Big Brother is watching with you

Microsoft schert sich nicht um deutsches Datenschutzrecht

Trends & News | News

Mit dem neuen Media Center werden Windows-7-Anwender Zugriff auf Microsofts Online-Services haben. Wer allerdings die TV- und VoD-Dienste nutzen möchte, sollte nicht nur einen Blick auf die zugehörige Datenschutzerklärung werfen.

Das Media Center soll den Einzug von Windows 7 in die Wohnzimmer attraktiv machen. Bei der Nutzung der Services, etwa IP-Fernsehen und Video-on-Demand, fallen jede Menge Daten an, die Microsoft sammeln und verwerten könnte, etwa das Zapping-Verhalten. Außerdem soll die Nutzung der verschiedenen Online-Dienste, aber auch die Software Registrierung, die Angabe von Bestandsdaten erforderlich machen.

Bereits seit April 2009 gelten für die vielen tausend deutschen Beta- und Release-Candidate-Tester Datenschutzbestimmungen, die darüber Aufschluss geben sollen, wie Microsoft mit diesem Informationswust umzugehen gedenkt. Diese Bestimmungen findet man bei Aufruf des Media Center, explizit zustimmen muss man ihnen nicht.

Die Online-Dienste des Media Center unterliegen der Definition eines Telemediums, sodass der Nutzer nach Paragraf 13 des Telemediengesetzes (TMG) vor der Erhebung von Daten klar und verständlich über die geplante Verwendung derselben aufgeklärt werden müsste.

Vergrößern Wer der zig Seiten langen Datenschutzerklärung zum neuen Media Center nicht widerspricht, gibt Microsoft einen Freifahrtschein zur Erhebung und Analyse anfallender Daten.

Dabei genügt nicht einmal die Datenschutzerklärung selbst den gesetzlichen Anforderungen. Sie ist alles andere als verständlich, enthält sie doch zahlreiche Gemeinplätze und hat einen Umfang von rund 31 000 Zeichen Text, was in etwa vier vollbedruckten c't-Seiten entspricht. Die in Deutsch abgefasste Erklärung lässt sich nicht ausdrucken, ein Link zu einer ausdruckbaren Website führt zur englischsprachigen Variante.

Nicht zuletzt behält Microsoft sich vor, die Erklärung jederzeit zu ändern, wobei der Nutzer sich bitte selbst über die Änderungen informiert halten soll. Die gesetzlich vorgesehene Aufgabenverteilung sieht das Gegenteil vor: Microsoft muss seine Nutzer informieren.

Was Microsoft in der Erklärung geflissentlich übergeht: Die Aufklärung über beabsichtigte Nutzungen von Daten führt keineswegs dazu, dass diese Nutzungen dann auch rechtmäßig werden. Dies betrifft vor allem die geplante Verwendung von „persönlichen Informationen“, womit allem Anschein nach Bestandsdaten wie Name, Adresse, Telefonnummer und Geburtsdatum des Kunden gemeint sind.

So behält Microsoft sich vor, diese Daten „zur Verbesserung des Produkts“ zu verwenden. Es ist bereits fraglich, was damit gemeint sein soll – Microsoft wird das Produkt wohl kaum verbessern, indem das Unternehmen die Adresse des Nutzers auf die Packung schreibt. Tatsächlich dürfte sich dahinter der Vorbehalt verbergen, die Daten für eine Zielgruppenanalyse zu verwenden. Adresse und Vorname etwa geben bereits aussagekräftige Hinweise auf Einkommen und Bildungsstand. Die beabsichtigte „Verbesserung“ des Produkts könnte dann aus der Anpassung an die Bedürfnisse der ermittelten Hauptzielgruppe bestehen.

Dieses Vorgehen ist aber ohne ausdrückliche Einwilligung des Betroffenen gesetzeswidrig. Paragraf 14 TMG bestimmt, dass Bestandsdaten, insbesondere also Name und Adresse, ohne Einwilligung des Betroffenen grundsätzlich nur zum Zweck der Vertragsdurchführung verwendet werden dürfen. Dazu zählt nicht die Verwendung im Rahmen von Marketinganalysen.

Ob der Nutzer zu einer besonders interessanten Gruppe zählt, dürfte er nach kurzer Zeit an der Frequenz eingehender Werbeanrufe und Werbe-Mails ablesen können. Ausweislich der Datenschutzerklärung sollen die Daten nämlich verwendet werden, um „Veranstaltungen“ und „neue Produktveröffentlichungen“ anzukündigen. Kurz gesagt: um Direktmarketing zu betreiben. Microsoft möchte die Daten nicht nur selbst nutzen, sondern ausdrücklich zur Versendung von „Direktwerbung“ an andere Unternehmen weitergeben. Das ist datenschutzrechtlich unzulässig.

Erfolgt die Werbung per Mail, Fax oder Telefon, liegt zudem ein Verstoß gegen Paragraf 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) vor. Die Überschrift dieser Norm bezeichnet ein solches Vorgehen als „unzumutbare Belästigung“. Anders läge die Sache nur, wenn der Nutzer sein Einverständnis erklärt hat. Um dieses anzunehmen, reicht ein kaum auffindbarer Hinweis in einer Datenschutzerklärung, selbst wenn deren Kenntnisnahme bestätigt werden müsste, nach gesicherter Rechtsprechung nicht aus.

Microsoft geht sogar noch einen Schritt weiter: Gemäß den Datenschutzbestimmungen will das Unternehmen nicht nur die durch Nutzung des Media Center gewonnenen Daten selbst verwenden, sondern diese um Informationen aus „anderen Microsoft-Diensten“ und sogar fremder Unternehmen ergänzen. Die Angabe einer MSN-Hotmail-Adresse im Media Center würde also genügen, um Microsoft die gewünschte Ergänzung durch die vollständigen Adressdaten zu ermöglichen, die bei Registrierung der Mail-Adresse an anderer Stelle angegeben wurden.

Durch den pauschalen Verweis auf die Verwendung von Daten, die man von „anderen Unternehmen“ erlangt, behält Microsoft sich vor, auch widerrechtlich erlangte Informationen in das Nutzerprofil zu übernehmen – ob das Drittunternehmen sich um Datenschutz schert, liegt ja nicht in der Hand von Microsoft.

Es trägt wenig zur Beruhigung bei, dass Microsoft erklärt, man halte sich an die „Safe-Harbour-Vereinbarung“. Es stimmt nämlich nicht. Ein Pfeiler dieses Datenschutzübereinkommens der USA mit der EU ist die Wahlmöglichkeit („choice“) des Betroffenen bei der Datenverarbeitung. Der Verwendung von besonders sensiblen Daten, etwa Name, Anschrift oder Geburtsdatum zu anderen Zwecken als der Vertragsdurchführung muss der Nutzer nach dieser Vereinbarung explizit zustimmen („opt in“) und der Verwendung von anderen Daten widersprechen können („opt out“). Beides sieht Microsoft jedenfalls in der Datenschutzerklärung nicht vor. Quasi en passant sollen die Daten auch noch in beliebige andere Länder übermittelt werden können.

Auf unsere Anfrage hin teilte Microsoft mit, dass insbesondere die Nutzung von Daten zu Marketingzwecken nur nach ausdrücklicher Einwilligung des Betroffenen erfolge; zudem werde der Nutzer auf jede Datenerhebung „explizit hingewiesen“. Allerdings: Allein dieser Hinweis genügt nicht. Die deutsche Gesetzeslage erfordert für jeden Einzelfall, also etwa der Inanspruchnahme eines weiteren Online-Diensts des Media Center, eine erneute Datenschutzerklärung und gegebenenfalls eine Einverständniserklärung.

Nach Meinung von Microsoft werden die gesetzlichen Verpflichtungen eingehalten. Dass derzeit die ausdruckbare Version der Erklärung nur in englischer Sprache verfügbar sei, sei ein „Bug“. Die Bestandsdaten erhebe man im Rahmen der Windows-Registrierung auf freiwilliger Basis und speichere sie getrennt von den Nutzungsdaten, versicherte Unternehmenssprecher Thomas Baumgärtner gegenüber c't. Keinesfalls nutze man sie für Marketingzwecke.

Wenn Microsoft aber versichert, tatsächlich nicht wie in der Datenschutzerklärung beschrieben zu verfahren, ist rätselhaft, warum man es sich dort gleichwohl vorbehält. Glaubt man der Aussage, wäre die Datenschutzerklärung inhaltlich falsch. Letztlich wird man Microsoft zumindest schlicht glauben müssen, dass persönliche Daten dort gut aufgehoben sind.

Es bleibt die Frage nach den Konsequenzen der unzweifelhaft vorhandenen Verstöße gegen das deutsche Datenschutzrecht. Die deutschen Vorschriften dürften grundsätzlich anwendbar sein. Eine Privilegierung nach Paragraf 3 TMG, wonach das Recht des Staates gelten soll, in dem der Anbieter seinen Sitz hat, gilt nur für Firmen in EU-Mitgliedsstaaten, nicht aber für US-Unternehmen. Darüber hinaus dürfte die Verletzung der datenschutzrechtlichen Bestimmungen ein in Deutschland begangenes Delikt darstellen.

Der Betroffene kann sich daher nach Artikel 40 EGBGB (Einführungsgesetz zum Bürgerlichen Gesetzbuch) aussuchen, ob er deutsches oder US-amerikanisches Recht angewendet sehen will. Es besteht für ihn folglich die Möglichkeit, der Verwendung der erhobenen Daten zu widersprechen und zukünftige Unterlassung zu fordern, und zwar auf Grundlage des Telemediengesetzes, aber wohl auch unter dem Gesichtspunkt des Schadensersatzes.

In Betracht kommt außerdem ein Vorgehen der jeweiligen Datenschutzbeauftragten der Länder als Aufsichtsbehörden nach Paragraf 38 BDSG (Bundesdatenschutzgesetz). Zuständig sind die jeweiligen Landesbehörden für Datenschutz, in deren Bezirk der Nutzer das Produkt verwendet. Nachdem allerdings vergleichbare Klauseln kleinerer Unternehmen in der Vergangenheit oft unbeanstandet blieben, muss bezweifelt werden, ob man dort Handlungsbedarf sieht. Vielleicht kann der Rahmen der in Betracht kommenden Bußgelder – immerhin bis zu 50 000 Euro im Einzelfall – hier motivierend wirken. Einen zahlungskräftigen Schuldner hätte man jedenfalls.

Microsoft unterliegt als amerikanisches Unternehmen im Rahmen der Safe-Harbour-Vereinbarung darüber hinaus der datenschutzrechtlichen Aufsicht der US-amerikanischen Handelsaufsicht, also der Federal Trade Commission (FTC). Auch Einzelpersonen wird in der Übereinkunft ausdrücklich das Recht eingeräumt, dort Beschwerden anzubringen. Die Behörde dürfte allerdings erst aktiv werden, wenn die Beschwerden ein gewisses Ausmaß annehmen. Zudem würde dort nur auf die Einhaltung der Mindeststandards der Safe-Harbour-Vereinbarung hingewirkt, sodass nur eine geringfügige Verbesserung erreicht werden kann.

Das Beispiel dokumentiert erneut ein grundsätzliches Problem des Datenschutzrechts: Zwar sind hierzulande gesetzliche Regelungen vorhanden, um ein angemessenes Datenschutzniveau zu gewährleisten. Diese Bestimmungen werden jedoch so selten durchgesetzt, dass es für die meisten Unternehmen betriebswirtschaftlich vertretbar ist, sie auf die leichte Schulter zu nehmen. Die aufgrund der Datenschutzskandale der vergangenen Monate diskutierten Gesetzesverschärfungen sind vor diesem Hintergrund Augenwischerei, da auch noch so strenge Gesetze wirkungslos bleiben, wenn Verstöße nicht spürbar sanktioniert werden – oder Betroffene sich in größerer Zahl zur Wehr setzen.

Die Redmonder Konzernzentrale wiegelte in einer Stellungnahme gegenüber c't ab. Man sammle Daten nur auf Grundlage bestehender Gesetze, versicherte uns Microsoft pauschal. Keinesfalls werde man die Datenschutzerklärung zum Windows Media Center nutzen, „um uns einzuräumen, Daten für Marketingzwecke zu nutzen“, heißt es in einer Mitteilung aus Redmond wörtlich und diametral entgegengesetzt zur Erklärung selbst. Eine Änderung der deutschen Erklärung hält man nicht für nötig: „Die zuletzt im April 2009 erneuerte Datenschutzerklärung wird auch gültig sein, wenn Windows 7 am 22. Oktober auf den Markt kommen wird.“

Christian Franz ist Rechtsanwalt LL.M. in der Düsseldorfer Kanzlei Strömer Rechtsanwälte.

Kommentare

Anzeige