Freitag, 14. Dezember 2012

o2 darf keine Bewegungsdaten verkaufen

Sicherlich wäre die Idee des spanischen Telefonkonzerns Telefónica sehr lukrativ gewesen, wären da nicht die bösen Datenschutzgesetze.

Die deutsche Tochter O2 wollte Daten seiner Mobilfunkkunden an interessierte Werbetreibende verkaufen.
Im Detail sollten Daten wie Alter und Geschlecht mit dem aktuellen Aufenthaltsort verknüpft werden.

Die Werbetreibenden hätten so herausfinden können, wer zum Beispiel Geschäfte besucht, aus welcher Richtung die Besucher kommen und wie lange sie sich im Geschäft aufhalten.

Laut Angaben der Telefónica hätte man die gewonnenen Daten natürlich anonymisiert.

Standortdaten sind hochsensibel.
Datenschützer zeigten sich alarmiert. Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert sagte dem Hessischen Rundfunk: „Standortdaten sind hochsensibel, weil eben über sie eindeutig erkennbar sei, wo sich jemand aufhält. Insofern sehe er es mit großen Bauchschmerzen, dass jetzt offensichtlich Telekommunikationsunternehmen versuchen, solche Daten in die Welt zu streuen.“ Vermarktung und Werbung seien fragwürdige Zwecke, für die diese Daten nicht genutzt werden sollten.

Auch die Bundesregierung sei gegen einen solchen Datenhandel, berichtet die Tageszeitung Berliner Morgenpost.
Ein Sprecher des Wirtschaftsministeriums erklärte, der Verkauf von Standortdaten verstoße gegen das Telekommunikationsgesetz.
Dies gelte auch, wenn die Daten anonymisiert seien.

Einem Bericht der Tagesschau zufolge soll O2 nun das Projekt „Smart Steps“  gestoppt haben – zumindest für deutsche O2-Kunden.



...
Datenschützer alarmiert: Bewegungsdaten von O2-Kunden werden verkauft - weiter lesen auf FOCUS Online: http://www.focus.de/digital/handy/datenschuetzer-alarmiert-bewegungsdaten-von-o2-kunden-werden-verkauft_aid_849634.html
...
Datenschützer alarmiert: Bewegungsdaten von O2-Kunden werden verkauft - weiter lesen auf FOCUS Online: http://www.focus.de/digital/handy/datenschuetzer-alarmiert-bewegungsdaten-von-o2-kunden-werden-verkauft_aid_849634.html
...
Datenschützer alarmiert: Bewegungsdaten von O2-Kunden werden verkauft - weiter lesen auf FOCUS Online: http://www.focus.de/digital/handy/datenschuetzer-alarmiert-bewegungsdaten-von-o2-kunden-werden-verkauft_aid_849634.html

Montag, 26. November 2012

Datenschutzrechtliche Zulässigkeit der Frage eines Bewerbers nach Vorstrafen

Aus Anlaß einer aktuellen Entscheidung des Bundesarbeitsgerichts (BAG) zu dem Thema "Frage an einen Stellenbewerber nach eingestellten Ermittlungsverfahren" möchte ich kurz darstellen, wie es sich generell mit der Frage nach Vorstrafen durch den Arbeitgeber im Bewerbungsverfahren verhält.

Eine solche Frage des Arbeitgebers ist nur dann zulässig, wenn die Vorstrafen einen unmittelbaren Bezug zu dem angestrebten Arbeitsverhältnis und Arbeitsplatz haben - also "einschlägig" sind.

Beispiele:
  • Zulässig ist bei der Einstellung eines Kraftfahrers die Frage nach Straftaten mit Bezug zum Straßenverkehr oder der Führung von Kraftfahrzeugen.
  • Zulässig ist bei der Einstellung eines Kassierers die Frage nach verübten Vermögensdelikten
Es ist bei der Stellung der Fragen also darauf zu achten, dass dem Bewerber klar wird, dass er nur Angaben zu einschlägigen Straftaten machen muss. Ansonsten muss der Bewerberer keine Aussagen treffen - ihm steht sogar das "Recht zur Lüge" zu.

Konsequenz: Das Arbeitsverhältnis darf im Nachhinein aus Gründen der Falschangaben nicht wegen arglistiger Täuschung angefochten werden.

Allerdings gilt dies auch für einschägige Vorstrafen auch dann nicht, wenn diese aus dem polizeilichen Führungszeugnis gelöscht wurden (§ 51 BZRG).

Eine Frage nach einem laufenden Ermittlungsverfahren soll wegen einer drohenden Abwesenheit wegen eines Strafantritts erlaubt sein.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Zu diesem Thema die Pressemitteilung des Bundesarbeitsgerichts vom 15.11.2012:

Der Arbeitgeber darf den Stellenbewerber grundsätzlich nicht nach eingestellten strafrechtlichen Ermittlungsverfahren fragen. Eine solche unspezifizierte Frage verstößt gegen Datenschutzrecht und die Wertentscheidungen des § 53 Bundeszentralregistergesetz (BZRG). Stellt der Arbeitgeber die Frage dennoch und verneint der Bewerber in Wahrnehmung seines informationellen Selbstbestimmungsrechts wahrheitswidrig, dass gegen ihn Ermittlungsverfahren anhängig waren, darf der Arbeitgeber das zwischenzeitlich begründete Arbeitsverhältnis nicht wegen dieser wahrheitswidrig erteilten Auskunft kündigen.

Der 1961 geborene Kläger bewarb sich als sog. Seiteneinsteiger im Sommer 2009 als Lehrer an einer Hauptschule in Nordrhein-Westfalen. Vor seiner Einstellung wurde er aufgefordert, auf einem Vordruck zu erklären, ob er vorbestraft sei, und zu versichern, dass gegen ihn kein Ermittlungsverfahren der Staatsanwaltschaft anhängig sei oder innerhalb der letzten drei Jahre anhängig gewesen sei. Der Kläger unterzeichnete den Vordruck, ohne Angaben zu etwaigen Ermittlungsverfahren zu machen. Er wurde zum 15. September 2009 eingestellt. Im Oktober 2009 erhielt die zuständige Bezirksregierung einen anonymen Hinweis, der sie veranlasste, die Staatsanwaltschaft um Mitteilung strafrechtsrelevanter Vorfälle zu bitten. Die daraufhin übersandte Vorgangsliste wies mehrere nach §§ 153 ff. StPO eingestellte Ermittlungsverfahren aus. Das beklagte Land kündigte das Arbeitsverhältnis außerordentlich, hilfsweise ordentlich, weil der Kläger die Frage nach Ermittlungsverfahren unrichtig beantwortet habe. Der Kläger hält die Kündigung für unwirksam. Bereits eingestellte Ermittlungsverfahren habe er nicht angeben müssen.

Das Arbeitsgericht hat die außerordentliche Kündigung, das Landesarbeitsgericht auch die ordentliche Kündigung als unwirksam angesehen. Die hiergegen eingelegte Revision des beklagten Landes blieb vor dem Sechsten Senat des Bundesarbeitsgerichts ohne Erfolg. Eine Erhebung von Daten, wie sie die unspezifizierte Frage nach Ermittlungsverfahren darstellt, ist nach den datenschutzrechtlichen Bestimmungen in Nordrhein-Westfalen nur zulässig, wenn sie durch eine Rechtsvorschrift erlaubt ist oder der Betroffene einwilligt. Solche Informationen zu abgeschlossenen Ermittlungsverfahren sind für die Bewerbung um eine Stelle als Lehrer nicht erforderlich und damit nicht durch § 29 des Datenschutzgesetzes Nordrhein-Westfalen gestattet. Die allein auf die wahrheitswidrige Beantwortung der Frage nach Ermittlungsverfahren gestützte Kündigung verstieß deshalb gegen die objektive Wertordnung des Grundgesetzes, wie sie im Recht auf informationelle Selbstbestimmung, bei dem es sich um eine Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 GG) handelt, zum Ausdruck kommt. Sie war deshalb gemäß § 138 Abs. 1 BGB unwirksam.

Bundesarbeitsgericht, Urteil vom 15. November 2012 - 6 AZR 339/11 -
Vorinstanz: Landesarbeitsgericht Hamm, Urteil vom 10. März 2011 - 11 Sa 2266/10 -

Quelle: Pressemitteilung des Bundesarbeitsgerichts vom 15.11.2012

Dienstag, 20. November 2012

Konferenz der Datenschutzbeauftragten: EU-Datenschutz-Grundverordnung, Datenschutz bei Reform der Sicherheitsbehörden, Öffentlichkeitsfahndung in sozialen Netzwerken, Quellen-Telekommunikationsüberwachung, datenschutzgerechte Übermittlung von Meldedaten, datenschutzgerechter Einsatz von IPv6, Datenschutz bei gemeinsam genutzten IT-Infrastrukturen


Bereits am 7. und 8.11.2012 fand die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in Frankfurt (Oder) „Datenschutz der Zukunft jetzt gestalten!“ statt. Der freiwillige Zusammenschluss der Datenschutzbeauftragten von Bund und Länder diskutiert hierbei über aktuelle datenschutzrechtliche Fragen und gibt hierüber gemeinsame Stellungnahmen (sog. Entschließungen) ab.

Im Fokus dieser Konferenz standen insbesondere die Themen
  • EU-Datenschutz-Grundverordnung
  • Datenschutz bei Datenaustauschs zwischen Polizei- und Verfassungsschutzbehörden
  • Öffentlichkeitsfahndung in sozialen Netzwerken
  • Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung
  • Anforderungen an die Übermittlung von Meldedaten an öffentlich-rechtliche Religionsgemeinschaften sowie an die Gebühreneinzugszentrale (GEZ)
  • datenschutzgerechter Einsatz von IPv6 (Internet Protocol Version 6)
  • Datenverarbeitung bei gemeinsam genutzten Infrastrukturen (z.B. von mehreren Unternehmen oder Behörden gemeinsam genutzte Rechenzentren)
  • Beachtung des deutschen Datenschutzrechts auch durch international tätige Dienstleister (wie etwa Facebook oder Google)

EU-Datenschutz-Grundverordnung Die Konferenz fordert die Schaffung einer wirksamen Datenschutz-Grundverordnung der EU ohne weitreichende Ausnahmen von den Datenschutzpflichten für die Wirtschaft. Außerdem sollten Datenschutzpflichten bzgl. aller Daten bestehen, nicht nur bzgl. nur „risikobehafteter Daten“. Ferner sollte der Beschäftigtendatenschutz auf EU-Ebene geregelt werden.
Entschließungstext:  Europäische Datenschutzreform konstruktiv und zügig voranbringen!

Datenschutz bei Datenaustauschs zwischen Polizei- und Verfassungsschutzbehörden
Die Konferenz fordert die Beachtung der Grundrechte der Bürgerinnen und Bürger, die Beachtung des Gebots der Trennung von Polizei und Verfassungsschutz sowie eine effektive datenschutzrechtliche Kontrolle der Nachrichtendienste bei der Ausweitung eines angestrebten Datenaustauschs zwischen Polizei- und Verfassungsschutzbehörden.
Entschließungstext:  Reform der Sicherheitsbehörden: Der Datenschutz darf nicht auf der Strecke bleiben
  
Öffentlichkeitsfahndung in sozialen Netzwerken
Fahndungsdaten sollten nur auf Polizeiwebseiten veröffentlicht werden. Fahndungsdaten sollten nicht Bestandteile des Angebots der sozialen Netzwerke werden.

Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung
Die Konferenz fordert die Schaffung ausreichender Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung. Eine heimliche Online-Überwachung dürfe nur in eng begrenzten Ausnahmefällen zugelassen werden.

Anforderungen an die Übermittlung von Meldedaten an öffentlich-rechtliche Religionsgemeinschaften sowie an die Gebühreneinzugszentrale (GEZ)
Die Konferenzteilnehmer befürworten eine Übermittlung von Meldedaten an öffentlich-rechtliche Religionsgemeinschaften sowie an die Gebühreneinzugszentrale (GEZ) in elektronischer Form nur unter der Bedingung, dass die übermittelten Daten ausreichend verschlüsselt werden und auch die Identität von Absender und Empfänger zweifelsfrei feststeht.
Entschließungstext: Übermittlung von Meldedaten an öffentlich-rechtliche Religionsgemeinschaften und die GEZ rechtskonform gestalten

Datenschutzgerechter Einsatz von IPv6 (Internet Protocol Version 6)
Zum datenschutzgerechten Einsatz von IPv6 hat die Konferenz insbesondere für Provider und Gerätehersteller im Privatkundengeschäft eine Orientierungshilfe erstellt. Damit soll gewährleistet werden, dass ein zielgerichtetes Verfolgen des Nutzerverhaltens im Netz vermieden werden kann und ferner den Internetnutzern eine sichere und vertrauenswürdige Kommunikation im Internet ermöglicht wird.
Entschließungstext:  Einführung von IPv6 - Hinweise für Provider im Privatkundengeschäft und Hersteller
Orientierungshilfe: Orientierungshilfen IPv6

Datenverarbeitung bei gemeinsam genutzten Infrastrukturen (z.B. von mehreren Unternehmen oder Behörden gemeinsam genutzte Rechenzentren)
Eine weitere Orientierungshilfe hat die Konferenz für den Fall erstellt, dass mehrere Behörden, Unternehmen oder sonstige Institutionen gemeinsame IT-Infrastrukturen nutzen, z.B. dieselben Rechen- und Speichersysteme oder Datenbanken verwenden (z.B. in gemeinsamen Rechenzentren). Es muss gewährleistet werden, dass die jeweiligen personenbezogenen Daten nur getrennt und ausschließlich vom jeweils Berechtigten verarbeitet werden können.
Orientierungshilfe: Technische und organisatorische Anforderungen an die Trennung von automatisierten Verfahren bei der Benutzung einer gemeinsamen IT-Infrastruktur - Orientierungshilfe Mandantenfähigkeit -

Beachtung des deutschen Datenschutzrechts auch durch international tätige Dienstleister (wie etwa Facebook oder Google)
Die Datenschutzkonferenz fordert auch für international tätige Unternehmen in Deutschland die Einhaltung des deutschen Datenschutzrechts. Hiernach müssten soziale Netzwerke im Internet auch anonym oder unter Verwendung eines Pseudonyms genutzt werden dürfen.

Rechtsanwalt Thomas Steinle, LL.M.
Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK)
Karlsruhe

Freitag, 16. November 2012

Zur Wirksamkeit einer datenschutzrechtlichen Einwilligung bei Minderjährigen

Eine Krankenkasse hat es zu unterlassen, ohne Zustimmung der Erziehungsberechtigten bei Gewinnspielen persönliche Daten von minderjährigen Verbrauchern ab 15 Jahren zu erheben, um diese als Kunden werben zu können. Das hat der 4. Zivilsenat des Oberlandesgerichts Hamm am 20.09.2012 entschieden und damit die erstinstanzliche Entscheidung des Landgerichts Dortmund abgeändert.
 
Die von einer Verbraucherzentrale verklagte Krankenkasse hatte auf einer Job-Messe Gewinnspiele für minderjährige Verbraucher angeboten. Auf den Teilnehmerkarten hatte sie Name, Anschrift, Geburtsdatum und Kontaktdaten abgefragt und eine Unterschrift der Teilnehmer vorgesehen, die nur bei unter 15jährigen Minderjährigen vom Erziehungsberechtigten geleistet werden sollte. Mit einer ebenfalls auf der Karte abgedruckten Erklärung willigten die Teilnehmer in eine Speicherung und Nutzung der abgefragten Daten ein, um über die Leistungen der Krankenkasse informiert und beraten zu werden. U.a. unter Hinweis darauf, dass bereits 15jährige Minderjährige ihre Krankenkasse selbst wählen dürften, hatte die verklagte Krankenkasse hierin eine zulässige Werbung gesehen.
 
Dem hat der 4. Zivilsenat des Oberlandesgerichts Hamm widersprochen und der Krankenkasse eine derartige Werbung untersagt. Es könne nicht davon ausgegangen werden, dass Minderjährige ab dem 15. Lebensjahr grundsätzlich die nötige Reife haben, um die Tragweite der Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen. Zu berücksichtigen sei zwar der mit dem Alter bei Minderjährigen zunehmende Reifeprozess. Abzustellen sei aber auf den Durchschnitt der angesprochenen Personengruppe, die in geschäftlichen Dingen noch unerfahren sei. Beim Lesen der Gewinnkarte überwiege bei ihnen der Anreiz, etwas zu gewinnen, das konsequente Nachdenken darüber, was infolge der Preisgabe der Daten passieren könne. Zudem treffe ein Jugendlicher beim Ausfüllen einer Gewinnkarte auf der Messe eine ganz kurzfristige Entscheidung über die Preisgabe seiner personenbezogenen Daten. Das sei mit der Situation bei der Wahl einer Krankenkasse nicht zu vergleichen. Diese stehe regelmäßig im Zusammenhang mit der Wahl eines Ausbildungs- oder Arbeitsplatzes, bei der ein Jugendlicher von seinen Eltern und ggfls. dem neuen Arbeitgeber beraten werde und sich in Ruhe über die in Betracht zu ziehenden Krankenkassen informieren könne.
 
Urteil des 4. Zivilsenats des Oberlandesgerichts Hamm vom 20.09.2012 (I-4 U 85/12)

Quelle: Pressemitteilung des Präsidenten des OLG Hamm vom 09.11.2012

Dienstag, 13. November 2012

Haftung und Sanktionen bei Datenschutzverstößen – negative Außenwirkung und Publicity

Etwas außerhalb der in dieser Beitragsreihe beschriebenen rechtlichen Sanktionen wie Verstöße gegen Ordnungswidrigkeiten- bzw. Strafvorschriften, Schadensersatz und Unterlassungsansprüchen steht die tatsächliche Außenwirkung von Datenschutzverstößen. Dies bedeutet die Wahrnehmung eines mehr oder weniger unzulänglichen Umgangs mit personenbezogenen Daten. Einem Kunden ist durchaus bewusst , dass dessen personenbezogene Daten bei vielen Unternehmen gespeichert und hinterlegt ist – zum Beispiel zur Vertragsabwicklung, als Abonnent eines Newsletters, als Inhaber eines Mail-Accounts oder eines Nutzungsprofils bei einem Onlinedienst – und mithin bei einem wahrgenommenen Datenschutzverstoß auch aufgrund des unsachgemäßen Umgangs mit personenbezogenen Daten die Verletzung der eigenen Persönlichkeitsrechte nicht ausgeschlossen werden kann.

Nach den bekannt gewordenen Datenschutzskandalen der letzten Jahre mussten einige Unternehmen erfahren, dass sie von Kunden mangels Vertrauen in die Integrität des Unternehmens gemieden werden. Die betroffenen Unternehmen versuchen seither, das verlorene Kundenvertrauen zurückzugewinnen, z.B. durch die Intensivierung ihrer Anstrengungen bei der Beachtung des Datenschutzes und der Datensicherheit.

Neben der Veröffentlichung von bekannt gewordenen Datenschutzskandalen in den Medien und einer Erwähnung in den Tätigkeitsberichten der jeweiligen Datenschutz-Aufsichtsbehörden besteht seit dem Jahr 2009 eine Informationspflicht einer datenverarbeitenden Stelle gemäß § 42a BDSG bei bestimmten Datenschutzverstößen.

Die Intention des § 42a BDSG beschränkt sich auf Datenschutzverletzungen bezüglich besonders "sensibler" Daten. Hierunter versteht der Gesetzgeber in § 42a BDSG zum einen
  • die besonderen Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG,
  • zum anderen personenbezogene Daten, welche einem Berufsgeheimnis unterliegen, wie z.B. Ärzten, Steuerberatern, Rechtsanwälten, Apothekern, sonstigen Angehörigen eines Heilberufs (der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert), Berufspsychologin mit staatlich anerkannter wissenschaftlicher Abschlussbildung, Wirtschaftsprüfer, vereidigte Buchprüfer, Ehe-, Familien-, Erziehungs- oder Jugendberater, staatlich anerkannte Sozialarbeiter, Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung, usw.),
  • oder personenbezogenen Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder entsprechende Verdachtsmomente beziehen oder
  • bei personenbezogenen Daten zu Bank- oder Kreditkartenkonten (Bsp: Name der Bank, Kontonummer, Kreditkartendaten, Passwörter für das online-Banking).

Diese Daten müssen von der verantwortlichen Stelle entweder unrechtmäßig übermittelt worden sein oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sein. Dies kann jeder Angriff von außen sein, aber auch eine rechtswidriger Zugriff durch nicht zugriffsberechtigte Mitarbeiter. Von einer unrechtmäßigen Kenntniserlangung Dritter ist auch bei einem Datenverlust auszugehen, wenn die Daten nicht hinreichend verschlüsselt waren.

Weiterhin erforderlich ist, dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdige Interessen der des Betroffenen drohen. Dies können nach der Vorstellung des Gesetzgebers zum Beispiel materielle Schäden bei Kreditkarteninformationen seien oder dass soziale Nachteile einschließlich des Identitätsbetrugs drohen. Hier hat die verantwortliche Stelle eine Gefahrenprognose zu erstellen, das bedeutet dass an einer Eintrittswahrscheinlichkeit des Schadens umso geringere Anforderungen zu stellen sind je höher der drohende Schaden beim Betroffenen ausfallen könnte.

Rechtsfolge ist die Pflicht der verantwortlichen Stelle, die zuständige Aufsichtsbehörde sowie den Betroffenen über den Datenschutzverstoß zu informieren, nachdem entsprechende Maßnahmen zur Sicherung der Daten ergriffen wurden. Hierbei muss der Betroffene umfänglich über das Ausmaß des Datenschutzverstoßes informiert werden und ihm auch Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen des Datenschutzverstoßes erteilt werden (z.B. Änderung der Passwörter, Kontrolle der Kontoauszüge auf rechtswidrige Abbuchungen, usw.). Der zuständigen Datenschutz-Aufsichtsbehörde müssen darüber hinaus noch die drohenden nachteiligen Folgen an der unrechtmäßigen Kenntniserlangung dargelegt werden als auch eine Beschreibung, welche konkreten Maßnahmen nach Kenntniserlangung des Datenschutzverstoßes ergriffen wurden.

Erscheint eine Einzelbenachrichtigung jedes Betroffenen unverhältnismäßig – insbesondere aufgrund der Vielzahl der Fälle – kann die verantwortliche Stelle ihrer Informationspflicht durch Medienanzeigen genüge tun, die mindestens eine halbe Seite umfassen müssen in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeigneten Maßnahmen. Letzteres können zum Beispiel bei regional begrenzten Verstöße auch eine Veröffentlichung in regionalen Zeitungen sein oder gegebenenfalls durch Veröffentlichungen im Internet.

Zu beachten ist, dass die Informationspflicht nach § 42a BDSG bei einer Auftragsdatenverarbeitung den Auftraggeber trifft. Darüber hinaus ist ein Verstoß gegen § 42a BDSG bußgeldbewährt gemäß § 43 Abs. 2 Nr. 7 BDSG. Denkbar ist auch, dass Betroffene Schadensersatzansprüche gegen die verantwortliche Stelle wegen Unterlassung einer Information entsprechend § 42a BDSG geltend machen können, sofern ein Schaden bei Kenntnis des Datenschutzverstoßes für den Betroffenen vermeidbar gewesen wäre.

Rechtsanwalt Thomas Steinle, LL.M.
Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK)
Karlsruhe

Dienstag, 16. Oktober 2012

Europäische Datenschutzbehörden kritisieren neue Datenschutzerklärung von google

Heute haben die europäischen Datenschutzbehörden dem US-amerikanischen Unternehmen Google das Ergebnis ihrer Prüfung der Datenschutzerklärung mitgeteilt, die das Unternehmen am 1. März 2012 in Kraft gesetzt hatte. Die Prüfung wurde durch die französische Datenschutzaufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) durchgeführt.

Dazu erklärte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar: Leider hat sich die Erwartung von mehr Transparenz und Wahlmöglichkeit für die Nutzerinnen und Nutzer nicht erfüllt. Die Zusammenfassung und Kürzung der Datenschutzerklärung führt nicht zu einem dringend erforderlichen Informationsgewinn, sondern zu einem Informationsverlust. Die Verknüpfung von Nutzerdaten aus verschiedenen Google-Diensten zu einem umfassenden Metaprofil ist aus datenschutzrechtlicher Sicht nicht akzeptabel. Die Nutzerinnen und Nutzer wurden weder um Einwilligung gebeten, noch besitzen sie eine Widerspruchsmöglichkeit, sofern sie den Dienst weiterhin nutzen wollen.

Am 1. März 2012 war die neue Datenschutzerklärung in Kraft getreten, mit der die Datenschutzerklärungen der verschiedenen Google-Dienste auf eine Haupterklärung und einige produktbezogene Erklärungen reduziert wurden. Schon im Vorfeld sorgte die in jeder Hinsicht radikale Maßnahme für viel Diskussionen und Kritik. Die europäischen Datenschutzbehörden beschlossen daher, die Datenschutzerklärung einer detaillierten Prüfung zu unterziehen.

Quelle: Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 16.10.2012

Montag, 15. Oktober 2012

Datenpanne in zwei Kliniken



Gleich in zwei Kliniken in Baden-Württemberg sind im September 2012 hochsensible Patientendaten verschwunden.

Anscheinend sind zur Archivierung vorgesehene Sicherungsmedien von einer nicht bekannten Person entwendet worden.

Neben detaillierten Patientendaten, sind auch Befunde und ärztliche Schriftwechsel davon betroffen.

Das Klinikum Mittelbaden hat den Datenverlust in der Tageszeitung „Die Welt“, in der Ausgabe vom 12.10.2012 bekanntgegeben.
Ebenso wurde der Landesdatenschutzbeauftragte Baden-Württemberg informiert.

Dieser geht davon aus, dass Datensätze im sechsstelligen Bereich entwendet wurden.


Das Bundesdatenschutzgesetz und die Informationspflicht bei Datenpannen:

Bei gravierendem Datenverlust sieht der §42a BDSG (Bundesdatenschutzgesetz) eine „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ vor. 
Die Informationspflicht gilt unter anderem bei „Besonderen Arten von personenbezogenen Daten“, zu diesen Daten zählen auch Gesundheitsdaten.
Neben den Aufsichtsbehörden sind auch die Betroffenen über den Datenverlust zu informieren. 
Falls die persönliche Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordert, etwa weil eine große Anzahl betroffen ist, muss stattdessen die Öffentlichkeit informiert werden. Dies kann durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen, oder durch eine andere gleich geeignete Maßnahmen.

Anmerkung:

Dieser Fall zeigt einmal wieder, wie wichtig technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes sind.

Diese Maßnahmen regeln unter anderem, wer wann und wo Zutritt hat.
Durch eine solche Regelung kann der Personenkreis, der zum Beispiel Zugang zu Serverräumen hat, stark eingeschränkt werden. Dies erschwert dem Angreifer das Entwenden, denn er gerät dann sofort in den Kreis der verdächtigen Personen.

Michael Bätzler
TÜV Datenschutz Auditor und externer Datenschutzbeauftragter

Freitag, 12. Oktober 2012

Unzulässige E-Mail-Werbung – wann ist eine E-Mail-Werbung auch ohne ausdrückliche Einwilligung erlaubt?

Kleiner Exkurs in das Wettbewerbs- und Werberecht, der aber im Zusammenhang mit der Frage der datenschutzrechtlichen Zulässigkeit der Nutzung von Daten für Werbezwecke interessant sein kann:

§ 7 UWG stellt in Abs. 2 Nr. 3 ja bekanntermaßen recht hohe Anforderungen an eine rechtmäßige Versendung von Werbe-E-Mails. Grundsätzlich ist eine solche ja erlaubt – sowohl im B2C- als auch B2B-Bereich –, sofern eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. Nicht nur das: Der E-Mail-Versender hat das Vorliegen der Einwilligung im Streitfalle auch zu beweisen, was bedeutet, dass er die Einholung dieser Einwilligung in beweisttauglicher Manier dokumentieren muss.

Zu Recht weisen manche Versender von Werbe-E-Mails darauf hin, dass eine Versendung von solchen E-Mails auch ohne eine ausdrückliche Einwilligung erlaubt ist. Dies basiert aber nicht wie oftmals rechtsirrig angenommen auf einer so genannten “mutmaßlichen Einwilligung” bei Bewerbungen von Unternehmen (siehe meinen Beitrag hier) – so etwas gibt es nur im Falle der Telefonwerbung (siehe mein Beitrag hier).

Nähere Einzelheiten definieren hier vielmehr die Regelungen des § 7 Abs. 3 UWG. Diese Regelungen werden im Streitfall von den Werbenden gerne etwas zu weit ausgelegt. Aus diesem Grund folgen meine Erläuterungen, welches Verhalten beim Einsatz von Werbe-E-Mails diese Ausnahmevorschrift erlaubt:

1. Der Unternehmer muss die E-Mail-Adresse des Betroffenen “mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden” erhalten haben: Dies bedeutet, dass die betroffene E-Mail-Adresse direkt vom Kunden erlangt sein worden muss und nicht etwa auf anderem Wege (etwa von einem Adresshändler oder etwa selbst ermittelt). Außerdem muss die E-Mail-Adresse bei einem Verkauf oder einem anderen Austauschvertrag (Mietvertrag, Werkvertrag, usw.) einer Ware oder Dienstleistung erlangt worden sein.

Hier ist zum einen zu beachten, dass die E-Mail-Adresse in sachlichem Zusammenhang mit dem Verkauf steht. Dies ist zum Beispiel der Fall, wenn der Betroffene per E-Mail die Ware oder Dienstleistung bestellt hat oder der Vertragsschluss auf diese Art und Weise zu Stande gekommen ist. Ausreichend soll auch sein, wenn die E-Mail-Adresse im Zuge der Vertragsdurchführung oder bei Erfüllung einer nachvertraglichen Verpflichtungen vom Kunden mitgeteilt wurde. Im Detail umstritten ist, inwieweit das Nutzen einer E-Mail-Adresse im Rahmen von § 7 Nr. 3 UWG erlaubt ist, wenn kein Vertragsverhältnis zustande gekommen ist, sondern lediglich eine sog. Vertragsanbahnung stattfand. Teilweise wird hier vertreten, dass es ausreichend sei, wenn der Status der konkreten Vertragsanbahnung erreicht wurde und nicht nur ein generelles Interesse an einem Produkt geäußert, sondern die Parteien sich darüber hinaus bereits in konkreten Gesprächen befanden.

Die Nutzung der E-Mail-Adresse zu Werbezwecken muss darüber hinaus aber auch in einem zeitlichen Zusammenhang mit dem Verkauf stehen. Wird die E-Mail-Adresse erst zwei Jahre nach dem Verkauf für Werbezwecke eingesetzt, soll dieser Zeitraum überschritten sein (LG Berlin, Entscheidung vom 02.07.2004, Az. 15 O 653/03).

2. Die E-Mail-Adresse darf nur zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet werden.

Jedenfalls muss es sich hierbei um Bewerbungen für eigene Waren oder Dienstleistungen handeln – d.h. eine Werbung für andere Unternehmen oder auch konzernmäßig verbundene Unternehmen ist nicht von § 7 Abs. 3 UWG gedeckt.

Bei ähnlichen Waren oder Dienstleistungen soll es sich um solche handeln, die den gleichen erkennbaren oder typischen Verwendungszweck oder Bedarf des Kunden entsprechen. Dieses Kriterium ist in der Praxis im Einzelfall oftmals sehr schwierig zu beurteilen, inwieweit und wo eine Grenze zu ziehen ist. Auch für funktionell zusammengehörige Waren wie Zubehör und Ergänzungen darf wohl geworben werden – auch hier sind Einzelheiten umstritten.

3. Der Kunde darf der Verwendung seiner E-Mail-Adresse zu Werbezwecken nicht widersprochen haben. Ob der Eintrag in einer Robinson-Liste einem Widerspruch gleichsteht, ist in der juristischen Literatur auch umstritten, dürfte aber meines Erachtens sehr fraglich sein.

4. Der Kunde muss bei der Erhebung der E-Mail-Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen werden, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen: Hierbei wird klargestellt, dass der Hinweis nicht nur bei der erstmaligen Erhebung der E-Mail-Adresse erfolgen muss, sondern auch bei jeder Verwendung – also bei jeder werblichen Ansprache per E-Mail oder im Newsletter. Eine ähnliche Regelung, die allerdings die Frage des “ob” der Nutzung von personenbezogenen Daten zu Werbezwecken betrifft, findet sich in § 28 Abs. 4 BDSG. Weder darf nach der Regelung des § 7 Abs. 3 UWG eine kostenpflichtige Rufnummer (über den normalen Basistarif hinaus) geschaltet werden noch darf für die Bearbeitung des Widerspruchs eine Gebühr verlangt werden.

Hinzu kommt, dass die Regelung des § 7 Abs. 3 UWG als Ausnahmevorschrift zu § 7 Abs. 2 Nr. 2 UWG eng auszulegen ist und im Streitfalle das Vorliegen der Tatbestandsmerkmale vom Werbe-E-Mail-Versender dargelegt und bewiesen werden muss.

Dienstag, 9. Oktober 2012

Haftung und Sanktionen bei Datenschutzverstößen – Unterlassungsansprüche (Abmahnung)




Ist ein Betroffener durch eine datenschutzwidrige Maßnahme einer verantwortlichen Stelle (§ 3 Abs. 7 BDSG) in seinen Rechten verletzt und steht ihm deshalb ein Schadensersatzanspruch zu – etwa aus § 7 BDSG, § 8 BDSG oder aus § 823 Abs. 1 BGB oder § 824 BGB, § 826 BGB oder § 831 BGB – so steht dem Betroffenen daneben auch ein Unterlassungsanspruch oder Beseitigungsanspruch zu.

Unterlassungsansprüche können sich aber auch von einer ganz anderen Seite aus ergeben – nämlich etwa von Seiten eines Wettbewerber über das Gesetz gegen unlauteren Wettbewerb (UWG) oder dass Unterlassungsklagengesetz (UKlaG).

In der juristischen Literatur und in der Rechtsprechung ist umstritten, ob ein Verstoß gegen Datenschutzvorschriften ein Verstoß gegen die wettbewerbsrechtliche Norm des § 4 Nr. 11 UWG – Vorsprung durch Rechtsbruch – bedeuten kann. Ähnlich wie bei dem bekannten Verstoß gegen die Impressumspflicht aus § 5 TMG stünden dann entsprechende Beseitigungs- und Unterlassungsansprüche gemäß § 8 Abs. 3 UWG etwa jedem Mitbewerber, Wettbewerbs- und Verbraucherzentralen oder den Industrie- und Handelskammern zu.

Ein Verstoß gegen § 4 Nr. 11 UWG liegt allerdings nur dann vor, wenn die gesetzliche Regelung, gegen die verstoßen wurde, gerade im Interesse der Marktteilnehmer das Marktverhalten regeln soll. Dies ist bei Datenschutznormen umstritten. Zwar wird zum Teil vertreten, dass datenschutzrechtliche Normen aufgrund einer verbraucherschützenden Tendenz eine Marktverhaltensregel darstellen würden – und damit § 4 Nr. 11 UWG einschlägig wäre. Gleichwohl geht die wohl überwiegende Rechtsprechung davon aus, dass der dem Datenschutz zugrundeliegende Schutz der Persönlichkeitsrechte der Betroffenen keine Marktverhaltensregel darstellt und daher auch nicht in den Anwendungsbereich des § 4 Nr. 11 UWG fällt.

Zu beachten ist hierbei aber, dass auch Vorschriften der Datenschutzgesetze wirtschaftliche Relevanz haben können, womit nach Ansicht einiger Gerichte eine wettbewerbsrechtliche Relevanz im Sinne des § 4 Nr. 11 UWG vorliegen könne (OLG Karlsruhe, Urteil vom 9.05.2012 – Az. 6 O 38/11 Rn. 32; anderer Ansicht: OLG München, Urteil vom 12.01.2012 – Az. 29 O 3926/11). Dies dürfte insbesondere bei den Vorschriften über den Umgang mit personenbezogenen Daten zu Werbezwecken oder für den Adresshandel (§ 28 BDSG, § 29 BDSG) relevant sein – gerade wenn man vor dem Hintergrund der Verschärfung der Vorschriften des § 28 Abs. 3 BDSG den gestiegenen Wert für datenschutzrechtlich rechtmäßig erhobene Daten (etwa über eine Einwilligung) betrachtet. Hier hielte ich es durchaus für vertretbar, dass ein unter Missachtung der strengen Vorschriften des § 28 Abs. 3 BDSG handelndes Unternehmen sich gegenüber einem rechtstreuen Unternehmen durch Rechtsbruch einen unzulässigen Vorteil verschafft, mithin § 4 Nr. 11 UWG einschlägig wäre.

Neben Unterlassungsansprüchen aus § 8 UWG können auch Unterlassungsansprüche aus Unterlassungsklagengesetz (UKlaG) bestehen. Hier können Verbraucherverbände und andere qualifizierte Einrichtungen gemäß § 3 Abs. 1 UKlaG datenschutzrechtliche Verstöße gegen AGB-Vorschriften (§§ 307 BGB ff.) abmahnen und auf Unterlassung klagen. Dies gilt für etwa für datenschutzwidrige AGBs oder zum Beispiel auch für Datenschutzerklärungen, sofern diese als Allgemeine Geschäftsbedingungen zu qualifizieren sind.


Freitag, 5. Oktober 2012

Haftung und Sanktionen bei Datenschutzverstößen – Schadensersatz und Schmerzensgeld



Entsteht dem von einem Datenschutzverstoß Betroffenen einen materieller oder immaterieller Schaden, so steht ihm die Geltendmachung von Schadensersatz (oder bei immateriellen Schäden gemeinhin Schmerzensgeld genannt) aus mehreren Ansprüchen offen: Zum einen sieht hier das Bundesdatenschutzgesetz in § 7 und § 8 BDSG Schadensersatzansprüche vor. Daneben sehen insbesondere die deliktischen Ansprüche aus dem Bürgerlichem Gesetzbuch – konkret die §§ 823, 831, 824 und 826 BGB.

Nach § 7 BDSG macht sich eine verantwortliche Stelle gemäß § 3 Abs. 7 BDSG bei einer datenschutzwidrigen Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten des Betroffenen schadensersatzpflichtig, sofern dem Betroffenen durch die Datenschutzverletzung ein Schaden entstanden ist. Zu beachten ist allerdings, dass sich die verantwortliche Stelle exculpieren kann, sofern sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

Zu beachten sind die zahlreichen Einschränkungen des § 7 BDSG: Den Schadensersatzanspruch kann nur eine natürliche Person geltend machen, ferner muss es sich bei den von der betroffenen Stelle verarbeiteten Daten um die Daten des Betroffenen selbst handeln und auch dem Betroffenen muss der Schaden selbst entstanden sein. Wichtig in diesem Zusammenhang ist auch, dass aufgrund des klaren Wortlaut des nicht etwa Mitarbeiter oder Arbeitnehmer oder gar der Datenschutzbeauftragte gemäß § 7 BDSG haften, sondern ausschließlich die verantwortliche Stelle. Die Schadensersatzpflicht besteht auch bei jedem Verstoß gegen eine Datenschutzvorschrift – egal in welcher Art und Weise eine unzulässige datenschutzwidrige Verarbeitung erfolgte. Dies können beispielsweise Verstößen gegen das BDSG durch die unerlaubte zweckentfremdete Nutzung von personenbezogenen Daten sein, die unberechtigte Nutzung von Daten sein – etwa weil keine wirksame Einwilligung vorliegt – oder keine Rechtsgrundlage für eine Datenverarbeitung vorliegt. Eine Haftung nach § 7 BDSG kommt beispielsweise auch in Betracht, wenn ein Verstoß gegen die Datenschutzvorschriften des Telemediengesetzes (TMG) oder des Telekommunikationsgesetzes (TKG) vorliegen.

Der verantwortlichen Stelle steht gemäß § 7 Satz 2 BDSG der Entlastungsbeweis offen: Hat die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet, haftet sie nicht. Dies bedeutet, dass sie alle im konkreten Fall darlegen muss, die erforderlichen Maßnahmen getroffen zu haben, um eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zu ermöglichen - in anderen Worten also alle gesetzlichen Anforderungen eingehalten wurden aber der Schaden beim Betroffenen dennoch nicht verhindert werden konnte.

Einer der schwierigsten Punkte bei einem Schadensersatz aus Datenschutzverletzungen ist die Nachweisbarkeit eines konkreten Schadens. Ein solcher muss der Betroffene darlegen und beweisen. Der Ersatz immaterieller Schäden ist von § 7 BDSG nicht vorgesehen – hier muss man sich des § 8 BDSG (wegen § 8 Abs. 2 BDSG) bedienen - sofern dessen engen Voraussetzungen überhaupt vorliegen - oder eines Anspruchs aus den Verletzung des allgemeinen Persönlichkeitsrechts.

Bei § 8 BDSG handelt es sich um eine Sondervorschrift zur Haftung von öffentlichen Stellen (§ 2 BDSG). Im Gegensatz zu § 7 BDSG besteht hier bei einer datenschutzwidrigen Verarbeitung von personenbezogenen Daten eine "echte" Gefährdungshaftung. Zu beachten ist aber hier, dass es sich im Gegensatz zu § 7 BDSG um eine "automatisierte Datenverarbeitung" handeln muss. Abs. 2 sieht hier eine Schadensersatzpflicht auch von immateriellen Schäden vor. Abs. 3 begrenzt die Haftung sowohl für materielle als auch immaterielle Schäden auf einen Höchstbetrag von 130.000,00 €.

Aufgrund dieser etwas löchrigen Anspruchsgrundlagen für die Geltendmachung von materiellen und immateriellen Schäden sind deshalb die daneben stehenden vertraglichen Ansprüche und deliktsrechtliche Ansprüche aus dem Bürgerlichen Gesetzbuch (BGB) relevant.

Datenschutzgerechtes Verhalten kann sich zum Beispiel aus einer Hauptpflicht des Vertragsverhältnisses ergeben, in der Regel aber aus der Verpflichtung durch vertragliche Nebenpflichten, welche unter Umständen zu einem vertraglichen Schadensersatzanspruch führen können.

Aus § 823 Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder dem allgemeinen Persönlichkeitsrecht kann sich im Falle eines verschuldeten Verstoßes gegen Datenschutzvorschriften ein Schadensersatzanspruch ergeben. Nach den allgemeinen haftungsrechtlichen Grundsätzen kann auch hier ein Unternehmen als juristische Person gemäß §§ 30,31 BGB oder aus der Verletzung einer Organisationspflicht (Organisationsverschulden) haften. Für von einem Mitarbeiter oder Angestellten – oder auch des Datenschutzbeauftragten – begangenen Datenschutzverstoß kann ein Unternehmen aber auch nach den Grundsätzen der Haftung für Verrichtungsgehilfen gemäß § 831 BGB in Verbindung mit § 823 Abs. 1 BGB haften. Hier steht dem Unternehmen allerdings ein Entlastungsbeweis frei, indem dargelegt wird, dass die Mitarbeiter sorgfältig ausgewählt wurden und sie auch ausreichend über die Befugnisse zur Verarbeitung personenbezogener Daten belehrt worden sind.

Wird etwa durch ein datenschutzwidriges Verhalten der Kredit eines anderen gefährdet oder dessen wirtschaftliche Lage nachteilig beeinflusst, kommt eine Haftung aus § 824 BGB (Kreditgefährdung) in Betracht. Im Einzelfall denkbar ist auch eine Inanspruchnahme aus sittenwidriger vorsätzlicher Schädigung gemäß § 826 BGB.

Für den Schadensersatz von immateriellen Schäden kommt ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder des allgemeinen Persönlichkeitsrechts in Betracht.

Dienstag, 2. Oktober 2012

Haftung und Sanktionen bei Datenschutzverstößen – Straftatbestände und Strafen

Das Bundesdatenschutzgesetz sieht bei einer schwerwiegenden Verletzung von Datenschutzvorschriften in bestimmten Fällen - im Gegensatz zu den Ordnungswidrigkeitstatbeständen des § 43 BDSG und der Sanktionierung mit Bußgeldern - in § 44 BDSG die Verhängung von Strafen vor. Konkret: Freiheitsstrafe bis zu zwei Jahre oder eine Geldstrafe.

Strafbar macht sich nach § 44 BDSG, wer eine in § 43 Abs. 2 BDSG bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht.

Voraussetzung für eine Strafbarkeit ist, dass die Tathandlung vorsätzlich erfolgt – eine dem § 43 Abs. 2 BDSG zur Erfüllung des Ordnungswidrigkeitentatbestands erforderliche "nur" fahrlässige Tatbegehung reicht also nicht aus.

Der Täter muss auch gegen Entgelt handeln, also durch den  Datenschutzverstoß im Hinblick auf eine Gegenleistung erbringen. Alternativ dazu reicht auch aus, wenn sich der Täter selbst oder einer anderen Person einen Vermögensvorteil verschaffen möchte oder einen anderen schädigen möchte. Eine Schädigung kann auch in einer Ehrverletzung bestehen.

Bei den Straftatbestand des § 44 BDSG handelt es sich um ein Antragsdelikt, weshalb entsprechend § 44 Abs. 2 BDSG ein Strafantrag gemäß §§ 77-77d StGB erforderlich ist. Hierbei ist zu berücksichtigen, dass antragsberechtigt nur der Betroffene (also gemäß § 3 Abs. 1 BDSG die natürliche Person ist, auf welche die der Tat zugrunde liegenden Daten bezogen sind), die verantwortliche Stelle gemäß § 3 Abs. 7 BDSG, der Bundesbeauftragte für den Datenschutz und Informationsfreiheit und die jeweils zuständige Aufsichtsbehörde. In diesem Zusammenhang ist für die Stellung eines Strafantrags die Antragsfrist des § 77b Abs. 1 StGB von drei Monaten relevant.

Da es sich bei § 44 BDSG um eine strafrechtliche Vorschrift handelt, gelten auch die allgemeinen Vorschriften des Strafgesetzbuches. Dies bedeutet unter anderem, dass der Versuch der Tat nicht strafbar ist (§ 23 Abs. 1 StGB) und die Tat auch gemäß § 13 StGB durch Unterlassen begehbar und strafbar ist.

Donnerstag, 27. September 2012

Bundesdatenschutzbeauftragter und Bundesnetzagentur stellen Leitfaden zur Speicherung von Telekommunikations-Verkehrsdaten vor

Die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit haben heute in Hamburg einen gemeinsam entwickelten Leitfaden für eine datenschutzgerechte Speicherung von Verkehrsdaten bei Telekommunikationsanbietern vorgestellt.
Bei datenschutzrechtlichen Kontrollen fallen immer wieder Unternehmen auf, die Verkehrsdaten zu lange speichern, weil die gesetzlichen Regelungen zu großzügig ausgelegt werden. Das Telekommunikationsgesetz regelt zwar, wann Verkehrsdaten gespeichert werden dürfen, aber diese Regelungen sind zum Teil auslegungsbedürftig.

Peter Schaar: Mit der Bekanntgabe unserer Prüfungsmaßstäbe erhält die Telekommunikationswirtschaft ein höheres Maß an Rechtssicherheit. Zugleich werden die Rechte der Betroffenen gestärkt, die an einer datenschutzgerechten Begrenzung der Verarbeitung ihrer Verkehrsdaten interessiert sind. Ich verspreche mir von dem Leitfaden, dass die Unternehmen ihre teilweise deutlich zu langen Speicherfristen reduzieren.

Verkehrsdaten geben Informationen darüber, wer wann mit wem telefoniert hat. Oft sind weitere Informationen enthalten, etwa beim Handy die Standortdaten ("Cell-ID“) oder Seriennummer des Handys ("IMEI“). Verkehrsdaten werden nicht nur für die Telefonrechnung benötigt, sondern auch für andere Zwecke. Beispielsweise helfen sie bei der Abrechnung von Telefongesprächen. Netzbetreiber dürfen diese Daten in engen Grenzen auch zur Störungsbeseitigung verwenden.

Quelle: Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 27.09.2012

Der Leitfaden kann hier auf den Seiten des BFDI heruntergeladen werden.


Mittwoch, 26. September 2012

Videoüberwachung, Leibensvisitationen und Taschenkontrollen bei Mitarbeitern

Vor dem Arbeitsgericht Oberhausen waren mehrere Verfahren gegen die Firma B.GmbH anhängig. Diese Firma betreibt weltweit Geschäfte unter dem Namen „I.“.

Ehemalige Arbeitnehmer verlangten von ihrem Arbeitgeber die Zahlung von Schmerzensgeld wegen Verletzung ihres Persönlichkeitsrechts.

Sie begründeten dies damit, dass eine dauerhafte Überwachung bei ihrer Arbeit durch fest installierte Kameras erfolgt sein soll. Außerdem, so die Kläger, seien regelmäßig geschlechterübergreifende Leibesvisitationen und Taschenkontrollen bei den Mitarbeitern durchgeführt worden.

Die Firma B. GmbH rechtfertigte ihre Maßnahmen mit Sicherheitsinteressen und dem Zweck der Leistungskontrolle.

Das Gericht wies in seiner mündlichen Verhandlung darauf hin, dass permanente Kameraaufzeichnungen zur Leistungs- und Sicherheitskontrolle rechtlich nicht zulässig seien, wenn hierzu kein begründeter Anlass bestehe.

Eine in Aussicht gestellte Beweisaufnahme über die Überwachungspraktiken der Firma B. GmbH wurde schließlich nicht durchgeführt. Die Parteien einigten sich zuvor auf einen Vergleich. Danach soll die Firma B. GmbH an den Kläger 3.000,00 EUR zahlen. In anderen vergleichbaren Fällen, die beim Arbeitsgericht Oberhausen anhängig sind, wurden entsprechende Regelungen getroffen.

Quelle: Pressemitteilung des ArbG Oberhausen vom 07.09.2012.

Kommentar: 
Dieser Fall veranschaulicht eindrucksvoll, dass eine Videoüberwachung von Arbeitnehmern - darüberhinaus weitere Überwachungsmaßnahmen, welche einen Eingriff in das Persönlichkeitsrecht der Angestellten darstellt - nicht so ohne weiteres möglich ist, schon gar nicht mit der pauschalen Berufung auf "Sicherheitsinteressen" und der "Leistungskontrolle".
Nach meinem persönlichen Empfinden scheint es derzeit offenbar aufgrund der technischen Möglichkeiten zu einer unauffälligen, kostengünstigen und schier unbegrenzten (Speicherplatz!) optischen Datenerfassung und -speicherung zu einem regelrechten Boom bei der Videoüberwachung zu kommen. Hier muss aber zum einen bedacht werden, dass es sich bei diesen Maßnahmen um einen erheblichen Eingriff in die Persönlichkeitsrechte der betroffenen Mitarbeiter, Besucher oder (nur) Passanten kommt, welcher ohne Anlaß und ohne vorherige Bestimmung des Aufzeichungszwecks (siehe § 6b BDSG) und einer sorgsamen Abwägung mit den Interessen der Betroffenen unzulässig ist. Ferner ist natürlich - gleich ob eine Prüfung nach § 6b BDSG, § 32 BDSG oder § 28 Abs. 1 Nr. 2 BDSG erfolgt - auf die erforderliche Transparenz der Maßnahme zu achten - sprich auf die Videoüberwachung ist gem. § 6b Abs. 2 BDSG hinzuweisen.
Fraglich im oben geschilderten Fall dürfte auch sein, ob der hoffentlich vorhandene Datenschutzbeauftragte der Firma B. GmbH eine erforderliche datenschutzrechtliche Vorabkontrolle gem. § 4d Abs. 5 BDSG durchgeführt hat. Und eigentlich dürfte ein Bußgeldbescheid der zuständigen Datenschutzaufsichtsbehörde nicht lange auf sich warten lassen...

Dienstag, 25. September 2012

Haftung und Sanktionen bei Datenschutzverstößen – Ordnungswidrigkeitstatbestände und Bußgelder




Datenschutzverstöße werden gesetzlich mit den Bußgeldvorschriften des § 43 BDSG sanktioniert.

Hierbei zählt der Katalogtatbestand des § 43 Abs. 1 BDSG einzelne Vorschriften des Bundesdatenschutzgesetzes auf, bei deren vorsätzlichem oder fahrlässigem Verstoß ein Bußgeld von bis zu 50.000 € drohen.

Die in der Praxis relevantesten Normen bzw. Verstöße sind hierbei typischerweise folgende:

  • Verletzung der Pflicht zur Bestellung eines Beauftragten für den Datenschutz (§ 4f Abs. 1 Satz 1,2,3 und 6): Es wurde kein Datenschutzbeauftragter in der vorgeschriebenen Form bestellt, obwohl die Bestellung eines solchen gesetzlich vorgeschrieben ist oder es wurde ein Datenschutzbeauftragter zwar formal korrekt bestellt, dieser entfaltet aber keine Tätigkeiten als Datenschutzbeauftragter (Scheinbestellung, Pseudo-Bestellung). Ein Verstoß liegt auch vor, wenn bei dem bestellten Datenschutzbeauftragten aufgrund einer unzulässigen Interessenkollisionen die notwendige Zuverlässigkeit gemäß 4f Abs. 2 Satz 1 BDSG fehlt.
  • Pflichtverletzungen im Zusammenhang mit Maßnahmen der Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 2, § 11 Abs. 2 Satz 4 BDSG): Ein Bußgeld droht dann, wenn ein Auftrag im Rahmen der Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde (also typischerweise einer der Punkte aus dem Katalog des § 11 Abs. 2 Satz 1 fehlt oder unvollständig geregelt ist) oder sich der Auftragnehmer bei der Auftragsdatenverarbeitung nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt.
  • Unterlassen der Unterrichtung des Betroffenen bei der Nutzung von Daten für Werbezwecke und für den Adresshandel (§ 28 Abs. 4 Satz 2 BDSG): Der Betroffene ist gemäß § 28 Abs. 4 BDSG bei der Ansprache zum Zwecke der Werbung oder Markt- und Meinungsforschung bzw. bei der Begründung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unterrichten.
  • Verstöße bei der Erteilung einer Auskunft an den Betroffenen (§ 34 BDSG): Das Auskunftsbegehren eines Betroffenen wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder die erforderlichen Daten werden entgegen § 34 Absatz 1a BDSG nicht gespeichert. Letzteres wird insbesondere durch die Neuregelung des BDSG aus dem Jahre 2009 und 2010 und auch durch das Auslaufen der Übergangsvorschriften aus§ 47 BDSG zum 31.08.2012 relevant, wonach in bestimmten Fällen für die Dauer von zwei Jahren nach Erhalt/Übermitteln von personenbezogenen Daten die Datenherkunft gespeichert werden muss.


Ein Verstoß gegen die Ordnungswidrigkeitentatbestände des § 43 Abs. 2 BDSG zieht ein Bußgeld von bis zu 300.000 € nach sich. § 43 Abs. 2 BDSG pönalisiert insbesondere Pflichten beim Umgang mit personenbezogenen Daten. Hervorzuheben sind folgende Tatbestände:

  • Unbefugtes Erheben oder Verarbeiten von personenbezogenen Daten, die nicht allgemein zugänglich sind
  • Unbefugtes Abrufen und Verschaffen von nicht allgemein zugänglichen personenbezogenen Daten
  • Zweckentfremdete Nutzung entgegen § 28 Abs. 5 Satz 1 BDSG / § 29 Abs. 4 BDSG von übermittelten personenbezogenen Daten
  • Verstoß gegen das Koppelungsverbot des § 28 Abs. 3b BDSG, also das Abhängigmachen eines Vertragsschlusses von der Einwilligung des Betroffenen
  • Das Missachten eines Widerspruchs des Betroffenen gemäß § 28 Abs. 4 Satz 1 BDSG zur Nutzung seiner personenbezogenen Daten für Werbezwecke
  • Verletzung von Informationspflichten bei Datenschutzverstößen gemäß § 42a BDSG


Zu beachten ist, dass ein Bußgeldtatbestand mit jedem einzelnen Vergehen verwirklicht wird. D.h. wahrscheinlich ist eine Kumulation von vielen (kleinen?) Datenschutzverstößen bei der Handhabung einer datenschutzwidrigen Praxis. So wurden in der Vergangenheit von den Aufsichtsbehörden beispielsweise Bußgelder gegen eine Einzelhandelskette in Höhe von 1.462.000 € verhängt, gegen eine Bank ein Bußgeld in Höhe von 120.000 €, gegen eine Drogeriemarktkette in Höhe von 137.500 € und gegen ein Transportunternehmen in Höhe von 1.123.503,50 €.

Freitag, 21. September 2012

Haftung und Sanktionen bei Datenschutzverstößen – Übersicht



Relativ häufig wird einem in der datenschutzrechtlichen Beratungspraxis entgegnet, dass ein Datenschutzverstoß doch keine Sanktionen nach sich ziehe und das Datenschutzrecht ein "zahnloser Tiger" sei. Ich möchte in der folgenden Reihe darstellen, dass dies mitnichten der Fall ist. Vielmehr bestehen zahlreiche Sanktionsmöglichkeiten bei einem Verstoß gegen die Regeln des Datenschutzes. 

Unbestritten besteht allerdings gerade im Bereich des Datenschutzrechts eine relativ restriktive Ahndungspraxis – sowohl von Seiten der Aufsichtsbehörden als auch von Wettbewerbern und Verbraucherverbänden. Beobachtbar ist allerdings, dass sich die Ahndungspraxis in den letzten Jahren deutlich gesteigert hat, auch was die Wahrnehmung von Datenschutzverstößen in der Öffentlichkeit angeht. 

Mit der Reform des BDSG wurde zum 1.9.2009 der Bußgeldrahmen des § 43 BDSG zum einen von 25.000 € auf 50.000 € bzw. von 250.000 € auf 300.000 € erhöht. Zum anderen ist auch immer wieder in der Diskussion,  Unterlassungsansprüche - und damit eine Abmahnbefugnis - für Verbraucher- oder Datenschutzverbände zu schaffen. Darüber hinaus sieht auch der aktuelle Entwurf der Europäischen Datenschutz-Verordnung in Art. 79 DS-GVO die Verhängung von Geldbußen bis zur Höhe von 2 % des weltweiten Jahresumsatzes eines Unternehmens vor.

Teil 1: Haftung und Sanktionen bei Datenschutzverstößen - Ordnungswidrigkeitstatbestände/Bußgelder
Teil 2: Haftung und Sanktionen bei Datenschutzverstößen - Straftatbestände/Strafen

Dienstag, 18. September 2012

Kritische Zero-Day-Schwachstelle im Internet Explorer

Mit breitflächiger Ausnutzung ist zu rechnen / BSI empfiehlt temporär Nutzung eines alternativen Browsers

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hin.
Betroffen sind IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP, sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden.
Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt.
Zudem ist der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen ist.
Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.

Ein Sicherheitsupdate des Herstellers ist derzeit nicht verfügbar.
Daher empfiehlt das BSI allen Nutzern des Internet Explorers, so lange einen alternativen Browser für die Internetnutzung zu verwenden, bis der Hersteller ein Sicherheitsupdate zur Verfügung gestellt hat.
Das BSI steht bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung.
Sobald die Sicherheitslücke geschlossen ist, wird das BSI darüber informieren.

QUELLE:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn

Dienstag, 11. September 2012

Staatstrojaner-Überprüfung durch Schaar abgeschlossen

Wie heute bekannt wurde, hat der Bundesdatenschutzbeauftragte Peter Schaar seine Prüfung über den Einsatz und die rechtlichen Grauzonen des Staatstrojaners beendet.

Er bestätigt die Analyse des Chaos Computer Clubs (CCC) und mahnt ebenfalls Verbesserungen an. Die Ermittlungsbehörden, der Finanz- und der Innenminister geben dem CCC zwar in allen Kritikpunkten recht, sehen aber dennoch keine Notwendigkeit zum Handeln.

Dem CCC wurde ein Schreiben zugespielt, in dem Schaar abschließend Stellung zu seinen Erkenntnissen im Rahmen der Staatstrojanerprüfung bezieht. Der CCC stellt das Papier zum Download zur Verfügung.
Schaar hatte nach der Veröffentlichung des CCC im Oktober 2011
mit Ausnahme der Geheimdienste alle Bundesbehörden überprüft, die staatliche Spionagesoftware einsetzen.

Das Innenministerium hält nach dem Bericht daran fest, die untaugliche Verschlüsselung des Staatstrojaners weiterhin als "geeignet" zu bezeichnen, räumt allenfalls "Optimierungsspielraum" ein. Weiterhin soll auch in Zukunft der Quellcode weder für die Behörden selbst noch für Schaars Prüfbehörde einsehbar sein.
"Hier kommt eine erstaunliche Kritikunfähigkeit seitens der Behörden und des Ministeriums zum Ausdruck, denen nicht weniger als die Sicherheit und Privatsphäre der Bevölkerung anvertraut ist.

Wo sowohl gesetzlich als auch technisch erheblich nachgebessert werden müßte, verschanzt sich Innenminister Hans-Peter Friedrich hinter einem trotzigen 'Weiter so!'", sagte Dirk Engling, Sprecher des CCC.

Für den Bericht hätte Peter Schaar naturgemäß Einsicht in den Quellcode nehmen müssen. Die Trojaner-Herstellerfirma Digitask erdreistete sich jedoch, dem Bundesdatenschutzbeauftragten nur dann Einsicht zu gewähren, sofern er eine Vereinbarung zum Stillschweigen unterzeichnen sowie 1.200 Euro pro Prüfungstag als "Beratungsdienstleistung" bezahlen würde.
Schaar lehnte mit Verweis auf seine Pflichten als staatlicher Kontrolleur selbstverständlich ab.

Damit wurde eine unabhängige Beurteilung durch den Datenschutzbeauftragten faktisch verhindert. Hier zeigt sich das Erpressungspotential durch das Outsourcen von hoheitlichen Aufgaben an private, keiner effektiven Kontrolle unterliegenden Firmen.

Es hat die beteiligten Behörden zehn Monate gekostet, sich den vom CCC vorgebrachten Feststellungen zum Staatstrojaner vollumfänglich anzuschließen. Überraschenderweise zieht jedoch das BMI ganz andere Schlußfolgerungen aus den nun mehrfach bestätigten Fakten. Insbesondere hält es die in Anfängermanier zusammengestoppelte Absicherung der Kommunikation zwischen Staatstrojaner und Kontrollcomputer weiterhin für ausreichend.
"Damit wird weiterhin in Kauf genommen, daß staatliche Trojaner nicht effektiv kontrolliert und somit auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden könnten", sagte Dirk Engling, Sprecher des Chaos Computer Clubs.

Das BKA und der Zollfahndungsdienst hatten in den vergangenen Jahren in mehreren Fällen monatelang staatliche Spionagesoftware eingesetzt.
Die Anzahl der Betroffenen ist unbekannt.

QUELLE: www.ccc.de (Chaos Computer Club)