In der MIM Ausgabe 13+14 aus dem Mediantainmentverlag ist mein Artikel “Chancen und Risiken: Google Adwords” erschienen. In der MIM erscheinen von mir 14tägig juristische Artikel für die Games- und Medienbranche.

Google Adwords haben sich inzwischen zu einem kaum verzichtbaren Marketinginstrument für die gesamte Internetbranche entwickelt. Direkte Kontrolle der Kampagne, überschaubare Abrechnung durch eine Bezahlung auf Klickbasis und ein hoher Verbreitungsgrad, haben für eine enorme Marktdurchdringung gesorgt. Mit der Vereinbarung zwischen Yahoo und Google, dass Yahoo in Zukunft Google Adwords einsetzen wird, dürfte sich dieser Effekt noch verstärken. Dem geneigten Leser dieser Artikelserie dürfte es jedoch kaum wundern, dass auch hierbei juristische Fallstricke lauern können.

Der Artikel kann an dieser Stelle online nachgelesen werden. Hier findet man den Artikel nach Klick auf “Aktuelle Ausgabe” auch gelayoutet als PDF.

Geschrieben von: Marian Härtel

Google Analytics ist in die Aufmerksamkeit deutscher Datenschützer gelangt.  Google analysiert mit Hilfe von Analytics Nutzungsdaten und übermittelt statistische Auswertungsergebnisse an den Webseitenbetreiber sowie natürlich an sich selbst. Mit Hilfe von Cookies kann Google dabei Nutzungsdaten verschiedener Webseiten zu einem Profil zusammenfügen. Während ein Webseitenbetreiber nur žseineœ Besucher sieht, hat Google Kenntnis aller Analytics-basierten Webseiten, die der Nutzer besucht hat. Google kann die so erlangten Nutzungsdaten für weitere eigene Auswertungen verwenden.

Eine Zusammenführung mit Nutzungsdaten mit denen anderer Google-Dienste ist möglich und wird generell von Google bestätigt. Dadurch hat das Unternehmen die Möglichkeit, über Surfer im Internet detaillierte Nutzungs- und Interessenprofile zu erstellen und diese vor allem für Werbezwecke zu verwenden. All dies erfolgt regelmäßig ohne das Wissen der Betroffenen. Nur in wenigen Fällen wird von den Webseitenbetreibern überhaupt darauf hingewiesen, dass dieses Werkzeug im Einsatz ist und eine Übermittlung der Daten zu Google in den USA oder anderswo erfolgt. Damit wird von den Webseitenbetreibern regelmäßig gegen Datenschutzrecht verstoßen. Den Nutzenden ist nicht bewusst, geschweige denn, dass sie hierin eingewilligt hätten, dass ihre personenbeziehbaren Daten zur Erstellung von Nutzungsprofilen an den internationalen Konzern übermittelt werden.

Dies hat den Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein veranlasst, hierzu eine Prüfaktion durchzuführen. Gemäß einem Bericht von futurezone.at haben über 80% aller gut besuchten Webseiten in Österreich und in Deutschland Google Analytics eingebaut. Google  wurde von den beiden Landesdatenschutzbehörden aufgefordert, mitzuteilen, welche Unternehmen des jeweiligen Bundeslandes das Analysewerkzeug einsetzen. In einer ersten Stichprobe wurden Betreiber ausfindig gemacht und um Stellungnahme gebeten bzw. aufgefordert, dieses Werkzeug nicht mehr weiter zu nutzen.

Dr. Thilo Weichert, Leiter des ULD: “Wir waren verblüfft und schockiert, wie weit Google Analytics auch in Schleswig-Holstein verbreitet ist. Renommierte Medien- und Internetunternehmen gehören zu deren Nutzern ebenso wie viele  Anbieter aus der Tourismus- und der Dienstleistungsbranche; ja politische Parteien, öffentliche Stellen des Landes und Hochschulen setzen den kostenlosen, aber datenschutzwidrigen Service ein. Den meisten Betreibern dürfte nicht vollständig bewusst sein, dass sie mit dem Einsatz von Google Analytics einen Service in Anspruch nehmen, bei dem
Daten in die USA übermittelt werden, die dort umfassend ausgewertet und genutzt werden, und dass dies die Datenschutzrechte der Webseitenbesucher verletzt.” Weichert geht davon aus, dass die meisten Webseitenbetreiber des Landes, wenn sie jetzt auf die Rechtslage hingewiesen werden, die Datenübermittlung ohne ausreichende Information der Nutzer umgehend einstellen werden.

Ob ein Webseitenanbieter Google Analytics verwendet, kann ein Internet-Nutzer selbst feststellen. Was er hierzu tun muss bzw. wie er verhindern kann, dass über ihn von Google personenbeziehbare Nutzungsprofile erstellt werden, erläutert das ULD in einer ausführlichen Hilfestellung. Dies sowie die Schreiben, mit denen sich das ULD an die Webseitenbetreiber und an Google gewandt hat, findet man hier.

Geschrieben von: Marian Härtel

Web 2.0 Netzwerke sind weiterhin voll im Trend und gehören in sämtlichen Erscheinungsformen zu den Großen im Internetbusiness. Wie der Herstellers des Browsers Opera bekannt gab, belegen
Social Networks bei der mobilen Nutzung sogar die Topplätze. Was die Bedenken von Datenschützern angeht, sind diese nicht erst aufgekommen, seit beispielsweise Facebook seine Plattform/Daten für externe Nutzer/Programmierer geöffnet hat.

Aber auch die Datenschützer sind nicht inaktiv und so gibt es diesbezüglich jetzt einen Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, der dabei Mindesanforderungen entsprechend deutschem Datenschutzrecht formuliert. Für Foren/Communities sind diese Anforderungen weitgehend die Gleichen:

- Anbieter sozialer Netzwerke müssen ihre Nutzer umfassend gemäß den gesetzlichen Vorschriften über die Verarbeitung ihrer personenbezogenen Daten und ihre Wahl- und Gestaltungsmöglichkeiten unterrichten. Das betrifft auch Risiken für die Privatsphäre, die mit der Veröffentlichung von Daten in Nutzerprofilen verbunden sind. Darüber hinaus haben die Anbieter ihre Nutzer aufzuklären, wie diese mit personenbezogenen Daten Dritter zu verfahren haben.

- Die Aufsichtsbehörden weisen darauf hin, dass nach den Bestimmungen des Telemediengesetzes (TMG) eine Verwendung von personenbezogenen Nutzungsdaten für Werbezwecke nur zulässig ist, soweit die Betroffenen wirksam darin eingewilligt haben. Bei Werbemaßnahmen aufgrund von Profildaten müssen die Betroffenen nach den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) mindestens eine Widerspruchsmöglichkeit haben. Die Aufsichtsbehörden empfehlen, dass die Anbieter die Nutzer selbst darüber entscheiden lassen, ob “ und wenn ja, welche “ Profil- oder Nutzungsdaten zur zielgerichteten Werbung durch den Anbieter genutzt werden.

- Die Aufsichtsbehörden erinnern weiterhin daran, dass eine Speicherung von personenbezogenen Nutzungsdaten über das Ende der Verbindung hinaus ohne Einwilligung der Nutzer nur gestattet ist, soweit die Daten zu Abrechnungszwecken gegenüber dem Nutzer erforderlich sind.

- Für eine vorauseilende Speicherung von Daten über die Nutzung sozialer Netzwerke (wie auch anderer Internet-Dienste) für eventuelle zukünftige Strafverfolgung besteht keine Rechtsgrundlage. Sie wird insbesondere auch nicht durch die Regelungen zur Vorratsdatenspeicherung vorgeschrieben.

- Schließlich weisen die Aufsichtsbehörden darauf hin, dass das TMG die Anbieter dazu verpflichtet, das Handeln in sozialen Netzwerken anonym oder unter Pseudonym zu ermöglichen. Dies gilt unabhängig von der Frage, ob ein Nutzer sich gegenüber dem Anbieter des sozialen Netzwerks mit seinen Echtdaten identifizieren muss.

- Die Anbieter sind verpflichtet, die erforderlichen technisch-organisatorischen Maß-nahmen zur Gewährleistung der Datensicherheit zu treffen. Sie müssen insbesondere einen systematischen oder massenhaften Export oder Download von Profildaten aus dem sozialen Netzwerk verhindern.

- Bei der datenschutzfreundlichen Gestaltung von sozialen Netzwerken kommt den Standardeinstellungen “ z. B. für die Verfügbarkeit von Profildaten für Dritte “ eine zentrale Bedeutung zu. Die Aufsichtsbehörden fordern die Anbieter sozialer Netzwerke auf, datenschutzfreundliche Standardeinstellungen für ihre Dienste zu wählen, durch die die Privatsphäre der Nutzer möglichst umfassend geschützt wird. Diese Standardeinstellungen müssen besonders restriktiv gefasst werden, wenn sich das Portal an Kinder richtet. Der Zugriff durch Suchmaschinen darf jedenfalls nur vorgesehen werden, soweit der Nutzer ausdrücklich eingewilligt hat.

- Der Nutzer muss die Möglichkeit erhalten, sein Profil auf einfache Weise selbst zu löschen. Schließlich sollten die Anbieter sozialer Netzwerkdienste die Einführung von Verfallsdaten oder zumindest automatische Sperrungen erwägen, die von den Nutzern selbst festgelegt werden können.

Geschrieben von: Marian Härtel

Wie die Kollegen vom Beck-Blog berichten hat das Landgericht Hamburg bereits von 8 Monaten entschieden, dass die die Verwendung eines Trojaners zur Überwachnung der Telekommunikation unzulässig sei. Ein solches Verhalten greife greife in das Grundrecht aus Art. 13 Abs. 1 GG ein. Eine Annexkompetenz  zu $ 100a StPO komme nicht in Frage. Die Staatsanwaltschaft Hamburg hatte zuvor in einem Ermittlungsverfahren wegen Betäubungsmitteldelikten eine Telefüberwachung genehmigt bekommen.

Das Urteil kollidiert aber mit den Bundesverfassungsgerichtsurteil über die Onlinedurchsuchung, in dem dieses klarstelle dass Art. 10 GG alleiniger Maßstab für die Überwachung von Daten aus einem laufenden Kommunikationsvorgang sei und somit Art. 13 GG nicht eingreife. Auch hat der Emittlungsrichter des BGH sowie das Amtsgericht München bereits gegenteilig entschieden und den Einsatz von Trojanern gebilligt.

Die weitere Entwicklung bleibt also spannend.

Geschrieben von: Marian Härtel

Die Kollegen von IP-Notiz machen heute auf ein interessantes Webfundstück aufmerksam, in dem sich die Datenschutzaktivisten von der Canadian Internet Policy and Public Interest Clinic, basierend auf den Untersuchungen von drei kanadischen Jurastudenten, über die gravierenden Datenschutzprobleme bei Facebook beschweren.

So wird beispielsweise die Pflichtangabe des Geburtsdatums, ohne Hinweis, wozu dies nötig sei, genauso als kritisch betrachtet wie die Abfrage von Passwörtern von E-Mail-Accounts bei AOL, Hotmail oder anderen Anbietern, um die Importfunktionen von Facebook zu nutzen.

Wer an Datenschutz interessiert ist, sollte einmal einen Blick riskieren.

Geschrieben von: Marian Härtel

Für alle Webseitenbetreiber, die Einfluß darauf haben, ob und wie Serverlogs gespeichert werden, dürfte es interessant sein zu wissen, ob es überhaupt zulässig ist, IP-Adressen zu speichern, oder ob es aufgrund des Umstandes, dass diese personenbezogene Daten sein könnten, für Serveradmins Probleme auftreten könnten. Bislang haben leider nur Amts- und Landgerichte dazu Stellung genommen und die Personenbezogenheit der Daten bejaht. Leider ist die Frage höchstrichterlich nicht geklärt, was jedoch endlich einmal nötig wäre, da die Gerichte unterschiedliche Meinungen haben und die bisherigen Urteile keine Grundlagenentscheidung über die Frage darstellen- bzw. darstellen können.

Eine sehr gelungene Zusammenfassung dieser Frage, findet man seit heute als ersten Teil eines Podcasts auf Law-Podcasting.de.

Geschrieben von: Marian Härtel