Landesdatenschützer fordern WebSite-Betreiber zum Entfernen der Social-Buttons auf (Update)

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein fordert alle WebSite-Betreiber auf, umgehend Facebook-Fanseiten sowie Social-Buttons wie beispielsweise den „Gefällt mir“ Button von Facebook aus ihren Webseiten zu entfernen.

„Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.“

Das ULD fährt also richtig scharfe Geschütze auf, auch wenn man sich derzeit vordergründig an WebSite-Betreiber in Schleswig-Holstein wendet. Genau genommen dürfte diese Aussage auch nicht allein für Facebook gelten, auch der „+1“-Button von Google wäre hiervon betroffen und diverse andere Social-Dienste sicher auch. Besonders krass finde ich, dass man nicht allein auf die Buttons abzielt sondern auch ganz klar Fanpages bei Facebook anspricht.

Ich finde immer wieder erstaunlich, mit welcher Schärfe Landesdatenschützer gegen derartige Dinge vorgehen und wie vergleichsweise harmlos die Äußerungen beispielsweise gegen das SWIFT-Abkommen oder das Fluggastdaten-Abkommen ausfallen, die weitaus tiefer in die Persönlichkeitsrechte jedes Einzelnen eingreifen als eine lächerliche Facebook-Fanseite. Ich wünschte, das ULD würde sich vorrangig um wirklich wichtige Dinge kümmern und nicht mit solchem Aktionismus eine seriöse Tätigkeit vorgaukeln.

Update: Rechtsanwältin Nina Diercks äußert sich im Social Media Recht Blog sehr ausführlich über diese Ankündigung des ULD. Ihr Fazit: Gewissermaßen hat das ULD irgendwie Recht, aber über die Folgen mag sie im Detail derzeit nicht nachdenken, wenn sie Übelkeit vermeiden will. Verständlich, ich konnte das Nachdenken leider nicht verhindern und kämpfe nach wie vor mit der Übelkeit. Auch Udo Vetter äußert sich im law blog zu dieser Meldung und nennt die Drohungen

…gegen alle Schleswig-Holsteiner, die Plugins von Facebook verwenden, ein Armutszeugnis für das ULD. Statt sich mit dem wirklichen Gegner Facebook anzulegen und auf Verbesserungen zu drängen, versuchen es Weichert und seine Leute über die Einschüchterung harmloser Facebook-Nutzer.

Exakt, dem gibt es nichts hinzu zu fügen.

Tags: , , , , , ,

Die Risiken der Shopbetreiber

In letzter Zeit muss ich mich ein wenig mit dem Thema Online-Shops auseinander setzen und wenn ich all das, was ich in dieser Zeit so gelesen habe, mal Revue passieren lasse, dann komme zu einem ernüchternden Ergebnis: Betreiber eines Online-Shops haben eine ganze Menge Risiken zu tragen.

Das Risiko, welches jedem sicherlich als erstes in den Sinn kommt, ist klar das geschäftliche Risiko, was jeder Unternehmer zu tragen hat. Reichen beispielsweise die Einnahmen aus, um die Kosten zu decken? Die Kosten halten sich für Betreiber eines Onlineshops durchaus im Rahmen, geht man von einem für Neueinsteiger üblichen Ein-Personen-Unternehmen aus. Dass auch für diese eine Person am Ende des Monats auch etwas übrig bleiben muss, soll sich der ganze Aufwand lohnen, ist selbstredend klar. Nicht jedem gelingt das, weshalb sicherlich eine Vielzahl von Online-Shops ebenso schnell verschwinden, wie sie entstanden sind.

Aber diese Risiken meine ich in diesem Fall überhaupt nicht. Das in meinen Augen weitaus größere Risiko für einen Unternehmer, der einen Online-Shop eröffnen möchte, ist das Risiko, kostenpflichtig abgemahnt zu werden. Und es gibt viele Fallen, in die ein solcher Neueinsteiger ins Online-Business tappen kann.

Nehmen wir zum Beispiel die Widerrufsbelehrung. Mein aktueller Eindruck ist: Eine der wichtigsten Quellen für Abmahner in Online-Shops ist die Widerrufsbelehrung. Zum einen ist der genaue (rechtssichere) Wortlaut vielen Shopbetreibern nach wie vor nicht ganz klar, schaut man sich das offizielle Muster an, wird schnell klar, warum. Andererseits scheiden sich an verschiedenen Stellen die Geister, was diese Belehrung enthalten muss oder darf. Fehlt beispielsweise der Hinweis darauf, dass die Frist nicht vor Erfüllung der Pflichten gemäß § 312 c Abs. 2 BGB in Verbindung mit § 1 Abs. 1, 2 und 4 BGB-InfoV sowie der Pflichten gemäß § 312e Abs. 1 Satz 1 BGB in Verbindung § 3 BGB-InfoV zu laufen beginnt, wird dies abgemahnt.

Aber mal ganz ehrlich: Wem genau nützt diese verschwurbelte Aufzählung von Paragraphen? Dem Kunden? Kaum vorstellbar, die wenigsten Kunden wissen, was diese Paragraphen aussagen und noch weniger werden googlen, um den Wortlaut zu erfahren (abgesehen von der Tatsache, dass dies wohl kaum zum besseren Verständnis führen wird).

Ebenso abgemahnt wird, wenn in der Widerrufsbelehrung neben der Anschrift des Unternehmens auch die Telefonnummer enthalten ist. Die Begründung: Der Widerruf hat schriftlich zu erfolgen, deshalb sei die Angabe einer Telefonnummer verwirrend. Mal wird dies vor Gericht bestätigt, ein anderes Mal wird es als unkritisch empfunden. Ein gefundenes Fressen für Abmahner.

Weiterhin ist nicht zulässig, den Vornamen des Geschäftsinhabers/-führers im Impressum abzukürzen. Auch dies führt zu einer Abmahnung. Wird hier allerdings keine Telefonnummer angegeben, ist das erstaunlicherweise wiederum unproblematisch.

In dieser Form könnte ich zahllose weitere Beispiele aufführen, wer sich in diversen Foren und Blogs einmal umschaut, wird sehr schnell fündig. Interessanterweise sind bereits die großen Parteien mit ihren Online-Shops in die Abmahnfalle getappt, halten es allerdings nicht für erforderlich, hier Rechtssicherheit zu schaffen.

Man fragt sich bei der Vielzahl von Fallen natürlich, wem die vielen Vorgaben und Vorschriften nützen sollen. In erster Linie sollen sie natürlich dazu beitragen, die Kunden vor Übervorteilung und die Mitbewerber vor unlauterem Wettbewerb zu schützen. Letzten Endes ist mein persönlicher Eindruck allerdings, dass aufgrund der Vielzahl von Vorschriften, Vorgaben und Klauseln nur noch mehr Verwirrung gestiftet als Klarheit geschaffen wird. Liest man sich als Kunde eine Widerrufsbelehrung durch, wird man spätestens nach dem zweiten Absatz nicht mehr wissen, was im ersten stand. Klarheit, Aufklärung über meine Rechte? Fehlanzeige, dazu ist die Widerrufsbelehrung in meinen Augen eher nicht geeignet.

Auch die vielen Punkte, die gegen unlauteren Wettbewerb schützen sollen erwecken in meinen Augen eher den Eindruck, eine Hilfe für diejenigen zu sein, die ihren Wettbewerb gern mit kleinen Gemeinheiten ärgern wollen. Manche Abmahnung, die vor Gericht verhandelt und zugunsten des Abmahnenden entschieden wurde, lässt mich am gesunden Menschenverstand zweifeln (bzw. am Vertrauen der Abmahner und Richter in den gesunden Menschenverstand). Beispielsweise wird eine Angabe zu den Lieferfristen in der Form von „Lieferung in der Regel 1-2 Werktage bei DHL-Versand“ als unzulässig erachtet, während die Angabe „Die Lieferung erfolgt i.d.R. sofort nach Zahlungseingang“ als unproblematisch angesehen wurde.

Sicherlich gibt es eine ganze Menge gerechtfertigter Abmahnungen, keine Frage. Eine Vielzahl von Regelungen, Vorschriften und Gesetzen wurde geschaffen, da gerade im Onlinehandel Schindluder getrieben wurde und Kunden abgezockt wurden. Keine Frage, hier musste natürlich zum Schutz der Verbraucher etwas getan werden, daran gibt es keinen Zweifel. Ich zweifle allerdings an der Sinnhaftigkeit so mancher Bestimmungen und frage mich, wem sie nützen. Mein Eindruck in vielen Fällen: Sie nützen ausschließlich den Anwälten.

Natürlich bin ich nur auf ein paar einzelne Punkte eingegangen, die mir vermehrt aufgefallen sind. Es gibt eine Vielzahl mehr (vielleicht sammeln sich ja noch ein paar Beispiele in den Kommentaren, würde mich freuen). Rechtlich kann ich die Dinge natürlich nicht erschöpfend beurteilen, aber mein Rechtsempfinden hat doch an vielen Stellen arge Schmerzen erlitten.

Tags: , , ,

Der Bundestrojaner kommt – mit Auflagen

Das Bundesverfassungsgericht hat gestern die Klausel, die dem nordrhein-westfälischen Verfassungsschutz heimliche Online-Durchsuchungen von PCs erlaubte, für verfassungswidrig erklärt. In diesem Zusammenhang hat das Gericht ein Grundrecht auf „Gewährleistung der Vertraulichkeit und Integrität“ informationstechnischer Systeme eingeführt.

Dieses Urteil hat nun natürlich auch Folgen auf die geplante Ausweitung der Überwachungsmöglichkeiten durch Herrn Schäuble. Unter dem Deckmäntelchen der Terrorabwehr sollte es möglich sein, nach Belieben PCs von Personen aus zu spähen. Wie schwammig hier die Gesetze sind, ist leider hinlänglich bekannt. Das Bundeverfassungsgericht hat nun den Einsatz eines Bundestrojaners nicht grundsätzlich für verfassungswidrig erklärt, aber an hohe Auflagen gebunden. Das Ausspähen privater PCs darf nur dann auf richterlichen Beschluss hin möglich sein, wenn „tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen“, also Menschenleben oder der Bestand des Staates konkret gefährdet sind.

Ich werte das Urteil als Teilerfolg, sehe aber dennoch einige Risiken in diesem Urteil. Auch Hausdurchsuchungen sind bereits seit langem an hohe Auflagen gebunden, wir alle wissen jedoch, aufgrund welcher Nichtigkeiten zum Teil Hausdurchsuchungen angeordnet und durchgeführt werden. Die Grenzen für eine Online-Durchsuchung sind sicherlich wesentlich enger gesteckt, aber lassen sie durchaus zu. Im Gegensatz zu den heimlichen Wünschen einiger kann nach diesem Urteil aber der Bundestrojaner nicht genutzt werden, um Verdachtsmomente zu produzieren, sondern darf erst aufgrund tatsächlich vorhandener konkreter Verdachtsmomente überhaupt eingesetzt werden.

Sehr schön finde ich nach diesem Urteil die Reaktion Wolfgang Schäubles. Er sieht sich durch das Urteil in seinen Vorstellungen bestätigt, was sich mir nicht so ganz erschließt. Wollte er doch die Online-Durchsuchung ursprünglich zur präventiven „Verhütung“ von Terroranschlägen einsetzen, darf er sie nun nach diesem Urteil lediglich zur Bekämpfung konkreter und unmittelbarer Gefahren nutzen. Aber schön, dass er dieses für ihn bindende Urteil in seinem Gesetzesentwurf „berücksichtigen“ möchte. Danke Herr Schäuble!

Ich sehe allerdings in diesem Urteil einige weitere positive Auswirkungen, die nicht unmittelbar angesprochen wurden. Konkret wird durch dieses Urteil praktisch untersagt, dass durch technische Maßnahmen Informationen auf einem PC gesammelt und übertragen werden dürfen. Dies ist nun als neues Grundrecht fest geschrieben. Somit werden auf einen Schlag auch sämtliche Programme illegal, die Informationen über installierte Software oder vorhandene Dateien auf einem PC einsammeln und an den Hersteller übermitteln. Microsoft beispielsweise steht bei vielen seit langem unter Verdacht, Informationen über installierte Programme nach Redmond zu schicken, ebenfalls vermuten viele, Apples iTunes sendet Daten der auf der Festplatte gefundenen Musikstücke nach Hause. Aber auch Online-Spiele wie World of Warcraft durchsuchen die Festplatten der PCs. So steht beispielsweise in den Anti-Cheat-Bestimmungen zu diesem Spiel:

„Während der World of Warcraft Client (der Client) ausgeführt wird, kann der Client den Arbeitsspeicher (RAM) Ihres Computers und / oder die CPU Ihres Computers nach nichtautorisierter Drittanbietersoftware scannen, die zeitgleich mit World of Warcraft ausgeführt wird. Darüber hinaus wird der Client das Spielinstallationsverzeichnis scannen, um sicherzustellen, dass nur nicht-gehackte Originalsoftware verwendet wird.“

Einige Zeilen weiter unten findet der Leser dann noch folgenden Passus:

„Im Fall, dass der Client eine nichtautorisierte Drittanbietersoftware entdeckt, kann der Client die folgenden Informationen an Blizzard Entertainment weiterleiten :

  • Details zu der unautorisierten Drittanbietersoftware;
  • Zeitpunkt und Datum, zu dem die unautorisierte Drittanbietersoftware entdeckt wurde;
  • Ihre IP-Adresse; und
  • Identifikationsnummern von PC-Komponenten, z.B. Festplatten, Hauptprozessor und Betriebssystem.“

Nach meinem Rechtsverständnis dürften diese Klauseln sowie die Praxis, die PCs der Anwender zu durchsuchen, nun rechtswidrig sein. Auch die Praxis, die Möglichkeit der Nutzung einer Software an die Aufgabe einer nun zum Grundrecht erklärten Sebstverständlichkeit zu binden ist nach meinem Rechtsempfinden nicht mehr möglich und verstößt gegen geltendes Recht.

Inwieweit sich dieses Urteil auch auf die Praxis beispielsweise der Contentmafia, mittels spezieller Clients in P2P-Netzwerken die auf fremden PCs freigegebenen Dateien zu scannen, auswirken wird bleibt abzuwarten. Auch hier sehe ich persönlich eigentlich das Recht auf Seiten der PC-Inhaber. Wie das in Zukunft die Gerichte sehen werden ist noch offen.

Tags: , , , ,

Zum Wohle der Kinder…

Vorab ein Statement für all jene, die in meinen Artikel irgendwelche Dinge hineindeuten möchten (leider muss man so etwas explizit schreiben): Ich bin ein absoluter Gegner von Kindesmissbrauch und Kinderpornographie. Dennoch sehe ich das, was im Rahmen von „Ermittlungen“ gegen diese Dinge getan wird durchaus kritisch, deshalb dieser Artikel.

Von der Operation „Himmel“ erfuhr ich aus dem Autoradio während meiner weihnachtlichen Fahrt zu meiner Familie. Es wurde die Ermittlungsarbeit der deutschen Polizei bejubelt, von über 12.000 Verdächtigen war die Rede, gegen die wegen Besitzes von Kinderpornographie ermittelt würde, zahlreiche Hausdurchsuchungen hätten bereits stattgefunden und umfangreiches Beweismaterial wäre sichergestellt. Auslöser dieser Aktion wäre ein Internetprovider gewesen, der aufgrund eines enormen Datenvolumens die Polizei eingeschaltet hätte. Soweit die Nachrichten, die ich am 25.12. mehrfach auf der Fahrt hörte.

Meine erste Reaktion: Meine Güte, das kann nicht wahr sein. Dann kam der 2. Gedanke langsam hoch, der in etwa folgenden Inhalt hatte: Ein Internetprovider stellt fest, dass eine Seite enorm viel Traffic erzeugt und benachrichtigt DESHALB die Polizei? Das klingt ja fast wie: Ein Telekommunikationsanbieter stellt fest, dass von einem Anschluss aus besonders viel telefoniert wird und benachrichtigt deshalb die Polizei.
Eher hat da jemand beim Provider geschnüffelt, was denn da so abgeht und hat anschließend die Polizei benachrichtigt. Was ja eigentlich nicht zulässig ist, aber im Rahmen des Kampfes gegen …etc.

Natürlich hat mich diese Nachricht weiterhin beschäftigt, auch weil ich sie von da an jede halbe Stunde zu hören bekam. Und mit jedem Mal kam mir die ganze Angelegenheit unrealistischer vor, mehr und mehr erinnerte mich die Sache an „Mikado“. Damals wurden die Transaktionen von 22 Mio. Kreditkartenbesitzern überprüft, um Personen zu finden, die möglicherweise den Zugriff auf eine WebSite mit kinderpornographischem Material erkauft haben. In etwa 380 „Verdächtige“ wurden auf diese Weise produziert, wie vielen von diesen „Verdächtigen“ tatsächlich strafbare Handlungen nachgewiesen wurden, ist meines Wissens nie bekannt geworden. Und vor diesem Hintergrund (sowie aufgrund meiner Erfahrungen zum Thema „Internet“ allgemein) erschien mir die Zahl von 12.000 Verdächtigen, gegen die ermittelt würde, als vollkommen utopisch und unrealistisch.

Und es kam, wie es kommen musste: kurz darauf änderten sich die Nachrichten ein wenig. Plötzlich wurden aus den 12.000 Verdächtigen „einige hundert“, zudem wurde geäußert, dass die meisten Zugriffe nur einmalig bzw. „wenige Sekunden lang“ waren und man in dieser Zeit unmöglich Bilder hätte herunter laden können. Weiterhin sei davon auszugehen, dass die meisten Besucher eher zufällig auf die Seite gelangt wären und diese sofort wieder verlassen hätten. Und somit die Verfahren gegen diese Personen eingestellt würden. Die sensationelle Meldung entpuppt sich also wieder als Marketingmaßnahme der Ermittlungsbehörden die damit unter Beweis stellen wollen, wie toll sie doch den Kampf gegen derartige Machenschaften führen. Letztlich zeigt man auf diese Weise jedoch wieder einmal, mit wie wenig Kompetenz man dabei zu Werke geht.

Prinzipiell: Es ist sicherlich richtig und wichtig, in solchen Fällen zu ermitteln und Täter zu bestrafen. Aber statt das Unkraut heraus zu rupfen, brennt man ohne Rücksicht auf Verluste ganze Felder nieder und rühmt sich anschließend damit, eine erfolgreiche Aktion durchgeführt zu haben. Den missbrauchten Kindern hat man so jedoch nicht geholfen, die eigentlichen Täter werden schon aufgrund der Ermittlungsmethoden wie so oft nicht ermittelt, stattdessen produziert man Kollateralschäden ungeahnten Ausmaßes. Zwei solche Beispiele erwähnt aktuell Udo Vetter auf seinem Blog: Vom „Himmel“ in die Hölle und Sandra-model2.mpeg. Diese beiden Fälle zeigen deutlich, mit welchen Methoden die Ermittlungsbehörden Verdachtsmomente konstruieren, die sich letzten Endes vielfach als vollkommen unsinnig bzw. unhaltbar herausstellen. Aber zunächst in einer Pressemitteilung fantastisch klingen. Die in den beiden Fällen betroffenen Personen sind allerdings für lange Zeit stigmatisiert und zumindest Job und Familie los. Toll!

Die wirklichen Täter werden mit solchen Ermittlungsmethoden niemals dingfest gemacht, allenfalls wird es mit sehr sehr viel Glück Zufallstreffer geben, der Rest ist gewarnt. Den missbrauchten Kindern hat niemand geholfen, einzig und allein die Statistik am Jahresende sieht richtig geil aus. Wie viele Kinder allerdings aufgrund derartiger Ermittlungsmethoden in Zukunft ohne ihre Väter aufwachsen werden, das steht in keiner Statistik.

Allerdings kann man sich nun aufgrund dieser Meldungen recht einfach hochrechnen, wann man selbst aufgrund eines möglichen Fehlklicks ins Visier der Ermittler gerät. Dank Vorratsdatenspeicherung zum Beispiel.

Tags: , , ,