Kategorie: Social Media

IP-Adressen und der EugH. Der Tag der Entscheidung ist der 12.05.2016.

Geschrieben am von Dr. Frank Eickmeier

Der 12.5.2016 dürfte einer der wichtigsten Tage des Jahres für die Onlinebranche werden. Denn an diesem Tage werden vor dem europäischen Gerichtshof die sogenannten Schlussanträge im IP-Adressen Fall gestellt und damit auch veröffentlicht.

Der Politiker Patrick Breyer, Piratenpartei, klagte gegen die BRD. Er wollte dem Bund verbieten lassen, IP-Adressen von Besuchern auf Webseiten des Bundes über die Dauer der Nutzung hinaus speichern zu dürfen. Diese Speicherung der Daten würden gegen das BMG verstoßen. Der BGH legte daraufhin diesen Fall dem europäischen Gerichtshof vor. Er wollte zwei Fragen geklärt wissen:

a) Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr — Datenschutz-Richtlinie — dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

b) Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann ?

Im Kern geht es also um die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht. Die Bedeutung des Rechtsstreites geht aber weit darüber hinaus: gelten dieselben Überlegungen auch für andere Online Identifier, wie zum Beispiel Cooki Id´s, User Id´s, Digitale Fingerprints, etc. ?

Alle Geschäftsmodelle der Onlinebranche stehen im Rahmen dieses Verfahrens auf dem Prüfstand. Es bleibt also abzuwarten wie der EuGH entscheiden wird in dieser so wichtigen Fragestellung.

Einsatz von Facebook Custom Audiences – rechtswidrig?

Geschrieben am von Dr. Frank Eickmeier

Unternehmen, die Facebook Custom Audiences einsetzen, riskieren nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht die Eröffnung eines Bußgeldverfahrens.

Das Bayerische Landesamt hat in seinem kürzlich veröffentlichen Tätigkeitsbericht 2013/2014 die Ansicht vertreten, dass der Einsatz von „Facebook Custom Audiences“ rechtswidrig sei. Bei „Facebook Custom Audiences“  werden personenbezogene Datensätze, die als Identifier eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen anonymisiert (verhasht) und an Facebook übertragen. Facebook vergleicht diese Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Hierdurch kann Facebook eigene Facebook-Nutzer mit denen der Kunden abgleichen und diese identifizieren.

Beim Einsatz dieser Technologie wird für die Verschlüsselung das bekannte MD5-Verfahren verwendet. Nach Auffassung reicht dieses Verfahren für die Verschlüsselungszwecke nicht aus. Nach Ansicht des Bayerischen Landesamtes könne tatsächlich eine sog. „Brute-Force-Attacke“ dadurch deutlich beschleunigt werden, wenn ursprüngliche Klartexteigenschaften der MD5-gehashten Werte berücksichtigt werden. Wörtlich heißt es in dem Tätigkeitsbericht:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachnamen, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zugrunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70 – 80 %  aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können“.

Facebook könne deshalb nach Ansicht des Bayerischen Landesamtes ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen, wodurch auch nicht-Facebook-Nutzer betroffen sein können. Es komme deshalb trotz der vermeintlichen Anonymisierung zu einer Verarbeitung von personenbezogenen Daten die somit eine Einwilligung der betroffenen Personen bedürfe, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden. Da diese im Allgemeinen nicht vorliegen dürfte, sei von der Nutzung von „Facebook Custom Audiences“ abzuraten. Tatsächlich könne der Einsatz der „Custom Audiences“ ohne Einwilligung der Nutzer sogar eine Ordnungswidrigkeit darstellen, die mit Bußgeldern sanktioniert werden kann.

Vortrag auf dem Online Marketing Forum am 05.05.2015 in Hamburg

Geschrieben am von Dr. Petra Hansmersmann

Dr. Frank Eickmeier wird am 5. Mai 2015 einen Vortrag zum Thema „Facebook Website Custom Audiences“ halten. Der Vortrag wird sich insbesondere damit beschäftigen, welche rechtlichen Probleme beim Einsatz von Facebook Website Custom Audiences in der Praxis entstehen. Weitere Informationen zum Tagungsprogramm sowie die Möglichkeit zur Anmeldung beim Online Marketing Forum finden Sie unter dem folgenden Link:

http://www.onlinemarketingforum.de/Programm/Hamburg-05.-Mai-2015

Workshop am 26.02.2015 auf der Social Media Week in Hamburg

Geschrieben am von Dr. Lukas Mezger

Dr. Petra Hansmersmann, LL.M. (New York), wird am 26.02.2015 in dem Workshop „Mobile Marketing & Recht“ einen Überblick über die beim Mobile Marketing relevanten rechtlichen Rahmenbedingungen, insbesondere im Bereich Datenschutz, geben.

Eine Anmeldung für den Workshop ist unter dem folgenden Link möglich:
http://socialmediaweek.org/hamburg/events/mobile-marketing-recht/