November-Newsletter 2016

Datum: 
15. November 2016

- EuGH-Urteil zu dynamischen IP-Adressen birgt weitreichende Konsequenzen für Webseitenbetreiber
- Surfprofile von Internetnutzern aufgedeckt
- Wohnungsbaugesellschaften missachten Datensicherheit und lösen damit Kontrollen der Datenschutzbehörden aus
- Parlamentarischer Staatssekretär für „Datensparsamkeit 4.0“ als Antwort auf die Datenökonomie
- Expertenkongress diskutiert neue Ideen für den Datenschutz
- Terminhinweise

Sehr geehrte Damen und Herren,
liebe Dialogpartner und Unterstützer der Berliner Datenschutzrunde,

mit der Wahl Donald Trumps zum 45. US-Präsidenten wurden die Grenzen selbst modernster Datenanalysen aufgezeigt. Hatten einige Medien noch kurz vor der Wahl von der Big-Data-Revolution an der Prognose-Front gesprochen, war am Morgen danach klar, dass präzise Verhaltensvorhersagen doch eine größere Herausforderung darstellen als die Entdeckung grundsätzlicher Korrelationen in Datenbergen.

Datenpolitisch ist Trump wie auch in den meisten anderen Politikfeldern die sprichwörtliche Wundertüte. Als „Law and Order“-Kandidat ist aus Sicht des Datenschutzes jedoch zu befürchten, dass die Idee verpflichtender Hintertüren in verschlüsselten Softwareprodukten wieder Auftrieb bekommen könnte. So bleibt nur zu hoffen, dass der Präsident Trump sich nicht an die Ideen des Wahlkämpfers Trump gebunden fühlt und er von der einstmals geforderten teilweisen Abschaltung des Internets Abstand nimmt.

Böse Zungen könnten behaupten, dass BMJV-Staatssekretär Ulrich Kelber mit seiner Ende Oktober geäußerten Idee von der „Datensparsamkeit 4.0“ als deutschem Weg der Digitalisierung von Trumps Vorstellungen gar nicht so weit entfernt ist. Tatsächlich geht es Kelber jedoch darum die technische Anonymisierung von personenbezogenen Daten für Big-Data-Analysen zur Maxime zu erklären. Dies wäre natürlich im Sinne des Verbraucherschutzes. Allerdings wird der Großteil der Wertschöpfung aus den Analysen aus der anschließenden Verwertbarkeit für nutzerspezifische Werbung gezogen. Es ist also fraglich, ob die deutsche Wirtschaft hiervon wirklich profitieren, geschweige denn mit einer solchen Technologie Aufträge internationaler Unternehmen gewinnen würde.

Dass derweil die Anonymisierung von Datensätzen selbst auch nicht so trivial, respektive diese bei manchen Unternehmen nicht allzu gründlich betrieben wird, hat der NDR mit seiner Recherche zur Browser-Erweiterung „World of Trust“ öffentlichkeitswirksam zutage gefördert.

Wir wünschen Ihnen viel Freude beim Lesen des aktuellen Newsletters.
Ihre Berliner Datenschutzrunde


 

NEUES VOM DATENSCHUTZ IN KÜRZE

Werbestopper.de bringt „Adblock Plus“-Diskussion in die Offline-Welt

Der Werbeblocker „Adblock Plus“ sorgte in der Vergangenheit für Diskussionen, weil er nur jene Werbung zulässt, die entweder der Internetnutzer selbst explizit freigegeben hat oder für die der Werbetreibende eine extra Gebühr an dessen Firma Eyeo zahlt. Nun wirbt das Unternehmen „Gesellschaft zur Durchsetzung von Verbraucher-Interessen GmbH“ (GDVI) prominent mit Oliver Kahn für sein Produkt „werbestopper.de“. Es verspricht, dass jeder Werbe-Einwurf in den Briefkasten, „der nicht vom Empfänger gewünscht oder unumgänglich ist“, untersagt wird. Nach Vorstellung der GDVI sollten Werbetreibende über eine von einem Partnerunternehmen angebotene App Auskünfte darüber erhalten, ob bzw. welche Werbung der Empfänger erhalten möchte. Sollten Werbetreibende den Angaben in der App nicht folgeleisten, bietet die GDVI laut AGB seinen Nutzern „die Vermittlung von Kooperationsanwälten an“, um die Werbeverbote rechtlich durchsetzen zu lassen.

Da die Anmeldung bei werbestopper.de für den Verbraucher kostenlos ist, muss vermutet werden, dass die GDVI nicht nur von dieser Vermittlung sowie etwaigen anschließenden Prozesskosten profitiert, sondern auch die App nicht dauerhaft kostenfrei sein wird. Die Wettbewerbszentrale kritisiert zudem die für die Nutzer obligatorischen weitreichenden Datenschutz-Einwilligungen. Dies gelte insbesondere für die Weiterleitung der Nutzerdaten an die Kooperationsanwälte. Sie hat daher, auch vor dem Hintergrund des recht aussichtslosen Versprechens postalische Werbung effektiv zu verhindern, ein Abmahnverfahren gegen die GDVI eingeleitet. Neben der rechtlichen Dimension ist die Diskussion aber auch politisch relevant. So hat zuletzt die Bund-Länder-Kommission zur Medienkonvergenz gefordert ein Ad-Blocker-Verbot zu prüfen. Es bleibt abzuwarten, ob für die Offline-Welt die Praxis der GDVI auf gerichtlichem Wege unterbunden oder die Politik auch hier tätig wird.


 

EuGH-Urteil zu dynamischen IP-Adressen birgt weitreichende Konsequenzen für Webseitenbetreiber

Nach einer Grundsatzentscheidung des Europäischen Gerichtshofs (EuGH) ist klar: Auch dynamische IP-Adressen sind personenbezogene Daten und dürfen nur unter bestimmten Bedingungen automatisiert gespeichert werden. Damit geht eine langjährige datenschutzrechtliche Diskussion zu Ende. Dem Urteil vorausgegangen war ein Rechtsstreit vor dem Bundesgerichtshof (BGH) zwischen Piratenpolitiker Patrick Breyer und dem Bundesministerium der Justiz und für Verbraucherschutz über die Frage, ob das Ministerium die IP-Adressen der Besucher ihrer Website speichern darf. Der BGH bat den EuGH um eine europarechtliche Einordnung und die Luxemburger Richter fällten eine Grundsatzentscheidung mit weitreichenden Konsequenzen.

So entschieden sie, dass dynamische IP-Adressen grundsätzlich als personenbezogene Daten einzustufen seien und somit deren Verarbeitung engen Datenschutz-Anforderungen unterlägen. Gleichzeitig stellten die Richter jedoch auch fest, dass der einschlägige §15 des Telemediengesetzes hinsichtlich Verarbeitung personenbezogener Daten zu restriktiv und damit nicht europarechtskonform formuliert ist. So erlaube die derzeit noch gültige EU-Datenschutzrichtlinie Webseitenbetreibern durchaus eine Verarbeitung personenbezogener Daten, wenn sie zur Verwirklichung derer berechtigten Interessen, wie beispielsweise zur Verfolgung von Cyberangriffen, erforderlich seien. Damit verfehlten die Kläger ihr Ziel ein grundsätzliches Verbot der Speicherung dynamischer IP-Adressen zu erzwingen.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff begrüßte die Entscheidung des EuGHs und die nun damit verbundene Rechtssicherheit. Das BSI zeigte sich mit der Entscheidung des EuGHs ebenfalls zufrieden, da die Speicherung von IP-Adressen zur Gewährleistung der IT-Sicherheit beitrage.

Da es sich bei dem Urteil um ein Vorabentscheidungsersuchen handelt, wurde das Verfahren nun an den BGH zurückverwiesen. Unabhängig von dessen Entscheidung ist jedoch bereits jetzt absehbar, dass Behörden und Unternehmen ihre Speicherpraxis bei Webseiten überprüfen müssen. Europaweit wird die Speicherung von IP-Adressen nicht mehr ohne berechtigten Anlass möglich sein. Dieser Umstand wird gerade für die Marketingwirtschaft Fragen aufwerfen, da beispielsweise die für Marketingzwecke häufig verwendeten Trackingtools oftmals IP-Adressen ohne Einwilligung speichern und verarbeiten.


Surfprofile von Internetnutzern aufgedeckt

Ein neuer Datenschutzskandal hat Deutschland Anfang November in Aufruhr versetzt. Die Daten von Millionen von Internetnutzern waren unzureichend anonymisiert im Internet gehandelt worden, wie der Norddeutsche Rundfunk (NDR) aufdeckte.

Über eine Tarnfirma gelang es dem NDR einen unzureichend anonymisierten Datensatz der Browser-Erweiterung World of Trust (WOT) zu erwerben und das Surfverhalten von Nutzer detailliert nachzuzeichnen. Die Anonymisierung der Daten war augenscheinlich mangelhaft durchgeführt worden, sodass es technisch möglich war, aus dem erworbenen Datensatz Profildaten einzelnen Personen zuzuordnen. Dadurch konnten umfassende Rückschlüsse über die Verhaltensweisen von Nutzern, darunter Politiker, Richter und Polizisten gezogen werden. Prominentester Betroffener ist der Staatsminister im Bundeskanzleramt, Helge Braun, der als Vertrauter von Bundeskanzlerin Angela Merkel gilt.

Die Browser-Erweiterung sollte Nutzern die Vertrauenswürdigkeit besuchter Websites anzeigen und somit eigentlich zum sicheren Surfen beitragen. Die dafür übermittelten Daten wurden an Zwischenhändler weiterverkauft.

Das Unternehmen WOT teilte zwar mit, in seinen Datenschutzrichtlinien werde darauf hingewiesen, dass Nutzerdaten gesammelt und anonymisiert an Dritte weitergegeben werden, musste nun aber natürlich dennoch Kritik einstecken. Der Hamburger Datenschutzbeauftrage Johannes Caspar betonte, dass die Bezeichnung Anonymisierung in diesem Falle nicht korrekt gewesen sei und die Nutzer über die Weitergabe ihrer Daten nicht genau genug informiert worden seien. Der netzpolitische Sprecher der SPD-Bundestagsfraktion, Lars Klingbeil, forderte das Innenministerium auf zu erklären, ob in diesem Fall eine Rechtslücke existiere, oder das Problem die mangelhafte Durchsetzung bestehender Gesetze sei. Konsequenzen zog der Herausgeber des Internetbrowsers Firefox und entfernte das Add-On aus seinem Verzeichnis, da es gegen Transparenzrichtlinien verstoßen habe.


Wohnungsbaugesellschaften missachten Datensicherheit und lösen damit Kontrollen der Datenschutzbehörden aus

Der Schutz von Daten muss nicht nur bei der Speicherung und Verarbeitung, sondern auch bei der Datenübertragung über das Internet sichergestellt werden. Gegen letzteres haben Wohnungsbaugesellschaften in ganz Deutschland verstoßen, wie Recherchen der FAZ ergaben. Die betroffenen Firmen hatten sensible Daten erfasst und unverschlüsselt übertragen. Auch wenn die Sicherheitslücken inzwischen geschlossen wurden, könnten diese Verstöße noch Konsequenzen nach sich ziehen. Der hessische Datenschutzbeauftragte Michael Ronellenfitsch machte deutlich, dass persönliche Daten, die einem erhöhten Schutzbedarf unterliegen auf keinen Fall unverschlüsselt über das Internet übertragen werden dürften. Eine Transportverschlüsselung nach dem neuesten Stand der Technik sei verpflichtend, so Ronellenfitsch weiter, viele Wohnungsbaugesellschaften verwendeten jedoch noch veraltete Verschlüsselungsverfahren.

Der Vorfall könnte für einige der Gesellschaften somit nun ein Nachspiel haben, denn die Datenschutzbeauftragten der Bundesländer erklärten, diesen Fällen nachgehen zu wollen. Gleichzeitig machten sie jedoch auch deutlich, dass ihnen die Ressourcen fehlten um eine flächendeckende Kontrolle von Anbietern durchzuführen. Dessen ungeachtet, erklärte das Bayerische Landesamt für Datenschutzaufsicht, derzeit eine Massenprüfung von Websites vorzubereiten.


Parlamentarischer Staatssekretär für „Datensparsamkeit 4.0“ als Antwort auf die Datenökonomie

Ulrich Kelber, Parlamentarischer Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz plädiert für eine Beibehaltung des deutschen Prinzips der Datensparsamkeit und sieht darin die Antwort auf die globale Datenökonomie. In einem im Handelsblatt veröffentlichten Artikel äußert Kelber die Befürchtung, dass Bürger durch die Digitalisierung einen schleichenden Verlust ihrer Privatheit erlitten. Diesem könne nur mit dem Prinzip der Datensparsamkeit entgegengewirkt werden.

Dementsprechend lehnt Kelber auch das Prinzip des Datenreichtums ab und geht damit auf Konfrontationskurs zur Bundeskanzlerin und ihrem Standpunkt, Daten müssten als der Rohstoff des 21. Jahrhunderts angesehen werden. Die Kanzlerin hatte sich erst vor Kurzem öffentlich für eine Umsetzung der DS-GVO ausgesprochen, die auch in Deutschland datengetriebene Geschäftsmodelle ermögliche. Kelber hält dagegen, Deutschland werde nicht den Anschluss an die Big-Data-Ökonomien der Zukunft verlieren, da Big-Data-Auswertungen auch mit anonymisierten Daten erfolgen könnten. Es sei nun notwendig die Harmonisierung des europäischen Datenschutzrechtes dafür zu nutzen um Konzepte zu entwickeln, mit denen Big-Data-Analysen auch unter dem Prinzip einer „Datensparsamkeit 4.0“ ermöglicht würden. Denn somit könne Datenschutz ein positiver Wettbewerbsfaktor für Deutschland werden.

Mit diesen Überlegungen lieferte Kelber eine Steilvorlage für den netzpolitischen Sprecher der Bundestagsfraktion der Grünen, Konstantin von Notz. Er betonte, die Bundesregierung habe bislang nichts unternommen um dem „Ausverkauf unserer Privatsphäre“ entgegenzuwirken. Er kritisierte, dass die Bundesregierung eben immer noch nicht erkannt habe, dass ein moderner und guter Datenschutz längst zu einem Standortvorteil für Deutschland geworden sei.


Expertenkongress diskutiert neue Ideen für den Datenschutz

Eine Fachkonferenz am Münchener Max-Planck-Institut für Innovation und Wettbewerb diskutierte Mitte Oktober wie durch ein verbessertes Zusammenwirken zwischen Wettbewerbsrecht, Kartellrecht, Verbraucherschutz und Datenschutz persönliche Daten besser geschützt werden könnten.

Kristina Irion und Manon Oostveen von der Universität Amsterdam erklärten hierzu, das Datenschutzrecht genüge nicht um Nutzer gegen große datenmächtige Konzerne zu schützen. Die niederländischen Wissenschaftler befürchteten trotz der Datenschutzgrundverordnung eine zunehmende Aushöhlung des Datenschutzes. Als Beispiel nannten sie, dass es für Bürger immer schwieriger werde Preisdifferenzierungen oder individualisierte Informationspakete nachzuvollziehen. Andreas Sattler, Wissenschaftler an der LMU München, wies in diesem Zusammenhang darauf hin, dass die geplante EU-Richtlinie über digitaler Inhalte vorsehe, Nutzern von Onlineplattformen zu ermöglichen „Lizenzen“ zur Nutzung ihrer Daten aufzukündigen. Dieses Konzept - des Bezahlens mit Daten - impliziere einen monetären Charakter von Personendaten. Dieser werde nun auch in der DS-GVO festgeschrieben. Hieraus könne jedoch nicht abgeleitet werden, dass der Schutz persönlicher Daten eine uneingeschränkte Handelsware sei. Da es sich beim Datenschutz um ein Grundrecht handele, sei eine Unterscheidung zwischen unveräußerbaren moralischen Rechten und Verwertungsrechten, wie es im Urheberrecht praktiziert wird, notwendig. In letzter Konsequenz könne immer nur ein Teil der persönlichen Daten vermarktet werden, während ein anderer Teil unveräußerlich bleibe, führte Sattler aus.

Inge Graef von der Universität Leuven und Anca Chirita von der Durham University wiesen auf den wettbewerbsverzerrenden Charakter individualisierter Preisgestaltung hin. Diese Art der Preisgestaltung sei für Verbraucher extrem intransparent. Daraus ableitend forderten die Wissenschaftler ein Mitspracherecht für Datenschützer bei Wettbewerbs- oder Kartellverfahren.


TERMINHINWEISE

Auf der hub Konferenz des Bitkom werden am 22. November über 2300 internationale Experte aus allen Digital-Branchen erwartet. In zahlreichen Panels und Workshops werden neue Trends der IT-Branche, wie Blockchain, Arbeit 4.0 und Fintechs beleuchtet werden.

Weitere interessante Veranstaltungen rund um das Thema Datenschutz finden Sie in der Rubrik Veranstaltungen auf der Webseite der Berliner Datenschutzrunde.

Weitere Newsletter