die unter einem Pseudonym angemeldet sind.

Was ist zu tun?
Das ULD wird gemeinsam mit den anderen deutschen Aufsichtsbehörden eine Strategie entwickeln, um Facebook zu einem rechtmäßigen Handeln zu bewegen.

 

7.3          Microsoft Office 365  – eine Bürolösung mit fehlenden Antworten

Mit Microsoft Office 365 sollen dem Nutzer Cloud-basierte Dienste, vor allem fremde Serverkapazitäten zur Verfügung gestellt werden. Fragen zum technisch-organisatorischen Datenschutz blieben bis heute leider unbeantwortet.

Mithilfe von Office 365 kann der Nutzer auf seine Anwendungen und Dateien von jedem Standort aus mit beliebiger Hardware zugreifen, wobei die Anwendungen durch automatische Updates immer aktuell bleiben. E-Mail- und Kalenderfunktionen, ein großer Datenspeicher, die Möglichkeit, Videokonferenzen durchzuführen, und ein moderner Standard zur Bearbeitung von Office-Dokumenten gibt es inklusive. Für Privatnutzer, Studierende und Firmen unterschiedlicher Größe stehen verschiedene Lizenzvarianten zur Verfügung, die sich hinsichtlich des Funktionsumfangs der Software (z. B. nur online oder auch lokal installierbar), Zahlungsweise (Festpreis oder monatliche Kosten) und Integration in die bestehende Firmeninfrastruktur unterscheiden. Die bisher ausschließlich lokal installierte Office-Software wird jetzt unter Office 365 vermarktet, die automatisch Verbindung zum Internet aufnimmt.
Datenschutzrechtlich besonders relevant ist die Nutzung von Office-365-Varianten, die ihre Dateiablage auf Microsoft-Servern realisieren. Als vertragliche Grundlage für Geschäftskunden hat Microsoft die Standardvertragsklauseln 2010/87/EU der Europäischen Kommission verwendet, die bei Inanspruchnahme von Office 365 mit dem Nutzer vereinbart werden. Die Artikel-29-Datenschutzgruppe hat die verwendeten Standardvertragsklauseln geprüft und festgestellt, dass diese mit Ausnahme ihres Anhangs zu den technisch-organisatorischen Sicherheitsanforderungen den Vorgaben der Kommission entsprechen. Ausführungen in dem Anhang wurden von der Artikel-29-Datenschutzgruppe nicht geprüft und unterliegen der Kontrolle der zuständigen Aufsichtsbehörden.

Das ULD nahm mit Microsoft über das Produkt „Office 365“ den Dialog auf und bat um die Übersendung einer prüfbaren Verfahrensdokumentation einschließlich eines Sicherheitskonzepts und um nähere Informationen zu den vorgenommenen Protokollierungen, was das Unternehmen im Sommer 2013 zusagte. Dem ULD wurden seitdem trotz Nachfragen keine der erbetenen Dokumente übersandt. Es kann deshalb keine Aussage getroffen werden, dass Office 365 beanstandungslos betrieben werden kann.

Das ULD kam im Rahmen seiner Prüfung zu folgenden Ergebnissen:

  • Office 365 ist aktuell nicht geeignet, selbst personenbezogene Daten mit normalem Schutzbedarf datenschutzkonform zu verarbeiten. Das ULD müsste den Einsatz von Office 365 durch Stellen in Schleswig-Holstein in der aktuellen Form beanstanden. Für einen Einsatz bei öffentlichen und nicht öffentlichen Stellen in Schleswig-Holstein sind durch die verantwortlichen Daten verarbeitenden Stellen Pflichten abgefordert, denen sie mit dem Standardangebot von Microsoft genügen können.
  • Das Produkt „Office 365“ muss, um datenschutzkonform eingesetzt werden zu können, durch eine vom Kunden auswertbare Protokollierung aller diesen betreffenden administrativen Änderungen und jeder Verarbeitung von durch diesen verwendeten Daten ergänzt werden. Die Protokollierung muss sowohl durch den Kunden veranlasste Veränderungen – direkt über das Webfrontend oder per Auftrag an Microsoft – als auch durch Microsoft durchgeführte Änderungen umfassen. Die Protokollierung sollte direkt am jeweiligen Objekt einsehbar sein, z. B. durch Rechtsklick auf eine Datei. Alternativ ist auch eine zentrale Protokollauswertung denkbar. Die Berechtigung zur Einsichtnahme in die Protokolldaten muss explizit an einzelne Personen vergeben werden können. Das Durchführen einer Auswertung muss wiederum zu einem Protokolleintrag führen.
  • Die Aufbewahrungszeit der Protokolldaten muss durch den Kunden konfigurierbar sein. Der Mechanismus zur Protokollierung und Auswertung muss explizit Bestandteil einer unabhängigen, regelmäßigen Begutachtung sein, deren Ergebnisse den Anwendern bekannt gemacht werden müssen.
  • Microsoft muss die für den Kunden wesentlichen Sicherheits- und Datenschutzmaßnahmen bei Office 365 und das bei Microsoft vorhandene Sicherheits- und Datenschutzmanagement so beschreiben, dass diesem und den Datenschutzaufsichtsbehörden eine eigene Prüfung und Bewertung des Sicherheits- und Datenschutzniveaus möglich ist. Die Dokumentation muss eine Vorstellung zu den für die Diensterbringung beteiligten Standorten, zu Personal, Systemen und Netzverbindungen geben sowie die diesbezüglich getroffenen Sicherheits- und Datenschutzmaßnahmen nachvollziehbar beschreiben.
  • Für Daten mit erhöhtem Schutzbedarf, z. B. Daten mit Berufs- oder Amtsgeheimnissen, Personalaktendaten sowie Steuerdaten, muss Microsoft eine Lösung beschreiben, wie durch eine Verschlüsselung, z. B. auf Basis des Einsatzes der in den Microsoft Rights Management Services (RMS) vorhandenen Lösung, eine Kenntnisnahme dieser Daten durch Microsoft ausgeschlossen werden kann. In einzelnen Nutzungsszenarien lässt sich für die Daten verarbeitenden Stellen durch den Einsatz von Verschlüsselung und Pseudonymisierung der personenbezogenen Daten bei der Nutzung von Office 365 ein ausreichendes Sicherheits- und Datenschutzniveau erreichen. Dies muss jedoch im Einzelfall geprüft werden. Generell ist nicht von der Möglichkeit einer beanstandungsfreien Nutzung von Office 365 auszugehen.

Was ist zu tun?
Öffentliche und nicht öffentliche Stellen in Schleswig-Holstein müssen leider derzeit auf das wegen seiner Funktionalität zweifellos attraktive Angebot Office 365 von Microsoft verzichten.

 

7.4          Financial Blocking  beim Online-Glücksspiel

Im Jahr 2013 wandten sich Internet- und Finanzdienstleister an das ULD mit der Frage, inwieweit die im Glücksspielstaatsvertrag vorgesehene Regelung zum Unterbinden von Zahlungen für unerlaubtes Online-Glücksspiel – das sogenannte Financial Blocking – mit Datenschutzrecht zu vereinbaren ist.

Schleswig-Holstein ist mit seinem Glücksspielgesetz in diesem Bereich zunächst einen eigenen Weg gegangen. Doch hat das Land im Frühjahr 2013 beschlossen, dem Glücksspielstaatsvertrag der anderen 15 Bundesländer beizutreten. Darin wird der Glücksspielaufsicht erlaubt, Beteiligten, insbesondere Kredit- und Finanzdienstleistungsinstituten, nach vorheriger Bekanntgabe unerlaubter Online-Glücksspielangebote die Mitwirkung durch Zahlungsabwicklung zu untersagen.

Voraussetzung für die wirksame Untersagung ist, dass bei den adressierten Finanz- und Internetdienstleistern die Daten vorliegen, mit denen sie effektiv zwischen unzulässigem und erlaubtem Online-Glücksspiel unterscheiden können. Da der Glücksspielmarkt nicht nur in Deutschland, sondern in Europa zersplittert ist und bei Online-Glücksspielen und den damit verbundenen Finanztransaktionen nationale Grenzen keine wesentliche Rolle spielen, können Spiele an einem Ort zulässig, an einem anderen verboten sein. Um das Financial Blocking rechtskonform durchführen zu können, müssen die Finanz- und Internetdienstleister wissen, wo sich der Spieler beim Spiel aufhält und dass die Zahlung sich auf ein verbotenes Glücksspiel bezieht. Dies ist aber Finanztransaktionen – egal ob sie über das Internet oder auf anderem Wege erfolgen – nicht anzusehen. Zwar kann bei Kreditkartenzahlungen erkannt werden, dass ein Empfänger Glücksspielanbieter ist. Weiter gehende Daten zur Erkennung eines unzulässigen Online-Glücksspiels liegen den Finanz- und Internetdienstleistern aber nicht vor.

Eine datenschutzrechtliche Untersuchung des Glücksspielstaatsvertrags ergab, dass Dienstleister die bei ihnen vorhandenen Daten für ein Financial Blocking verwenden dürfen. Darüber hinausgehende Befugnisse zur Datenverarbeitung, insbesondere die eigenständige Datenbeschaffung von Lokalisierungsdaten, können aber rechtlich nicht abgeleitet werden. Eine Vorratsdatenerhebung zu allen Internetnutzenden, um bei illegalen Glücksspielern die unzulässige Zahlungsaktion zu erkennen, wäre unverhältnismäßig. Ebenso wenig besteht eine Befugnis für Servicebetreiber, Identifizierungsdaten an Finanzdienstleister oder an andere Stellen weiterzugeben. Dies hat zur Folge, dass die im Staatsvertrag vorgesehene Maßnahme des Financial Blocking nicht effektiv umgesetzt werden kann. Die Stellungnahme des ULD ist im Internet abzurufen.
https://www.datenschutzzentrum.de/artikel/860-.html

Was ist zu tun?
Das Land Schleswig-Holstein sollte sich dafür einsetzen, dass der Glücksspielstaatsvertrag so geändert wird, dass unzulässiges Glücksspiel bekämpft werden kann, ohne gegen Datenschutzvorschriften zu verstoßen.

 

7.5          Smart-TV

Ende 2013 bat der Medienrat der Medienanstalt Hamburg-Schleswig-Holstein (MA HSH) das ULD um eine Beratung zum Thema „Internetfernsehen und Datenschutz“. Daraus entstand eine Kooperation, aus der das Positionspapier „Internet-TV und Datenschutz – ein Annäherungsversuch“ entstand. Das digitale, über das Netz erreichbare Fernsehgerät eröffnet die Möglichkeit einer zweidirektionalen Kommunikation, aus der Sender, Portal- und Diensteanbieter sowie TV-Hersteller in die Wohn- und Schlafzimmer eindringen und nicht nur die Sehgewohnheiten ausspionieren können, ohne dass die Betroffenen dies wissen, geschweige denn dies unterbinden können. Mit in den Bildschirm eingebauten Mikrofonen und Kameras kann die Zuschauerüberwachung weiter perfektioniert werden.

https://www.datenschutzzentrum.de/artikel/619-.html

Dem Thema nahm sich der Düsseldorfer Kreis in Kooperation mit den Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten mit einer Entschließung an, die von der Konferenz der Direktoren der Medienanstalten unterstützt wird.

https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2014/Smartes_Fernsehen_nur_mit_smartem_Datenschutz/Beschluss_Smart_TV.pdf

Das Thema ist inzwischen allen Beteiligten bekannt. Ein öffentlich-rechtlicher Sender hat direkt reagiert und sein Nutzungstracking mithilfe von Google Analytics eingestellt. Viele Datenflüsse spielen sich aber weiterhin im Verborgenen ab; deren Zwecke sind unklar. Ein riesiges neues Feld tut sich für den Datenschutz auf, das nach einer umfassenden Bestandsaufnahme ruft.

Was ist zu tun?
Nach einer systematischen Sachverhaltsaufklärung bedarf es eines gemeinsamen Vorgehens von Datenschützern, Medienanstalten und Sendern zur Festlegung datenschutzkonformer Standards beim Internetfernsehen.

 

7.6          Rundfunkänderungsstaatsvertrag

Im 15. Rundfunkänderungsstaatsvertrag (RÄStV) wurde die bisherige Rundfunkgebühr durch einen Beitrag abgelöst. Die dabei getroffenen Regelungen ermöglichen ein Übermaß an Datenverarbeitung (34. TB, Tz. 7.4). Diese von sämtlichen Datenschutzbeauftragten geteilte Kritik stieß auf offene Ohren beim Landtag Schleswig-Holstein und veranlasste letztendlich die Rundfunkanstalten, die Praxis der Datenverarbeitung bei der Beitragserhebung durch untergesetzliche Festlegungen im Sinne der Datenschutzkritik zu begrenzen. Das ULD forderte im Einklang mit den anderen Datenschutzbeauftragten, bei der nächsten Rundfunkstaatsvertragsänderung die bestehenden ausufernden Regelungen auf das unbedingt Erforderliche zurückzuführen. Beim vorgelegten Entwurf eines 16. RÄStV wurde zwar das Beitragsrecht angefasst, doch die Forderung der Datenschützer ignoriert. Mit deren Umsetzung würde normativ dem Grundrechtsschutz entsprochen und zugleich das Recht der Praxis weitgehend angepasst. Nur so kann verhindert werden, dass künftig durch eine Änderung der Praxis eine übermäßige und damit grundrechtswidrige Datenverarbeitung im Rahmen der Beitragserhebung stattfindet.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel