WhatsApp und Facebook in der deutschen Datenschutzfalle

Die Facebookunternehmensgruppe und der Hamburgische Datenschutzbeauftragte Johannes Caspar streiten mal wieder über das Thema Datenschutz lautet es in der Presseerklärung vom 24. April 2017. Dieses Mal geht es um den Dienst WhatsApp.

Was ist WhatsApp?

WhatsApp ist ein Instant-Messenger-Dienst, mit dem Benutzer Textnachrichten, Bild-, Video- und Ton-Dateien sowie Standortinformationen, Dokumente und auch Kontaktdaten zwischen Freunden oder in Gruppen austauschen können. Dieser Dienst gehört seit 2014 zur Facebook Unternehmergruppe.

Einwilligungserklärung

Ende August 2016 änderte WhatsApp Inc durch eine Aktualisierung ihre Datenschutzrichtlinien und Nutzungsbedingungen für ihre Nutzer. Durch diese Änderungen sollte eine direkte Weitergabe der Nutzerdaten an die Facebook Unternehmensgruppe ermöglicht werden. Gegen diese Aktualisierung wandte sich der Hamburgische Datenschutzbeauftragte mit einem Antrag beim Verwaltungsgericht. Das Gericht gab dem Antrag des Datenschutzbeauftragten nur in der Sache recht, dass es die Nutzung und Weitergabe von personenbezogenen Daten, die nicht dem Standard einer Einwilligung deutschen Datenschutzrechts entspricht, für unrechtmäßig hielt. Die personenbezogenen Daten der Nutzer stellen ein hohes Rechtsgut dar, in welches durch die Nutzung und Weitergabe eingegriffen wird.

Kommende Entscheidung

Derzeit bleibt noch offen, ob eine Beschwerde an das Hamburgische Oberverwaltungsgericht eingelegt wird. Es ist noch nicht geklärt, ob deutsches Datenschutzrecht zur Anwendung kommt und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen kann.

Mängel im Fitnessdatenschutz

Im Zeitalter der Smartphones hat jeder schon mal irgendwie im App-Store zu tun gehabt, die sog. Fitnessapps und die dazugehörigen Wearables (Wearable Computing=engl.tragbare Datenverarbeitung). Es fängt bei Fitness-Apps an, geht über Fitnesstracker zu anderen Artikeln, um die Leistungsfähigkeit mit Hilfe von Technik aufzuzeichnen, zu tracken und auszuwerten. Doch auch genau hier fängt der Fitnessdatenschutz und die dazugehörigen Probleme an. Die Befragten der Verbraucherzentrale befürchten einen Kontrollverlust über ihre Daten.

Welche Daten werden gesammelt und was bedeutet dies für den Fitnessdatenschutz?

Beim Benutzen von Fitness-Armbändern, Smartwatches und Apps wird mittlerweile mehr als nur die Schrittfolge von Nutzern gezählt. Die Daten, die hier bei den im Hintergrund laufenden Anwendungen erhoben werden, zeichnen höchst sensible Gesundheitsdaten auf. Dazu gehören Puls, Blutdruck, Kalorienverbrauch oder auch beispielsweise das Schlafverhalten eines Nutzers. Dies sind Daten, die gerade z.B. für Krankenkassen sehr interessant sind. Wenn der Anbieter der Fitness-Hardware oder -Software nun dann noch seine Server im Ausland hat, ist der deutsche Datenschutz schon gar nicht umsetzbar. Die einmal abgegebenen Daten sind somit kaum zurückrufbar. Folge ist, dass der Anbieter durch ein eingeräumtes Recht die Daten zu Werbezwecke an Dritte weitergeben kann.

Tests der Wearables und Fitness-Apps

Zum Teil werden bei bis zu 75 % der getesteten Produkte Gesundheitsdaten an den Anbieter versandt. Ebenso ist eine Offline-Anwendung nicht möglich und die Daten gehen direkt an den Server des Anbieters. Oftmals übermitteln die Produkte mehr Daten, als für die Funktionalität des Produktes notwendig ist. Die Daten gehen teilweise direkt auch an Drittanbieter. Der Schutz vor ungewollter Standverfolgung ist dabei lediglich bei 2 von 12 Produkten gegeben.

Abmahnungen der Anbieter

Bereits jetzt wurden bekannte Anbieter wie (Apple, Garmin, Fitbit, Jawbone, Polar, Runtastic, Striiv, UnderArmour (MyFitnessPal), Withings: Originalartikel der Verbraucherzentrale NRW) durch die Verbraucherzentrale abgemahnt. Es wurden teilweise nur englische Datenschutzhinweise erteilt, die nicht für jedermann verständlich sind. Andererseits wurde kaum über die besonders sensiblen Gesundheitsdaten hingewiesen. Die Einwilligung zur Einholung dieser Daten wird fast nie durchgeführt.

Forderung der Verbraucherzentrale Bundesverband

Die Verbraucherzentrale fordert deutlich mehr Kontrollmöglichkeiten für die Wearables und Fitness-Apps. Die Nutzer der Produkte sollen die Kontrolle für die gesicherten Informationen und die Bereitstellung bzw. den Umgang mit ihren persönlichen Daten behalten.

Sie haben bereits Fragen?

Zögern Sie nicht, stellen Sie uns Ihre Fragen und wir helfen Ihnen. Richten Sie Ihre Fragen an dsb@anka.eu.

 

Nachrichten von Verstorbenen

Immer wieder stellt der Wandel der Gesellschaft bei der Digitalisierung des Lebens den Datenschutz im Internet auf die Probe. Das Thema Facebook wirft beim Datenschutz immer wieder Fragen auf. Aktuell besteht wieder eine Frage, was aus datenschutzrechtlicher Sicht nach dem Tod eines Facebookusers mit seinem digitalen Konto passiert und ob die privaten Nachrichten an die Erben offengelegt werden dürfen.

Der Fall

Ein Mädchen starb 2012 mit 15 Jahren an bisher ungeklärten Umständen. Sie wurde im Berliner U-Bahnhof von einem einfahrenden Zug erfasst und dabei getötet. Die Eltern erhoffen sich von den Facebook Daten der Tochter Informationen über die Todesumstände. Dies spielt insbesondere auch noch eine Rolle, da neben dem tragischen Tod der Tochter der Fahrer gegenüber den Eltern Schmerzensgeld geltend machte.

Facebook Sitz

Facebook hat seinen europäischen Sitz in Irland und ist somit nicht an die deutschen Datenschutzvorschriften gebunden. Die Frage, ob Facebook bei einem verstorbenen Facebookuser an deutsches Recht gebunden ist oder an das Irlands, da dort der Sitz des Unternehmens ist, ist weiterhin ungeklärt.

Problem der Gerichte

Das Berliner Landgericht erklärte in seiner Entscheidung vom 17.12.2015, Az. 20 O 172/15 (Pressemitteilung und Urteildownload), dass es in der Vererbarkeit keinen Unterschied darin sehe, ob Briefe und Tagebücher als analoger, verkörperter Nachlass oder eben als E-Mails und andere digitale Texte (wie z.B. auch Nachrichten bei Facebook) als digitaler Nachlass an die Erben übergeht. In beiden Fällen könnten die Erben somit unter Umständen an Informationen gelangen, die auch Dritte betreffen könnten. Daher ist in diesem Fall auf ein Urteil zu warten.

Datenschutzrechtliche Probleme bei Herausgabe von Nachrichten

Facebook wendet ein, dass die Offenlegung der Nachrichten mit anderen Personen diese in ihren Rechten verletzten, da diese annehmen würden, dass die Inhalte der Nachrichten geheim bleiben.

Nach deutschem Recht hilft der Datenschutz Dritten allerdings nicht. Es ist nicht anwendbar, wenn es um rein familiäre oder persönliche Dinge geht – wie etwa Einträge in einem privaten Kalender über ein Freizeitreffen oder nicht öffentlich geführte Kommunikation zwischen Familienmitgliedern oder Freunden, so der Datenschutzbeauftragte von Hamburg Johannes Caspar.

Nun kollidieren hier wieder mehrere Rechte.

Auf der einen Seite stehen die Persönlichkeitsrechte, sowohl der deutsche Datenschutz als auch der irische Datenschutz und die Rechte der Erben. Es wird gespannt auf eine Entscheidung der Gerichte gewartet. Facebook bietet mittlerweile in den Einstellungen die Möglichkeit, unter dem Punkt Sicherheit einen Nachlasskontakt einzustellen. Dieser darf sich vorwiegend um die vermeintlichen Interessen eines Verstorbenen bei Facebook kümmern.

Persönliche Einschätzung zur Herausgabe von Nachrichten

Der Datenschutz umfasst technische und organisatorische Maßnahmen gegen den Missbrauch von Daten. Es geht um den Schutz personenbezogener Daten. Ziel ist somit der Schutz von Persönlichkeitsrechten. Datenschutz kollidiert in vielen Rechtsgebieten mit anderen Schutzzielen. Die Konflikte müssen dann durch eine Abwägung mit den anderen Schutzzielen gelöst werden.

Datenschutz ist bei der für das Thema sensibleren Einstellung aller Menschen wichtig. Jedoch teile ich da die Auffassung des Datenschutzbeauftragten von Hamburg Johannes Caspar. Aus rein deutscher Sicht darf sich Facebook nicht darauf berufen, dass Persönlichkeitsrechte anderer entgegenstehen. Ich sehe es ebenso wie das Landgericht Berlin, dass die Nachrichten eines Verstorbenen ähnlich wie ein Tagebuch oder Briefe zu behandeln sind. Das bringt die Digitalisierung in der heutigen Zeit mit sich. Wenige Leute schreiben heute noch tatsächlich Briefe, da sich jeder im Bereich der Social Media (Facebook, Xing, etc.) begegnet und dort viel einfacher und schneller Nachrichten verschicken kann. Sicherlich muss man hierbei auch zwischen privatem und geschäftlichem Gebrauch unterscheiden.

Gerade in Bezug auf die Familie, die sich der Umstände des tragischen Todes ihrer Tochter bewusst werden wollen und die sich gegen einen Schmerzensgeldanspruch eines Bahnfahrers wehren mussten, gehe ich eher davon aus, dass die privaten Nachrichten der Tochter und auch in zukünftigen Fällen freigegeben werden. Gerade eben auch, um belastende Ansprüche teilweise abwehren zu können.

Quellen

Die Originaltexte für diesen Artikel finden Sie hier:

  1. Aktueller Facebookstreit
  2. Artikel vom 8.Januar

Datenschutz bei der Wohnungssuche

Die Landesbeauftragte für Datenschutz in NRW hat aufgrund zahlreicher Beschwerden über Makler und Wohnungsgesellschaften den Datenschutz bei der Wohnungssuche überprüft.

Dabei wurden oft Beschwerden über sensible Datenerhebungen bekannt gemacht. Mietinteressenten werden in Ballungsgebieten häufig fast schon genötigt, umfassend über sich selbst Auskunft zu erteilen. Aufgrund der Notsituation in den Ballungsgebieten werden diese Auskünfte dann notdürftig erteilt, da die Wohnungen sonst anderweitig vermietet werden.

Bei der Überprüfung der Makler und Wohnungsgesellschaften gab es häufig datenschutzrechtliche Probleme.

Probleme bei der Wohnungssuche im Einzelnen:

Das Ausfüllen eines Fragebogens bei der Wohnungssuche ist grundsätzlich erst nach Besichtigung der Wohnung bei ernsthaftem Interesse zulässig. Aber selbst dann dürfen aus Gründen der Datensparsamkeit und Datenvermeidung nach §3a BDSG nicht unzumutbar viele Sachen abgefragt werden.

Bonitätsprüfung

Eine Anfrage nach “Schufa-Auskünften” sowie der “Schufa-Selbstauskunft” bei der Wohnungssuche ist erst bei unmittelbar bevorstehenden Vertragsschluss unter den Zweck der Bonität zu stellen.

Familienstand

Angaben zum Familienstand sind unzulässig, wenn beispielsweise nur ein Mieter Vertragspartei wird. Die dort erhobenen Informationen zum Familienstand sind für den Vertragsabschluss nicht notwendig und somit unzulässig. Dagegen sind Fragen nach den Namen und dem Alter der einziehenden Personen zulässig.

Kopie des Personalausweises

Eine Kopie des Ausweises bei Mietsachen ist generell untersagt. Lediglich zur Überprüfung der angegebenen Identität ist die Vorlage des Ausweises einzufordern. Dagegen darf zum Beispiel die Nummer des Personalausweises nicht aufgeschrieben werden.

Berufsfragen

Die Frage nach dem Beruf darf zur Beurteilung der Bonität für die Wohnungssuche herangezogen werden. Allerdings ist die Dauer der Beschäftigung in dem stetigen Wandel der Gesellschaft keine zulässige Frage, um einem Vermieter ein Sicherungsbedürfnis zu bieten.

Kontaktfelder bei Onlineformularen

Bei den Kontaktfeldern, die auf der Homepage zu finden sind, reicht es aus, wenn lediglich eine eMail als Pflichtangabe angefragt wird. Zusätzliche Pflichtfelder sind in diesem Fall unzulässig  und können lediglich im Sinne der Datenvermeidung um optionale Felder erweitert werden.

Lösch- und Sperrfristen

Teilweise wurden laut Angabe der Datenschutzbeauftragten keine ausreichenden Konzepte zur Löschung bzw. Sperrung der personenbezogenen Daten vorgelegt. So besteht die Gefahr, dass Daten zu lange gespeichert werden.

Presseauskunft des Landes NRW

Die Presseerklärung der Landesdatenschutzbeauftragten zum Thema Datenschutz bei der Wohnungssuche ist hier abrufbar.

Presseerklärung

Muster und Formulare des Landes NRW

Das Land NRW bietet für solche Fälle natürlich Orientierungshilfen an.

  • Das Musterformular „Selbstauskunft zur Vorlage bei der Vermieterin oder dem Vermieter“ ist unter folgendem Link abrufbar.

Mieterselbstauskunft des Landes NRW

  • Eine Orientierungshilfe für die Einholung von Selbstauskünften bei Interessenten stellt das Land NRW unter folgendem Link bereit.

Orientierungshilfe zur Einholung von Selbstauskünften

Zusammenfassung

Der Schwerpunkt der Überprüfung durch die Landesbeauftragte war der Inhalt der Mieterselbstauskunftsformulare. Berücksichtigt wurden auch Aspekte der Datensicherheit bei der Nutzung von Online-Kontaktformularen und elektronischer Kommunikation sowie die Anfertigung von Personalausweiskopien. Auch wurden Löschroutinen und -konzepte in Bezug auf gespeicherte personenbezogene Daten geprüft. Dabei wurden viele unzulässige Datenerhebungen festgestellt.

Sollten Sie bezüglich von Mieterselbstauskünften Fragen haben, wenden Sie sich an dsb@anka.eu.

 

 

Datenschutz zwischen Privaten

Im Februar 2017 urteilte das Landgericht Düsseldorf über einen Fall, in dem das Bundesdatenschutzgesetz (BDSG) und der Datenschutz zwischen zwei Privaten Anwendung fand.

Zum Fall:

Die Klägerin schloss mit dem Beklagten ein Darlehen iHv. 3.050 EUR ab. Das Darlehen wurde der Klägerin auch gewährt. Diese zahlte das Darlehen in Raten zurück. Im Rahmen der Rückzahlung kam es zu Streitigkeiten zwischen den Parteien. Die Klägerin ließ dem Beklagten ein Foto (Screenshot) mit sensiblen Informationen zu ihrem Bankkonto und ihrem Kontostand zukommen.
Der Beklagte übersandte per Facebook Messenger diesen Screenshot an den Geschäftspartner der Klägerin mit der Nachricht, dass die Klägerin pleite sei und sie bei dem Beklagten noch 3.000 EUR Schulden habe. Der Geschäftspartner schickte das Bild samt Nachricht nach Kenntnisnahme an die Klägerin weiter.

Datenschutz-Problematik:

Im Datenschutz ist nach § 28 Abs.1 und 2 BDSG eine Übermittlung personenbezogener Daten nur zulässig, wenn ein berechtigtes Interesse vorliegt. Durch  § 27 Abs.1 S. 1 Nr.1 BDSG findet die Vorschrift auf nicht-öffentliche Stellen gemäß § 2 Abs.4 S.1 BDSG Anwendung . Eine Ausnahme im Datenschutz wäre die Weitergabe aus persönlichen oder familiären Tätigkeiten. Durch das Darlehen befand sich der Beklagte auch in dem Bereich der eigenen Vermögensverwaltung, die als persönliche Tätigkeit anzusehen ist. Allerdings hat der Beklagte den persönlichen Bereich durch den Versand der sensiblen Informationen an den Geschäftspartner verlassen.
Um Probleme im Datenschutz auch im Privaten zu vermeiden, sollte darauf geachtet werden, dass man mit sensiblen Daten wie z.B. Kontodaten, Adressdaten, Gesundheitsdaten etc. eines anderen sorgsam umgeht. Dies erspart rechtliche Probleme.

Quelle mit dem kompletten Urteil des LG Düsseldorf:

Urteil des LG Düsseldorf