Neues Programm Prividor zur Entdeckung von Datenschutzverstößen: Neue Abmahnwelle im Internet?
von , veröffentlicht am 28.03.2011Der Bundesdatenschutzbeauftragte hat am Freitag (25.03.) den vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickelten „Privacy Violation Detector“ (Prividor) vorgestellt.
Prividor soll automatisiert erkennen, wenn:
- „Tracking“, also das heimliche Ausspähen des Surfverhaltens, vorliegt
- ob die Liste der besuchten Websiten, also der Browserverlauf, ausgelesen wird und
- problematische Online-Dienste, die das Programm anhand einer Blacklist erkennt, verwendend werden.
- die Verwendung unverschlüsselter Formulare aufzeichnen und
- die Ergebnisse in Übersichten aufbereiten, die vorerst den Aufsichtsbehörden als Basis zum Einschreiten dienen sollen.
Des Weiteren soll Prividor:
Zunächst soll Prividor nur bei Internetauftritten eingesetzt werden, die dem Aufgabenbereich des Bundesdatenschutzbeauftragten zufallen; dies umfasst die Internetauftritte aller Bundesbehörden sowie der Post- und Telekommunikationsunternehmen. Nach einer Testphase soll das Programm auch den Landesdatenschutzbehörden zur Verfügung gestellt werden.
Also möglichen dritten Schritt sieht Peter Schaar die Bereitstellung von Prividor als frei zugängliches Programm im Internet (Open-Source-Software).
Durch die Bereitstellung von Prividor im Internet wird jedoch befürchtet, dass dadurch so genannten „Abmahnanwälten” die Verfolgung von Rechtsverstößen auf Internetseiten erheblich erleichtert wird und dadurch eine neue Abmahnwelle bei Datenschutzverstößen auf die Betreiber von Internetseiten zurollt. Der Bundesdatenschutzbeauftragte sieht in einem Interview mit dem Online-Magazin Heise allerdings keinen Grund, der gegen Prividor oder dessen Bereitstellung spreche. Jeder hätte, so Schaar, das Recht zu prüfen, ob bestimmte Vorgaben eingehalten werden; Unternehmen und öffentliche Stellen müssten dafür sorgen, dass sie gesetzeskonform handeln.
Sehen Sie durch Prividor eine neue Abmahnwelle auf die Betreiber von Internetseiten zurollen?
Ist das Programm „Prividor“ selbst datenschutzkonform? Schießt der Bundesdatenschutzbeauftragte über das Ziel hinaus?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
19 Kommentare
Kommentare als Feed abonnierenMich würde interessieren aufgrund welcher Normen "abgemahnt" werden soll. Soweit ersichtlich stellen die Regelungen des BDSG keine Marktverhaltensregeln i.S.d. UWG dar.
Ich habe das nicht geprüft, aber Herr Schaar scheint der Auffassung zu sein, dass das möglich ist - siehe seine Rede oben.
Die wettbewerbliche Bedeutung das Datenschutzes ist seit etwa 30 Jahren umstritten (vgl. OLG Köln aus 1982); es gibt etwa ein Dutzend obergerichtlicher Entscheidungen mit leichtem Übergewicht pro Lauterkeitsverstoß (auch der I. Zivilsenat BGH hat sich 1992 für die wettbewerbsrechtliche BEdeutung des Datenschutzes ausgesprochen); zu Zeiten des § 1 UWG a.F. konnte man sich bei wettbewerbsneutralen Normen auch auf die besondere Bedeutung des Datenschutzes sowie auf einen Vorsprung durch gezielten Rechtsbruch berufen, was seit § 4 Nr. 11 UWG ausgeschlossen ist:
Datenschutzregelungen sind Marktverhaltensregelungen gem. § 4 Nr. 11 UWG oder Verbraucherschutzbestimmungen nach § 2 Abs. 1 UKlaG, wenn sie über den Schutz des Rechts auf informationellen Selbstbestimmung hinaus auch das Ziel haben, für ausgewogene rechtliche Marktverhältnisse zu sorgen, also nicht den betriebsinternen Bereich umfassen sondern Fälle, in denen die Daten als Ware Bedeutung haben, also insbesondere § 29 BDSG oder Fälle der Werbung oder Marktforschung (vgl. OLG Köln, Urt. v. 14.8.2009 – I-6 U 70/09 – Kundenrückgewinnungsschreiben, NJW 2010, 90; sowie Köhler zu § 4 Nr. 11 UWG).
Zitat: "Als möglichen dritten Schritt sieht Peter Schaar die Bereitstellung von Prividor als frei zugängliches Programm im Internet (Open-Source-Software)."
Das fände ich sehr gut. Zu einer Abmahnwelle dürfte es wohl - wenn überhaupt - nur anfänglich kommen.
1. Der User mahnt nach §§ 823 Abs. 2, 1004 BGB i.V.m. Datenschutznormen ab.
2. Die Aufsichtsbehörde verhängt ein Bußgeld von bis zu 50 T€ bzw. 300T€ nach Datenschutznormen.
3. Der Wettbewerber mahnt über § 4 Nr. 11 UWG i.V.m. Datenschutz ab.
4. Der Verband steigt über § 2 Abs. 1 UKlaG i.V.m. § 4 Nr. 11 UWG oder ggf. vermittelt über das AGB-Recht nach § 1 UKlaG ein.
Dies hat Bedeutung für den Like-Button bzw. Google +1 (entgegen anderslautender Entscheidung des LG Berlin).
@5
De lege ferenda: Opt-in plus Datenschutzhinweis für Tracking-Cookies nach dem bis zum 25.5.2011 umzusetzenden Art. 5 Abs. 3 Satz 1 RL 2002/58/EG.
Danke an alle für die guten Hinweise. Könnten wir die Diskussion zu § 4 Nr. 11 UWG und die Verbraucherschutzbestimmungen nach § 2 Abs. 1 UKlaG noch etwas fortsetzen?
Passen die BDSG-Datenschutzbestimmungen wirklich darunter? Es gibt Stimmen in der Literatur, die behaupten, der Datenschutz falle nicht unter die Vorschrift, weil er die Regelung des Rechts auf Informationelle Selbstbestimmung regele und nicht das Marktverhalten (siehe Hefermehl/Böhler/ Bornkamm (25. Aufl.) § 4 UWG Rdnr. 11.42).
Das OLG Stuttgart (MMR 2007, 437) hat wohl die Anwendung des § 4 Nr. 11 UWG bei Verstoß gegen §28 BDSG bejaht. In dem konkreten Fall sei der Wettbewerbsverstoß mehr als ein „bloßer Reflex“ des Verstoßes gegen die Datenschutzbestimmungen (unzulässige Datenweitergabe).
Was meinen Sie? Wie kann man die o.g. Vorschriften sinnvoll auslegen, dass sie nicht für ein mit Prividor ausgestatten Abmahnunwesen führen?
In der 29. Auflage steht jedenfalls unter der Rn. 11.42, das unter #3 umfassend festgestellte!!!
Also §§ 4f, 9 BDSG oder Vertragsdatenverarbeitung insb. Arbeitnehmerdatenverabreitung (-)
§ 29 BDSG, Werbung Marktforschung (+)
OLG Köln 1982 (+)
OLG Köln 1999 (+)
OLG Stuttgart 2007 (+)
OLG Koblenz 1998 (+)
OLG Köln 2009 (+)
OLG Naumburg 2003 (+)
OLG Frankfurt 2000 (-)
OLG Düsseldorf 2004 (-)
OLG Hamburg 2004 (-)
OLG Frankfurt 2005 (-)
OLG Frankfurt 1996 (-)
BGH, Urt. v. 14.5.1992 – I ZR 204/90 – verdeckte Laienwerbung: "Als unvollständig erweist sich die Würdigung des Berufungsgerichts zum rechtlichen Gesichtspunkt des Rechts auf informationelle Selbstbestimmung. Hierbei kommt es in wettbewerbsrechtlicher Hinsicht nicht allein auf die - vom Berufungsgericht zu Recht verneinte - Frage an, ob die Werbung der Beklagten gegen irgendwelche gesetzlichen Vorschriften - etwa des Datenschutzgesetzes - verstößt. Zu prüfen ist vielmehr auch, ob nicht zu beanstanden ist, in welcher Weise die Beklagte sich Informationen bzw. Daten zu beschaffen versucht, die grundsätzlich dem Privatbereich zuzuordnen und, wie das Datenschutzgesetz in seiner Gesamtheit zeigt, grundsätzlich auch als für diesen Bereich schützenswert anzusehen sind.
".
Und welche Kritierien sollen jetzt gelten, um die abmahnfähigen Verstöße gegen das BDSG von solchen zu unterscheiden, die nicht über die o.g. Vorschriften abgemahnt werden können?
Eine neue Abmahnwelle wird sich kaum vermeiden lassen. Egal wie man darüber denkt, es ist doch offensichlich, dass eine Vielzahl der Internetauftritte gegen gesetzliche Vorgaben verstossen. Ob es ich hierbei um Datenschutzverstösse handelt oder um fehlerhafte Impressen. Jedermann hat die Möglichkeit, sich diesbezüglich mittels Eigeninitiative oder über einen Fachanwalt zu informieren. Das uralte Sprichwort "Unwissenheit schützt vor Strafe nicht", hat auch heute noch und ganz gewiss auch im Internet-Zeitalter seine Daseinsberechtigung.
Von "Abmahnunwesen" zu sprechen, also von etwas strukturell Falschem, ist tendenziös. Nüchtern betrachtet, verhelfen die kostenpflichtigen Abmahnungen der breiten Rechtsdurchsetzung in den Fällen, in denen die Politik oder Regierung mit Spenden- oder Steuergeldern durch Information der User nichts ausreichendes hat bewirken können. Massenabmahnungen von Domaininhabern können etwa zur Verhinderung der Markenverwässerung geradezu geboten sein, weil es sonst dem Rechteinhaber so ergeht, wie im klassischen Lehrbuchfall dem Schweinemäster mit der heranrückenden Wohnbebauung. Gegen Auswüchse bei Abmahnungen "zum alleinigen Zwecke des Geldverdienens" hat die Rechtsprechung genügend Begrenzungen vorgesehen.
Zudem gibt es ein weiteres Problem, nämlich dass sich große Unternehmen wie Microsoft, Google oder Facebook aufgrund des großen Drucks der internationalen Anteilseigner - trotz offensichtlichem Rechtsverstoß - einfach nehmen, was sie interessiert, wie etwa für das Kartellrecht der mit dem Betriebssystem verknüpfte Mediaplayer, für das Urheberrecht Google-Books und für das Datenschutzrecht der Like-Button zeigt.
Tracking über Like-Button oder künftig über "Google +1" stellt eine große Datenschutzbedrohung dar, die letztlich auch beim einzelnen Websitebetreiber abgestellt werden muss, notfalls durch Abmahnung. Denn! Die Bagatellgrenze des § 3 UWG ist wegen der "Gefahr des Umsichgreifens" kein Hindernis.
@"Günter Marx"
Zum Glück schreiben Sie nicht tendenziös, sondern nur als Blinder über Farbe. Seit wann sind denn +1 und "Like" eine Datenschutzbedrohung? Kennen Sie die technischen Hintergründe? Wohl kaum.
Bestimmte Grenzen zu übertreten, gehört übrigens schon immer zum Geschäft. Davon profitiert auch unsere Gesellschaft als Ganzes. Ich meine nicht nur die "Facebook/Twitter-Revolutionen" sondern denke, dass man gerade in Bezug auf Google Books anderer Meinung sein kann.
Wenn Sie übrigens mit deutschen Abmahnungen Google, Microsoft, Apple und Co. zu ärgern versuchen, verursacht das kein Innehalten, sondern wird bestenfalls als lästig empfunden. Der Wettbewerbsvorteil, da gebe ich Ihnen recht, ist um so vieles wertvoller als Abmahnungskosten (Wer zahlt denn sowas) oder gar potenzielle Ordnungsmittel zusammen, so dass diese "Sanktionen" betriebswirtschaftlich nahezu irrelevant werden. Übrigens geht dem meisten Abmahnern schon in der 2. Instanz die Puste aus.
Der Abmahnwahn in Deutschland trifft im Wettbewerbsrecht immer nur kleine und mittelständische Unternehmen hart, denn sie müssen die Zeche für eine praxisferne Gesetzeslage und -leider auch- Rechtsprechung zahlen. Durch Abmahnungen ist der Wettbewerb kein bisschen sauberer geworden, Abmahnkosten tragen nur zu steigenden Verbraucherpreisen bei.
Statt über vermeintliche BDSG-Verstöße zu hyperventilieren, sollten besser die gesetzlichen Grundlagen dem digitalen Zeitalter angepasst werden. Da hätten alle Staatsbürger etwas davon, nicht nur Juristen.
Nachdem was in der Entscheidung des LG Berlin steht sowie Landesdatenschutzbeauftragte festgestellt haben, werden bereits beim Seitenaufbau einer einen Like-Button enthaltenden Internetseite etwa IP-Adresse, besuchte Seite, Referer sowie sonstige Browserdaten an die Server von Facebook in die USA gesendet und mit dem Konto eingeloggter Facebooknutzer verknüpft (personenbezogene Daten) sowie ein Cookie mit zweijähriger Lebenszeit mit einmaligem Identifikationscode auf dem Rechner des Nutzers gespeichert.
Hier wird gegen eine Reihe von Vorschriften der §§ 13, 15 TMG verstoßen.
@13
Ein Rechtsanwalt, der das geltende Recht undifferenziert in aller Breite verhöhnt, indem er wörtlich feststellt,
"Der Wettbewerbsvorteil, da gebe ich Ihnen recht, ist um so vieles wertvoller als Abmahnungskosten (Wer zahlt denn sowas) oder gar potenzielle Ordnungsmittel zusammen, so dass diese "Sanktionen" betriebswirtschaftlich nahezu irrelevant werden",
also wirtschaftliche Interessen Vorrang vor rechtlichen Interessen genießen und wirtschaftlich Große und Starke berechtigt über dem Gesetz stehen, hat ein bedenklichen Berufsethos.
Bitte etwas mehr Sachlichkeit in der Debatte. Wir wollten doch herausarbeiten, welche Kriterien es gibt, um zwischen BDSG-Verstößen zu unterscheiden, die über § 4 Nr. 11 UWG und § 2 Abs. 1 UKlaG abgemahnt werden können und wann nicht. Vorschläge?
@16
Die Vorschläge sind breits in #3 zitiert worden, worauf bereits von anderer Seite hingewiesen worden ist. Auch Sie selbst haben die Rn. bei Köhler zitiert, der nicht dafür bekannt ist, dem Vorsitzenden des I. Zivilsenates allzu fern gegenüber zu stehen. Die 29. Auflage unterscheidet zwischen
- nicht von § 4 Nr. 11 UWG erfassten betriebsinternen Verarbeitungsvorgängen (Datenschutzbeauftragter, Datensicherheit, Vertragsabwicklung, Arbeitnehmer), deren Datenschutzregeln wie Steuer-, Straßenverkehrs-, Produktion- oder Arbeitsschutzvorschriften keinen marktregelnden Charakter aufweisen
- und andererseits kommerzieller Nutzung, bei der die Daten insbes. zur Handelsware werden (Fälle des § 29 BDSG und auch § 28 BDSG, wenn Werbung oder Marktforschung beabsichtigt ist). Es besteht Vergleichbarkeit mit der durch den Schutz des Persönlichkeitsrechts nicht gehinderten wettbewerbsrechtlichen Relevanz der Direktwerbung (§ 7 UWG).
Damit ist der Anfang eröffnet, die Datenschutzbestimmungen nach ihrer UWG-Relevanz durchzudeklinieren.
Was gilt insbes. für die abmahnrelevanten §§ 12, 13, 15 TMG. Die Landgerichte München I und Essen haben zu § 1 UWG a.F. einen planmäßigen Vorsprung durch Rechtsbruch von § 4 Abs. 1 TDDSG für möglich gehalten. Das mit der Wettbewerbsneutralität überwindenden Planmäßigkeit des Rechtsverstoßes geht mit § 4 Nr. 11 UWG nicht mehr.
Heute im Spiegel-Online zum BigBrotherAward: "Das Fazit von FoeBud: „Mit Facebook wuchert eine Art zentrale „Gated Community“ im Netz, in der Menschen auf Schritt und Tritt beobachtet werden. Hier herrscht die Willkür eines Konzerns und der verdient mit systematischen Datenschutzverstößen Milliarden.“
Jaja, die Stasi damals hätte sich über Facebook gefreut....