Der Kläger (Politiker und ehemaliger Lebensgefährte der Fernseh-Moderatorin Inka Bause) wehrte sich gegen einen Artikel in einer Zeitschrift, der auf der Titelseite wie folgt angekündigt wurde: „Inkas Traumjahr“, „Neue Liebe macht ihr Glück perfekt“.

Der Leser konnte im Artikel u. a. etwas lesen über das Alter, die Größe und das Sternzeichen des Klägers. Zudem wurde der Artikel mit einem Porträtfoto des Klägers bebildert.

Durch diese Art der Berichterstattung sah sich der Kläger in seinem Allgemeinen Persönlichkeitsrecht verletzt und verlangte Unterlassung.

Mit seiner Forderung hatte der Kläger keinen Erfolg, da nach Auffassung des Gerichts die Angaben in dem Artikel seiner Sozialsphäre zuzurechnen seien. In der Sozialsphäre komme dem Informationsinteresse der Öffentlichkeit gegenüber dem Allgemeinen Persönlichkeitsrecht des Einzelnen von vornherein ein tendenziell größeres Gewicht zu. Im vorliegenden Fall trete deshalb im Rahmen einer umfassenden Güterabwägung das klägerische Persönlichkeitsrecht hinter das Informationsinteresse der Allgemeinheit zurück, da das Allgemeine Persönlichkeitsrecht hier hinter die geschützten Äußerungsinteressen des Presseorgans zurücktrete (BGH, Urteil vom 22.11.2011 - Az.: VI ZR 26/11).

Fraglich ist, ob eine Zeitung auch ohne Einwilligung des Staatsoberhauptes eine Mailbox-Nachricht als Text veröffentlichen darf, in der das Staatsoberhaupt sich beim Chefredakteur massiv über einen bald veröffentlichten Bericht beschwert.

Das Bundesverfassungsgericht (Beschl. vom 18.02.2010, Az.: 1 BvR 2477/08) hatte einmal entschieden, dass wörtliche Wiedergaben aus E-Mails nicht grundsätzlich rechtswidrig sind. Das Gericht betonte in seiner Entscheidung, dass eine umfassende Abwägung der betroffenen Rechtsgüter zu erfolgen hat.

So kann nach Auffassung des OLG Stuttgart (Az.: 4 U 96/10) beim Vorliegen eines sachlichen Grundes die Veröffentlichung gerechtfertigt sein. In Ermangelung eines solchen Grundes kann eine Veröffentlichung rechtswidrig sein.

Da im Rahmen der zivilrechtlichen Zulässigkeit das Überwiegen der Interessen an der öffentlichen Berichterstattung ausreicht, spricht vieles dafür, dass eine Wiedergabe des Wortlautes im vorliegenden Fall zulässig ist.

Nach einem Bericht des BMELV (Bundesministerium für Ernährung, Landwirtschaft und Verbraucherchutz) sind zahlreiche Scoring-Verfahren fehlerhaft.

Die Ergebnisse von Scoring-Verfahren sind insbesondere für Banken und Unternehmen relevant, da diese hiermit vor einem Vertragsabschluss den Scorewert eines Kunden erhalten und somit Rückschlüsse auf dessen Kreditwürdigkeit ziehen können oder glauben, solche ziehen zu können. Den Scorwert erstellen Auskunfteien.

Der vom Bundesverbraucherministerium in Auftrag gegebene Bericht zeigt, dass bis zu 45 Prozent der Verbraucherdaten fehlerhaft gespeichert wurden. Zudem offenbart der Bericht teilweise schlechte Auskunftsqualität.

Es bleibt abzuwarten, welche Schlussfolgerungen der Gesetzgeber daraus ziehen wird.

Bei einem Hackerangriff auf das Playstation-Netzwerk von Sony sind vermutlich Daten von mehr als 70 Millionen Nutzern gestohlen worden.  Sony hat auf einer Website auf den Umstand hingewiesen.

Vor dem Hintergrund dieses Falles sollen an dieser Stelle die gesetzlichen Anforderungen an die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten dargestellt werden.

Seit dem 1. September 2009 wurde die “Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten” in das deutsche Datenschutzrecht aufgenommen.
Dies bedeutet, dass im Fall einer Datenpanne die Daten verarbeitende Stelle unter bestimmten Voraussetzungen verpflichtet ist, die Datenschutz-Aufsichtsbehörde und die von der Panne Betroffenen über die Datenpanne zu informieren.

I. Gesetzliche Regelung
Die datenschutzrechtlichen Informationspflichten finden sich in § 42a BDSG, § 15a TMG sowie § 93 Abs. 3 TKG.
Am 19.12.2009 ist die Richtlinie 2009/136/EG in Kraft getreten, deren Art. 2 Nr. 1 und 4 eine Ergänzung von Art. 4 RL 2002/58/EG bzgl. einer Informationspflicht für den Fall einer “Verletzung des Schutzes personenbezogener Daten” vorsieht. Die Informationspflicht gemäß der Richtlinie ist weitergehend als die bisherigen deutschen Regelungen. Da die Richtlinie bis zum 25. Mai 2011 in nationales Recht umzusetzen ist, werden hier noch Anpassungen an das deutsche Recht erfolgen.

II. Arten von Daten
1. § 42a BDSG
Die Informationspflicht in § 42a BDSG beschränkt sich auf die dort genannten Arten von Daten. Dies sind:
besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG
personenbezogene Daten, die einem Berufsgeheimnis unterliegen
personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten bzw. den Verdacht solcher beziehen,
personenbezogene Daten zu Bank- oder Kreditkartenkonten.

2. § 15a TMG, § 93 Abs. 3 TKG
§ 15 a TMG dagegen betrifft sämtliche Bestands- und Nutzungsdaten (§§ 14 und 15 TMG). Dies gilt auch für § 93 Abs. 3 TKG. Dies hat zur Folge, dass jedes Unternehmen mit einer Website entsprechende Daten vorhält und von einer Informationspflicht betroffen sein kann.

III. Verpflichteter
§ 42a BDSG betrifft nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG und öffentlich-rechtliche Wettbewerbsunternehmen gem. § 27 Abs. 1 Satz 1 Nr. 2 BDSG.
§ 15 TMG und § 93 Abs. 3 TKG dagegen enthalten keine solche Einschränkung und betreffen somit alle Diensteanbieter. Gem. § 2 Nr. 1 TMG ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies können auch öffentlich-rechtliche Körperschaften sein. § 1 Abs. 1 Satz 2 TMG stellt zudem klar, dass das TMG für alle Anbieter “einschließlich der öffentlichen Stellen” gilt.

IV. Unrechtmäßige Übermittlung oder Kenntniserlangung
Eine Übermittlung liegt vor, wenn die Daten verarbeitende Stelle selbst aktiv und zielgerichtet Daten an Dritte weitergibt.
Kenntniserlangung genügt, so dass kein aktives Handeln der verantwortlichen Stelle erforderlich ist, sondern auch Hackerangriffe etc. erfasst werden.
Unrechtmäßig ist eine Kenntniserlangung dann, wenn sie gegen § 4 Abs. 1 BDSG verstößt, also keine rechtliche Grundlage hat und der Betroffene nicht eingewilligt hat.
Eine unrechtmäßige Kenntniserlangung kommt in folgenden Fällen in Betracht:
datenschutzwidrige Entsorgung von Altgeräten
Diebstahl oder Verlust einer Daten-CD-ROM, Notebooks, Tablet-PCs, USB-Sticks oder anderen mobilen Devices
Hack einer Datenbank
unberechtigter Weiterverkauf von Daten

Es ist nicht erforderlich, dass eine Kenntnisnahme bewiesen werden kann, bloße Anhaltspunkte hierfür genügen.

V. Drohende schwerwiegende Beeinträchtigung
Zudem müssen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Zur Gewichtung der Beeinträchtigung werden Kriterien wie Art und Umfang der betroffenen Daten wie auch die potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung herangezogen.
In der Regel dürfte bei den in § 42a BDSG genannten Daten von einer schwerwiegenden Beeinträchtigung auszugehen sein.
Bei reinen Bestandsdaten nach TMG oder TKG (z. B. Name, Anschrift des Nutzers) ist von einer geringeren Beeinträchtigung auszugehen.
Gem. Art. 4 Abs. 3 RL 2002/58/EG kann man diskutieren, ob im Falle einer sicheren Verschlüsselung eine Informationspflicht entfällt, da demnach keine Benachrichtigung zu erfolgen hat, wenn zur Zufriedenheit der zuständigen Behörde nachgewiesen wurde, dass geeignete technische Schutzmaßnahmen getroffen wurden.

VI. Inhalt und Umfang der Informationspflicht
Wenn eine Informationspflicht besteht, so muss die verantwortliche Stelle unverzüglich (also ohne schuldhaftes Zögern) sowohl die zuständige Aufsichtsbehörde als auch die Betroffenen informieren, § 42a S. 2 - 5 BDSG.

1. Benachrichtigung der Behörde
Vor dem Betroffenen ist zunächst die Aufsichtsbehörde zu informieren. Gem. § 38 Abs. 1 S. 2 BDSG sind die Aufsichtsbehörden zur Beratung und Unterstützung des Benachrichtigungspflichtigen verpflichtet. Folglich kann es im Einzelfall ratsam sein, die Aufsichtsbehörden möglichst frühzeitig einzuschalten.

2. Benachrichtigung der Betroffenen
Auch der von der Datenpanne Betroffene ist unverzüglich zu informieren.
Die Benachrichtigungsfrist verlängert sich jedoch gem. § 42a S. 2 BDSG um den Zeitraum,
(1) der nötig ist, um unverzüglich angemessene Maßnahmen zur Sicherung der Daten zu ergreifen, und
(2) der abgewartet werden muss, damit eine etwaige Strafverfolgung nicht mehr gefährdet ist.

3. Anforderungen an die Information
Die Anforderungen an die Information der Aufsichtsbehörden und der Betroffenen sind unterschiedlich ausgeprägt, § 42a Satz 3 - 5 BDSG.
Nach § 42a S. 3 BDSG muss die Benachrichtigung des Betroffenen
(1) eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und
(2) Empfehlungen zur Vermeidung nachteiliger Folgen
enthalten.
Auch auf die Art der betroffenen Daten ist hinzuweisen.
Eine Benachrichtigung in Form einer E-Mail ist ausreichend.
Die Betroffenen sind einzeln zu benachrichtigen, es sei denn, eine Ausnahme gem. § 42a S. 5 BDSG liegt vor, also die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Dies kann insbesondere dann der Fall sein, wenn eine Vielzahl von Betroffenen existiert. In einem solchen Fall soll es gestattet sein, Anzeigen zu schalten, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen abgedruckt werden. Dieser Maßnahme vergleichbar geeignete Maßnahmen sind ebenfalls möglich. Entscheidend ist der betroffene Personenkreis.
Ein Hinweis auf der Website kann ausreichend sein, wenn nur die Anmeldedaten der Nutzer bekannt sind. Der Hinweis ist dann jedoch gut sichtbar auf der Website zu positionieren.
Sowohl im Rahmen der Benachrichtigung der Betroffenen als auch der Aufsichtsbehörden müssen gesetzliche Geheimhaltungspflichten sowie Berufsgeheimnisse gewahrt bleiben.

VII. Bußgeld
Ein Bußgeld von bis zu 300.000 Euro droht gem. § 43 Abs. 2 Nr. 7, Abs. 3 BDSG für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt. Eine Bußgeldandrohung bei einem Verstoß gegen § 15a TMG oder § 93 Abs. 3 TKG ist vom Gesetz dagegen nicht vorgesehen.

VIII. Fazit
Ob tatsächlich eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten im konkreten Fall vorliegt bedarf einer gründlichen Prüfung.

Am 3. Mai 2011 ist das De-Mail-Gesetz in Kraft getreten. Interessierte Anbieter können damit beim Bundesamt für Sicherheit in der Informationstechnik die Akkreditierung als De-Mail-Diensteanbieter (”De-Mail-Provider”) beantragen. Im Rahmen der Akkreditierung müssen alle künftigen De-Mail-Provider nachweisen, dass sie die durch das De-Mail-Gesetz geforderten hohen Anforderungen an die organisatorische und technische Sicherheit der angebotenen De-Mail-Dienste erfüllen.

Jeder Anbieter, der diese Anforderungen erfüllt, kann sich als De-Mail-Provider akkreditieren lassen. Bis jetzt haben United Internet (GMX, WEB.DE), Mentana Claimsoft, die Deutsche Telekom AG und die Deutsche Post AG angekündigt, sich akkreditieren zu lassen.

Quelle: Pressemitteilung des BMI vom 04.05.2011

Seit 2007 konnten Werbekunden auf die Profile von Facebook-Anwendern zugreifen. Sie konnten z. B. Fotos ansehen und Chats mitlesen.
Nun wurde die Datenlücke geschlossen.
Quelle: Spiegel Online

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen  des 12. Deutschen IT-Sicherheitskongresses  die finale Fassung des Eckpunktepapiers “Sicherheitsempfehlungen für Cloud Computing Anbieter” veröffentlicht.

Hierin finden sich die Mindestanforderungen zur Informationssicherheit bei Cloud Computing Diensten.

Das Eckpunktepapier Cloud Computing kann als Grundlage für Verhandlungen und Empfehlungen zwischen Cloud Computing-Anbietern und Anwendern dienen.

Es deckt elf als kritisch identifizierte Bereiche (Eckpunkte) der Cloud Computing Sicherheit ab.

Das Eckpunktepapier kann hier abgerufen werden.

Heute hat die Gesetzesvorlage den Rechtsausschuss des Deutschen Bundestages passiert.
Demnach soll der Anspruch eines Unternehmers gegen einen Verbraucher auf Zahlung von sogenanntem Nutzungswertersatz bei Widerruf eines Warenlieferungsvertrags im Fernabsatz eingeschränkt werden. Künftig sollen Unternehmer vom Verbraucher nur dann Wertersatz erhalten, ”soweit dieser die gelieferte Ware in einer Art und Weise genutzt hat, die über die Prüfung der Eigenschaften und die Funktionsweise hinausgeht“.

Zudem muss der Unternehmer den Verbraucher auf diese Regelung hingewiesen und auf dessen Widerrufsrecht aufmerksam gemacht haben.

Geplant ist der neue § 312e BGB: Wertersatz bei Fernabsatzverträgen
(1) Bei Fernabsatzverträgen über die Lieferung von Waren hat der Verbraucher abweichend von § 357 Absatz 1 Wertersatz für Nutzungen nach den Vorschriften über den gesetzlichen Rücktritt nur zu leisten,

1. soweit er die Ware in einer Art und Weise genutzt hat, die über die Prüfung der Eigenschaften und der Funktionsweise hinausgeht, und

2. wenn er zuvor vom Unternehmer auf diese Rechtsfolge hingewiesen und entsprechend § 360 Absatz 1 oder 2 über sein Widerrufs- oder Rückgaberecht belehrt worden ist oder von beidem anderweitig Kenntnis erlangt hat.

§ 347 Absatz 1 Satz 1 ist nicht anzuwenden.

(2) Bei Fernabsatzverträgen über Dienstleistungen hat der Verbraucher abweichend von § 357 Absatz 1 Wertersatz für die erbrachte Dienstleistung nach den Vorschriften über den gesetzlichen Rücktritt nur zu leisten,

1. wenn er vor Abgabe seiner Vertragserklärung auf diese Rechtsfolge hingewiesen worden ist und

2. wenn er ausdrücklich zugestimmt hat, dass der Unternehmer vor Ende der Widerrufsfrist mit der Ausführung der Dienstleistung beginnt.

Zudem soll auch § 357 Abs. 3 BGB wie folgt geändert werden:
(3) Der Verbraucher hat abweichend von § 346 Absatz 2 Satz 1 Nummer 3 Wertersatz für eine Verschlechterung der Sache zu leisten,

1. soweit die Verschlechterung auf einen Umgang mit der Sache zurückzuführen ist, der über die Prüfung der Eigenschaften und der Funktionsweise hinausgeht, und

2. wenn er spätestens bei Vertragsschluss in Textform auf diese Rechtsfolge hingewiesen worden ist.

Bei Fernabsatzverträgen steht ein unverzüglich nach Vertragsschluss in Textform mitgeteilter Hinweis einem solchen bei Vertragsschluss gleich, wenn der Unternehmer den Verbraucher rechtzeitig vor Abgabe von dessen Vertragserklärung in einer dem eingesetzten Fernkommunikationsmittel entsprechenden Weise über die Wertersatzpflicht unterrichtet hat. § 346 Absatz 3 Satz 1 Nummer 3 ist nicht anzuwenden, wenn der Verbraucher über sein Widerrufsrecht ordnungsgemäß belehrt worden ist oder hiervon anderweitig Kenntnis erlangt hat.

Es bleibt jetzt nur noch abzuwarten, bis dieser Text tatsächlich Gesetz wird.

Die Kommission für Jugendmedienschutz (KJM) obliegt die Anerkennung von Jugendschutzprogrammen. Nun hat die KJM Kriterien für die Anerkennung von Jugendschutzprogrammen aufgestellt.
Eltern sollen eine Möglichkeit erhalten, Kindern der Altersstufe entsprechende Internetangebote freizuschalten und nicht entsprechende Angebote sperren zu können.

Die Informationen können hier abgerufen werden.

Der Bundesgerichtshof (BGH) hat entschieden (11.5.2011, Az.: VIII ZR 289/09), dass ein eBay-Mitglied bei einer unbefugten Nutzung seines Kontos nicht für mögliche Schäden haften muss.

Im zu entscheidenden Fall wurde über das eBay-Konto einer Frau die komplette Einrichtung eines gastronomischen Betriebs angeboten. Eingestellt wurde das Angebot vom Ehemann der Frau. Der Mann hatte seine Frau jedoch nicht darüber unterrichtet. Die Frau entfernte das Angebot schon einen Tag nach dem Start und wurde vom bis dahin Höchstbietenden auf Schadensersatz in Höhe von mehr als 32.000 Euro verklagt.

Die AGBs des Online-Auktionshauses enthalten folgenden Passus, wonach Mitglieder “grundsätzlich für sämtliche Aktivitäten, die unter Verwendung ihres Mitgliedskontos vorgenommen werden” haften.

Der BGH sah dies vorliegend anders, da auch bei Internetgeschäften die Regeln des Stellvertretungsrechts anwendbar seien. Folglich könne die Frau nur dann verpflichtet werden, wenn der Mann im Rahmen einer bestehenden Vertretungsmacht gehandelt hat, oder das Geschäft nachträglich von der Frau genehmigt wird oder die Grundsätze über die Duldungs- oder die Anscheinsvollmacht anwendbar sind.

Der BGH verneinte sämtliche Voraussetzungen.

Auch eine unsichere Verwahrung der Zugangsdaten führt nach Auffassung des Gerichts nicht zu einer Haftung der Ehefrau (also des eBay-Mitglieds).

Schließlich führt der BGH aus, dass die Haftungsklausel aus den AGBs von eBay nur zwischen eBay und dem Inhaber des Mitgliedkontos, nicht jedoch zwischen dem Anbieter und dem Bieter gelten.