[datensicherheit.de, 02.03.2022] Der eco – Verband der Internetwirtschaft e.V. geht in seiner aktuellen Stellungnahme auf die Entscheidung des Verwaltungsgerichts Köln zum Netzwerkdurchsetzungsgesetz (NetzDG) ein. Demnach ist die Strafverfolgung Aufgabe des Staates und nicht die Sozialer Plattformen, so die Klarstellung. Oliver Süme, eco-Vorstandsvorsitzender, kommentiert diese Entscheidung.

Foto: eco e.V.

Oliver Süme: Auch für Nutzer Sozialer Plattformen ist das Urteil sehr wichtig…

eco begrüßt Entscheidung des Verwaltungsgerichts Köln

Der eco begrüßt nach eigenen Angaben die Entscheidung des Verwaltungsgerichts Köln zum NetzDG, welches nach Ansicht der Richter „teilweise gegen das EU-Recht verstößt“. In der Konsequenz seien bestimmte Soziale Plattformen vorläufig nicht verpflichtet, Verdachtsfälle bestimmter Straftaten an das Bundeskriminalamt (BKA) zu melden.

Süme betont: „Die Strafverfolgung ist Aufgabe des Staates und nicht die Sozialer Plattformen – das hat das Verwaltungsgericht Köln mit seiner Entscheidung klargestellt. Unternehmen erhalten nun Rechts- und Planungssicherheit im Umgang mit der Meldepflicht von Verdachtsfällen an das BKA.“

eco-Kritik: Bisherige Meldepflicht verschaffte Behörden sofort sensible Nutzerdaten

Auch für Nutzer Sozialer Plattformen sei das Urteil sehr wichtig: „Denn mit der Meldepflicht würden die Behörden faktisch sofort über sehr sensible Nutzerdaten verfügen – selbst wenn es sich dabei am Ende nicht um strafbare Inhalte handelt.“

Soziale Netzwerke müssten in Zigtausenden von Fällen jährlich personenbezogene Daten übermitteln, „ohne dass vorab eine fallbezogene Prüfung durch eine staatliche Stelle erfolgt wäre“. Süme abschließend: „Es ist richtig, dass das Verwaltungsgericht Köln dem vorläufig ein Ende bereitet hat.“

Weitere Informationen zum Thema:

Verwaltungsgericht Köln, 01.03.2022
Gericht entscheidet über Eilanträge von Google und Meta: Netzwerkdurchsetzungsgesetz verstößt teilweise gegen Unionsrecht

[datensicherheit.de, 22.04.2018] Die sogenannte anlasslose Vorratsdatenspeicherung sei mit EU-Recht nicht vereinbar, hat das Verwaltungsgericht (VG) Köln am 20. April 2018 zugunsten der SpaceNet AG entschieden (Az. 9 K 3859/16) entschieden. Das Gericht stellte demnach fest, dass die SpaceNet AG keine Verbindungsdaten ihrer Kunden speichern muss.

Grundsatzentscheidung zur Vorratsdatenspeicherung herbeigeführt

Wenige Gesetze sind so umstritten wie das zur Einführung der Speicherpflicht für Verkehrsdaten vom Dezember 2015. Die mit Spannung erwartete Entscheidung gelte zunächst nur für SpaceNet, werde aber über den Einzelfall hinaus richtungsweisend für das gesamte Internet sein.
Geklagt hatte die Münchener SpaceNet AG, einer der ersten Internetprovider Deutschlands, gemeinsam mit eco, dem Verband der Internetwirtschaft, und Prof. Dr. Matthias Bäcker von der Universität Mainz mit dem Ziel, eine Grundsatzentscheidung zur Vorratsdatenspeicherung herbeizuführen.
Jetzt wurde es bestätigt: Die SpaceNet AG ist nicht zur Speicherung der Verbindungs- und Standortdaten ihrer Kunden verpflichtet.

Entscheidung des Oberverwaltungsgerichts Münster bestätigt

In ihrem aktuellen Urteil vom 20. April 2018 folgten die Kölner Richter im vollen Umfang der Entscheidung des Oberverwaltungsgerichts (OVG) Münster, das bereits am 22. Juni 2017 die SpaceNet AG von der Verpflichtung zur Vorratsdatenspeicherung befreit hatte. Nur wenige Tage später hatte damals die Bundesnetzagentur die Pflicht zur Vorratsdatenspeicherung auch für alle anderen Provider ausgesetzt.
Die Kölner Verwaltungsrichter haben entschieden, dass eine nationale gesetzliche Regelung, die eine massenhafte Speicherung von Daten verlangt, ohne diese in konkreten Zusammenhang zur Verbrechensbekämpfung zu setzen, europarechtlich unzulässig sei.
Schon im Dezember 2016 hatte der Europäische Gerichtshof (EuGH) zur schwedischen und englischen Vorratsdatenspeicherung geurteilt, dass die Speicherung personenbezogener Daten eine Ausnahme bleiben und auf das absolut Notwendige beschränkt werden müsse.
Den bisherigen, umstrittenen gesetzlichen Regelungen zufolge hätten Internetprovider, Mobilfunk- und Kommunikationsunternehmen alle Standortdaten vier Wochen sowie alle Verbindungsdaten ihrer Kunden zehn Wochen lang speichern und diese an Polizei, Staatsanwaltschaft und Nachrichtendienste auf Verlangen übergeben müssen.
Dagegen hatte die SpaceNet AG, unterstützt von eco, dem Verband der Internetwirtschaft, bereits im April 2016 vor dem Verwaltungsgericht Köln geklagt.
Gegen das aktuelle Urteil des VG Köln könne Berufung eingelegt werden, die Sprungrevision zum Bundesverwaltungsgericht in Leipzig sei zugelassen.

Vorratsdatenspeicherung könnte zwar Bürger ausspähen, aber sicher keine Terroristen fangen helfen

„Es ist meine feste Überzeugung, dass die Vorratsdatenspeicherung mit rechtsstaatlichen Standards nicht vereinbar ist“, so Prof. Dr. Matthias Bäcker, Universitätsprofessor für Öffentliches Recht und Verfasser der Klageschrift.
„Es ist schön zu sehen, dass wir Erfolg mit unserer Klage haben und zeigt, unsere Hartnäckigkeit ist berechtigt. Das Gesetz zur Vorratsdatenspeicherung verpflichtet uns, alle Verbindungsdaten unserer Kunden zu speichern und gegebenenfalls Polizei, Staatsanwaltschaft oder Nachrichtendiensten darüber Auskunft zu geben. Diesem Vertrauensbruch hätten wir niemals freiwillig zugestimmt. Bei massiven Eingriffen in bürgerliche Grundrechte, vor allem im Digitalen, waren wir schon immer wachsam und haben eindeutig Stellung bezogen. Daher freuen wir uns sehr über das Urteil“, kommentierte Sebastian von Bomhard, Vorstand der SpaceNet AG. Mit der Vorratsdatenspeicherung könne man zwar Bürger ausspähen, aber sicher keine Terroristen fangen.
„Wir freuen uns über den Ausgang des Verfahrens und über das heutige Urteil, das ein so wichtiges Signal an die gesamte Internetbranche sendet. Wir sehen unsere grundsätzlichen Bedenken, hinsichtlich der Wiedereinführung der VDS, damit bestätigt. Die Bundesregierung muss jetzt umgehend reagieren und diese kostspielige Odyssee für die Unternehmen endlich beenden. Wir brauchen endlich Rechts- und Planungssicherheit“, forderte Oliver Süme, eco-Vorstandsvorsitzender.

Weitere Informationen zum Thema:

datensicherheiit.de, 29.06.2017
Vorratsdatenspeicherung: Nicht nur Aussetzen, sondern aufheben

datensicherheit.de, 22.06.2016
Europäischer Gerichtshof: Urteil gegen anlasslose Vorratsdatenspeicherung

[datensicherheit.de, 03.03.2018] Laut einer Mitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat das Oberverwaltungsgericht das Verbot des Datenaustauschs zwischen WhatsApp und facebook bestätigt – damit sei die Anordnung zum Schutz der Daten von WhatsApp-Nutzern vor Weitergabe wirksam.

Anordnung des HmbBfDI „sofort vollziehbar“

Die für „sofort vollziehbar“ erklärte Anordnung des HmbBfDI, welche facebook untersagt, Daten von WhatsApp-Nutzern massenhaft für eigene Zwecke zu nutzen, wurde demnach vom OVG Hamburg am 1. März 2018 als rechtmäßig bestätigt.
Eine entsprechende Beschwerde facebooks gegen die vorangegangene Entscheidung des Verwaltungsgerichts Hamburg sei damit erfolglos geblieben. Damit dürfe facebook auch weiterhin keinen Datenabgleich von Millionen von Nutzerdaten des konzerneigenen Messenger-Dienstes WhatsApp vornehmen.

Keine wirksame Einwilligung der Nutzer

Das OVG habe die Auffassung des VG Hamburg bestätigt, wonach für den geplanten Massendatenaustausch keine wirksame Einwilligung der Nutzer vorgelegen habe. Ferner bestätige sich auch die Annahme, dass eine gesetzliche Grundlage den Austausch von Nutzerdaten nicht rechtfertigt.
Das gelte nicht nur für Zwecke wie die Reichweitenmessung und die Werbungsoptimierung, sondern auch für die Plattform- und Nutzersicherheit, die facebook laut HmbBfDI als Grund für die geplante Datenweitergabe zumindest angegeben hatte. Zwar könne diese im Einzelfall durchaus aus Sicherheitszwecken zulässig sein. Für die geplante, alle Nutzer anlasslos betreffende Übermittlung auf Vorrat, für die WhatsApp eine Einwilligung habe einholen wollen, sei eine gesetzliche Grundlage jedoch nicht vorhanden.

Konzerninternem Datenaustausch von Nutzerdaten klare Grenzen gesetzt

„Auch wenn das OVG die Frage der Anwendbarkeit des nationalen Rechts letztlich offen gelassen hat und in der Sache eine Interessenabwägung vornimmt, ist der Beschluss ein deutlicher Erfolg für den Datenschutz. Über die Geltung nationalen Rechts wird in absehbarer Zeit der EuGH entscheiden. Die Stellungnahme des Generalanwalts hierzu liegt bereits vor und bestätigt unsere Auffassung. Ob die im Eilverfahren offen gebliebene Frage vor den Hamburgischen Verwaltungsgerichten noch in einem Hauptsacheverfahren geklärt werden wird, erscheint indes fraglich“, erläutert der HmbBfDI, Prof. Dr. Johannes Caspar.
Denn das Bundesdatenschutzgesetz trete im Zuge der Geltung der europäischen DSGVo bereits Ende Mai 2018 außer Kraft. Die federführende Aufsichtsbehörde für facebook werde dann die irische Datenschutzaufsicht sein. Deren Entscheidungen könnten von den anderen europäischen Behörden in einem neuartigen Verfahren vor dem Europäischen Datenschutzausschuss überprüft werden.
Der jetzt vorliegende Beschluss setze dem konzerninternen Datenaustausch von Nutzerdaten klare Grenzen. Künftig werde er im europäischen Kontext auch unter der EU-Datenschutzgrundverordnung Beachtung finden. Caspar geht davon aus, dass ein massenhafter Datenabgleich, wie von facebook mit der Konzerntochter WhatsApp geplant, „künftig ohne die informierte Einwilligung der Nutzer in der EU vom Tisch sein dürfte“.

Weitere Informationen zum Thema:

Justiz-Portal, 01.03.2018
Hamburgisches Oberverwaltungsgericht entscheidet: Beschwerde zurückgewiesen – Vorerst weiter keine Verwendung personenbezogener Daten deutscher WhatsApp-Nutzer durch Facebook

datensicherheit.de, 25.04.2017
Vorerst bestätigt: Verbot des Datenaustauschs zwischen WhatsApp und Facebook

[datensicherheit.de, 25.04.2017] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) meldet, dass das Verwaltungsgericht Hamburg mit seiner Entscheidung am 25. April 2017 im vorläufigen Rechtsschutzverfahren bestätigt hat, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf.

Zusicherung verletzt: Einführung neuer Nutzungsbedingungen bei WhatsApp

Die Entscheidung sei Gegenstand einer HmbBfDI-Anordnung. Der Facebook Ireland Ltd. sei demnach untersagt worden, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.
Facebook und WhatsApp seien selbstständige Unternehmen, welche die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiteten. Nach dem Kauf von WhatsApp durch Facebook 2014 hätten die Unternehmen noch öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht würden. Durch Einführung neuer Nutzungsbedingungen habe WhatsApp den Nutzern im August 2016 jedoch mitgeteilt, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer bestehe dabei nicht.

Zum Schutz der Nutzer Sofortvollzug angeordnet

Der HmbBfDI hält diese Praxis nach eigenen Angaben für „rechtswidrig“ und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, sei der Sofortvollzug angeordnet worden. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.
Facebook habe gegen diese Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel sei es gewesen, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag habe das Gericht nun zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sehe. Facebook könne sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich sei. Ferner habe das Gericht klargestellt, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorlägen.

Facebook verpflichtet, rechtmäßiges Einwilligungsverfahren einzuführen

Im Ergebnis nehme das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach würden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit.
Die Frage nach der Anwendbarkeit des nationalen Rechts lasse das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.
Der HmbBfDI, Johannes Caspar, kommentiert: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht.“
Diese Entscheidung habe erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn dort gelte ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit werde auch der Kritik vieler seiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen.
Einen Massenabgleich von Daten gegen den Willen Betroffener werde und dürfe es in der EU nicht geben.
„Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen“, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 10.03.2016
facebook bleibt bei Klarnamenpflicht

[datensicherheit.de, 10.03.2016] Nach Angaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat das Verwaltungsgericht Hamburg in einer Eilentscheidung vom 3. März 2016 die Anwendbarkeit des nationalen Rechts zur pseudonymen Nutzung bei facebook abgelehnt. Damit habe es zunächst die aufschiebende Wirkung eines Widerspruchs des Konzerns gegen die HmbBfDI-Anordnung, die Kontensperrung einer betroffenen Nutzerin wegen der Verwendung eines Pseudonyms aufzuheben, bestätigt.

facebook richtet sich allein nach irischem Datenschutzrecht

Zur Begründung habe das Gericht ausgeführt, dass trotz der Existenz einer deutschen Niederlassung, die überwiegend im Bereich der Werbung aktiv sei, deutsches Recht keine Anwendung finden würde und facebook somit allein irisches Datenschutzrecht zu beachten habe – ein entsprechendes Recht auf pseudonyme oder anonyme Nutzung existiere im irischen Recht allerdings nicht.

HmbBfDI setzt weiter auf das Recht zur pseudonymen Nutzung

Die Auffassung, wonach das Recht desjenigen Mitgliedstaats der EU anzuwenden ist, in dem sich diejenige Niederlassung befindet, mit deren Tätigkeit die streitige Datenverarbeitung am engsten verbunden ist, vermöge ihn nicht zu überzeugen, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar.
Das Ziel der EU-Datenschutzrichtlinie, einen umfassenden und wirksamen Schutz der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre und des Datenschutzes zu gewährleisten, werde durch diese enge Auslegung im Beschluss verfehlt.
Der HmbBfDI wird sich demnach weiterhin für das Recht auf pseudonyme Nutzung einsetzen und die erforderlichen Schritte prüfen.

Weitere Informationen zum Thema:

hmbbfdi, 04.03.2016
Klarnamenpflicht bei Facebook bleibt vorerst / Die Anordnung des HmbBfDI zur Durchsetzung des Rechts auf pseudonyme Nutzung bei Facebook kann zunächst nicht vollzogen werden