In letzter Zeit erhalten unsere Mandanten vermehrt wirre E-Mails von Michael Green aus Grossbritannien. Green beklagt sich über «Rechtswidriges Tracking von Benutzern» und fordert Schadenersatz.
Worüber beschwert sich Michael Green?
In schlechtem Deutsch beschwert sich Green bei den angeschriebenen Website-Betreibern über Tracking ohne Einwilligung, zum Beispiel wie folgt:
«Mir ist aufgefallen, dass Ihre Website (datengurke.ch) eines Google-Tracking-Skripts platziert hat auf meinem Gerät. Dies geschah, als ich die Webseite https://datengurke.ch/ besuchte – also einseitig und ohne Zustimmung.»
Und:
«Ich habe categorsih nicht zugestimmt, mit dieser Technologie verfolgt zu werden, und finde diese Aktivität äußerst aufdringlich und ärgerlich – insbesondere angesichts der Tatsache, dass meine Browsereinstellungen auf ‹Nicht verfolgen› eingestellt sind (und waren). Es ist unklar, an welche Dritten diese Daten gesendet wurden, an welchen Standorten und unter welchen Datenschutzregelungen Dritter tätig sind.»
Und auch:
«Es wird wiederholt, dass die Tracking-Technologien unmittelbar nach der Landung auf der Website auf meinen Geräten platziert wurden – das heißt, bevor eine Mitteilung oder Zustimmung logisch gegeben werden konnte. Diese Aktivität verstößt gegen die Nutzungsbedingungen für Werbung für Google. Es scheint, dass Datengurke sich entschieden hat, dies zynisch zu seinem eigenen kommerziellen Vorteil zu tun, indem es dies einseitig und ohne Zustimmung der Endnutzer tut. Durch die Platzierung der Tracking-Technologien hat Datengurke die erhaltenen Daten nicht rechtmäßig verarbeitet, da dies nicht ‹fair› oder ‹rechtmäßig› geschah, wie es Art. 5 Abs. 1 lit. a der Verordnung 2016/679 verlangt (‹DSGVO›), jetzt durch den European Union (Withdrawal) Act 2018 in englisches Recht umgesetzt.»
Auf welches Recht beruft sich Michael Green?
Green beruft sich auf eine bunte Mischung aus früherem und geltendem Datenschutz- und Telekommunikationsrecht, unter anderem:
«Die Platzierung solcher Technologien stellt einen Eingriff in meine Privatsphäre dar und stellt einen Verstoß gegen die ‹Privacy and Electronic Communications› (EC Directive) Regulations 2003 (§ 15 Abs. 3 Satz 1 Telemediengesetz 2007 in deutschem Recht) sowie den ‹Data Protection Act 2018› nach englischem Recht dar sowie nach Regulation 2016/679 des deutschen Rechts.»
Schweizerisches Recht, insbesondere das Datenschutzgesetz (DSG), erwähnt Michael Green nicht.
Was fordert Michael Green von Website-Betreibern?
Abschliessend behauptet Green in seinen E-Mails, die 17 Punkte umfassen, einen Anspruch auf Schadenersatz …
«Für jeden Verstoß gegen die PECRs und die DSGVO ist Schadensersatz gemäß Regulation 30 PECRs und Artikel 82 DSGVO fällig. Diese Angelegenheit kann vor Gericht gelöst werden, aber im Interesse einer unnötigen Inanspruchnahme von Gerichtszeit bei der Ermittlung nicht pauschalierter Schäden bin ich offen für eine klärung dieser Angelegenheit.»
… und fordert ein Angebot innert 14 Tagen:
«Bitte formulieren Sie Ihre Antwort innerhalb von 14 Tagen.»
Michael Green verwendet die E-Mail-Adresse mikergreen92@gmail.com und nennt folgende Postadresse:
«Upper Flat, 84 Marlborough Road
Oxford, OX1 4LS
United Kingdom»
Die Postadresse scheint echt zu sein. Ob Michael Green echt ist, wissen wir nicht.
Gemäss der verwendeten E-Mail-Adresse nennt sich Michael «Mike», hat einen zweiten Vornamen, der mit R beginnt, und wurde allenfalls 1992 geboren.
Inhaltlich gelingt es Michael Green, die bislang schon bescheidene Qualität von Datenschutz-Abmahnungen zu unterbieten. Im Gegensatz zu den bereits bekannten Google Fonts-Abmahnungen wirkt sein Vorgehen nicht zielführend.
Wie reagiert man richtig auf E-Mails von Michael Green?
- Bei Abmahnungen sowie ähnlichen E-Mails und Schreiben gilt immer: Don’t panic, Ruhe bewahren!
- Ob reagiert wird, und falls ja, wie, sollte in aller Ruhe geprüft werden. Wer schnell und unüberlegt reagiert, riskiert Fehler mit weitreichenden Folgen. So stellt sich beispielsweise die Frage, ob die E-Mails datenschutzrechtlich von Bedeutung sind, zum Beispiel als Auskunftsbegehren.
- Bei den E-Mails von Michael Green, die wir bislang gesehen haben, erscheint eine Antwort weder erforderlich noch sinnvoll. Im Einzelfall oder bei künftigen E-Mails kann das Ergebnis anders aussehen.
- Die E-Mails von Michael Green sollten in jedem Fall zum Anlass genommen werden, zu prüfen, ob das anwendbare Datenschutz- und Telekommunikationsrecht auf der eigenen Website eingehalten wird. Ist beispielsweise europäisches Recht anwendbar? Und falls ja, werden ein Cookie-Banner und eine EU-Datenschutz-Vertretung benötigt?
- Wer auf Nummer sicher gehen möchte, aber nicht über Erfahrung im Datenschutzrecht verfügt, sollte sich von einer Fachperson beraten lassen.
Siehe auch: WordPress empfiehlt Entwicklern: Finger weg von Google Fonts!
Bild: Pixabay / No-longer-here, Public Domain-ähnlich.
Nachtrag vom 19. Oktober 2022: Gemäss einem Hinweis bei LinkedIn könnte es sich bei «Michael Green» um Grant Shapps handeln.
Die deutschsprachige Wikipedia schreibt über Grant Shapps unter anderem:
«Grant V. Shapps […] ist ein britischer Politiker der Conservative Party. Er ist seit der Unterhauswahl 2005 Abgeordneter für den Wahlkreis Welwyn Hatfield. Shapps ist seit Oktober 2022 Innenminister.»
Counselor Steiger: Thank you for posting this.
Seems Mike Green is still up to this trickery.
Email received by an American software company just today:
**********
Michael Green
Upper Flat, 84 Marlborough Road
Oxford, OX1 4LS
United Kingdom
4/4/2024
Dear Sirs,
It has come to my attention that your website (redacted) has placed a Facebook tracking script on my device, as well as made use of similar tracking technologies by Microsoft and Google. This happened as I loaded the webpage https://redacted/ – that is, unilaterally and without consent.
The placement of such technologies constitutes an invasion of my privacy, and amounts to a violation of The Privacy and Electronic Communications (EC Directive) Regulations 2003 as well as the Data Protection Act 2018 under English and European Union law.
The Privacy and Electronic Communications (EC Directive) Regulations 2003
Regulation 6 of The Privacy and Electronic Communications (EC Directive) Regulations 2003 – or “PECRs” – provides as follows:
(1) Subject to paragraph (4), a person shall not use an electronic communications network to store information, or to gain access to information stored, in the terminal equipment of a subscriber or user unless the requirements of paragraph (2) are met.
(2) The requirements are that the subscriber or user of that terminal equipment—
(a) is provided with clear and comprehensive information about the purposes of the storage of, or access to, that information; and
(b) has given his or her consent (Substituted by Privacy and Electronic Communications (EC Directive) (Amendment) Regulations 2011/1208 reg.6(3) (May 26, 2011))
(3) Where an electronic communications network is used by the same person to store or access information in the terminal equipment of a subscriber or user on more than one occasion, it is sufficient for the purposes of this regulation that the requirements of paragraph (2) are met in respect of the initial use.
(4) Paragraph (1) shall not apply to the technical storage of, or access to, information—
(a) for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network; or
(b) where such storage or access is strictly necessary for the provision of an information society service requested by the subscriber or user.
Through placing the Facebook tracking script on my device (with the cookie _fbp), a Microsoft tracking script (using the cookies _uetsid and _uetvid) and a DoubleClick tracking script (“the Tracking Technologies”), {redacted company} used an electronic communications network to store information and to gain access to information stored in terminal equipment on my device, within the meaning of Regulation 6(1) PECRs, in violation of that provision. The conditions to justify storing or gaining access to information in terminal equipments, provided in Regulation 6(2), are not applicable.
Misuse of private information
In deploying the Tracking Technologies on my device without prior notice, {redacted company} obtained and stored information relating to me, of which I had a reasonable expectation of privacy – specifically my IP address, physical location, the device and software used to browse the website, and the time that such activity occurred.
The insertion of the Tracking Technologies was wrongful and constituted an unjustified infringement of my right to privacy, amounting to a misuse of private information.
Regulation 2016/679 (Data Protection Act 2018)
The Tracking Technologies broadcast a number of information points to third party services, enabling large-scale profiling operations by third parties for commercial purposes. This includes my IP address (and so revealing location information), the device / software I use to browse a website, as well as information relating to internet browsing habits, which at scale are used by these technology service providers to generate sophisticated profiles about my behaviour and intentions. This is inherent within the nature of the technology, and not an accidental feature of tracking tags.
It is repeated that the Tracking Technologies were placed on my device immediately upon landing on the site – that is, before any notice or consent could logically be given. This activity is in breach of the Advertising Terms of Service for Facebook, Microsoft and Google.
It appears {redacted company} has chosen to do this cynically for its own commercial gain, doing so unilaterally and without end-user consent.
In so placing the Tracking Technologies {redacted company} did not process the data obtained lawfully, as it did not do so ‘fairly’ or ‘lawfully’, as required by Art 5(1)(a) of Regulation 2016/679 – now incorporated into English law via the European Union (Withdrawal) Act 2018.
Specifically, {redacted company} had no legitimating condition under Art 6 GDPR in order to legitimise the processing of any personal information; further when acting in breach of Regulation 6 PECRs, it cannot be said to be acting ‘lawfully’ under Art 5(1)(a) GDPR; further, in so placing these tracking technologies without notice or consent, neither can {redacted company} be said to be acting ‘lawfully’ or ‘fairly’ within the meaning of Art 5(1)(a) GDPR.
Further, {redacted company} did not collect information about me for specified and lawful purposes within the meaning of Art 5(1)(b); nor did it obtain data from me that was adequate, relevant and limited to what is necessary within the meaning of Art 5(1)(c).
Concluding matters
I categorically did not consent to being tracked with this technology, and find this activity most intrusive and upsetting – especially given my browser settings are (and were) set to “Do Not Track”. It is unclear to what third parties this data has been sent, operating in what locations, and under what third party privacy regimes; this is especially the case in relation to Facebook, Microsoft and Google who operate outside the English and European jurisdiction.
For any breach of the PECRs and GDPR, damages are payable under Regulation 30 PECRs and Article 82 GDPR. This matter can be resolved before the English courts (them having jurisdiction, given this matter relates to a tortious cause of action, rather than a breach of contract); however in the interests of avoiding an unnecessary use of court time in assessing unliquidated damages, I am open to settling this matter.
Please set out your response within 14 days.
Regards,
Michael Green
mikerobertgreen@gmail.com