HP muss gespeicherte IP-Adressen von Kunden löschen
Auf Anordnung des Innenministerium von Baden-Württemberg musste Hewlett-Packard die bereits protokollierten IP-Adressen von Drucker-Benutzern löschen.
Das Innenministerium Baden-Württembergs als zuständige Aufsichtsbehörde hat heute das Ergebnis seiner Prüfung von Datenschutzverstößen beim Druckerhersteller Hewlett-Packard bekannt gegeben. Anlass war die Funktion in der Treibersoftware einiger HP-Drucker, automatisch Status- und Verbrauchsdaten an einen Server von HP zu übermitteln. Diese so genannte MyPrintMileage-Funktion hatten die Datenschützer als Verstoß eingestuft.
Wie das Ministerium heute abschließend beschloss, muss HP:
- das Tool MyPrintMileage so ändern, dass eine aktive Einwilligung ohne Vorbelegung der Klickbox eingeholt wird,
- im zugehörigen Erklärungstext die Verarbeitung transparent machen, sodass eine informierte Einwilligung erfolgen kann und die Kunden im Text über die jederzeitige Widerrufsmöglichkeit informiert werden,
- die erfolgte Einwilligung des Kunden auf dem Rechner abspeichern, damit er sie jederzeit abrufen kann,
- in seiner Verbrauchsdatenbank alle Datensätze von Druckern des deutschen Markts sofort löschen,
- weiterlaufende Datenübermittlungen des bisherigen Treiber-Tools ab sofort nicht mehr speichern,
- die Kunden über die MyPrintMileage-Website darüber informieren, dass der alte Service nicht mehr zur Verfügung steht und ab wann das geänderte Tool aus dem Internet geladen werden kann.
Im Zuge der Ermittlungen habe HP inzwischen bereits alle gespeicherten IP-Adressen aus der Protokolldatei gelöscht und die Protokollierung ganz eingestellt. Für die Umsetzung der weiteren Auflagen haben die Ministerialen mit dem Druckerhersteller einen mehrstufigen Zeitrahmen bis Oktober vereinbart. Nach der Umsetzung entspräche HP den deutschen Datenschutzanforderungen, hieß es aus der Stuttgarter Behörde. Allerdings mit einer Ausnahme: Eigentlich müsste die Einwilligung des Benutzers in die Datenübermittlung eigenhändig unterschrieben oder mit einer elektronischen Signatur versehen sein (§ 4a BDSG). Weil die Aufsichtsbehörde davon ausgeht, "dass HP auch zukünftig die Daten nicht personalisiert verarbeitet, das heißt mit Kundendaten zusammenführt", könne man hier auch den unsignierten Klick gelten lassen. (tig)
