Schriftliche Anfrage des Abgeordneten Prof. Dr. Peter Paul Gantzer SPD vom 07.02.2014 Datenweitergabe durch Smart-TVs Sogenannte Smart-TVs haben die Möglichkeit, sich mit dem Internet zu verbinden. Diese Verbindung ermöglicht nicht nur das Abspielen von Sendungen aus dem Internet, sondern kann Benutzerdaten sammeln und den Medienanstalten zur Verfügung stellen. Einige Sender nutzen den Analysedienst „Google Analytics“, um die gesammelten Daten auszuwerten . Der Rücklauf der Benutzerdaten an die Sender und an Google geschieht jedoch ohne Kenntnis der Verbraucher. Ich frage die Staatsregierung: 1. Ist dieses Vorgehen der TV-Sender datenschutzrechtlich abgesichert? 2. Wie soll der Endverbraucher über die Praxis der Medien informiert werden? 3. Gibt es Initiativen, Daten der Fernsehzuseher zu schützen? 4. Wie kann sichergestellt werden, dass Google die gesammelten Daten nur mit Zustimmung der Endverbraucher verwendet? Antwort des Staatsministeriums für Wirtschaft und Medien, Energie und Technologie vom 31.03.2014 Die Fragen betreffen den Einsatz von „Google Analytics“ bei Smart-TVs. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) hat mit Schreiben vom 4. März 2014 Stellung genommen. Als Datenschutzaufsichtsbehörde überwacht das LDA die Einhaltung des Datenschutzrechts im nichtöffentlichen Raum. Es ist gemäß Art. 35 Bayerisches Datenschutzgesetz unabhängig und unterliegt bei der Ausübung seiner Aufgaben keinen Weisungen der Bayerischen Staatsregierung. 1. Ist dieses Vorgehen der TV-Sender datenschutzrechtlich abgesichert? Das LDA hat hierzu Folgendes mitgeteilt: Grundsätzlich können Verfahren zur Reichweitenmessung, zu denen auch das Verfahren „Google Analytics“ der Google Inc. gehört, beanstandungsfrei eingesetzt werden. Die im sog. Düsseldorfer Kreis zusammenarbeitenden Datenschutzaufsichtsbehörden des Bundes und der Länder haben in einem Beschluss zur „datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten“ vom 26./27. November 2009 die rechtlichen Rahmenbedingungen aus dem Telemediengesetz (TMG) dargestellt. Danach müssen die folgenden Vorgaben kumulativ eingehalten werden: – Nutzungsprofile dürfen nur unter Verwendung von Pseu- donymen erstellt werden. – Betroffenen muss die Möglichkeit eines wirksamen Wi- derspruchs gegen die Erstellung von Nutzungsprofilen gewährt werden. – Pseudonymisierte Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden und müssen gelöscht werden, soweit ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt. – Der Nutzer muss im Rahmen der Datenschutzerklärung auf die Erstellung pseudonymer Nutzungsprofile und auf die Widerspruchsmöglichkeit hingewiesen werden. – Die IP-Adresse muss anonymisiert werden. Wird vom Telemediendienstanbieter für die Reichweitenmessung ein Dienstleister eingeschaltet, wie z. B. bei Einsatz von „Google Analytics“ die Google Inc., so ist nach den Vorgaben des Bundesdatenschutzes ein Vertrag zur Auftragsdatenverarbeitung abzuschließen und einzuhalten. Die Einhaltung dieser Voraussetzungen kann durch die zuständige Datenschutzaufsichtsbehörde kontrolliert werden. 2. Wie soll der Endverbraucher über die Praxis der Medien informiert werden? Das LDA hat hierzu Folgendes mitgeteilt: Das Telemediengesetz schreibt in § 13 Abs. 1 TMG vor, dass der Diensteanbieter den Nutzer „zu Beginn des Nutzungsvorganges über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten (…) in allgemein verständlicher Form zu unterrichten [hat], sofern eine solche Unterrichtung nicht bereits erfolgt ist“. Zudem muss der Nutzer bei „einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet “ zu Beginn dieses Verfahren unterrichtet werden. Gemeint ist hiermit vor allem der Einsatz von Cookies. Beim Einsatz von Google Analytics werden sogenannte TrackingCookies im Browser des Nutzers (Fernsehzusehers) gesetzt. Diese Unterrichtung muss gem. § 13 Abs. 1 Satz 3 TMG jedoch nicht nur zu Beginn des Nutzungsvorganges bzw. des Verfahrens, sondern jederzeit abrufbar sein. Der Nutzer muss somit spätestens zu dem Zeitpunkt, in dem eine Internetverbindung aufgebaut wird und der Tracking-Cookie gesetzt wird, über den Einsatz des Verfahrens zur Reichweitenmessung informiert werden. Dies kann z. B. bei einem HbbTV-Angebot innerhalb des Menus unter Drucksachen, Plenarprotokolle sowie die Tagesordnungen der Vollversammlung und der Ausschüsse sind im Internet unter www.bayern.landtag.de –Dokumente abrufbar. Die aktuelle Sitzungsübersicht steht unter www.bayern.landtag.de – Aktuelles/Sitzungen/Tagesübersicht zur Verfügung. 17. Wahlperiode 09.05.2014 17/1272 Bayerischer Landtag Seite 2 Bayerischer Landtag · 17. Wahlperiode Drucksache 17/1272 einem Link „Datenschutzhinweise“, „Datenschutzerklärung“ oder „Datenschutzgrundsätze“ geschehen. Bei App-Diensten wiederum könnte eine Unterrichtung bereits im AppStore bzw. vor der Installation der App stattfinden. Die jederzeitige Abrufbarkeit kann realisiert werden, indem die Erklärung dauerhaft über ein Menu erreichbar ist bzw. innerhalb einer App permanent aufgefunden werden kann. Im Rahmen der Datenschutzerklärung ist der Nutzer gem. § 15 Abs. 3 Satz 2 TMG auch auf seine jederzeitige Widerspruchsmöglichkeit gegen die Erstellung eines Nutzungsprofils unter Pseudonym hinzuweisen. Entsprechend der Forderung nach einer wirksamen Widerspruchsmöglichkeit ist zugleich eine Widerspruchsmöglichkeit einzubinden, welche auf technischer Ebene funktioniert. Eine Widerspruchsmöglichkeit , bei der ein Medienbruch (z. B. per E-Mail, postalisch ) notwendig ist, kann nicht effektiv umgesetzt werden. 3. Gibt es Initiativen, Daten der Fernsehzuseher zu schützen? Das LDA hat hierzu folgendes mitgeteilt: Die Datenschutzaufsichtsbehörden, die unabhängigen Da- tenschutzbeauftragten der Landesmedienanstalten und die Rundfunkdatenschutzbeauftragten stehen in Gesprächen mit den Herstellern von Smart-TVs, den Sendern und weiteren Anbietern von HbbTV-Inhalten und sonstigen Online-Angeboten (z. B. Apps) und prüfen die Angebote. 4. Wie kann sichergestellt werden, dass Google die gesammelten Daten nur mit Zustimmung der Endverbraucher verwendet? Das LDA hat hierzu folgendes mitgeteilt: Die Google Inc. ist durch den Vertrag zur Auftragsdaten- verarbeitung gem. § 11 BDSG vertraglich verpflichtet, sich an die Weisungen des Auftraggebers zu halten. Ein Datenumgang über die Erstellung der Statistiken hinaus ist der Google Inc. somit nicht erlaubt.