Philip Morris kassiert einstweilige Verfügung wegen IQOS Spam

Wir haben gegen die Philip Morris GmbH wegen wiederholtem E-Mail Spam für ihr IQOS Zigarettenersatz-System eine einstweilige Verfügung erwirkt. Trotz zahlreicher Aufforderungen, den Versand von unerwünschter E-Mail Werbung zu unterlassen und dem ausdrücklichen Versprechen von Philip Morris es zu unterlassen, erhielt unser Mandant täglich neue E-Mails. Dem hat das Amtsgericht München jetzt durch den Erlass einer einstweiligen Verfügung Einhalt geboten.

Wir unterstützen verschlüsselte E-Mail Kommunikation

Die Wahrung von Vertraulichkeit, Sicherheit und Integrität für Dokumente, die wir mit unseren Mandanten austauschen, ist uns sehr wichtig. Eine normale E-Mail ist offen wie eine Postkarte. Der elektronische “Briefträger” und andere können sie stets mitlesen, kontrollieren, auswerten oder unbemerkt verändern.

Damit kein Unbefugter den Inhalt von E-Mails mitlesen kann, empfehlen wir dringend die Nutzung von E-Mail Verschlüsselung mit PGP oder S/MIME.

Mit der PGP- oder S/MIME-Verschlüsselung bieten wir unseren Mandanten ab sofort eine ausgezeichnete Möglichkeit, die übermittelten Informationen zu schützen und die Inhalte der E-Mails sicher zu verschlüsseln.

Unseren PGP Public Key können Sie hier herunterladen.

Der Fingerprint HASH-Wert dient zur Überprüfung des PGP Public Key und lautet: 02B6422BEEBE1B90A656851EB10FDDAFF6A3FE84

Wenn Sie bereits über einen PGP- oder S/MIME-Schlüssel verfügen, senden Sie uns ihren Public Key einfach als E-Mail Anhang. Wir verwenden diesen dann automatisch, um Ihnen künftig verschlüsselte Nachrichten zu senden.

PGP Schlüssel können Sie selbst kostenfrei erstellen. Die Einrichtung ist aber komplizierter. S/MIME Zertifikate sind einfacher einzurichten, müssen aber von einem Aussteller bezogen werden und kosten jährliche Gebühren (z.B. Certum für ca. 22 EUR / 3 Jahre).

Unseren PGP Public Key müssen Sie in Ihr E-Mail Programm einpflegen, sofern dieses PGP unterstützt. Für Microsoft Outlook benötigen Sie das kostenfreie mit dem Bundesamt für Sicherheit in der Informationstechnik entwickelte AddOn Gpg4win. Das ebenfalls kostenfreie E-Mail Programm Thunderbird – als gute Alternative zu Outlook – unterstützt PGP-Verschlüsselung von Hause aus. Auch verschiedene WebMail Anbieter (wie z.B. Protonmail) unterstützen standardmäßig PGP. Andere WebMailer (z.B. Gmail, GMX, Web.de) können mit Hilfe des kostenfreien Browser AddOns Mailvelope “nachgerüstet” werden.

Weitere Hinwiese zur sicheren Kommunikation.

Anbieter mit integrierter Verschlüsselungsfunktion im Webmail:

Weitere Informationen zum Thema PGP und S/MIME finden Sie z.B. bei:

TTDSG bringt neue Datenschutzpflichten

TTDSG

Deutschland ist um ein weiteres Datenschutzgesetz reicher – denn am 01.12.2021 ist das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft getreten. Es tritt neben die bereits umfangreichen Regelungen der DSGVO, des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze und richtet sich in erster Linie an die Anbieter von Telekommunikations- und Telemediendiensten. Zu diesem Zweck werden die bisherigen speziellen Datenschutzvorschriften aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) im TTDSG gebündelt, zusammengefasst und ergänzt. Deutschland setzt damit die EU-Vorgaben der s.g. „e-Privacy-Richtlinie“ um, die eigentlich bereits mit Inkrafttreten der DSGVO von einer „e-Privacy-Verordnung“ hätte abgelöst werden sollen. Lesen Sie hier alles zum Anwendungsbereich des neuen TTDSG sowie zu den neuen Pflichten, die vor allen Dingen Webseitenanbieter bei der Verwendung von Cookies und anderen Web-Technologien treffen.

„TTDSG bringt neue Datenschutzpflichten“ weiterlesen

Consent-App “Cookiebot” datenschutzwidrig?

Cookiebot

Seit den Entscheidungen des Europäischen Gerichtshofs (Urteil vom 01.10.2019, Az. C-673/17) und des Bundesgerichtshofs (Urteil vom 28.05.2020, Az. I ZR 7/16) zum Erfordernis einer im Einklang mit der DSGVO stehenden datenschutzrechtlichen Einwilligung bei der Verwendung von „nicht zwingend erforderlichen“ Cookies auf Webseiten bedienen sich viele Webseitenbetreiber kleiner Hilfsprogramme (s.g. Plugins), um das Cookie-Management rechtssicher zu gestalten. Einer dieser – bei Nutzern beliebte – Anbieter ist „Cookiebot“ des Dänischen Unternehmens Cybot A/S, u.a. weil der Dienst in der Grundkonfiguration kostenfrei ist. Eine aktuelle Entscheidung des Verwaltungsgerichts Wiesbaden (Beschluss vom 01.12.2021, Az. 6 L 738/21.WI) kommt nun zu dem Ergebnis, dass „Cookiebot“ gegen das Datenschutzrecht verstoße. Lesen Sie alles zur aktuellen Entscheidung und zum Hintergrund hier.

„Consent-App “Cookiebot” datenschutzwidrig?“ weiterlesen

OVG Lüneburg: Faxversand personenbezogener Daten rechtswidrig

Telefax, Fax, DSGVO, informationelle Selbstbestimmung, personenbezogene Daten, Datenschutz, 11 LA 104/19, OVG Lüneburg, Faxversand

Faxversand ade? Eine – vor allen Dingen für die behördliche und juristische Praxis – weitreichende Entscheidung zur datenschutzrechtlichen Zulässigkeit von Fax-Sendungen hat kürzlich das Oberverwaltungsgericht Lüneburg getroffen. Die Verwaltungsrichter entschieden, dass die unverschlüsselte Übertragung sensibler personenbezogener Daten mittels Telefax gegen datenschutzrechtliche Vorgaben und das Recht der Betroffenen auf informationelle Selbstbestimmung verstoßen kann (OVG Lüneburg, Beschluss vom 22.07.2020, 11 LA 104/19). Lesen Sie in unserem Beitrag alles zum Hintergrund der Entscheidung und zu den praktischen Auswirkungen, die von ihr ausgehen werden.

„OVG Lüneburg: Faxversand personenbezogener Daten rechtswidrig“ weiterlesen

Webseitenbetreiber aufgepasst: Cookie-Opt-In ab sofort Pflicht

Cookie, Cookies, Cookie-Opt-In, Einwilligung, Webseite, Internetseite, Datenschutz, Datenschutzerklärung, DSGVO, EuGH, C-673/17

Der Europäische Gerichtshof hat am 01.10.2019 eine Grundsatzentscheidung zur lange Zeit umstrittenen Frage getroffen, ob Webseitenbetreiber von ihren Besuchern eine ausdrückliche Einwilligung einholen müssen, wenn sie s.g. Cookies verwenden. In ihrem Urteil (EuGH, Urteil vom 01.10.2019, Az. C-673/17) kommen die obersten EU-Richter zu dem Ergebnis, dass eine solche aktive Einwilligungshandlung der Nutzer zwingend erforderlich ist – der Cookie-Opt-In wird also Pflicht. Bisher gängige Verfahren, wonach Nutzer aktiv handeln mussten, wenn sie keine Webseiten-Cookies auf ihren Browsern zulassen wollten (s.g. Opt-Out-Varianten) sind demnach unzulässig. Eine entsprechende Regelung des deutschen Telemediengesetzes verstößt insoweit gegen europäisches Recht.

Lesen Sie in unserem Beitrag, welcher Sachverhalt dem Urteil zugrunde liegt, was der rechtliche Rahmen der Entscheidung ist und was Webseitenbetreiber und Online-Händler nun unternehmen müssen.

Was sind eigentlich Cookies?

Bei s.g. Cookies handelt es sich technisch betrachtet um kleine Textdateien von meist einigen Kilobyte Größe, die Webseitenbetreiber auf dem Computer des Nutzers – besser gesagt in dessen Webbrowser – speichern und die bei einem erneuten Aufrufen der entsprechenden Seite “wiedererkannt” werden. Auf diese Weise “erinnert” sich die Webseite an den Nutzer. Es sollen so beispielsweise die Navigation im Internet oder Online-Transaktionen erleichtert werden.

Klassischer Anwendungsfall ist zum Beispiel folgender: Ein Internetnutzer besucht einen Webshop und legt bestimmte Produkte im Warenkorb ab. Dabei setzt die Webseite Cookies im informationstechnischen System des Nutzers. Verlässt der Nutzer nun die Webseite, ohne den Checkout, bzw. den Einkauf beendet zu haben und kehrt der Nutzer später auf die Shop-Seite zurück, so findet er seine zuvor ausgewählten Produkte noch immer im Warenkorb vor.

Cookies werden aber auch verwendet, um Informationen über das Nutzerverhalten zu erlangen und zu analysieren, um Nutzer zu “tracken”, Profile zu erstellen und um personalisierte Werbung auszuspielen. Die Einsatzmöglichkeiten von Cookies sind vielfältig und werden in Zeiten von “Big Data” in großem Stil ausgeschöpft. Kaum noch eine Webseite kommt heutzutage ohne Cookies aus.

„Webseitenbetreiber aufgepasst: Cookie-Opt-In ab sofort Pflicht“ weiterlesen

183 Millionen £ – Bislang höchstes DSGVO-Bußgeld verhängt

DSGVO

Die Britische Datenschutzbehörde, das “Information Commissioner’s Office (ICO)“, hat das bisher höchste DSGVO-Bußgeld seit Inkrafttreten der Datenschutzgrundverordnung verhängt: Ein Bußgeldbescheid über insgesamt 183,39 Millionen £ (ca. 204,63 Mio. EUR) wird in der nächsten Zeit gegen die Fluggesellschaft British Airways (BA) verhängt werden, teilte Information Commissioner Elizabeth Denham laut Informationen der BBC mit. Die Fluggesellschaft zeigte sich in einer ersten Stellungnahme “Überrascht und enttäuscht” und kündigte rechtliche Schritte an.

„183 Millionen £ – Bislang höchstes DSGVO-Bußgeld verhängt“ weiterlesen

Achtung: Betrugsversuch durch die “Datenschutzauskunft-Zentrale”

Datenschutzgrundverordnung

Die Datenschutzgrundverordnung (DSGVO) löst bei manchem Unternehmer immer noch Unbehagen aus. Die s.g. „Datenschutzauskunft-Zentrale“ aus Oranienburg möchte daraus offenbar Kapital schlagen und verschickt derzeit „eilige FAX-Mitteilungen“. In dieser Mitteilung wird an die Pflicht zur Umsetzung der Vorgaben der europäische Datenschutzgrundverordnung erinnert – und fordert Empfänger des Faxes dazu auf, bis zum 09.10.2018 an eine „EU-weite zentrale Faxstelle“ das angehängte Formular per Fax „gebührenfrei“ zurückzusenden. Hier ist Vorsicht geboten!

Fax von der Datenschutzauskunft-Zentrale

Das uns übermittelte Fax wurde am 01.10.2018 versendet und mit einem „rechtlichen Hinweis“ versehen, der eine rechtzeitige Bearbeitung bis zum 2. Oktober notwendig erscheinen lässt. Die gesamte Aufmachung des Faxes erweckt oberflächlich den Eindruck eines behördlichen Schreibens. Das angehängte Formular fragt dann unter anderem die Branche, die E-Mail-Adresse, die Anzahl der Mitarbeiter und die Internetseite des betroffenen Unternehmens ab und weist abermals auf die Einhaltung der europäischen Datenschutzgrundverordnung hin. In der sogenannten „Leistungsübersicht“ wird der angebotene „Basisdatenschutz“ näher erläutert. Der Preis dieses Basisdatenschutzes wird nebenbei im Fließtext erwähnt und beträgt 498 EUR (!) pro Jahr. Die im Fax in Bezug genommenen AGB sind, wie ein Webauftritt an sich, im Internet nicht auffindbar. Bei diesen Faxen, die offenbar in einer großen Zahl verschickt werden, handelt es sich unserer Ansicht nach um Betrugsversuche.

Masche der Datenschutzauskunft-Zentrale

Dieses Vorgehen ist auch als „Kölner Masche“ bekannt, die sich unter anderem dadurch auszeichnet, dass dem Betroffenen eine möglichst kurze Frist gesetzt wird und die Dokumente in einer schlechten Qualität per Fax versandt werden. Die Absender erhoffen sich dadurch, dass der Betroffene weniger Sorgfalt beim Ausfüllen der vorgelegten Dokumente walten lässt und „einfach unterschreibt“.

Keinesfalls sollten Sie diese Dokumente ausfüllen und an die Datenschutzauskunft-Zentrale zurückschicken. Vielmehr sollte die Kontaktaufnahme mit der Datenschutzauskunft-Zentrale generell vermieden werden. Sofern versucht wird, Sie telefonisch zu erreichen, sollten Sie diesen Anruf nicht entgegennehmen bzw. schnell wieder beenden.

Das uns vorliegende Dokument können Sie hier einsehen.

Sind sie betrogen worden oder haben Fragen zum Datenschutz. Zögern Sie nicht, uns zu kontaktieren!

App Store: Apps nur noch mit eigener Datenschutzerklärung

DSGVO, Geschäftsgeheimnisgesetz

Entwickler, die zukünftig in Apples App Store iOS-Anwendungen vertreiben wollen, müssen ab Oktober 2018 eine eigene Datenschutzerklärung vorlegen. Apple hat am 30.08.2018 angekündigt, dass ab dem 03.10.2018 nur noch Apps und Updates eingestellt werden dürfen, die über eine eigene Datenschutzerklärung verfügen. Die neuen Anforderungen gelten nicht nur für bereits veröffentlichte Anwendungen, sondern auch für Apps in der Testphase, die mit Apples „TestFlight“ extern getestet werden sollen. Vermutlich will Apple auf diese Weise den Anforderungen der DSGVO gerecht werden und gleichzeitig seinen Ruf als datenschutzfreundliches Unternehmen ausbauen.

Was fordert der App Store?

In den App Store Richtlinien für Entwickler werden die Mindeststandards der verlangten Datenschutzerklärung, bzw. Privacy Policy definiert. Im grunde handelt es sich dabei um die Standards der DSGVO.

Diese Angaben fordert Apple in den Datenschutzerklärungen für Apps aus dem App Store:

  • Die Datenschutzerklärung muss nicht nur im App Store hinterlegt sein, sondern auch einfach in der Anwendung selbst aufrufbar sein.
  • Sie muss Informationen darüber enthalten, welche Daten erhoben werden, wie und zu welchen Zwecken sie erhoben werden.
  • Informationen, ob die Daten an Dritte weitergegeben werden, z.B. Analysewerkzeuge oder Werbenetzwerke und wenn dem so ist, die Versicherung, dass die Dritten gleiche oder höhere Datenschutzstandards einhalten.
  • Die Datenschutzerklärung soll den User auch darüber informieren, wie die Richtlinien zur Datenspeicherung und Löschung ausgestaltet sind.
  • Der User soll darüber informiert werden, welche Möglichkeiten er zur Datenlöschung und Rücknahme von Einwilligungserklärungen hat.

Neben der verpflichtenden Datenschutzerklärung müssen auch noch andere datenschutzrelevante Sachverhalte beachtet werden. So dürfen Apps nur Anwenderdaten erheben, wenn die Einwilligung der Anwender vorliegt. Die App-Entwickler sollen nach dem Grundsatz der Datenminimierung handeln. So hält Apple die Entwicklergemeinde künftig auch dazu an, Apps ohne „Sign-up“-Pflicht bereitzustellen, wenn das Einloggen keinen signifikanten Nutzen bringt.

Apple gewährt Schonfrist

Apps, die bereits jetzt im App Store verfügbar sind, genießen zunächst Bestandsschutz und können weiter vertrieben werden. Sobald jedoch das nächste Update der Software ansteht, muss ein Link zur Datenschutzerklärung implementiert werden.

Haben Sie Fragen oder benötigen eine Beratung zum Datenschutz? Zögern Sie nicht, uns zu kontaktieren!

Vorgehen gegen Beleidigungen über WordPress.com (Automattic Inc.)

Immer wieder werde ich von Unternehmen und Privatpersonen beauftragt gegen Verleumdungen und Beleidigungen und Identitätsdiebstahl im Internet vorzugehen. Das deutsche und europäische Recht bietet Betroffenen gute Möglichkeiten gegen solche Persönlichkeitsrechtsverletzungen effektiv vorzugehen. Auch wenn der Täter anonym bleibt, ist es möglich gegen ihre Serviceprovider vorzugehen – jedenfalls sofern diese in Europa ansässig sind.

Das US amerikanische Unternehmen Automattic Inc. ist ein unrühmliches Beispiel dafür, wie manche außereuropäischen Unternehmen mit den Rechten von Opfern von Verleumdung und Beleidigung umgehen. Automattic Inc. weigert sich regelmäßig deutsche Urteile auf Löschung zu akzeptieren. Bei Verletzung des Persönlichkeitsrechts besteht zudem derzeit kaum eine Möglichkeit die Urteile in den USA anerkennen zu lassen.

Meine Strategie ist es gleichwohl, Urteile gegen Automattic zu erwirken und dann zu gegebener Zeit bei Veranstaltungen von Automattic Inc. in Europa sowie ggf. gegen seine Mitarbeiter vollstrecken zu lassen. Erst kürzlich konnte ich einen beachtlichen Teilerfolg erringen, da Automattic Inc. in Wien einen großen Kongress veranstaltete. Für gerichtliche Auseinandersetzungen mit dem US-Unternehmen ist es daher von größter Bedeutung die handelnden Personen und Hintermänner zu kennen. Dazu gehören zum heutigen Tage beispielsweise Chris Taylor, Joel Bronkowski, Matt Nullenweg, Paul Sieminski oder Stuart West.

Mein Ziel ist es insgesamt den Druck unter Ausnutzung aller zur Verfügung stehenden legalen Mittel derart zu erhöhen, dass Automattic die wirtschaftliche Tätigkeit in Europa mittelfristig derart erschwert wird, dass man dort nicht umhin kommen wird, europäisches Recht zu respektieren.

Wenn Sie Opfer von Verleumdungen, Beleidigungen oder Identitätsdiebstahl auf Seiten von WordPress.com sind, vertrete ich Sie gerne. Jede Beauftragung wird den Druck auf Automattic Inc. erhöhen und ist ein Beitrag zur Durchsetzung von deutschem und europäischem Persönlichkeitsrechtsschutz im Internet.

vA-KfB engl-urteil