24. Juni 2016 - Datenschutz im Internet of Things

Datenschutzrechtliche Pflichten bei Smart-TVs

Smart-TVs sind heutzutage „natürlich“ online, bieten sie doch praktische Funktionen wie HbbTV oder das Surfen über den Fernseher. Das sah die Verbraucherzentrale NRW anders: Hersteller von Smart-TVs müssten ausdrücklich und frühzeitig darauf hinweisen, dass bei der Nutzung ihrer Geräte personenbezogene Daten betroffen seien. Darüber hinaus bräuchten sie für deren Erhebung und Verarbeitung eine Einwilligung. Dem widersprach der betroffene Geräte-Hersteller. Schließlich musste das Landgericht Frankfurt a.M. den Streit entscheiden.

Smart-TV: erstes Urteil zu Datenchutz-Pflichten Smart-TVs können sich als Datenschleudern entpuppen (Bild: lucadp / iStock / Thinkstock)

In seinem Urteil vom 10.06.2016 nimmt  das Landgericht (LG) Frankfurt a.M. zur Frage Stellung, welche datenschutzrechtlichen Pflichten ein (auch) in Deutschland ansässiger Hersteller von Smart-TVs hat (Az. 2-03 O 364/15).

Smart-TVs und ihre Online-Dienste

Bei Smart-TVs handelt es sich um „intelligente“ Fernsehgeräte. Sie können online gehen, das heißt auf internetbasierte Zusatzdienste zugreifen. Zu diesen Diensten zählen insbesondere

  • HbbTV,
  • Portale mit Apps wie man sie vom Smartphone her kennt sowie
  • ein Browser, um mit dem Fernseher zu surfen.

HbbTV-Angebote sind speziell formatierte Webseiten, die die Sendeanstalten anbieten. HbbTV bietet etwa Zusatzinformationen zu den Sendungen, aktuelle Meldungen oder den Zugriff auf Mediatheken der Sender. Bei internetbasierten HbbTV-Angeboten steht dabei – auf Basis der HTTP-Kommunikation – ein Rückkanal zum Anbieter zur Verfügung. Damit kann er nachvollziehen, ob und wie sein HbbTV-Angebot genutzt wird.

Das war auch beim Smart-TV des Herstellers Samsung der Fall, gegen dessen Online-Funktionen sich die Verbraucherzentrale NRW wegen Verletzung datenschutzrechtlicher Vorgaben wandte.

Hintergrundinformationen zum Datenschutz bei Smart-Tvs siehe die Prüfung des bayerischen Landesamts für Datenschutzaufsicht.

Verbraucherzentrale sieht umfangreiche Pflichten

Nach Einschätzung der Verbraucherzentrale NRW treffen einen Hersteller von Smart-TVs umfangreiche datenschutzrechtliche Pflichten:

  • So habe er den Smart-TV-Nutzer vor einer Datenübertragung über das Internet zu informieren, dass personenbezogene Daten – in Form von IP-Adressen – übertragen werden.
  • Zudem müsse er für die Erhebung und Verarbeitung dieser Daten eine klar und eindeutig formulierte Einwilligung des Nutzers einholen.

Dies sei beim betroffenen Smart-TV von Samsung nicht der Fall.

Differenzierte Entscheidung des LG Frankfurt a.M.

Nachdem die Verbraucherzentrale NRW Samsung erfolglos abgemahnt hatte, musste das LG Frankfurt a.M. entscheiden. In ihrem Urteil differenzierten die Frankfurter Richter die datenschutzrechtlichen Pflichten danach, welche Online-Dienste und somit welche Anbieter konkret betroffen sind.

Der „alte“ Streit um (dynamische) IP-Adressen

Im Urteil gehen die Frankfurter Richter auch auf den schon lange schwelenden Streit ein, inwiefern es sich bei IP-Adressen um personenbezogene Daten handelt. Das ziehen sie bei dynamisch vergebenen IP-Adressen in Zweifel. Im Ergebnis lässt das LG Frankfurt a.M. diese Frage allerdings offen. Denn es seien auch Fälle betroffen, in denen der Nutzer über eine statische IP-Adresse verfüge. Und die sei unstreitig als personenbezogenes Datum anzusehen.

Verständnishorizont aller Nutzer ausschlaggebend

Das „Argument der Offensichtlichkeit“, demzufolge es auf der Hand liege, dass sich ein Smart-TV mit dem Internet verbinde und eine Datenübermittlung stattfinde, ließen die Frankfurter Richter nicht gelten.

Vielmehr sei der durchschnittliche Verständnishorizont aller Nutzer entscheidend. So gäbe es durchaus Verbraucher, denen nicht klar sei, dass nach Einrichtung und Verbindung des Geräts mit dem eigenen (W)LAN personenbezogene Daten in Form von IP-Adressen übertragen würden, und zwar auch dann, wenn sie die Internet-Funktionalität des Smart-TV nicht nutzen.

Das gelte auch für HbbTV-Funktionen. Hier sei ebenfalls nicht für alle Verbraucher klar, dass die Sendeanstalten die Möglichkeiten hätten, personenbezogene Daten in Form von IP-Adressen zu erheben.

(Allgemeine) Hinweispflicht der Hersteller von Smart-TVs

Vor diesem Hintergrund seien die Hersteller von Smart-TVs unter datenschutzrechtlicher Perspektive verpflichtet, die Nutzer auf die Erhebung und Verarbeitung von personenbezogenen Daten hinzuweisen. Das gelte auch dann, wenn die in Deutschland ansässige Vertriebsgesellschaft die Daten nicht selbst erhebe und verarbeite.

Bei HbbTV und Ersteinrichtung kommt es auf den konkreten Anbieter an

Einer weitergehenden Verpflichtung erteilten die Frankfurter Richter aber eine Absage. Vor allem müsse der Hersteller keine Einwilligung einholen, wenn der Käufer das HbbTV-Angebot nutzt oder das Gerät ersteinrichtet, in dessen Verlauf sich das Smart-TV mit Servern des im Ausland ansässigen Herstellers verbindet.

Vielmehr sei zu unterscheiden, wer für die jeweilige Datenerhebung/-verarbeitung verantwortlich sei:

  • Im Hinblick auf HbbTV-Angebote seien dies die Sendeanstalten selbst. Nicht aber der Hersteller bzw. die in Deutschland ansässige Vertriebsgesellschaft.
  • Nichts anderes gelte für die bei der Ersteinrichtung übertragenen Daten an den im Ausland ansässigen Hersteller. Auch hier könne nicht die in Deutschland ansässige Vertriebsgesellschaft verantwortlich gemacht werden.

Da die Klage der Verbraucherzentrale weder die Sendeanstalten noch den im Ausland ansässigen Hersteller umfasst hat, konnten die Frankfurter Richter die Rechtmäßigkeit der konkreten Datenübermittlung in diesen Fällen offen lassen.

Anforderungen an Datenschutzerklärung in AGB

Daneben ging das LG Frankfurt a.M. auf die konkrete Ausgestaltung der Allgemeinen Geschäftsbedingungen (AGB) und der enthaltenen Datenschutzerklärung ein.

Im Umfang der AGB von mehr als 50 Bildschirmseiten sahen die Frankfurter Richter eine unzumutbare Beeinträchtigung. Diese Art der Aufbereitung – ohne Zwischenüberschriften oder Hervorhebungen – sei zu lang und zu leseunfreundlich. Im Übrigen seien die datenschutzrechtlichen Klauseln deswegen unzulässig, weil es ihnen an Bestimmtheit und Transparenz im Hinblick auf den Umfang der Datenübermittlung und -verwendung fehle.

Fazit: „Privacy by Design“

Das Urteil ist aus datenschutzrechtlicher Perspektive insoweit zu begrüßen, als es eine differenzierte Sichtweise auf die Beteiligten des Smart-TV-Markts erlaubt. Dem Urteil zufolge muss jeder Beteiligte (Hersteller, Vertriebsgesellschaft, Inhalte-Anbieter) seinen datenschutzrechtlichen Pflichten nachkommen, entsprechend der konkret angebotenen Dienste.

Gleichzeitig steckt darin aber die Gefahr, die datenschutzrechtlichen Pflichten aufzuweichen. Denn internationale Geräte-Hersteller könnten sich durch eine entsprechende Firmenstruktur zwar nicht grundsätzlich ihrer Pflichten entledigen. Die Rechtsdurchsetzung wäre aufgrund der Internationalität aus Nutzersicht aber deutlich erschwert.

Im Ergebnis lässt sich aus dem Urteil –im großen Kontext des „Internet of Things“ (IoT) – der berechtigte Schluss ziehen, dass Geräte-Hersteller zum „Privacy by Design“ verpflichtet sind. Das heißt, sie müssen die Nutzung von internetfähigen Geräten bereits in den Grundeinstellungen datenschutzkonform ausgestalten. Den Anfang macht dabei die verständliche Information und Aufklärung über die Tatsache, dass personenbezogene Daten erhoben und verarbeitet werden können.

Das Urteil des LG Frankfurt a.M. vom 10.06.2016 (Az. 2-03 O 364/15) ist im Internet unter folgender Adresse abrufbar: http://www.verbraucherzentrale.nrw/mediabig/241624A.pdf

Peer Lambertz
Peer Lambertz ist Rechtsanwalt und Datenschutz-Experte.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln