Donnerstag, 27. September 2012

Bundesdatenschutzbeauftragter und Bundesnetzagentur stellen Leitfaden zur Speicherung von Telekommunikations-Verkehrsdaten vor

Die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit haben heute in Hamburg einen gemeinsam entwickelten Leitfaden für eine datenschutzgerechte Speicherung von Verkehrsdaten bei Telekommunikationsanbietern vorgestellt.
Bei datenschutzrechtlichen Kontrollen fallen immer wieder Unternehmen auf, die Verkehrsdaten zu lange speichern, weil die gesetzlichen Regelungen zu großzügig ausgelegt werden. Das Telekommunikationsgesetz regelt zwar, wann Verkehrsdaten gespeichert werden dürfen, aber diese Regelungen sind zum Teil auslegungsbedürftig.

Peter Schaar: Mit der Bekanntgabe unserer Prüfungsmaßstäbe erhält die Telekommunikationswirtschaft ein höheres Maß an Rechtssicherheit. Zugleich werden die Rechte der Betroffenen gestärkt, die an einer datenschutzgerechten Begrenzung der Verarbeitung ihrer Verkehrsdaten interessiert sind. Ich verspreche mir von dem Leitfaden, dass die Unternehmen ihre teilweise deutlich zu langen Speicherfristen reduzieren.

Verkehrsdaten geben Informationen darüber, wer wann mit wem telefoniert hat. Oft sind weitere Informationen enthalten, etwa beim Handy die Standortdaten ("Cell-ID“) oder Seriennummer des Handys ("IMEI“). Verkehrsdaten werden nicht nur für die Telefonrechnung benötigt, sondern auch für andere Zwecke. Beispielsweise helfen sie bei der Abrechnung von Telefongesprächen. Netzbetreiber dürfen diese Daten in engen Grenzen auch zur Störungsbeseitigung verwenden.

Quelle: Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 27.09.2012

Der Leitfaden kann hier auf den Seiten des BFDI heruntergeladen werden.


Mittwoch, 26. September 2012

Videoüberwachung, Leibensvisitationen und Taschenkontrollen bei Mitarbeitern

Vor dem Arbeitsgericht Oberhausen waren mehrere Verfahren gegen die Firma B.GmbH anhängig. Diese Firma betreibt weltweit Geschäfte unter dem Namen „I.“.

Ehemalige Arbeitnehmer verlangten von ihrem Arbeitgeber die Zahlung von Schmerzensgeld wegen Verletzung ihres Persönlichkeitsrechts.

Sie begründeten dies damit, dass eine dauerhafte Überwachung bei ihrer Arbeit durch fest installierte Kameras erfolgt sein soll. Außerdem, so die Kläger, seien regelmäßig geschlechterübergreifende Leibesvisitationen und Taschenkontrollen bei den Mitarbeitern durchgeführt worden.

Die Firma B. GmbH rechtfertigte ihre Maßnahmen mit Sicherheitsinteressen und dem Zweck der Leistungskontrolle.

Das Gericht wies in seiner mündlichen Verhandlung darauf hin, dass permanente Kameraaufzeichnungen zur Leistungs- und Sicherheitskontrolle rechtlich nicht zulässig seien, wenn hierzu kein begründeter Anlass bestehe.

Eine in Aussicht gestellte Beweisaufnahme über die Überwachungspraktiken der Firma B. GmbH wurde schließlich nicht durchgeführt. Die Parteien einigten sich zuvor auf einen Vergleich. Danach soll die Firma B. GmbH an den Kläger 3.000,00 EUR zahlen. In anderen vergleichbaren Fällen, die beim Arbeitsgericht Oberhausen anhängig sind, wurden entsprechende Regelungen getroffen.

Quelle: Pressemitteilung des ArbG Oberhausen vom 07.09.2012.

Kommentar: 
Dieser Fall veranschaulicht eindrucksvoll, dass eine Videoüberwachung von Arbeitnehmern - darüberhinaus weitere Überwachungsmaßnahmen, welche einen Eingriff in das Persönlichkeitsrecht der Angestellten darstellt - nicht so ohne weiteres möglich ist, schon gar nicht mit der pauschalen Berufung auf "Sicherheitsinteressen" und der "Leistungskontrolle".
Nach meinem persönlichen Empfinden scheint es derzeit offenbar aufgrund der technischen Möglichkeiten zu einer unauffälligen, kostengünstigen und schier unbegrenzten (Speicherplatz!) optischen Datenerfassung und -speicherung zu einem regelrechten Boom bei der Videoüberwachung zu kommen. Hier muss aber zum einen bedacht werden, dass es sich bei diesen Maßnahmen um einen erheblichen Eingriff in die Persönlichkeitsrechte der betroffenen Mitarbeiter, Besucher oder (nur) Passanten kommt, welcher ohne Anlaß und ohne vorherige Bestimmung des Aufzeichungszwecks (siehe § 6b BDSG) und einer sorgsamen Abwägung mit den Interessen der Betroffenen unzulässig ist. Ferner ist natürlich - gleich ob eine Prüfung nach § 6b BDSG, § 32 BDSG oder § 28 Abs. 1 Nr. 2 BDSG erfolgt - auf die erforderliche Transparenz der Maßnahme zu achten - sprich auf die Videoüberwachung ist gem. § 6b Abs. 2 BDSG hinzuweisen.
Fraglich im oben geschilderten Fall dürfte auch sein, ob der hoffentlich vorhandene Datenschutzbeauftragte der Firma B. GmbH eine erforderliche datenschutzrechtliche Vorabkontrolle gem. § 4d Abs. 5 BDSG durchgeführt hat. Und eigentlich dürfte ein Bußgeldbescheid der zuständigen Datenschutzaufsichtsbehörde nicht lange auf sich warten lassen...

Dienstag, 25. September 2012

Haftung und Sanktionen bei Datenschutzverstößen – Ordnungswidrigkeitstatbestände und Bußgelder




Datenschutzverstöße werden gesetzlich mit den Bußgeldvorschriften des § 43 BDSG sanktioniert.

Hierbei zählt der Katalogtatbestand des § 43 Abs. 1 BDSG einzelne Vorschriften des Bundesdatenschutzgesetzes auf, bei deren vorsätzlichem oder fahrlässigem Verstoß ein Bußgeld von bis zu 50.000 € drohen.

Die in der Praxis relevantesten Normen bzw. Verstöße sind hierbei typischerweise folgende:

  • Verletzung der Pflicht zur Bestellung eines Beauftragten für den Datenschutz (§ 4f Abs. 1 Satz 1,2,3 und 6): Es wurde kein Datenschutzbeauftragter in der vorgeschriebenen Form bestellt, obwohl die Bestellung eines solchen gesetzlich vorgeschrieben ist oder es wurde ein Datenschutzbeauftragter zwar formal korrekt bestellt, dieser entfaltet aber keine Tätigkeiten als Datenschutzbeauftragter (Scheinbestellung, Pseudo-Bestellung). Ein Verstoß liegt auch vor, wenn bei dem bestellten Datenschutzbeauftragten aufgrund einer unzulässigen Interessenkollisionen die notwendige Zuverlässigkeit gemäß 4f Abs. 2 Satz 1 BDSG fehlt.
  • Pflichtverletzungen im Zusammenhang mit Maßnahmen der Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 2, § 11 Abs. 2 Satz 4 BDSG): Ein Bußgeld droht dann, wenn ein Auftrag im Rahmen der Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde (also typischerweise einer der Punkte aus dem Katalog des § 11 Abs. 2 Satz 1 fehlt oder unvollständig geregelt ist) oder sich der Auftragnehmer bei der Auftragsdatenverarbeitung nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt.
  • Unterlassen der Unterrichtung des Betroffenen bei der Nutzung von Daten für Werbezwecke und für den Adresshandel (§ 28 Abs. 4 Satz 2 BDSG): Der Betroffene ist gemäß § 28 Abs. 4 BDSG bei der Ansprache zum Zwecke der Werbung oder Markt- und Meinungsforschung bzw. bei der Begründung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unterrichten.
  • Verstöße bei der Erteilung einer Auskunft an den Betroffenen (§ 34 BDSG): Das Auskunftsbegehren eines Betroffenen wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder die erforderlichen Daten werden entgegen § 34 Absatz 1a BDSG nicht gespeichert. Letzteres wird insbesondere durch die Neuregelung des BDSG aus dem Jahre 2009 und 2010 und auch durch das Auslaufen der Übergangsvorschriften aus§ 47 BDSG zum 31.08.2012 relevant, wonach in bestimmten Fällen für die Dauer von zwei Jahren nach Erhalt/Übermitteln von personenbezogenen Daten die Datenherkunft gespeichert werden muss.


Ein Verstoß gegen die Ordnungswidrigkeitentatbestände des § 43 Abs. 2 BDSG zieht ein Bußgeld von bis zu 300.000 € nach sich. § 43 Abs. 2 BDSG pönalisiert insbesondere Pflichten beim Umgang mit personenbezogenen Daten. Hervorzuheben sind folgende Tatbestände:

  • Unbefugtes Erheben oder Verarbeiten von personenbezogenen Daten, die nicht allgemein zugänglich sind
  • Unbefugtes Abrufen und Verschaffen von nicht allgemein zugänglichen personenbezogenen Daten
  • Zweckentfremdete Nutzung entgegen § 28 Abs. 5 Satz 1 BDSG / § 29 Abs. 4 BDSG von übermittelten personenbezogenen Daten
  • Verstoß gegen das Koppelungsverbot des § 28 Abs. 3b BDSG, also das Abhängigmachen eines Vertragsschlusses von der Einwilligung des Betroffenen
  • Das Missachten eines Widerspruchs des Betroffenen gemäß § 28 Abs. 4 Satz 1 BDSG zur Nutzung seiner personenbezogenen Daten für Werbezwecke
  • Verletzung von Informationspflichten bei Datenschutzverstößen gemäß § 42a BDSG


Zu beachten ist, dass ein Bußgeldtatbestand mit jedem einzelnen Vergehen verwirklicht wird. D.h. wahrscheinlich ist eine Kumulation von vielen (kleinen?) Datenschutzverstößen bei der Handhabung einer datenschutzwidrigen Praxis. So wurden in der Vergangenheit von den Aufsichtsbehörden beispielsweise Bußgelder gegen eine Einzelhandelskette in Höhe von 1.462.000 € verhängt, gegen eine Bank ein Bußgeld in Höhe von 120.000 €, gegen eine Drogeriemarktkette in Höhe von 137.500 € und gegen ein Transportunternehmen in Höhe von 1.123.503,50 €.