Das Datenschutzportal

Get Adobe Flash player

Datenschutz auf Smartphones: User-Awareness fokussiert vom Bayerischen Landesamt für Datenschutz

Wir haben viel kritisiert in letzter Zeit, wir tun es immer noch. Gegen die anderen sind wir, gegen die Geheimdienste, wir kritisieren das Vorgehen der Regierung, fühlen uns als Bürger nicht gut vertreten, erwarten, dass sich mehr um uns gekümmert wird. Wir haben Angst vor der fortschrittlichen Technik, die wir gefühlt erst dann kontrollieren können, wenn sie bereits wieder veraltet ist.  Vieles davon ist sicher gerechtfertigt, aber bei der ganzen Kritik und Sorge über das Vorgehen der anderen, vermisse ich vielerorts die Bemühungen der Politik, ihre Bürger an die Hand zu nehmen. Sie durch diese Schwierigkeiten zu führen und ihnen zu sagen, wie sie ihre Situation durch ihr eigenes Verhalten so beeinflussen können, dass sie zufrieden sind.

Es genügt in meinen Augen nicht, nur die anderen zu kritisieren. In Sachen Datenschutz, dem Schutz unserer eigenen Daten, da sind auch wir selbst, jede einzelne/jeder einzelne von uns gefragt. Auf dieser Grundlage – und eigentlich wollte ich nur darauf hinweisen – finde ich es einen schönen Schritt, dass das Bayerische Landesamt für Datenschutzaufsicht zwei Flyer veröffentlicht hat, die auf ein paar Grundlagen im Umgang mit dem eigenen Smartphone hinweisen. Auf diesen beiden Flyern (einer für iOs und einer für Android) sind Datenschutztipps gesammelt, die jeder zumindest kennen sollte.

 

Prefilling – gängiger Praxis fehlt oft der kritische Blick

Im E-Mail-Marketing, oder direkter gesagt im Bereich des Newsletterversandes, da hat das Prefilling eine lange Tradition.

Als Prefilling wird das Vor-Ausfüllen von Formularfeldern auf der Landingpage des beworbenen Produktes durch die Übermittlung von Parametern aus einem Newsletter heraus bezeichnet.

Es werden also die Daten, die die versendende Firma in ihren Listen gespeichert haben, verwendet, um auf der Seite des beworbenen Produktes Formularfelder automatisch mit den Daten des Nutzers zu befüllen. So muss er sich zur Registrierung dort nicht mehr die Mühe machen, Anrede, Vorname, Nachname, E-Mail-Adresse, Straße, Hausnummer, Postleitzahl, Ort, Land, Geburtsdatum oder was sonst noch gefordert ist, manuell einzutippen.

Dieses Beispiel bezieht sich auf den Versuch einer Kaltakquise und nicht darauf, dass eine Firma eigene Kunden mit einem eigenen Angebot beschicken will. Hier wäre die Ausgangssituation eine andere.

Über ein solches Prefilling, so kann man es sehen, freuen sich drei Parteien:

  1. Der User selbst über seinen verringerten Aufwand
  2. Der Eigentüber des beworbenen Produktes, denn die Conversion-Rate (das Verhältnis von Registrierungen zu Besuchern) steigt, da die Hemmschwelle zur Teilnahme abgesenkt wurde
  3. Der Listeigner, der den Newsletter im Auftrag des Produkteigners verschickt hat: er liefert bessere Performanceraten, muss weniger Volumen versenden, schont seinen Verteiler und wird gerne wieder gebucht

Win-win-win – was will man mehr!?

Aber da gibt es mehr. Das Recht jedes Einzelnen darauf, dass mit seinen personenbezogenen Daten schutzwürdig umgegangen wird, wird hierbei verletzt. Dieser Vorgang ist zweifellos als eine Verarbeitung von personenbezogenen Daten ohne Einwilligung zu sehen. Denn als Verarbeitung ist gemäß § 3 Absatz 4 Satz 2 Nr. 3 und Nr. 3a BDSG bereits das Übermitteln der Daten in der einfachen Form des Bekanntgebens der Daten.

In dem geschilderten Fall hat der Betroffene nicht eingewilligt, dass seine Daten an den Produkteigner, also die dritte Firma, weitergegeben werden dürfen. Wäre dem so, dann bräuchte ein solche Kampagne nicht durchgeführt werden. Denn es ist ja eben das Ziel des Produkteigners, die Daten (im Einzelfall betrachtet) dieses noch unbekannten Users berechtigter Weise in seinen eigenen Datenbestand aufnehmen zu dürfen.

Also halten wir fest: dieses Prefilling, das Alltagspraxis in diesem Werbebereich ist, ist datenschutzrechtlich unzulässig.

 Doch welche Alternativlösungen gibt es hierfür?

Nun ja, die einfachste und bitterste ist, das Prefilling einfach zu unterlassen. Wirtschaftlich gesehen wäre damit ein Schaden für diese Branche verbunden.
Des weiteren wäre es wohl einen Versuch wert, ob die Methode einer gerichtlichen Prüfung standhalten kann, wenn nahe bei dem Klick-Button, der auf die Landingpage des beworbenen Produktes deutlich hervorgehoben vermerkt wird, dass die persönlichen Daten des Nutzers durch den Klick zum Zwecke der Vor-Ausfüllung der Formulare an die Zielseite übermittelt werden.

Bleibt zu hoffen, dass sich eine Lösung etabliert, die den teilnahmewilligen User nicht von seinem Ziel abhält. Sonst stünden wir vor einer loose-loose-loose-Situation.

Mangelhafte Eigenverantwortung im Netz

Unsere Datenschützer der Länder und des Bundes tun gute Arbeit in ihrem Bemühen darum, uns gegenüber großen Unternehmen oder Behörden vor ungerechtfertigtem Umgang mit unseren persönlichen/personenbezogenen Daten zu schützen.
Ein Aufschrei ging durch ihre Reihen als Vorgänge us-amerikanischer und britischer Geheimdienste ans Tageslicht gelangten. Ebenso werden sie regelmäßig unruhig wenn neue technische Errungenschaften der IT vielen Firmen Türen zu neuen Diensten öffnen. Häufig gibt es Auseinandersetzungen deswegen mit Facebook, Google, Apple und vielen anderen.
Wir sind gut vertreten, wir werden geschützt.

Was ich jedoch sehr vermisse, ist eine viel stärkere Investition in Aufklärung. Es sollte nicht genügen, uns zu schützen, es ist auch wichtig, dafür zu sorgen, dass wir selbst nicht fahrlässig in unserem Verhalten bleiben. Denn wenn dieses Verhalten unsererseits beim Umgang mit unseren schützenswerten personenbezogenen Daten im world wide web und hier ganz besonders beim Einsatz von Diensten der sozialen Netze beobachtet wird, wird diese Torheit deutlich. Bei den auftretenden Beschwerden und Befürchtungen, die an die großen des social webs herangetragen werden, zeigt sich, dass eine Komponente, eine Tatsache sträflich vernachlässigt wird:

es können Daten nur dann missbraucht werden, wenn diese verfügbar sind!

Dieser Satz ist wichtig und könnte direkt nochmal wiederholt werden, er sollte jedermann klar und bewusst sein, der sich im Netz bewegt. Ja, im Netz bewegt, und zwar nicht erst dann, wenn er/sie Daten irgendwo explizit freigibt. Dieses Internet ist ein weltweites Netz, was hier abgespeichert wird, ist prinzipiell zunächst einmal jedem, der sich auch in diesem Netz befindet, verfügbar!

Auch wenn ich ganz privat, alleine, bei heruntergelassenen Jalousien und verschlossenen Türen in meinem Wohnzimmer am Rechner sitze… Wenn ich ein Bild von mir in einem Blog poste und meinen Namen dazu schreibe, und wenn ich auf einer anderen Seite ein Profil mit meinem Namen erstelle und meinen Beruf dazu eintrage, dann kann man also zu meinem Gesicht meinen Beruf dazu kombinieren, auch wenn ich nirgends Bild und Job gleichzeitig angegeben habe. Es gibt zunächst mal keinen Unterschied zwischen Facebook und blogspot, zwischen Qype und WordPress, von Google+ nach foursquare usw. usw. Zwischen diesen existieren keine Wände. Was der eine weiß, weiß der andere auch. Beide befinden sich im gleichen Netz, dem Internet. Net = Netz. Meine gefühlte Privatsphäre ist hier sehr tückisch, ich bin nackt in rund um den Globus unterwegs.

Ja, es gibt Angebote, die versichern, die Daten, die man angibt, abgeschottet nur bei sich zu behalten und diese nicht weiterzugeben. Solche Zusicherungen sind genau zu prüfen und ob diese auf Dauer vertrauenswürdig sind, muss jeder selbst entscheiden. Ein Restrisiko bleibt immer und zunächst muss von dem Gegenteil ausgegangen werden und das sollte jeder wissen, der sich als aufgeklärten Internetzler bezeichnen möchte.

Im Bereich dieser Aufklärung wird meines Erachtens viel zu wenig getan. Ja, es ist natürlich wichtig, die Firmen und Behörden im Zaun zu halten, sie nicht wie Freiwild wüten zu lassen. Es darf aber auch nicht das Ziel des Datenschutzes sein, technischen Fortschritt über das nötige Maß zu bremsen. Und so müssen beide Seiten, die Anbieter der technischen Services wie auch die Nutzer derselben beide auf ein Maß gebracht werden, welches Fortschritt stützt und Personen schützt. Jedoch muss ein Maß an Selbstverantwortlichkeit gefordert und erwartet werden und wenn beispielsweise Google die Gesichtserkennung mit Google Glass umsetzt und Daten ad hoc zu der erkannten Person dazu aus öffentlich zugänglichen Quellen im Netz anreichert und dem Träger der Brille anzeigt, so soll das doch möglich sein, wenn es implizit der geduldete Wunsch des Betroffenen ist, der sich dadurch zeigt, dass dieser die entsprechenden Daten zugänglich veröffentlicht. Auch bei mir wäre dies möglich, dessen bin ich mir bewusst, aber ich akzeptiere es und finde es in Ordnung. Ich weiß aber auch, dass intime Informationen über mich, die nicht jeder kennen soll, auch nirgends im Internet verfügbar sind.

Also weiter mit Aktionen wie diesen, es dürfen ruhig mehrere sein:

https://www.bvdnet.de/dsgzs.html

BGH-Urteil über die Zulässigkeit eines einmalig versendeten Newsletters

Eine Kanzlei erhielt ohne vorherige Einwilligung einen Newsletter zum Thema Kapitalanlagen. Als die werbende Firma keine Unterlassungserklärung unterzeichnen wollte, ging der Fall vor Gericht.

In erster Instanz gab das Landgericht Frankfurt der klagenden Kanzlei recht. Dagegen ging die Beklagte in Berufung und erhielt – was mich sehr wundert – vor dem Oberlandesgericht Frankfurt ihrerseits nun recht. Das OLG berief sich offensichtlich insbesondere auf das UWG (§ 8 Abs. 3 Nr. 1) wonach keine Grundlage für wettbewerbsrechtlichen Unterlassungsanspruch gegeben ist, da Kläger und Beklagte nicht Mitbewerber seien. Eine erneute Berufung vor dem BGH wendete das Urteil aber letztendlich doch noch einmal und betonte, dass hier ein Verstoß nach den allgemeinen zivilrechtlichen Vorschriften (§ 823 Abs. 1, § 1004 Abs. 1 Satz 2 BGB) vorliegt.

Auf der einen Seite finde ich das Verfahren bemerkenswert, da ich mich über die bis dato offensichtlich noch bestehende Unsicherheit über die Erlaubnis der Zusendung einer Werbe-E-Mail ohne zuvor erteilte Einwilligung wundere. Auf der anderen Seite betont das Urteil des BGH nochmals, wie wichtig eine gültige Einwilligung ist und ebenso, dass die DOI-Mail, die ja erst der Verifizierung der bei der Einwilligung abgegebene E-Mail-Adresse dient, keinen werbenden Charakter haben darf. Denn wenn dieser gegeben ist, so muss nötigenfalls nachgewiesen werden, dass hier bereits eine Einwilligung vorlag, was ohne abgeschlossenes Double-Opt-In schwierig werden könnte.

Hier der Beschluss des BGH:     VT_MIR_2009_170