AGBs und Datenschutzerklärungen als Pop-ups direkt in Apps und E-Commerce

«30 Arbeitstage zum Lesen von AGBs und Datenschutzerklärungen …»

Gemäss Professor Gerd Gigerenzer zeigen Studien, dass man 30 Arbeitstage (sic!) bräuchte, wenn man alle Allgemeinen Geschäftsbedingungen (AGB) lesen würde, auf die man über das Jahr hinweg hingewiesen wird (s. Gerd Gigerenzer in Magazin «philosophie» 07.10.2021). Dies gilt natürlich auch für all die Datenschutzerklärungen. Damit sind die herkömmlichen AGBs und Datenschutzerklärungen ein untaugliches Mittel zur Information der User. Gigerenzer verlangt deshalb gesetzliche Vorschriften für kurze, verständliche AGBs, wie sogenannte «One-Pager». Eine aktuelle Untersuchung der University of Pennsylvania zum Datenschutz-Verständnis von User (Annenberg School for Communication of University of Pennsylvania, Americans can’t consent to companies use of their data, 02.2023) kommt zudem zum Schluss, dass die User, auch wenn sie Datenschutzerklärungen lesen, nicht verstehen, was die Datenerhebung und Datenverarbeitung durch die besuchten Internet-Plattformen für sie überhaupt bedeuten (s. The New York Times 07.02.2023, Americans Flunked This Test on Online Privacy).

AGBs und Datenschutzerklärungen als Pop-ups direkt in Apps und E-Commerce

Ich bin absolut der Meinung von Professor Gigerenzer. Jedoch ist davon auszugehen, dass auch die von Gigerenzer verlangten «One-Pager» von den Usern nicht gelesen werden. Damit AGBs und Datenschutzerklärungen von den Usern aktiv wahrgenommen und verstanden werden, müssen sie direkt in den Applikationen und E-Commerce an den Stellen aufpoppen, an denen Daten erhoben oder verarbeitet werden und den Usern muss z.B. über weiterführende Links deren genaue Funktion erklärt werden. Nach dem Grundsatz von Treu und Glauben (Art. 2 ZGB) braucht es dann auch den für User lästigen «Cookie- bzw. Okay-Button» nicht. Dieser gehört ebenfalls zum Nonsens im Online-Datenschutz (!).

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.hslu.ch, www.linkedin.com/in/ueli-grueter, www.digilaw.ch, www.intla.ch, www.twitter.com/juristenfutter

Darf man Zoom-Sitzungen aufzeichnen?

Juristische Voraussetzungen für die Aufzeichnung von Videokonferenzen

Heute hat mir ein Student erzählt, ein Professor hätte eine digitale Prüfung, bei der die Studierenden auf Zoom anwesend waren, aufgezeichnet und er hat mich gefragt, ob dies zulässig sei. Die Frage der juristischen Voraussetzungen für die Aufzeichnung von Videokonferenzen stellt sich nicht nur an Hochschulen und Schulen, sondern auch bei Unternehmen und sogar im privaten Rahmen.

Rechtliche Grundlage: Persönlichkeits- und Datenschutzrecht

Als Individuum, egal ob Student, Schülerin oder Privatmensch steht mir nach Art. 27 des Zivilgesetzbuches (ZGB), dem Persönlichkeitsrecht, auch das Recht am eigenen Bild und der eigenen Äusserungen, ob schriftlich oder mündlich zu. Bei einem Bild (Foto, Video, Zeichnung) und meinen Äusserungen handelt es sich aber auch um personenbezogene Daten nach Art. 3 lit. a Datenschutzgesetz (DSG), die unter den Schutz des DSG fallen. Nach Art. 2 DSG gilt dieses Gesetz für das Bearbeiten von Daten natürlicher und juristischer Per­sonen durch private Personen (natürliche und juristische, als auch Unternehmen) und Bundesorgane. Auf die kantonalen Organe, d.h. auch die kantonalen Hochschulen, Schulen und die Gemeindeschulen kommen die praktisch identischen kantonalen Datenschutzgesetze zur Anwendung. Das DSG ist nicht anwendbar auf Personendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt.

Einverständnis der Betroffenen

Will man eine Zoom- bzw. Videokonferenz aufzeichnen, braucht es basierend auf Persönlichkeits- und Datenschutzrecht grundsätzlich das Einverständnis jedes Teilnehmers, jeder Teilnehmerin. Bei Jugendlichen und Kinder unter 18 Jahren müssen die Eltern bzw. Erziehungsberechtigten zustimmen. Problematisch ist dies jedoch da, wo Betroffene keine wirkliche Wahl haben, weil sie sich z.B. in einem Abhängigkeitsverhältnis zu demjenigen befinden, der die Aufzeichnung machen möchte, wie z.B. Mitarbeitende oder Studierende. Wenn diese nämlich eine Aufzeichnung ablehnen, drohen ihnen einschneidende Konsequenzen. In einer solchen Situation kann m.E. ein Betroffener, eine Betroffene sein bzw. ihr Einverständnis nicht geben bzw. sind Aufzeichnungen von Videokonferenzen grundsätzlich nicht zulässig (Art. 27 ZGB). Wenn man die entsprechenden Regeln des Datenschutzes hinzuzieht (Art. 13 DSG Rechtfertigungsgründe), könnte es aber sein, dass es auch in diesem Kontext zulässig ist eine Videokonferenz aufzuzeichnen, sogar gegen den Willen der Betroffenen, und zwar dann, wenn es überwiegende private oder öffentliches Inter­essen desjenigen gibt, der die Aufzeichnung machen will. Jedoch kommt dann der (auch datenschutzrechtliche) Grundsatz der Verhältnismässigkeit zur Anwendung (Art. 2 ZGB, Art. 4 Abs. 2 DSG; s. dazu auch auf www.digilaw.ch «Prinzip der Verhältnismässigkeit»), der dafür verlangt, dass eine Aufzeichnung notwendig und geeignet ist, um dieses Interesse zu erfüllen. Dies wäre z.B. dann der Fall, wenn eine Hochschule eine mündliche Online-Prüfung zur Beweissicherung aufzeichnet, weil nur eine Dozentin anwesend sein kann. Sind jedoch zwei Dozentinnen anwesend, ist eine Aufzeichnung nicht mehr notwendig. Auch nicht zulässig ist z.B. die Aufzeichnung einer schriftlichen Online-Prüfung. Ich bin zwischenzeitlich sogar der Meinung, dass es auch nicht zulässig ist von Schülerinnen und Schülern bzw. von Studierenden zu verlangen während einer Prüfung ihre Kameras einzuschalten, um zu verhindern, dass jene mit Dritten kommunizieren. Denn m.E. kann dies dadurch nicht verhindert werden. Damit ist die entsprechende Massnahme nicht geeignet und widerspricht somit dem Grundsatz der Verhältnismässigkeit (s. dazu vorne, aber auch nachfolgend).

Pflicht, Kamera einzuschalten?

Darf man von Schülerinnen und Schülern, Studierenden und Mitarbeitenden verlangen, dass sie bei Videokonferenzen die Kamera einschalten? M.E. ist dies nicht zulässig, weil nicht notwendig im Sinne des Grundsatzes der Verhältnismässigkeit (s. dazu vorne). Damit ich mit meinen Studierenden in den Online-Vorlesungen kommunizieren kann, ist es nur notwendig, dass diese an den Zoom-Meetings teilnehmen und mindestens akustisch ansprechbar sind. Ich habe also m.E. keine juristische Handhabe meinen Studierenden vorzuschreiben ihre Kameras einzuschalten. Nichtsdestotrotz bin ich der Meinung, dass das Einschalten der Kamera zwischenzeitlich zur Best Practice in der Kommunikation in Videokonferenzen gehört. Es gibt zwischenzeitlich auch praktisch in allen Onlinekonferenz-Applikationen eine Möglichkeit ungünstige Hintergründe (Schlafzimmer, Keller) unscharf zu stellen oder durch tolle Bilder zu ersetzen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.schneiderfeldmann.legal, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch

Aktualisiert am 11. März 2021

Was kostet die Verletzung der DSGVO?

Was kostet die Verletzung der EU-Datenschutz-Grundverordnung (DSGVO)? CMS Law Tax führt einen Online Enforcement Tracker mit bereits eindrücklichen Zahlen: GDPR Enforcement Tracker.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.schneiderfeldmann.legal, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch

Aktualisiert am 21. Dezember 2020

Facebook, Swisscom, Migrolino & Co.

Big Data und Datenschutz in Kommunikation, Marketing und Werbung

Alles spricht über die «Datenkrake» Facebook im fernen Silicon Valley. Im Schatten von Facebook segeln aber auch Schweizer Unternehmen, deren Datenhunger gerade so gross ist. «Swiss Big Data» ist nicht per se illegal. Für Marketing- und Kommunikationsleuten ist es aber entscheidend, die rechtlichen roten Linien zu kennen, um nicht in einen juristischen Hammer zu laufen und Reputationsschäden zu vermeiden.

Bisher haben Swisscom und Migros vor allem unsere Daten in Bezug auf Dienstleistungen und Käufe gesammelt. In neuster Zeit gehen sie dazu über, uns zu fotografieren. Swisscom tut dies im Shop, um wartende Kunden für die Berater zu identifizieren. Migros plant Migrolino-Shops ohne Personal und will darum die Gesichter ihrer Kunden ebenfalls scannen. Auch wenn die Betroffenen, abgestumpft durch den Datenhunger ihrer Lieblingstools Facebook, WhatsApp und Instagram, bei ihren persönlichen Daten recht freigiebig geworden sind, stutzen sie nun doch bei den Berichten über Praxis und Absichten von Swisscom und Migrolino, ihre Gesichter zu scannen.

Rote juristische Linie im Datenmarketing

Datensammeln zu Marketing-Zwecken ist nicht verboten. Vielfach dient das Datenmarketing auch den Betroffenen selbst. Die rote juristische Linie findet sich in Artikel 4 des Datenschutzgesetzes (DSG), den Grundsätzen des schweizerischen Datenschutzes. Für Marketing und Kommunikation sind dabei vor allem der Grundsatz der Verhältnismässigkeit und der Zweckgebundenheit von besonderer Relevanz. Nach dem Grundsatz der Verhältnismässigkeit dürfen Daten von Usern und von Kunden nur dann gesammelt werden, wenn sie für den dem Betroffenen vom Sammler kommunizierten Zweck notwendig und geeignet sind. Nimmt jemand z.B. an einem Wettbewerb teil, ist es lediglich notwendig, dass der Teilnehmer eine Offline- oder Online-Adresse angibt, damit man ihn über einen allfälligen Gewinn informieren kann. Weitere Informationen, wie z.B. Geburtstag, Geschlecht oder Zivilstand sind für diesen Zweck weder notwendig noch geeignet und damit deren Erfragung unverhältnismässig. Bei der weiteren Verwendung dieser Wettbewerbs-Daten muss der Grundsatz der Zweckgebundenheit eingehalten werden. D.h., dass Daten nur für den dem Betroffenen bei der Erhebung kommunizierten Zweck verwendet werden dürfen. In Bezug auf die Wettbewerbs-Daten bedeutet dies, dass diese Daten z.B. nicht für künftige Werbung verwendet werden dürfen. Dies wäre ein klarer Verstoss gegen das Datenschutzgesetz. Will man dies trotzdem tun, muss beim Wettbewerb eine separate Box gesetzt werden, die von den Teilnehmenden angekreuzt werden kann, wenn sie über den Wettbewerb hinaus Werbung wünschen.

Gesichts-Scanning legal?

Unser Gesicht ist Teil unserer Persönlichkeit gemäss Zivilgesetzbuch (ZGB) und damit gemäss Artikel 28 ff. ZGB geschützt. Erfolgt eine Aufnahme bzw. ein Scanning ohne Einverständnis des Betroffenen verletzt bereits die Aufnahme bzw. das Scanning an sich die Persönlichkeit; d.h. also nicht erst deren Verwendung. Erhebung und Bearbeitung dieser personenbezogenen Daten fallen aber auch unter die genannten datenschutzrechtlichen Grundsätze der Verhältnismässigkeit und der Zweckgebundenheit. Wenn nun Swisscom und Migrolino ihre Kunden zur Identifizierung in ihren Shops fotografieren, verlangt dies vorab deren explizites Einverständnis. Ein Gesichts-Scanning darf zudem nur gemacht werden, wenn dies für den entsprechenden Zweck notwendig und geeignet ist. Dabei verlangt der Grundsatz der Verhältnismässigkeit auch, dass für die Erreichung des Zwecks immer das Mittel angewendet wird, das am wenigsten in die Persönlichkeit der Betroffenen eingreift. Bis anhin hat Swisscom offenbar für ihre Berater jeweils besondere Kennzeichen ihrer Kunden notiert («Mann, grüne Jacke, Brille» o.ä.). Offenbar hat dies funktioniert. Die Post sowie die Apotheken-Gruppe BENU setzen auf das System «Take a Number». Auch dies scheint praktikabel zu sein. Die Valora-Gruppe hat soeben einen Test mit einem Shop ohne Personal durchgeführt. Dort haben sich die User bei Eintritt ins Geschäft mit einer App identifiziert. Auch dies schein funktioniert zu haben. Das bedeutet, dass es offensichtlich Identifikations-Methoden im stationären Handel gibt, die bedeutend weniger in die Persönlichkeit der betroffenen eingreifen. Damit muss davon ausgegangen werden, dass das Fotografieren bzw. Scannen der Gesichter der Kunden als schwerer Eingriff in deren Persönlichkeit unverhältnismässig sind. Fragt sich noch, ob das Einverständnis der Kunden die Sache legal macht. Nein. Art. 27 Abs. 2 ZGB als Teil des Persönlichkeitsrechts schützt die Personen vor der «Entäusserung ihrer Freiheit». Dieser Artikel, der schon seit Jahrzehnten Teil des Schweizer Persönlichkeitsrechts ist, erlebt im Zeitalter der Digitalisierung, in dem die User bereit sind, ihr letztes «Daten-Hemd» für eine unwiderstehliche App hinzugeben, eine eigentliche Renaissance. Mit dieser gesetzlichen Bestimmung schützt der Staat die Leute vor sich selbst.

Risiken des Datenhungers

Das schweizerische Datenschutzgesetz ist nach wie vor ein «Tiger ohne Zähne». Die Verletzung der Datenschutzgrundsätze hat praktisch keine juristischen Konsequenzen. Biss haben lediglich Verfügungen des Eidg. Datenschutz- und Öffentlichkeitsbeauftragt (EDÖB). Dieser kann von sich aus oder auf Anzeige hin auf den Plan treten. Hingegen sind die Reputationsrisiken nicht zu unterschätzen. Die Medien messen Unternehmen an den Datenschutz-Grundsätzen. Datenschutz ist ein Key Issue des E-Commerce. Die Fälle von Facebook haben gezeigt, dass die Thematik geeignet ist, sogar einen «Big Player» ins Wanken zu bringen.

High Risk beim Daten-Fischen in der EU

Seit Mai letzten Jahres gilt in der EU die neue Datenschutz-Grundverordnung (EU DSGVO). Grundsätzlich gelten in der EU nach wie vor die ähnlichen Datenschutzgrundsätze, wie in der Schweiz. Die EU DSGVO ist aber ein eigentlicher «Game Changer». Denn neben Schadenersatzforderungen der Betroffenen drohen Unternehmen bei Verstössen Bussen von bis zu 4 % des globalen (!) Umsatzes (!) und fehlbare Manager, Datenschutzbeauftragte und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Hilfreiche Online-Quellen des Datenschutzes

Übersicht über den Datenschutz der Schweiz und der EU: www.digilaw.ch («Data Protection»)

Detaillierte Informationen des EDÖB: www.edoeb.admin.ch («Datenschutz»)

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch, www.hslu.ch, www.digilaw.ch, www.twitter.com/juristenfutter, www.linkedin.com/in/ueli-grueter

Aktualisiert am 14. Juli 2020

Gefangen in Internet und Suchmaschinen?

Einmal im Internet – immer im Internet? Wie löscht man Content aus Internet und Suchmaschinen?

Vor kurzem habe ich ein öffentliches Profil auf einer Online-Plattform für Kunst sowie ein Inserat für eine Assistenz auf der Job-Plattform einer Universität löschen lassen. Dabei ist es weder der Kunst-Plattform, noch der Job-Plattform auf Anhieb gelungen, die Inhalte so zu löschen, dass sie auch aus den Speichern der Internet-Suchmaschinen, allen voran Google gelöscht werden. Die Kunst-Plattform hat mich auf erste Rückfrage sogar darauf hingewiesen, dass die Sache mit den Suchmaschinen nicht ihr Problem sei … Da eine solche Haltung und Praxis insbesondere nach der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) besonders risky ist (hohe Bussen!), ist es für Online-Anbieter wichtig, diese Sache kurz aus juristischer Sicht zu erläutern.

Inbesondere die EU-DSGVO (Art. 17 DSGVO), allgemein aber auch das schweizerische Datenschutzgesetz (Art. 4 DSG) sehen ein Recht auf Löschung („Recht auf Vergessen“) explizit vor. Insbesondere das Recht der DSGVO wird nun streng gehandhabt. Basierend darauf müssen Datenverarbeiter und Suchmaschinen-Betreiber insbesondere Daten löschen, die für den Zweck, für die sie erhoben wurden, nicht mehr gebraucht werden (Grundsatz der Verhältnismässigkeit, Grundsatz der Zweckbindung). Tun sie dies nicht, verletzen sie die entsprechenden datenschutzrechtlichen Grundsätze bzw. Prinzipien.

Aus diesem Grund haben Suchmaschinen, wie Google nun Online-Tools eingerichtet, bei denen konkrete Anträge auf Löschung gestellt werden können. Bei Google findet sich das entsprechende Tool mit entsprechender Erklärung unter folgendem Link: https://support.google.com/webmasters/answer/7041154. Allerdings verlangt Google für einen Löschungsantrag, was m.E. nicht rechtens ist, dass man sich bei Google anmeldet bzw. einen entsprechenden Account eröffnet.

Wichtig ist aber, und das ist absolut rechtens, dass Google grundsätzlich nur dann löscht, wenn auch der originäre Inhalt, also der Inhalt auf einer entsprechenden Website gelöscht ist. Das bedeutet eben für die Anbieter von Websites, dass sie öffentliche Profile und anderen Content so löschen, dass er auf dem Netz nicht mehr sichtbar ist.

In unserer Praxis haben wir auch immer wieder Fälle, in denen sich sowohl die Website-Betreiber, wie auch Suchmaschinen, wie Google, weigern, Content zu löschen. Sollte solcher Content jedoch gegen geltendes Recht verstossen (u.a. Datenschutz, Persönlichkeitsverletzung), können wir als Rechtsanwälte auch direkt eingreifen und die Suchmaschinen direkt offline zu Löschung auffordern. Dabei kommt uns zugute, dass immer mehr der Big Players des Internets in der Schweiz einen Sitz einreichten, wie z.B. Google in Zürich. Damit haben wir juristisch einen direkt Zugriff basierend auf schweizerischem Recht. Diesbezüglich haben wir insbesondere mit Google immer gute Erfahrungen gemacht.

Schlussendlich ist darauf hinzuweisen, dass es sich lohnt, die eigene Person, das eigene Unternehmen von Zeit zu Zeit zu „googeln“, und zu checken, welche Einträge in Suchmaschinen bestehen. Sollten Einträge nicht mehr aktuell sein oder sogar falsch, muss direkt bei den Website-Betreibern interveniert werden. Sollten die Website-Betreiber (rechtswidrig) keine Kontaktadresse auf ihrer Site publizieren, können die Inhaber von Websites über Online-Tools, wie www.eurodns.com/de/whois-suche abgefragt werden.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter digilaw.ch