Bei einem internationalen Test der OECD-Datenschutzvereinigung Global Privacy Network (GPEN) sind nach einem jüngst veröffentlichten Artikel auf www.heise.de (hier) smarte Alltagsgeräte wie vernetzte Zahnbürsten, Smartphones mit Fitness-Apps oder mobil gesteuertes Spielzeug größtenteils in puncto Datenschutzerklärung durchgefallen. Auch viele Wearables standen auf dem Prüfstand. Unter Wearables werden sowohl Fitnessarmbänder und Uhren sowie miniaturisierte Computer, die mit unterschiedlichen Sensoren direkt in Kleidungsstücke eingearbeitet werden und dadurch in der Lage sind, Informationen über den Gegenstand selbst oder seine Umwelt zu ermitteln, verstanden. Dass auch inzwischen viele Krankenkassen Gefallen an den Wearables gefunden haben und sich über vielfältige Möglichkeiten der Bezuschussung oder Kundenrabatten Gedanken machen, haben wir (hier) näher beleuchtet.
An der Prüfaktion der smarten Alltagsgeräte waren das Bayerische Landesamts für Datenschutzaufsicht sowie 25 weitere Aufsichtsbehörden auf der ganzen Welt beteiligt. Die Prüfung ergab, dass die Datenschutzbestimmungen aller 314 geprüften Angebote zumeist nur pauschale Hinweise enthielten. Die Anwender werden in den meisten Fällen nicht darüber aufgeklärt, was das „intelligente“ Gerät bzw. der Anbieter tatsächlich mit den personenbezogenen Informationen mache. Weit über die Hälfte der untersuchten Datenschutzrichtlinien klären ihre Nutzer nicht hinreichend darüber auf, wie persönliche Daten erhoben, verarbeitet und genutzt werden.
Nicht, dass das Ergebnis einen sehr verwundern sollte, zeigt es aber dennoch den Trend, dass Firmen nach wie vor ihre bestehende Aufklärungspflicht bei der Fassung der Datenschutzerklärungen vernachlässigen. Viele Diensteanbieter empfinden die ihnen obliegende Aufklärungspflicht als sehr lästig und kommen ihr daher oftmals nur ungenügend nach.
Datenschutzerklärung: Was gilt in Deutschland?
Die Pflicht, eine Datenschutzerklärung auf der Webseite einzubinden, ergibt sich aus § 13 Abs. 1 TMG. Danach muss der Diensteanbieter den Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.
Der notwendige Inhalt der Datenschutzerklärung ergibt sich aus den auf der Webseite erfolgenden Datenverwendungen. Über diese ist wahr und vollständig zu unterrichten und in möglichst allgemein verständlicher Form verfasst sein. Darunter fallen Informationen über die allgemeinen Datenerhebungen, wie zum Beispiel die Erhebung der IP-Adressen sowie die vom Browser übermittelten Daten, wie etwa Browsertyp/-version, verwendetes Betriebssystem, besuchte Webseiten, etc.). Aber auch Informationen über besondere Kategorien, wie zum Beispiel Gewinnspiele, Newsletter-Abos, Online-Bewerbungen oder durchgeführte Webanalysen (z.B. Google Analytics oder Piwik) müssen enthalten sein. Dabei sollte stets auf das Widerspruchsrecht der Betroffenen hingewiesen und in Bezug auf die eingesetzten Analysetools auch eine technische Möglichkeit zum Widerspruch eingeräumt werden. Nicht zu vergessen sind zudem die Angaben über die Zweckverfolgung, also die Zwecke, zu denen die Daten verwendet und an wen sie gegebenenfalls weitergeleitet werden.
Verstößt ein Diensteanbieter gegen die vorgenannten erläuterten Unterrichtungspflichten, drohen neben einem Bußgeld bis zu 50.000 € (§ 16 Abs. 3 TMG) zudem kostenintensive Abmahnungen von Wettbewerbern wegen Verstoßes gegen das Wettbewerbsrecht, § 4 Nr. 11 UWG.
Es lohnt sich daher allemal, einen prüfenden Blick auf seine eigene Datenschutzerklärung zu werfen und diese ggf. nachzujustieren.
Aber auch Verbraucher sollten einen genaueren Blick auf die jeweilige Datenschutzerklärung werfen.
Kai Hofmann
13. Oktober 2016 @ 10:25
Das ganze Thema wird eigentlich verfehlt angegangen – vielmehr müsste man Cloud-Dienste gleich völlig verbieten. Die Anbieter solcher „Alltagsgeräte“ sollten sich lieber zusammensetzen, sich auf einen Speicher-Standard einigen, der dann mittels Raspberry-PI in jedem Haushalt die Daten hällt, ohne das diese in die Cloud wandern. So ein Raspberry ist auch für DAUs noch leicht am Router anzuschliessen (Netzwerk und Strom) und kann auch von Handy-Apps automagisch gefunden werden. Soll dann doch eine Weitergabe von nicht personenbezogenen Daten erfolgen (z.B. Netatmos Wetterdaten, ohne Lärmpegel und CO2), so sollte diese Weitergabe ganz leicht über ein Webinterface freigegeben werden können. Der Default hat hier immer „keine Weitergabe“ zu sein! Desweiteren müssen die Daten für den eigenen Gebrauch selbstverständlich auch immer frei zugänglich sein insbesondere auch für OpenSource Softwareentwickler, damit man sich selbst eigene Auswertungen basteln kann.