Freitag, 27. Februar 2015

Veröffentlichung von Videoaufnahmen eines Arbeitnehmers, dessen Einwilligung und deren Erlöschen/Widerruf



Nach § 22 KUG dürfen Bildnisse von Arbeitnehmern nur mit ihrer Einwilligung veröffentlicht werden. Diese muss schriftlich erfolgen. Eine ohne Einschränkung erteilte Einwilligung des Arbeitnehmers erlischt nicht automatisch mit dem Ende des Arbeitsverhältnisses. Sie kann aber widerrufen werden, wenn dafür ein plausibler Grund angegeben wird.

Der Kläger war im Sommer 2007 in die Dienste der Beklagten getreten, die ein Unternehmen für Klima- und Kältetechnik mit etwa 30 Arbeitnehmern betreibt. Im Herbst 2008 erklärte der Kläger schriftlich seine Einwilligung, dass die Beklagte von ihm als Teil der Belegschaft Filmaufnahmen macht und diese für ihre Öffentlichkeitsarbeit verwendet und ausstrahlt. Danach ließ die Beklagte einen Werbefilm herstellen, in dem zweimal die Person des Klägers erkennbar abgebildet wird. Das Video konnte von der Internet-Homepage der Beklagten aus angesteuert und eingesehen werden. Das Arbeitsverhältnis zwischen den Parteien endete im September 2011. Im November 2011 erklärte der Kläger den Widerruf seiner „möglicherweise“ erteilten Einwilligung und forderte die Beklagte auf, das Video binnen 10 Tagen aus dem Netz zu nehmen. Dem folgte die Beklagte - unter Vorbehalt - Ende Januar 2012. Der Kläger verlangt die Unterlassung weiterer Veröffentlichung und Schmerzensgeld.

Die Klage war vor dem Arbeitsgericht teilweise, vor dem Landesarbeitsgericht zur Gänze erfolglos geblieben. Die Revision des Klägers hatte vor dem Achten Senat keinen Erfolg. Unterstellt, die Abbildungen vom Kläger in dem Video bedurften seiner Einwilligung nach § 22 KUG, so hatte die Beklagte diese erhalten. Auch das Erfordernis einer schriftlichen Einwilligung, das sich aus dem Recht des Arbeitnehmers auf informationelle Selbstbestimmung ergibt, war im Falle des Klägers erfüllt. Seine ohne Einschränkungen gegebene schriftliche Zustimmung erlosch nicht automatisch mit dem Ende des Arbeitsverhältnisses. Ein späterer Widerruf war grundsätzlich möglich, jedoch hat der Kläger für diese gegenläufige Ausübung seines Rechts auf informationelle Selbstbestimmung keinen plausiblen Grund angegeben. Er kann daher eine weitere Veröffentlichung nicht untersagen lassen und würde durch diese in seinem Persönlichkeitsrecht nicht verletzt werden.

Bundesarbeitsgericht, Urteil vom 19. Februar 2015 - 8 AZR 1011/13 -

Quelle: Pressemitteilung des Bundesarbeitsgerichts vom 19.02.2015

Anmerkung:
Interessent ist bei diesem Urteil, welche Anforderungen an den Widerruf einer Einwilligung nach Kunsturhebergesetz gestellt werden.
Das BAG geht in der Pressemitteilung (das vollständige Urteil liegt derzeit noch nicht vor) davon aus, dass für den Widerruf ein „plausibler“ Grund angegeben werden müsse. Die Vorinstanz (Landesarbeitsgericht Rheinland-Pfalz, Urteil vom 8. Mai 2013 - 8 Sa 36/13) hatte hierzu auf die unterschiedlichen Auffassungen in der Judikatur hingewiesen. So werde teilweise ein gewichtiger Grund für den Widerruf verlangt, da derjenige, der eine Einwilligung erteilt habe, an den Inhalt seiner Erklärung gebunden sei. Teilweise werde verlangt, dass sich die innere Einstellung des Betroffenen geändert haben müsse. Andere Stimmen verlangen die Geltendmachung von "gewichtigen Gründen", die den Widerruf rechtfertigen.
Es ist zu hoffen, dass das BAG bei der schriftlichen Abfassung seiner Urteilsgründe auf diese umstrittene Thematik vertieft eingeht, auch wenn – so das LAG Rheinland Pfalz – im behandelten Fall keine dieser Auffassung einen wirksamen Widerruf begründen könnten.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Dienstag, 28. Oktober 2014

Sind dynamische IP-Adressen personenbezogene Daten?

Unter anderem diese seit einer "gefühlten Ewigkeit" umstrittene Frage aus dem Datenschutzrecht hat der Bundesgerichtshof (BGH) dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt.
Die Antwort auf diese Frage ist auch über das Datum der IP-Adresse hinaus für die zentrale Definition der "personenbezogenen Daten" relevant.
Hier besagt § 3 Abs. 1 BDSG, dass personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)" sind.
Bei der Bestimmbarkeit ist es hierbei bislang umstritten, ob die datenverarbeitende Stelle die Zuordnung zu dem Betroffenen vornehmen kann oder ob es ausreichend ist, wenn irgendjemand die Daten dem Betroffenen zuordnen kann. Ersteres ist der sog. relative Ansatz, d.h. ein Datum kann für die eine datenverarbeitende Stelle (etwa aufgrund Sonderwissen) ein personenbezogenes Datum sein - und damit im Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) -, für eine andere verarbeitende Stelle (ohne das Sonderwissen) aber nicht. Nach letzterem Ansatz, sog. objektiver oder absoluter Ansatz - kann ein Datum bzgl. der Zuordnung zu einer Person zwar "nichtssagend" sein. Da aber irgendeine Stelle die Zuordnung vornehmen kann, ist das betreffende Datum für alle verarbeitenden Stellen ein personenbezogenes Datum und damit im Fokus des BDSG.
Auf der Hand dürfte liegen, dass der absolute/objektive Ansatz zu einer massiven Ausweitung der Anwendung des Datenschutzrechts führen würde, da ja fast alle Merkmale zumindest von irgendwem einer Person zugeordnet werden können.
Klassische Beispiele: Dynamische IP-Adressen, Kfz-Kennzeichen.
Eine Entscheidung des EuGH ist damit von ganz zentraler Bedeutung für das gesamte Datenschutzrecht - dementsprechend warten wir die Entscheidung des EuGH mit Spannung ab.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Hier die Pressemitteilung des BGH vom 28.10.2014:
Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei den meisten allgemein zugänglichen Internetportalen des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof hat beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen.

1. Der Unterlassungsanspruch setzt voraus, dass es sich bei den dynamischen IP-Adressen für die verantwortlichen Stellen der Beklagten, die die Adressen speichern, um "personenbezogene Daten" handelt, die von dem durch die Richtlinie harmonisierten Datenschutzrecht geschützt werden. Das könnte in den Fällen, in denen der Kläger während eines Nutzungsvorgangs seine Personalien nicht angegeben hat, fraglich sein. Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie*** dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

2. Geht man von "personenbezogenen Daten" aus, so dürfen die IP-Adressen des Nutzers nicht ohne eine gesetzliche Erlaubnis gespeichert werden (§ 12 Abs. 1 TMG*), wenn – wie hier – eine Einwilligung des Nutzers fehlt. Nach dem für die rechtliche Prüfung maßgebenden Vortrag der Beklagten ist die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich. Ob das für eine Erlaubnis nach § 15 Abs. 1 TMG** ausreicht, ist fraglich. Systematische Erwägungen sprechen dafür, dass diese Vorschrift eine Datenerhebung und -verwendung nur erlaubt, um ein konkretes Nutzungsverhältnis zu ermöglichen, und dass die Daten, soweit sie nicht für Abrechnungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen sind. Art. 7 Buchstabe f der EG-Datenschutz-Richtlinie**** könnte aber eine weitergehende Auslegung gebieten. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob die EG-Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann.

* § 12 Telemediengesetz - Grundsätze

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(2) …

** § 15 Telemediengesetz – Nutzungsdaten

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)…

*** Art. 2 EG-Datenschutz-Richtlinie – Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

a) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person […]; als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind; […]

**** Art. 7 EG-Datenschutz-Richtlinie

Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist: […]

f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 geschützt sind, überwiegen.

Urteil vom 28. Oktober - VI ZR 135/13
Vorinstanzen: AG Tiergarten - Urteil vom 13. August 2008 - 2 C 6/08, LG Berlin - Urteil vom 31. Januar 2013 - 57 S 87/08

Quelle: Pressemitteilung des Bundesgerichtshofs vom 28.10.2014

Dienstag, 14. Oktober 2014

Datenschutzrechtliche Zulässigkeit der Videoüberwachung eines Treppenhauses in einem Bürogebäude - OVG Lüneburg


Das Oberverwaltungsgericht Lüneburg hatte einen interessanten Fall über eine vom Landesdatenschutzbeauftragten untersagte Videoüberwachung im Treppenhaus eines Bürogebäudes zu entscheiden (Urteil v. 29.09.2014 - Az. 11 LC 114/13). Genau genommen forderte der Landesdatenschutzbeauftragte unter Androhung eines Zwangsgeldes Deistallation von sieben Videoüberwachungskameras und die Deaktivierung einer anderen sowie die Löschung aller auf dem Videoserver gespeicherten Videobilder.

Von der Videoüberwachungsanlage erfaßt wurde das Treppenhaus und im Kellergeschoss befindliche Lagerräume eines mehrgeschossigen Bürogebäudes, welches unter anderem Büros von Rechtsanwälten, Steuerberater und Wirtschaftsprüfer, Unternehmensberater, einer Förderbank und andere Unternehmen  beherbergt.

Nachdem in der Steuerkanzlei in der Vergangenheit sechs Notebooks gestohlen worden waren, wurden jeweils in den Eingangsbereichen der Büros Mini-dome-Videokameras installiert, welche fest auf einen Sichtbereich ohne Zoom-Funktion ausgerichtet sind und welche sich nur bei Bewegungen im Treppenhaus automatisch einschalten. Die Aufnahmen wurden nicht gesichtet, sondern direkt auf einer Festplatte gespeichert und automatisch überschrieben, wenn kein Bedarf mehr für Sichtung besteht (black-box-Verfahren), spätestens nach 10 Tagen. Passwortgesicherten Zugang zu den Videoaufnahmen hatte lediglich das die Installation vornehmende Unternehmen und der betriebliche Datenschutzbeauftragte der Eigentümerin des Bürogebäudes. Auf die Durchführung der Videoüberwachung wiesen Hinweisschilder hin.

Im Ergebnis kam das OVG Lüneburg - genauso wie die Voristanz - zu dem Schluss, dass der Betrieb der Videoüberwachungsanlage von § 6b BDSG gedeckt und damit datenschutzkonform durchgeführt wurde.

Das Oberverwaltungsgericht prüft sehr ausführlich das Vorliegen der einzelnen Tatbestandsmerkmale des § 6b BDSG, welcher die datenschutzrechtlichen Rahmenbedingungen einer zulässigen "Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen" regelt.

Folgende Erwägungen und Feststellungen des Gerichts zum Thema "Videoüberwachung" sind hervorzuheben:

1. Werden bei der Videoüberwachung personenbezogene Daten erfaßt?
Es reiche für die Annamhme zumindest einer Personenbeziehbarkeit aus, wenn "neben den erkennbaren Gesichtszügen auch das sonstige Körperbild, etwa die Körperhaltung, die Kleidung oder mitgeführte Gegenstände" erfaßt würden. Denn auf eine "tatsächlich erfolgreiche Identifizierung in jedem Einzelfall" kommt komme es nicht an.

2. Handelt es sich bei dem Treppenhaus und dem Kellerbereich um einen "öffentlich zugänglichen Raum" im Sinne des § 6b Abs. 1 BDSG?
Ja, zu diesem Schluss kommt das OVG Lüneburg. Denn hierunter "fallen alle Bereiche, die von einem unbestimmten oder nur nach allgemeinen Merkmalen bestimmten Personenkreis betreten und genutzt werden können und ihrem Zweck nach auch dazu bestimmt sind". Vorliegend sei dies nach dem Willen der Gebäudeeigentümerin und der Mieter, dass sowohl die Beschäftigten als auch die Kunden und Klienten der in dem Bürogebäude befindlichen Betriebe und Kanzleien sowie etwaige Zulieferer freien Zugang zu dem Gebäude erhalten sollen.
Dies wäre anders zu beurteilen bei einem Betriebsgelände, bei welchem ein Pförtner Einlasskontrollen vornimmt.

Das Oberverwaltungsgericht kommt sogar zu dem Schluss, dass ein Vorraum im Kellergeschoss ein "öffentlich zugänglicher Raum" im Sinne des § 6b BDSG darstelle, obwohl sich hier keine Büroräume befinden und damit "kein freier Zugang" besteht. Das OVG lässt es aber ausreichen, dass sich dort unter anderem "Lagerräume und ein Getränkeautomat" befinden, zu welchen "jedenfalls die Inhaber der gewerblichen Betriebe und Kanzleien sowie deren Beschäftigte und gegebenenfalls deren Zulieferer freien Zugang" hätten. Denn, so das Gericht "eine derart eingeschränkte Zugänglichkeit für eine näher bestimmbare Personenzahl reicht für das Merkmal des öffentlich zugänglichen Raums aus. Etwas anderes könnte gelten, wenn der Vorraum im Kellergeschoss nach den objektiven Gegebenheiten eindeutig gegen Publikumsverkehr abgegrenzt ist; hieran fehlt es. Zudem lässt sich aus dem Umstand, dass zumindest in der Vergangenheit neben dem Getränkeautomat mehrere Stühle aufgestellt waren, die Schlussfolgerung ziehen, dass nach dem mutmaßlichen Willen der Berechtigten auch dieser Bereich einer eingeschränkten Öffentlichkeit zugänglich sein soll."

Naja, eine Argumentation, welche mich nicht vollends überzeugt. Mit dieser weiten Auslegung würde konsequenterweise fast jeder nicht der Öffentlichkeit zugängliche Raum zu einem "öffentlich zugänglichen Raum" im Sinne des § 6b BDSG.

Ferner führt das Oberverwaltungsgericht aus, dass es unerheblich sei, dass das Geschäfts- und Bürogebäude nur zu den branchenüblichen Sprech- und Öffnungszeiten geöffnet und außerhalb dieser Zeiten verschlossen ist. Aufgrund der Eigenart und Struktur der in dem Gebäude befindlichen Kanzleien und sonstigen Unternehmen könne es durchaus vorkommen, dass auch außerhalb der üblichen Bürozeiten in den Abendstunden oder am Wochenende - wenn auch im eingeschränkten Umfang - Besprechungstermine mit Klienten, Mandanten und Kunden vereinbart werden und mithin Publikumsverkehr stattfinden kann. Das Gebäude sei deshalb auch außerhalb der üblichen Öffnungszeiten als öffentlich zugänglicher Raum anzusehen, so das Gericht.

§ 6b Abs. 1 BDSG rechtfertigt eine Videoüberwachung von öffentlich zugänglichen Räumen, wenn dies (unter anderem) zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
Auf beide Aspekte geht das Gericht ein:

3. Rechtfertigung aufgrund einer "Wahrnemung des Hausrechts"?
Auf das Tatbestandsmerkmal "Wahrnemung des Hausrechts" könne sich die Gebäudeeigentümerin vorliegend berufen. "Das Hausrecht, auf das sich auch nicht-öffentliche Stellen wie die Klägerin berufen können, beinhaltet die Befugnis, darüber zu entscheiden, wer ein Gebäude betreten und darin verweilen darf. Der Inhaber des Hausrechts ist daher berechtigt, die zum Schutz des Objekts und der sich darin aufhaltenden Personen sowie die zur Abwehr unbefugten Betretens erforderlichen Maßnahmen zu ergreifen, d. h. Störer zu verweisen und ihnen das Betreten für die Zukunft zu untersagen, mithin ein Hausverbot auszusprechen. Eine Beobachtung zur Wahrnehmung des Hausrechts dient sowohl einem präventiven als auch einem repressiven Zweck, indem zum einen Straftaten durch Abschreckung verhindert und zum anderen die Strafverfolgung durch die Auswertung des aufgenommenen Bildmaterials zum Zweck der Beweissicherung ermöglicht werden. Inhaber des Hausrechts können mehrere Personen sein - etwa der Eigentümer des Objekts und seine Mieter."

4. Rechtfertigung aufgrund einer "Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke"?
Das Gericht ist der Ansicht, dass sich die Gebäudeeigentümerin zusätzlich auch auf den Zulässigkeitstatbestand der Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke berufen könne. "Als derartiges Interesse gilt nicht nur ein rechtliches, sondern jedes tatsächliche Interesse, das auch wirtschaftlicher oder ideeller Art sein kann, wobei es objektiv begründbar sein und sich aus der konkreten Sachlage heraus ergeben muss. Bei dem Einsatz von Videotechnik zum Zweck der Gefahrenabwehr ist regelmäßig von der Wahrnehmung berechtigter Interessen auszugehen".

Liege ein Gebäude in einer "Gegend mit potentiell gefährdeten Bereichen, wie dies etwa bei Einkaufszentren, Kaufhäusern und weitläufigen und schwer einsehbaren Geschäftsräumen wie etwa Selbstbedienungsläden" oder "potentiell stark gefährdeten Einrichtungen, die typischerweise Opfer von Straftaten wie Einbruchsdiebstählen oder Überfällen werden, wie dies etwa bei Tankstellen und Juwelierläden" könne schon das Vorliegen einer derart abstrakten Gefahrenlage ausreichend sein.

Da vorliegend aber bereits wertvolle Gegenstände (Notebooks) aus Büros in dem Gebäude gestohlen worden waren, könne sich die Gebäudeeigentümerin aber auf eine konkrete Gefährdungslage berufen, welche die Durchführung von Videoüberwachungsmaßnahmen rechtfertigen können. "Die aufgrund der Abschreckungswirkung mögliche Verhinderung von Straftaten zum Nachteil des Eigentümers des überwachten Objekts und der Vertragspartner und die Sicherung von Beweismaterial zur Aufklärung von begangenen Straftaten stellen ein berechtigtes Interesse dar."
Darüber hinaus berücksichtigt das Gericht, dass sich in den an Rechtsanwalts- und Steuerkanzleien vermieteten Räumen "sensible  schützenswerte Daten der Kunden dieser Unternehmen" befänden.

Das Gericht geht aufgrund des Abschreckungseffekts auch von einer grundsätzlichen Eignung einer Videoüberwachung zur Verhinderung von Straftaten bzw. zur späteren Identifizierung der Täter einer Straftat aus.

5. Gibt es ein milderes Mittel zur durchgeführten Videoüberwachung?
Das Gericht kommt recht schnell zu dem Schluss, dass eine Beschränkung der Videoüberwachung auf Zeiträume, in denen ein Publikums- und Beschäftigtenverkehr in dem Bürogebäude im Allgemeinen nicht stattfindet, nicht ausreichend sei. Die Erforderlichkeit einer Überwachung "rund  um  die Uhr“ ergebe sich daraus, dass es auch während der Öffnungszeiten "- angesichts der dann freien Zugänglichkeit des Gebäudes sogar mit einer höheren Wahrscheinlichkeit - zu Diebstählen oder anderen Straftaten  kommen" könne.

6. Liegen gegen eine Videoüberwachung spechende schutzwürdige Interessen der Betroffenen vor?
Dieser Aspekt ist bei allen Prüfungen der Datenschutzkonformität von Videoüberwachungen ein sehr wichtiger Punkt. Alleine das Vorliegen der o.g. Tatbestandsmerkmale reichen für Rechtfertigung einer Videoüberwachung nicht aus. Es gilt stets, das Interesse des von der Überwachung Betroffenen abzuwägen, insbesondere das von Mitarbeitern, welche sich evtl. einer Videoüberwachung am Arbeitsplatz nicht entziehen können.

Vorliegend sieht das Gericht keine schutzwürdigen Interessen, etwa von Beschäftigten oder Besuchern, verletzt.

Zum einen, da die Videokameras "fest installiert und auf einen Sichtbereich ohne Zoom-Funktion ausgerichtet" seien und "Bewegungen der beobachteten Personen im Raum" nicht nachvollziehen können. Zum anderen sei es nicht möglich, "Einzelheiten der beobachteten Personen, insbesondere Gesichtskonturen, näher in den Blick zu nehmen", weshalb die Kameras "weniger als ein aufmerksamer Beobachter" erfassen würden.
Ein sicherlich wichtiger Aspekt bei der Überwachung des Treppenhauses bzw. der Kellerräume ist, dass diese Örtlichkeiten "nicht einem längeren Verweilen, etwa zum Zweck einer Kommunikation mit Dritten" dienen, sondern die Betroffenen lediglich für einen sehr kurzen Zeitraum in das Blickfeld der Kameras gelangen.
Es sei nicht möglich, Bewegungs- und Verhaltensprofile einzelner beobachteter Personen aufgrund der Videoüberwachung zu erstellt.
Ferner handelt es sich bei dem videoüberwachten Bereich um keine solchen Örtlichkeiten, in welchen Einblicke in höchstpersönliche Bereiche der Intim- und Privatsphäre gewährt werde (wie dies etwa bei der Überwachung von Toiletten, Umkleidekabinen, Duschen, Saunen, ärztlichen Behandlungsräumen oder Privaträumen und Gastronomiebetrieben der Fall wäre) und es sind hier auch keine Einblicke in Arbeitsbereiche der in dem Bürogebäude tätigen Beschäftigten möglich.

Zu berücksichtigen sei ferner, dass "die Videoaufnahmen nicht auf einen Monitor übertragen werden, an dem Überwachungspersonen zur ständigen und sofortigen Auswertung der Bilder sitzen. Die Bildaufnahmen werden vielmehr im sogenannten black box-Verfahren auf einen Server geleitet und in der Regel nach einer bestimmten Zeit ohne jede Auswertung durch Überschreiben der digital gespeicherten Daten wieder gelöscht. Lediglich wenn ein Ereignis eintritt, das den oben genannten Zwecken des Hausrechts und der berechtigten Interessen der Klägerin als Hauseigentümerin und ihrer Mieter zuwiderläuft, erfolgt eine Sichtung des aufgenommenen Bildmaterials mit dem Ziel der Auswertung."

7. Wie lange dürfen die aufgezeichneten Videobilder auf dem Server aufbewahrt werden?
Gem. § 6b Abs. 5 BDSG sind die aufgezeichneten Videoaufnahmen "unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen." In der Regel ist die gebotene Aufbewahrungsfrist recht kurz zu bemessen - in der Regel bis festgestellt werden konnte, dass es etwa nicht zu einem Einbruch oder sonstigem Zwischenfall gekommen ist (unter Berücksichtigung von arbeitsfreien Zeiten wie Wochenenden und Feiertage).

Vorliegend hält das Gericht trotz Bezugnahme auf die vom Gesetzgeber in den Gesetzesmotiven festgehaltenen Annahme einer Aufbewahrungsfrist von ein bis zwei Arbeitstagen sogar noch eine Aufbewahrungsfrist von bis zu zehn Wochentagen noch für angemessen.
"Diese Frist ist zwar für den verfolgten Zweck der Abschreckung (Prävention) nicht erforderlich, sie ist aber mit Blick auf die Aufklärung etwaiger Rechtsverstöße angemessen. Angesichts der häufigen berufsbedingten Abwesenheit der Mitarbeiter, die in den einzelnen in dem Bürogebäude der Klägerin
befindlichen Kanzleien und Praxen beschäftigt sind, und unter Berücksichtigung von mitunter längeren arbeitsfreien Zeiträumen ist die zeitliche Spanne der Speicherung von zehn Wochentagen nicht unverhältnismäßig. Denn oftmals wird erst nach Ablauf dieser Zeitspanne verlässlich feststehen, ob und welche Vorkommnisse eine nähere Untersuchung auch unter Zuhilfenahme der aufgenommenen Videobilder erfordern und rechtfertigen."



RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Freitag, 19. September 2014

Keine Verantwortung des Betreibers einer Facebook-Fanpage für die Datenverarbeitung bei Facebook

Mit Urteil vom 4. September 2014 hat das Oberverwaltungsgericht (OVG) Schleswig entschieden, dass der Betreiber einer Fanpage auf der Facebook-Plattform nicht für die Datenverarbeitung - und damit auch den Datenschutz - bei der Datenerhebung und -verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage verantwortlich ist.
Auslöser des Rechtsstreits war eine Anordnung des Unabhängigen Landeszentrums Schleswig-Holstein (ULD) gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH, deren Präsenz bei Facebook abzuschalten.

Anbei die Pressemitteilung des OVG Schleswig:
OVG Schleswig: Wirtschaftsakademie kann vom ULD nicht zur Abschaltung ihrer Facebook-Fanpage verpflichtet werden

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten.

Dies hat der 4. Senat des Schleswig-Holsteinischen Oberverwaltungsgerichts mit Urteil vom 4. September 2014 entschieden und damit die Berufung des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen ein Urteil des Verwaltungsgerichts Schleswig vom 09. Oktober 2013 zurückgewiesen. Seine Anordnung Ende 2011 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH, deren Facebook-Fanpage zu deaktivieren, hatte das ULD mit datenschutzrechtlichen Verstößen von Facebook - insbesondere einer fehlenden Widerspruchsmöglichkeit von Nutzern nach dem Telemediengesetz gegen die Erstellung von Nutzungsprofilen - begründet. Nach Auffassung des Oberverwaltungsgerichts war diese Anordnung des ULD auch bereits deshalb rechtswidrig, weil vor einer Untersagungsverfügung an einen datenschutzrechtlich Verantwortlichen erst ein abgestuftes Verfahren einzuhalten ist, in dem zunächst eine Umgestaltung der Datenverarbeitung angeordnet und ein Zwangsgeld verhängt werden muss. Eine rechtlich grundsätzlich denkbare Ausnahmesituation hiervon lag nicht vor.

Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision gegen das Urteil (Az.: 4 LB 20/13) zugelassen. Diese kann innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden.

Quelle: Pressemitteilung des OVG Schleswig vom 05.09.2014

Montag, 2. Dezember 2013

VG Hannover: Einscannen und Speichern von Personalausweis unzulässig

Durch Urteil vom 28.11.2013 hat die 10. Kammer die Klage eines Automobillogistikunternehmens gegen den Landesbeauftragten für den Datenschutz Niedersachsen abgewiesen.

Die Klägerin - eine Logistikdienstleisterin aus Rehden, die insbesondere in der Automobillogistik tätig ist - lagert auf ihrem Betriebsgelände ständig mehrere tausend Kraftfahrzeuge. Täglich wird eine Vielzahl von Fahrzeugen abgeholt, die den Abholern - insbesondere Fahrern von Speditionen - übergeben werden. Um den Speditionsvorgang zu überwachen, werden die Personalausweise der Abholer eingescannt und auf einem eigenen Rechner gespeichert. Der Landesbeauftragte für den Datenschutz Niedersachsen hatte der Klägerin aufgegeben, das Einscannen von Personalausweisen zu unterlassen und die rechtswidrig gespeicherten Daten zu löschen.

Das Gericht hat mit dem heutigen Urteil die Klage gegen die Untersagung des Speicherns und die Anordnung des Löschens abgewiesen, weil diese rechtmäßig seien. Nach den hier anzuwendenden Vorschriften des Personalausweisgesetzes sei der Personalausweis ein Identifizierungsmittel, das der Inhaber vorlege und vorzeige, um sich auszuweisen. Nach dem eindeutigen Willen des Gesetzgebers sei aber das unbeschränkte Erfassen der Daten - und damit auch das Einscannen und Speichern durch ein Unternehmen - untersagt. Dadurch solle die Datensicherheit geschützt werden, weil einmal erfasste und gespeicherte Daten leicht missbräuchlich verwendet werden könnten. Die Kammer hat nicht den Vorwurf gegen die Klägerin erhoben, sie verwende die Daten missbräuchlich. Um den Zweck des Gesetzes zu erfüllten, dürften aber so wenig Daten wie möglich in Umlauf gebracht werden, so dass auch die Praxis der Klägerin zu untersagen sei.

Die Berufung gegen das Urteil wurde nicht zugelassen. Die Klägerin kann beim Niedersächsischen Oberverwaltungsgericht einen Antrag auf Zulassung der Berufung stellen.
Aktenzeichen: 10 A 5342/11

Quelle: Pressemitteilung VG Hannover vom 28.11.2013

Freitag, 7. Juni 2013

Zur Zweckbindung im Datenschutzrecht und des Löschungsanspruchs für zweckwidrige Datenspeicherungen

Ein aktueller Fall des Verwaltungsgerichts Karlsruhe (Entscheidung vom 27.05.2013, Az. 2 K 3249/12) ist ein schönes Beispiel dafür, was die Zweckbindung im Datenschutzrecht bedeutet und welche Konsequenzen die Erledigung des Erhebungs- und Speicherungszwecks hat.

Einer der wichtigsten Grundsätze des europäischen und deutschen Datenschutzrechts ist der Zweckbindungsgrundsatz. Dieser besagt, dass personenbezogene Daten nur für von vornherein festgelegte eindeutige und rechtmäßige Zwecke erhoben werden dürfen und im Nachhinein nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Dieser Grundsatz kommt im Bundesdatenschutzgesetz an vielen Stellen zum Ausdruck, z.B. in § 4 Abs. 3 BDSG, § 14 Abs. 1 BDSG oder in § 28 Abs. 1 S. 2 BDSG.

Wie so oft in der Juristerei (und bei vielen anderen Dingen im Leben...) gibt es keinen Grundsatz ohne Ausnahme: In bestimmten, vom Gesetz definierten Fällen ist eine Datenverarbeitung für einen anderen (als den ursprünglich bei der Datenerhebung verfolgten) Zweck zulässig. Solche Fälle der erlaubten Zweckänderung finden sich z.B. in § 14 Abs. 2 BDSG oder § 28 Abs. 2 BDSG. Einer der prominentesten Fälle der Zweckänderung findet sich in § 28 Abs. 3 Nr. 1 BDSG, wenn ursprünglich zum Abschluss oder der Abwicklung eines Vertrages erhobene und gespeicherte Daten (unter bestimmten Voraussetzungen) nun AUCH für Werbezwecke genutzt werden dürfen. Trotz des Ausnahmecharakters ist zu erahnen, dass aufgrund der recht breit formulierten Ausnahmevorschriften eine Zweckänderung doch recht häufig in der Praxis vorkommen kann.

Personenbezogene Daten, welche ausschließlich zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, unterliegen einer strengen Zweckbindung, welche keine Ausnahmen zuläßt (siehe etwa § 31 BDSG oder § 14 Abs. 4 BDSG).

Rechtsfolge einer unerlaubten Zweckänderung ist die Löschung der (quasi zweckveränderten) Daten, welche für diese "neuen" Zwecke rechtswidrig gespeichert werden (§ 35 Abs. 2 Nr. 1 BDSG für den nichtöffentlichen Bereich, § 20 Abs. 2 Nr. 1 BDSG für den öffentlichen Bereich). Hat sich darüber hinaus auch der "ursprüngliche" Zweck der Erhebung und Speicherung der personenbezogenen Daten zwischenzeitlich erledigt, d.h. ist eine Speicherung der Daten zur Erreichung des Erhebungszwecks nicht mehr erforderlich (Bsp: Bestellung des Kunden wurde abgewickelt, Interessent hat Newsletter abbestellt, dem Bewerber wurde abgesagt usw.) und bestehen keine speziellen Aufbewahrungsfristen für die Daten, so sind diese Daten gem. § 35 Abs. 2 Nr. 3 BDSG (bzw. § 20 Abs. 2 Nr. 2 BDSG für den öffentlichen Bereich) zu löschen.

Diesen Löschungsanspruch kann der Betroffene auch gerichtlich durchsetzen - wie geschehen im Fall vor dem VG Karlsruhe. Da es im vorliegenden Fall um Löschungsansprüche gegen eine Landesbehörde geht, sind die Vorschriften des Landesdatenschutzgesetzes (Baden-Württemberg) anwendbar und das Verwaltungsgericht das sachlich zuständige Gericht.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Anbei die Pressemitteilung des Verwaltungsgerichts Karlsruhe vom 31.05.2013 (Hinweis: § 15 LDSG BW entspricht weitgehend dem § 14 BDSG, § 23 Abs. 1 LDSG BW entspricht weitgehend dem § 20 Abs. 2 BDSG, der Sachverhalt ist in den Grundsätzen auch auf eine Datenverarbeitung durch nichtöffentliche Stellen - also etwa durch Unternehmen - übertragbar):

Die 2. Kammer des Verwaltungsgerichts Karlsruhe hat das Land Baden-Württemberg verpflichtet, drei Dateien mit „Arbeitskopien“ des Outlook-Postfachs des früheren Ministerpräsidenten Stefan M. sowie sämtliche Kopien dieser Dateien zu löschen, nachdem diese dem Landesarchiv zur Übernahme als Archivgut angeboten worden sind. Die - auf vorbehaltlose Löschung gerichtete - Klage von Stefan M. hatte somit überwiegend Erfolg, was in der Kostenentscheidung des Urteils zum Ausdruck kommt (3/4 der Kosten hat das Land zu tragen).

Im Herbst 2010 erstellte ein Mitarbeiter des IT-Bereichs des Staatsministeriums eine Kopie des auf dem Server dieses Ministeriums liegenden und Stefan M. zugewiesenen Original-Outlook-Postfachs. Dies geschah, weil technische Probleme bezüglich des elektronischen Terminkalenders dieses Postfachs aufgetreten waren. Nachdem der Fehler nicht hatte gefunden werden können, blieben die kopierten Postfach-Daten gespeichert. Demgegenüber wurden die Original-E-Mail-Accounts von Stefan M. nach dem Regierungswechsel auf dem Server des Staatsministeriums (endgültig) gelöscht. Erst im Sommer 2012 wurde das Staatsministerium auf die nach seinen Angaben zwischenzeitlich in Vergessenheit geratenen kopierten Dateien wieder aufmerksam.

Zur Begründung seines Anspruchs auf Löschung dieser Dateien mit „Arbeitskopien“ seines früheren Outlook-Postfachs macht Stefan M. geltend, personenbezogene Daten in Dateien seien nach dem Landesdatenschutzgesetz - LDSG - zu löschen, wenn ihre Kenntnis für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich sei. Dem hält das beklagte Land entgegen, sowohl die Speicherung der Dateien als auch deren Nutzung seien zur Erfüllung staatlicher Aufgaben erforderlich. Da Stefan M. seine dienstliche E-Mail-Korrespondenz nicht vollständig zu den Sachakten genommen habe, bedürfe es einer Auswertung des E-Mail-Postfachs. Dies gelte insbesondere für Vorgänge im Zusammenhang mit dem Ankauf von EnBW-Anteilen im Dezember 2010.

Zur Begründung seiner Entscheidung hat das Verwaltungsgericht ausgeführt:
Stefan M. habe nach § 23 Abs. 1 Nr. 2 Landesdatenschutzgesetz - LDSG - Anspruch auf Löschung der Daten in den von seinem damaligen Outlook-Postfach gefertigten „Arbeitskopien“, denn die Kenntnis dieser (unstreitig) personenbezogenen Daten sei für die speichernde Stelle (das Staatsministerium) zur Erfüllung ihrer Aufgaben nicht mehr erforderlich. Dies ergebe sich - ausschlaggebend - daraus, dass § 15 Abs. 4 LDSG einer Nutzung der Daten für den vom Land allein noch vorgesehenen Zweck, nämlich die Auswertung des kopierten E-Mail-Accounts auf aktenrelevante Vorgänge, entgegenstehe. Nach dieser Vorschrift dürften personenbezogene Daten, die - wie im vorliegenden Fall - ausschließlich zum Zweck der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert würden, nur für diesen Zweck genutzt werden. Sinn und Zweck dieser strikten Zweckbindung sei es, eine Beeinträchtigung des Vertrauensverhältnisses zum Betroffenen und der Datensicherheit zu verhindern. Andernfalls würde die Akzeptanz der Erstellung von Sicherheitskopien im Hinblick auf die damit verbundene Ausweitung der Datenvorhaltung sinken, was der Datensicherheit abträglich wäre. § 15 Abs. 4 LDSG sei als Spezialvorschrift anzusehen, weshalb es nicht darauf ankomme, ob eine der in § 15 Abs. 2 LDSG aufgeführten Voraussetzungen für das weitere Speichern und Nutzen personenbezogener Daten für andere als die mit der ursprünglichen Speicherung verfolgten Zwecke vorliege.

Ohne Erfolg berufe sich das Land daher darauf, es müssten mit Hilfe der kopierten E-Mail-Postfachdaten möglicherweise unrichtige Angaben von Stefan M. überprüft werden (§ 15 Abs. 2 Nr. 4 LDSG). Da § 15 Abs. 4 LDSG eingreife, sei es auch ausgeschlossen, die Daten im Hinblick auf die Aufdeckung möglicher Rechtsverstöße von Stefan M. auszuwerten.

Vor der von Stefan M. somit grundsätzlich zu Recht beanspruchten Löschung der Dateien seien allerdings die Daten gemäß § 23 Abs. 3 LDSG dem Landesarchiv zur Übernahme als Archivgut nach Maßgabe des § 3 Landesarchivgesetz anzubieten. Der in diesen Vorschriften zum Ausdruck kommende „Vorrang des Archivrechts“ vor dem allgemeinen Datenschutzrecht begegne keinen verfassungsrechtlichen Bedenken; denn dem Schutz der Persönlichkeit von Stefan M. werde nach den Vorschriften des Landesarchivgesetzes hinreichend Rechnung getragen. Stefan M. komme auch der Schutz des § 3 Abs. 2 S. 3 Landesarchivgesetz zugute. Danach seien die anbietungspflichtigen Unterlagen zu vernichten, wenn das Landesarchiv die Übernahme ablehne oder nicht innerhalb eines Jahres über die Übernahme entschieden habe. Diese Jahresfrist sei derzeit noch nicht abgelaufen.

Das Urteil vom 27.05.2013 - 2 K 3249/12 - ist nicht rechtskräftig. Die Beteiligten können hiergegen beim Verwaltungsgerichtshof Baden-Württemberg die vom Verwaltungsgericht zugelassene Berufung einlegen.

Quelle: Pressemitteilung des Verwaltungsgerichts Karlsruhe vom 31.05.2013

Montag, 3. Juni 2013

Die datenschutzrechtliche Zulässigkeit des GPS-Trackings von Firmenfahrzeugen

Bei der Einführung einer GPS-Ortungsanlage zur Erfassung der Firmenfahrzeuge ist zu berücksichtigen, dass mit dem Tracken der Fahrzeuge auch erfasst und ermittelt wird, wo sich der jeweilige Außendienstmitarbeiter mit dem Dienstfahrzeug aufhält. Bei diesen Informationen handelt es sich um personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG. Es liegt auf der Hand, dass mit einer unbegrenzten Erhebung und Speicherung dieser GPS-Daten ein lückenloses Bewegungs- bzw. Tätigkeitsprofil des entsprechenden Mitarbeiters angefertigt werden kann. Eine Vollüberwachung eines Mitarbeiters ist nach der Rechtsprechung des Bundesarbeitsgerichts allerdings rechtswidrig.

Wonach hat sich ein datenschutzkonformer GPS-Einsatz also zu orientieren?

Rechtsgrundlage für einen konformen Einsatz dürfte in den meisten Fällen § 28 Abs. 1 Nr. 2 BDSG bzw. § 32 Abs. 1 BDSG sein. Hiernach sind die berechtigten Interessen des Unternehmens als datenverarbeitende Stelle gegen schutzwürdige Interessen des von der Tracking-Maßnahme Betroffenen abzuwägen.

Hierbei können berechtigte Interesse des Unternehmens etwa die effektive Organisation der Firmenfahrzeuge bzw. der Außendienstmitarbeiter sein. Grundsätzlich hat ja auch ein Mitarbeiter seinen Arbeitgeber über Arbeitszeiten und Einsatztätigkeit zu unterrichten. Auch können solche berechtigte Interessen des Unternehmens das Erfordernis einer genauen Kostenermittlung sein, etwa weil diese Fahrtkosten einem Kunden in Rechnung zu stellen sind oder für interne Buchhaltungszwecke erforderlich sind. Ferner denkbare berechtigte Interessen des Unternehmens: Eine Ortung ist für die Sicherheit des Beschäftigten oder von sehr wertvollem Unternehmens- oder Kundeneigentum (Bsp: Geldtransporter!) erforderlich.

Dem stehen etwaige schutzwürdige Interessen des betroffenen Mitarbeiters gegenüber, dessen Verhalten potentiell überwacht werden kann. Gemäß § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zwar ist einem Arbeitgeber die Überwachung der Arbeitsleistung seiner Mitarbeiter in angemessener Weise zuzubilligen. Dies darf allerdings zu keiner Totalüberwachung des Arbeitnehmers führen (vergleichbar mit der Rund-um-die-Uhr-Überwachung durch Kameras). In den Bereich einer Totalüberwachung käme ein Unternehmen, wenn durch das GPS-System kontrollieren würde, wie der betreffende Außendienstmitarbeiter seine Arbeit verrichtet, die Pausen gestaltet oder sich im Straßenverkehr verhält.

Ist zu befürchten, dass der Außendienstmitarbeiter während des Beschäftigungsverhältnisses eine Straftat begeht oder begangen hat und eine GPS-Ortung zur Aufdeckung oder Aufklärung dieser Straftat erforderlich ist und im Einzelfall das schutzwürdige Interesse des Betroffenen nicht überwiegt, ist gemäß § 32 Abs. 1 Satz 2 BDSG der Einsatz von GPS-Trackern in zeitlich begrenztem Umfang auch zu einer Vollüberwachung möglich.

Auch wenn eine GPS-Überwachung der Firmenfahrzeuge rechtmäßig durchgeführt wird, ist zu beachten, dass diese Maßnahme gemäß § 4d Abs. 5 BDSG potentiell ein schwerwiegender Eingriff in Persönlichkeitsrechte des überwachten Arbeitnehmers darstellen kann, mithin besondere Risiken für dessen Rechte und Freiheiten aufweisen kann und damit eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten zu erfolgen hat. Hierbei sollte gewährleistet werden, dass nur die zwingend zur Erreichung des jeweiligen Zwecks erforderlichen Daten in technischer Hinsicht erhoben werden (§ 3a BDSG - Datenvermeidung und Datensparsamkeit), die betreffenden Verarbeitungszwecke klar definiert werden und ein entsprechendes Löschkonzept vom Datenschutzbeauftragten erstellt wird. Letztendlich sind die betroffenen Mitarbeiter von der durchgeführten Maßnahme zu unterrichten.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Dienstag, 21. Mai 2013

Bei unerwünschter Briefwerbung 4000 EUR Streitwert bei Unterlassungsklage

Auch Datenschutzrecht - dazu siehe weiter unten - in der Entscheidung vielmehr allgemeines Zivilrecht (Recht am eingerichteten und ausgeübten Gewerbebetrieb):

Mißachtet ein Versender von Post-Werbesendungen die Aufforderung des Beworbenen, von einer weiteren Zusendung von Briefwerbung abzusehen und klagt der Betroffene daraufhin auf Unterlassung, so beläuft sich der Streitwert dieser Klage (nach welcher sich Gerichts- und Anwaltskosten bemessen) auf 4.000 EUR - so das OLG Hamm in seiner Entscheidung 9 W 23/13 vom 11.04.2013.

Damit setzt das Gericht den vom LG Bielefeld festgesetzen Streitwerts von 10.000 EUR beträchtlich herunter.

Denn, so das OLG, belästige die vom Betroffenen unerwünschte Postwerbung (auch gegenüber dem Werbetreibenden zum Ausdruck gebracht) ähnlich wie unerwünschte E-Mails den Betroffenen zwar. Im Gegensatz zu anderen Werbeformen (wie E-Mail, Fax, Telefon) seien die "konkret verursachte Behinderung des Geschäftsbetriebs sowie die hierdurch verursachten Kosten jedoch vergleichsweise gering", "auch der von der Klägerin angeführte Personal- und Verwaltungsaufwand ist als sehr gering zu bewerten". Ferner, so das Gericht, bedürften die Schreiben "keiner besonderen Sachbearbeitung oder Beantwortung, es besteht die einfache Möglichkeit, sie zu entsorgen oder unbearbeitet zu lassen. Hinzu kommt, dass die Beklagte keine Flut an Schreiben versandt hat. Vielmehr hat die Klägerin insoweit konkret lediglich vier Schreiben innerhalb von knapp sechs Monaten genannt."
Hier waren die Gerichte nur mit dem Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb befaßt (wobei das Urteil als Versäumnisurteil gegen den Werbetreibenden erging).

Nun wie angekündigt zum datenschutzrechtlichen Aspekt, der allerdings in der Gerichtsentscheidung keine Rolle spielte:
Zu beachten ist datenschutzrechtlich allerdings auch, dass ein Widerspruch in die Nutzung der Daten zu Werbezwecken die Datennutzung und Datenverarbeitung zu Werbezwecken gem. § 28 Abs. 4 BDSG unzulässig macht. Ein solcher Widerspruch ist im vorliegenden Fall auch erkennbar, schließlich hatte sich der Betroffene dahingehend geäußert, dass er die Zusendung von Werbepost nicht wünsche (wäre im Einzelfall durch Auslegung zu ermitteln).

Dieser Sachverhalt bedeutet also darüberhinaus ein Verstoß gegen Datenschutzrecht nach § 28 Abs. 4 BDSG, wonach nach Widerspruch des Betroffenen eine Datennutzung und Datenverarbeitung für Zwecke der Werbung oder der Markt- und Meinungsforschung unzulässig wird. Auf diese Widerspruchsmöglichkeit ist im Übrigen auch hinzuweisen - ein Verstoß hiergegen ist mit einem Ordnungsgeld von bis zu 50.000 EUR bußgeldbewährt (§ 43 Abs. 1 Nr. 3 BDSG).

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Donnerstag, 2. Mai 2013

Kein Auskunfsanspruch eines abgelehnten Stellenbewerbers bzgl. des dann eingestellten Bewerbers und der Auswahlkriterien

Ein abgelehnter Stellenbewerber hat gegen den Arbeitgeber keinen Anspruch auf Auskunft, ob dieser einen anderen Bewerber eingestellt hat.

Die 1961 in der Russischen SSR geborene Klägerin hatte sich im Jahre 2006 auf die von der Beklagten ausgeschriebene Stelle eines/einer Softwareentwicklers/-in erfolglos beworben. Die Beklagte teilte ihr nicht mit, ob sie einen anderen Bewerber eingestellt hatte und gegebenenfalls, welche Kriterien für diese Entscheidung maßgeblich gewesen waren. Die Klägerin behauptet, sie habe die Voraussetzungen für die ausgeschriebene Stelle erfüllt und sei lediglich wegen ihres Geschlechts, ihres Alters und ihrer Herkunft nicht zu einem Vorstellungsgespräch eingeladen und damit unter Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) diskriminiert worden. Sie hat von der Beklagten eine angemessene Entschädigung in Geld verlangt. Die Vorinstanzen haben die Klage abgewiesen.

Einen Anspruch der Klägerin auf Auskunft gegen die Beklagte, ob diese einen anderen Bewerber eingestellt hat und gegebenenfalls aufgrund welcher Kriterien, sah der Achte Senat des Bundesarbeitsgerichts nach nationalem Recht nicht. Auf seine Vorlage an den EuGH hatte dieser mit Urteil vom 19. April 2012 (- C-415/10 -) entschieden, dass sich ein solcher Auskunftsanspruch auch nicht aufgrund des Gemeinschaftsrechts ergibt, die Verweigerung jedes Zugangs zu Informationen durch einen Arbeitgeber jedoch unter Umständen einen Gesichtspunkt darstellen kann, welcher beim Nachweis der Tatsachen heranzuziehen ist, die eine Diskriminierung vermuten lassen. Unter Zugrundelegung dieser Rechtsprechung des EuGH blieb die Entschädigungsklage vor dem Achten Senat des Bundesarbeitsgerichts ohne Erfolg. Die Klägerin hat zwar auf ihr Geschlecht, ihr Alter und ihre Herkunft hingewiesen, jedoch keine ausreichenden Indizien dargelegt, welche eine Benachteiligung wegen eines in § 1 AGG genannten Grundes vermuten lassen und die nach § 22 AGG zu einer Beweislast der Beklagten dafür führen würden, dass kein Verstoß gegen die Bestimmungen zum Schutz vor Benachteiligungen vorgelegen hat. Auch die Verweigerung jeglicher Auskunft durch die Beklagte begründete im Streitfalle nicht die Vermutung einer unzulässigen Benachteiligung der Klägerin iSd. § 7 AGG.

Bundesarbeitsgericht, Urteil vom 25. April 2013 - 8 AZR 287/08 -

Vorinstanz: Landesarbeitsgericht Hamburg, Urteil vom 9. November 2007 - H 3 Sa 102/07 -

Quelle: Pressemitteilung des Bundesarbeitsgerichts vom 25.4.2012

Mittwoch, 24. April 2013

OVG Schleswig-Holstein: Für Facebook ist deutsches Datenschutzrecht nicht anwendbar

 Mit Beschlüssen vom 22.04.2013 entschied das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) auf Beschwerden des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gegen Beschlüsse des Verwaltungsgerichts (VG) Schleswig, dass auf die Datenverarbeitung bei Facebook auch in Bezug auf deutsche Nutzer nicht deutsches, sondern ausschließlich irisches Datenschutzrecht anwendbar sei (Az. 4 MB 10/13, 4 MB 11/13). Damit wurde die vorläufige Vollstreckbarkeit der ULD-Verfügungen gegen Facebook Inc./USA und Facebook Ireland Ltd., gemäß dem deutschen Telemedienrecht eine anonyme oder pseudonyme Nutzung zuzulassen, rechtskräftig aufgehoben. Begründet wurde dies vom OVG damit, dass Facebook Ireland Ltd. eine Niederlassung von Facebook in Europa darstellt, nicht aber die Facebook Germany GmbH, die nur in den Bereichen der Anzeigenakquise und des Marketing für den Konzern tätig sei.

Der nicht anfechtbare Beschluss des OVG hat zur Folge, dass gegenüber Facebook direkt deutsches Datenschutzrecht nicht angewendet werden kann. Der Leiter des ULD Thilo Weichert zeigt sich über die Beschlüsse enttäuscht: „Das Gericht erlaubt es, dass durch geschickte interne Organisation in einem IT-Konzern die Anwendbarkeit des strengen deutschen Datenschutzrechts ausgehebelt wird. Bedauerlich ist auch, dass die vom ULD vorgetragene grundrechtliche Begründung seiner Bescheide nicht aufgegriffen wurde. Für Nutzende und deutsche Unternehmen, die sich an den deutschen Datenschutzstandards halten müssen, ist es schwer zu verstehen, weshalb ein Angebot für den deutschen Markt diese Standards ignorieren darf. Wir müssen diese Entscheidung aber akzeptieren und werden deshalb den Widersprüchen von Facebook gegen unsere Verfügungen im Hauptsacheverfahren entsprechen.

So bedauerlich die OVG-Entscheidungen für den Datenschutz auch sein mögen, sie haben eine obergerichtliche Aussage in der stark umstrittenen Rechtsfrage gebracht, welches Datenschutzrecht bei internationalen sozialen Netzwerken anwendbar ist. Seit Dezember 2011 ist weiterhin vor dem VG Schleswig die Rechtsfrage anhängig, ob zumindest für deutsche Stellen, die über Facebook Fanpages betreiben, das deutsche Datenschutzrecht anwendbar ist. Hierzu enthalten die OVG-Beschlüsse keine Aussagen. Es ist zu hoffen, dass diese Verfahren zügig in Angriff genommen werden, um weitere Rechtsklarheit zu erhalten.

Die OVG-Beschlüsse sollten von der Politik als Signal verstanden werden, dass auf europäischer Ebene mit der derzeit diskutierten Datenschutz-Grundverordnung nicht nur ein hoher Datenschutzstandard festgeschrieben, sondern auch dessen Durchsetzbarkeit sichergestellt werden muss. Anderenfalls wird Facebook weiterhin versuchen, sich durch organisatorische Tricks einer wirksamen Datenschutzkontrolle zu entziehen. Wir erleben derzeit, dass sich internationale IT-Unternehmen durch eine ausgeklügelte interne Organisation der Zahlung von Steuern entziehen. Die Politik muss verhindern, dass sich neben Steueroasen auch Datenschutzoasen – also Bereiche ohne effektive Datenschutzkontrolle – entwickeln.“

Quelle: Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 24.04.2013

Montag, 22. April 2013

Über das richtige „Maß“ beim Datenschutz


Gleich zu Beginn, damit ich nicht falsch verstanden werde: Ich halte den Datenschutz für eine absolut wichtige Sache, jede Person und insbesondere jedes Unternehmen sollte unbedingt den Datenschutz beherzigen und ein „anständiges“ Datenschutzmanagement betreiben.

In der Praxis kommt mir aber immer wieder unter, dass quasi mit „Kanonen auf Spatzen“ geschossen wird – und das ist meines Erachtens für die Akzeptanz des Datenschutzes sehr abträglich.

Beispiel:
Im Rahmen eines Auftragsdatenverarbeitungsverhältnisses gem. § 11 BDSG wird der Geschäftsführer des Auftragnehmers – eines relativ kleinen Unternehmens mit 5-8 Mitarbeitern – mit einer Frageliste des Datenschutzbeauftragten des Auftraggebers zu den durchgeführten technischen und organisatorischen Maßnahmen nach § 11 BDSG mit ca. 200 Fragen konfrontiert. Das mag in manchen Fällen sinnvoll und auch erforderlich sein, wenn es etwa um etwas sensiblere Daten mit einer erhöhten Schutzstufe geht oder um ein größeres, gar international agierendes Unternehmen. In diesem Fall – ich war mir nicht einmal ganz sicher, ob es sich überhaupt um einen Fall der Auftragsdatenverarbeitung und nicht etwa der Funktionsübertragung handelt (Beiträge hierzu) – war die Frageliste absolut überdimensioniert und führte beim Geschäftsführer des Auftragnehmers zu nichts anderem als Frust. Wir sind die Frageliste durchgegangen und haben sehr viele Felder mit dem Verweis auf die fehlende „Erforderlichkeit“ abgearbeitet, weil viele abgefragte Maßnahmen offensichtlich etwa bei einem Rechenzentrumsbetrieb Sinn machen, hier aber nicht – in ständiger Begleitung von einem Schimpfen des Geschäftsführers über den Datenschutz und „was sich die Herren in Berlin dabei nur gedacht haben“. Meine Besänftigungsversuche und Erklärungen, warum bestimmte Regelungen durchaus sinnvoll sind, konnten nicht dazu beitragen, den Menschen für Datenschutz zu begeistern. Ich befürchte auch, nach dieser Erfahrung wird das in Zukunft auch kaum möglich sein.
Schlecht für die Akzeptanz des Datenschutzes.

Genauso unverständlich – weil es letztendlich nur für Frust sorgt und den Datenschutz nur als „Bremse“ oder „reine Schikane“ erscheinen lässt – ist es, wenn manch jemand (zugegeben oftmals leider ein Datenschutzbeauftragter) massenweise Verbote ausspricht oder an ein Unternehmen, das keine personenbezogene Daten höherer Schutzstufen verarbeitet (wie eigentlich die meisten Unternehmen – ausgenommen natürlich der Bereich „Personal“), pauschal überall Anforderungen wie in einem „Hochsicherheitsbereich“ anlegt.
Klar dient es auf den ersten Blick dem Datenschutz, wenn ich beispielsweise überall den Einbau von Türen der höchsten Sicherheitsklasse fordere. Aber ist das auch für jeden Raum in Anbetracht der damit zu schützenden Daten erforderlich und angemessen – oder etwa nur beispielsweise beim Serverraum?

Das soll nicht bedeuten, dass man „alles durchgehen lassen“ sollte oder den Datenschutz „lax“ betreiben sollte (was in der Praxis leider auch sehr häufig zu beobachten ist) – natürlich nicht. Aber man sollte bei dem anzulegenden Maß erstens berücksichtigen, ob die geforderten Maßnahmen (auch vom Aufwand her) gemessen am Schutzzweck in einem angemessen Verhältnis stehen und keinesfalls pauschal mit irgendwelchen Fragebögen oder Checklisten bestimmte, möglicherweise in manchen Situationen durchaus sinnvolle Anforderungen pauschal über ein ganzes Unternehmen stülpen, sondern hier mit Augenmaß zu differenzieren.

Meine Auffassung von der Funktion des Datenschutzbeauftragten ist es, die Mitarbeiter des Unternehmens für den Datenschutz zu sensibilisieren und zu überzeugen, warum bestimmte erforderliche Maßnahmen sinnvoll sind und eine Lösung zu finden, wie bestimmte für das Unternehmen erforderliche Maßnahmen oder Prozesse datenschutzkonform gestaltet werden können – ich nenne das den „gelebten“ Datenschutz.
Das reine „Anordnen“ von möglicherweise noch im Einzelfall unverhältnismäßigen Maßnahmen ohne Hinterfragung und Erläuterung ist meines Erachtens nur kontraproduktiv und führen – siehe Beispiel oben – nur dazu, dass der Datenschutz sowohl im Unternehmen als auch generell von der Gesellschaft nicht akzeptiert wird. Und das ist schlecht.

Der allgemeine Rechtsgrundsatz der Verhältnismäßigkeit – auch ausdrücklich in einzelnen Normen des BDSG zu finden - verlangt keinen „Datenschutz um jeden Preis“. Maßnahmen zur Sicherung des Datenschutzes sind niemals Selbstzweck, sondern sind immer am Schutzzweck auszurichten. So ist es z.B. in § 9 S. 2 BDSG zu lesen (bei den zu ergreifenden technischen und organisatorischen Maßnahmen) oder in § 4f Abs. 2 S. 2 BDSG (Maß der erforderlichen Fachkunde eines Datenschutzbeauftragten).

Und nochmals um Missverständnisse zu vermeiden: Es geht bei diesem „Maß“ nicht um die Fragen, ob Datenschutz betrieben werden muss und bestimmte Datenschutzerfordernisse zu beachten sind. Es geht darum, wie und mit welchen Maßnahmen diese zwingend zu befolgenden Erfordernisse in concreto in Anbetracht des Schutzzwecks der Daten und des zu betreibenden Aufwands umzusetzen sind.

Das hierfür benötigte Fingerspitzengefühl zeichnet den „guten“ Datenschutzbeauftragten aus.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe 

Mittwoch, 17. April 2013

Verstärkt Botnet-Angriffe auf Wordpress-Seiten - Was ist zu tun?



Wie Heise Online und Spiegel Online bereits berichteten, sind Wordpress- und Joomla-Installationen derzeit einer Brute-Force-Attacke ausgesetzt. Demnach wird derzeit wohl über ein Botnet versucht, über wiederholte Loginversuche (mit wechselnden Passwörtern nach der Wörterbuch-Methode) auf den Admin-Account Zugriff auf die Wordpress-Installationen zu erlangen. Nach erfolgreicher Attacke werde eine Backdoor installiert, über welche das System in ein Botnet eingebunden würde.

Diese Mitteilung kann ich nur bestätigen: Meine Blogseiten registrierten heute Nacht mehrere vergebliche Login-Versuche über den User „admin“ – alle ausgehend von derselben IP-Adresse.

Was kann man dagegen tun? Eigentlich ist es recht einfach:


  1. Sicheres Passwort wählen
    Man kann es eigentlich nicht oft genug erwähnen: Ein sicheres Passwort ist die halbe Miete. Mindestens 8 Zeichen mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Warum nicht einen ganzen Satz nehmen oder zumindest die Anfangsbuchstaben eines Satzes (Bsp: MNiHMuib25Ja.  für „Mein Name ist Hans Maier und ich bin 25 Jahre alt.“) – der Begriff ist leicht zu merken, findet man aber in keinem einer Brute-Force-Attacke zugrundeliegendem Wörterbuch und ist auch durch reines Ausprobieren nur sehr schwer zu ermitteln.
  2. Standards ändern
    Den Standard-Admin (User: admin) löschen und einen anderen Admin-User eintragen. In der Regel – wie auch in dem von mir geschilderten Fall – wird ein Login über den Standard-Admin-User versucht. Über mache Wordpress-Plugins können auch die URL der Standardanmeldeseiten von Wordpress geändert werden – auch das macht es einem Angreifer schwieriger.
  3. Sperren einbauen
    Über Wordpress-Plugins wie z.B. „Limit Login Attemps“ die Anzahl der zulässigen Login-Versuche begrenzen. Nach einer festgelegten Anzahl von fehlgeschlagenen Logins werden Login-Versuche ausgehend von derselben IP-Adresse automatisch für eine gewisse Zeit geblockt. Diese Maßnahme verringert die Anzahl der durchzuführenden Angriffe (zumindest von derselben IP-Adresse) deutlich.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe