Bundesregierung will Datenschutz beim Melderecht aushebeln

In einer Nacht- und Nebelaktion hat der Deutsche Bundestag am 29.06.2012 ein „Gesetz zur Fortentwicklung des Meldewesens“ beschlossen, welches das bisherige Melderecht auf den Kopf stellen würde: Bisher dienen Melderegister vorrangig als Adress- und Datenbeschaffer für die öffentliche Verwaltung, und im Rahmen einer Abwägung auch für private Interessenten, etwa für Gläubiger, die auf der Suche nach Schuldnern sind, die sich einem Forderungseinzug entziehen wollen, oder für Adressbuchverleger, vorausgesetzt der Bürger hat der Eintragung nicht widersprochen. Mit der in zweiter Lesung beschlossenen Gesetzesänderung würden Firmen nun für „Zwecke der Werbung oder des Adresshandels“ Melderegisterauskünfte erhalten, selbst wenn die betroffene Person Widerspruch eingelegt hat, „wenn die Daten ausschließlich zur Bestätigung oder Berichtigung bereits vorhandener Daten verwendet werden“.

Diese unscheinbare Änderung hätte gravierende Konsequenzen für die betroffenen Bürgerinnen und Bürger und die Kommunen mit ihren Meldebehörden. Profitieren würden vor allem Auskunfteien und Adresshändler. Diese können sich bisher und nach dem ursprünglichen Entwurf keine Adressen aus dem Melderegister ohne Einwilligung der Betroffenen beschaffen. Dieses Verbot umgehen viele Adresshändler heute, indem sie für Gläubiger auftragshalber Meldeauskünfte vermitteln und diese danach für eigene Zwecke weiternutzen. Diese illegale Praxis soll nun anscheinend legalisiert und massiv ausgeweitet werden:

Mit der Änderung würde eine nicht aktuelle Adresse genügen, und schon könnten die Firmen sich die behördlich beschafften, geprüften aktuellen Adressen besorgen. Riesige inaktuelle private Datenbestände gibt es zuhauf. Adresshändler könnten sich einfach wertvolle Behördendaten beschaffen und diese danach teuer weiterveräußern. Zugleich würden dadurch den Kommunen wichtige Einnahmequellen, die Gebühren für Melderegisterauskünfte, genommen, weil Interessenten, z. B. Gläubiger, sich bei den Adressenhändlern bedienten und nicht mehr zu den Meldebehörden gehen müssten.

Dazu der Kommentar des Leiters des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein: „Ich bin schockiert über Form und Inhalt der Gesetzgebung. An Kommunen und Datenschützern vorbei werden hier wirtschaftliche Lobbyinteressen bedient. Nach der Beschlussfassung zu einer Stiftung Datenschutz, die in der vorgesehenen Form nur einer Wirtschaft dient, die Datenschutz als Billigware haben möchte, ist dies innerhalb kürzester Zeit ein zweiter Sündenfall und ein weiterer Schlag ins Gesicht all derer, die dem Versprechen der Koalitionsvereinbarung vertraut haben, den Datenschutz der Bürgerinnen und Bürger zu stärken.

Wir können nur hoffen, dass der Bundesrat diesen gefährlichen Unsinn stoppt.“

PRESSEMITTEILUNG vom 04.07.2012 DES:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Holstenstr. 98, 24103 Kiel

Datenschutz hat für die deutsche Bevölkerung einen anhaltend hohen Stellenwert

Zu diesem Schluss kommt eine aktuelle Unisys-Studie vom Mai 2012 .

Danach fürchten 68% der für die Studie befragten ca. 1000 Teilnehmer einen Diebstahl oder einen Missbrauch ihrer persönlichen Daten.

81% der Befragten befürworten gesetzliche Verpflichtungen für Unternehmen dahingehend, die bestmöglichen Maßnahmen zur Datensicherheit zur Gewährleistung des Schutzes personenbezogener Maßnahmen zu ergreifen. Nach Ansicht von 69% sollten diese Maßnahmen von unabhängigen Institutionen geprüft und zertifiziert werden.

Interessant ist auch die Aussage der Studie zum Anfang des Jahres kontrovers diskutierten Thema "EU-Datenschutzverordnung": Nur 23% der Teilnehmer der Studie sind der Ansicht, dass die deutschen Datenschutzregelungen einer EU-weiten und einheitlichen Datenschutzverordnung weichen sollten.

Unserer Ansicht nach unterstreicht das Ergebnis der Studie, dass Unternehmen das Thema Datenschutz ernst nehmen und in ihrer Unternehmenskultur verankern sollten. Denn neben der gesetzlichen Pflicht zur Beachtung der gesetzlichen Datenschutzregelungen nimmt der Schutz personenbezogener Daten von Kunden und Mitarbeiter generell einen hohen Stellenwert ein.

Zur datenschutzrechtlichen Zulässigkeit einer verdeckten Videoüberwachung von Arbeitnehmern

Kündigung wegen Entwendung von Zigarettenpackungen - Verdeckte Videoüberwachung

Entwendet eine Verkäuferin Zigarettenpackungen aus dem Warenbestand des Arbeitgebers, kann dies auch nach längerer - im Streitfall zehnjähriger - Betriebszugehörigkeit eine Kündigung des Arbeitsverhältnisses rechtfertigen. Führte eine verdeckte Videoüberwachung zur Überführung der Täterin, kann das auf diese Weise gewonnene Beweismaterial im Bestreitensfall prozessual allerdings nicht ohne Weiteres verwertet werden. Das entsprechende Interesse des Arbeitgebers hat gegenüber dem Schutz des informationellen Selbstbestimmungsrechts der Arbeitnehmerin nur dann höheres Gewicht, wenn die Art der Informationsbeschaffung trotz der mit ihr verbundenen Persönlichkeitsbeeinträchtigung als schutzbedürftig zu qualifizieren ist. Dies ist bei verdeckter Videoüberwachung nur dann der Fall, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, es keine Möglichkeit zur Aufklärung durch weniger einschneidende Maßnahmen (mehr) gab und die Videoüberwachung insgesamt nicht unverhältnismäßig war. Unter diesen strengen Voraussetzungen wiederum stehen Vorschriften des Bundesdatenschutzgesetzes (BDSG) der verdeckten Videoüberwachung auch an öffentlich zugänglichen Arbeitsplätzen nicht entgegen. Zwar bestimmt § 6b Abs. 2 BDSG, dass bei Videoaufzeichnungen in öffentlich zugänglichen Räumen der Umstand der Beobachtung und die verantwortliche Stelle erkennbar zu machen sind. Bei einem Verstoß gegen diese Pflicht wird aber nicht jedwede Videoüberwachungsmaßnahme an öffentlich zugänglichen Arbeitsplätzen per se unzulässig.
In Anwendung dieser Grundsätze hat der Zweite Senat des Bundesarbeitsgerichts die Entscheidung der Vorinstanz aufgehoben, soweit diese die Kündigungsschutzklage einer Verkäuferin abgewiesen hat. Die Beklagte ist ein bundesweit tätiges Einzelhandelsunternehmen. Die Klägerin war bei ihr zuletzt als stellvertretende Filialleiterin beschäftigt. Für drei Wochen im Dezember 2008 installierte die Beklagte mit Zustimmung des Betriebsrats verdeckte Videokameras in den Verkaufsräumen. Sie hat geltend gemacht, es habe der Verdacht bestanden, dass auch Mitarbeiterdiebstähle zu hohen Inventurdifferenzen beigetragen hätten. Auf dem Mitschnitt sei zu sehen, wie die Klägerin bei zwei Gelegenheiten jeweils zumindest eine Zigarettenpackung aus dem Warenbestand entwendet habe. Die Beklagte kündigte das Arbeitsverhältnis fristlos, hilfsweise fristgerecht. Die Klägerin hat bestritten, Zigaretten entwendet zu haben. Nach Einnahme des Augenscheins in die Videoaufzeichnungen hat das Landesarbeitsgericht den Kündigungsvorwurf als erwiesen erachtet und die Klage gegen die ordentliche Kündigung abgewiesen.
Der Senat hat die Sache zur weiteren Aufklärung an das Landesarbeitsgericht zurückverwiesen. Zwar ist die Würdigung des Landesarbeitsgerichts nicht zu beanstanden, die - allein noch im Streit stehende - ordentliche Kündigung sei nach dem zugrunde gelegten Sachverhalt sozial gerechtfertigt. Es steht aber noch nicht fest, ob die Voraussetzungen für eine prozessuale Verwertung der Videoaufzeichnungen gegeben sind.

Bundesarbeitsgericht, Urteil vom 21. Juni 2012 - 2 AZR 153/11 -
Vorinstanz: Landesarbeitsgericht Köln, Urteil vom 18. November 2010 - 6 Sa 817/10 -

Quelle: Pressemitteilung des Bundesarbeitsgerichts vom 21.06.2012

Auftragsdatenverarbeitung vs. Funktionsübertragung – Teil 2: Unterscheidungskriterien

Wie ich bereits berichtet habe, ist die Entscheidung, ob in einem konkreten Fall nun eine Auftragsdatenverarbeitung gem. § 11 BDSG vorliegt oder Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG als sog. Funktionsübertragung vorliegt, manchmal gar nicht so einfach.
Ich kann mich daran erinnern, dass ich bereits in mehreren Fällen (mehr oder weniger leidenschaftlich) mit einem Vertragspartner eines Mandanten über diese Frage gestritten habe, manchmal für und manchmal gegen eine Auftragsdatenverarbeitung, da wie noch dargestellt wird, die Unterscheidung ungemeine datenschutzrechtliche Auswirkungen hat.

Ein recht offenes Geheimnis ist auch, dass man bei Kenntnis der Unterscheidungskriterien durch eine einigermaßen geschickte juristische Ausgestaltung durchaus eine Auftragsdatenverarbeitung oder eine Funktionsübertragung „formen“ kann.

Ausschlaggebend bei einer Auftragsdatenverarbeitung im Sinne des § 11 BDSG ist, dass der Auftragnehmer eine Datenverarbeitung ganz streng nach Weisung des Auftraggebers durchführt. Dem Auftragnehmer verbleibt also kein Entscheidungsspielraum oder eine gewisse Eigenständigkeit bei der Frage, wie oder welche Daten verarbeitet werden. Keinesfalls erbringt der Auftragnehmer über die technische Datenverarbeitung hinaus materielle vertragliche Leistungen. Es wird folglich nicht die Aufgabe selbst vom Auftraggeber ausgelagert (dann Funktionsübertragung), sondern nur der zur Erfüllung der Aufgabe des Auftraggebers erforderliche Umgang mit den personenbezogenen Daten.

Die Datenschutzaufsichtsbehörden – namentlich das Ministerium des Innern des Landes Sachsen-Anhalt der Landesbeauftragte für den Datenschutz Sachsen-Anhalt haben vor einigen Jahren folgende „Erkennungsmerkmale“ für eine Auftragsdatenverarbeitung benannt:

• dem Auftragnehmer fehle jegliche Entscheidungsbefugnis
• der Auftraggeber sei strikt an Weisungen des Auftraggebers dahingehend gebunden, was mit den Daten zu geschehen habe
• grundsätzlich habe der Auftraggeber nur mit Daten umzugehen, welche der Auftraggeber zur Verfügung stelle, außer die Beauftragung des Auftragnehmers sei auch auf die Erhebung personenbezogener Daten gerichtet
• eine Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auftragnehmers sei ausgeschlossen
• es bestehe keine (vertragliche) Beziehung des Auftragnehmers zu derjenigen Person, deren personenbezogene Daten verarbeitet werden
• der Auftragnehmer trete (gegenüber dem Betroffenen) nicht in eigenem Namen auf

Eine Funktionsübertragung, also eine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG liegt immer dann vor, wenn der Auftragnehmer „eigenverantwortlich“ personenbezogene Daten verarbeitet, also ohne klare und unmissverständliche Weisungen von Seiten des Auftraggebers agiert, indem dem Auftragnehmer ein eigener Ermessenspielraum verbleibt, wie er mit den Daten umgeht, z.B. weil ihm die inhaltliche Organisation des Geschäftsablaufs überlassen wird oder der Auftraggeber keine Möglichkeit hat, den Auftragnehmer im Umgang mit personenbezogenen Daten zu beeinflussen. Oftmals erkennt man eine Funktionsübertragung auch daran, dass die Datenüberlassung sozusagen nur ein Nebenzweck der Beauftragung zu einer anderen eigenständigen Leistung ist, sozusagen ein „notwendiges Übel“. Beispielsweise, wenn ein Rechtsanwalt eine Klage zu führen hat oder ein Steuerberater eine Steuererklärung für seinen Mandanten erstellt.

Die oben genannten Aufsichtsbehörden haben zur Funktionsübertragung folgende „Erkennungsmerkmale“ definiert:

• der Auftragnehmer sei frei von Weisungen dahingehend, was mit den Daten geschieht
• dem Auftragnehmer werden eigene Nutzungsrechte an den Daten eingeräumt
• der Auftragnehmer ist selbst für die Sicherstellung der Zulässigkeit und Richtigkeit der Daten verantwortlich und sichert auch eigenverantwortlich die Betroffenenrechte 
• der Auftragnehmer tritt gegenüber dem Betroffenen – also dessen Daten verarbeitet werden, im eigenen Namen auf
• dem Auftragnehmer verbleibt eine Entscheidungsbefugnis in der Sache selbst

Ich denke, man merkt, wie vage manche dieser „Erkennungsmerkmale“ sind bzw. wie schwierig dies in der Praxis oftmals zu beurteilen ist.

Angriff auf Microsofts Ansatz zu "Datenschutz durch Grundeinstellung"

ULD „FTC diskreditiert sich als Datenschutzinstanz“

Am 31.05.2012 kündigte Microsoft Inc. für eine neue Version des Internet Explorers (IE10) in Windows 8 an, per Grundeinstellung mit Hilfe des sog. „Do Not Track-Signal“ (DNT) angesurften Webservern mitzuteilen, dass ein Verfolgtwerden über verschiedene Internetseiten (Tracking) unerwünscht ist. Microsoft würde als erster Browseranbieter die Forderung von Daten- und Verbraucherschützern nach datenschutzfreundlichen Grundeinstellungen (engl.: privacy by default) in Hinblick auf „Do Not Track“ umsetzen. „Privacy by Default“ wird auch in der im Januar 2012 von der EU-Kommission vorgeschlagenen Europäischen Datenschutz-Grundverordnung gefordert.

Im World Wide Web Consortium (W3C, www.w3.org), das für eine Standardisierung von Techniken im World Wide Web zuständig ist, wurde Microsoft insbesondere von Industrievertretern kritisiert. Der aktuelle Entwurf einer DNT-Vereinbarung verbiete Browsern eine Default-Lösung.

Durch die IE10-Voreinstellung wäre für die Nutzenden keine weitere Aktion nötig, um die Aussendung des DNT-Signals zu veranlassen. Die Industrie erwartet Einbrüche bei den Werbeeinnahmen, wenn das DNT-Signal von den Webserver-Betreibern beachtet werden muss. Akzeptiert würde nur eine Lösung, bei der die Nutzenden aufgefordert werden, eine aktive Entscheidung für oder gegen das Tracking zu treffen. In welchem Maße davon auch die Verfolgung im Internet mit Hilfe von sog. Cookies umfasst sein wird (Do Not Collect), ist noch offen.

Microsofts Initiative wurde bereits von zwei Abgeordneten des US-amerikanischen Kongresses begrüßt. Nun meldete sich die US-amerikanische Wettbewerbs- und Verbraucherschutzbehörde, die Federal Trade Commission (FTC), zu Wort. Sie kritisiert, Microsoft würde durch die Voreinstellung die Verbraucherinnen und Verbraucher bevormunden.

Thilo Weichert, Leiter des ULD: „Datenschutz durch Grundeinstellungen sowie Privacy by Design sind in Europa und zunehmend auch in den USA anerkannte Ziele eines modernen Datenschutzes. Unsere vernetzte Welt wird immer undurchschaubarer für Verbraucherinnen und Verbraucher.

Unkomplizierte, von den Nutzenden veränderbare Voreinstellungen sind wichtig zur Umsetzung des Datenschutzes. In Microsofts ´Privacy by Default`-Ansatz werden die Wahlmöglichkeiten der Nutzenden eben nicht eingeschränkt. Mit der Verwendung des neuen Internet Explorers könnten Verbraucherinnen und Verbraucher in diesem Punkt datenschutzfreundliche Browsersoftware wählen. Der Normalfall soll und muss die Internetzung ohne Profilbildung durch Tracking sein, nicht informationelle Ausbeutung und Fremdbestimmung. Mit ihrer Stellungnahme diskreditiert sich die FTC, die für die Verbraucher da sein sollte. Sie macht sich so zum Handlanger der US-Werbeindustrie. Microsoft sollte sich nicht einschüchtern lassen; es ist absehbar, dass anders programmierte Browser in Europa bald unzulässig sind.“

26. Juni 2012

P R E S S E M I T T E I L U N G des ULD

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Verarbeitungsübersicht und Verfahrensverzeichnis

Diese beiden Begriffe sorgen immer wieder für Fragen.

Um was handelt es sich, wer erstellt und pflegt sie, was müssen sie enthalten, wozu ist das Ganze nötig ?

Laut §4g Abs. 2 hat eine verarbeitende Stelle folgende Übersichten zu führen:

1. Eine interne Verfahrensübersicht (oft auch internes Verfahrensverzeichnis genannt)
2. Ein öffentliches Verfahrensverzeichnis

Der Gesetzestext ist recht schlicht gehalten, so dass oft viele Fragen offen bleiben, die wir hier ein wenig beleuchten wollen.

1.       Die interne Verfahrensübersicht (das interne Verfahrensverzeichnis)

In erster Linie dient diese Sammlung von Informationen dem Datenschutzbeauftragten bei der Prüfung auf eine rechtmäßige Datenverarbeitung.

Je Verfahren (Prozess) in dem personenbezogene Daten verarbeitet werden ist eine Übersicht zu erstellen.

Diese Übersicht muss folgende Daten enthalten:

•  Name oder Firma der verantwortlichen Stelle
• Inhaber, Geschäftsführer, Vorstände oder sonstige mit der Leitung der Datenverarbeitung beauftragte Personen 
• Anschrift der verantwortlichen Stelle
• Zweckbestimmung der Datenerhebung, Datenverarbeitung oder Datennutzung
• Beschreibung der betroffenen Personengruppen und der dazugehörigen Datenkategorien
• Empfänger an die Daten weitergeleitet werden können
• Übermittlung der Daten in Drittstaaten
• Informationen über Maßnahmen nach §9 BDSG (zur Gewährleistung der Datensicherheit)
• Zugriffsberechtigte Personen
• Regelfristen für die Datenlöschung

Anhand dieser Daten kann der Datenschutzbeauftragte Schlüsse ziehen, ob eine rechtmäßige Speicherung und/ oder Verarbeitung stattfindet.
Er kann dann rechtzeitig eingreifen und gegebenenfalls geeignete Maßnahmen zur Korrektur einleiten.

Häufig wird die Auffassung vertreten, dass nur Verfahren automatisierter Verarbeitungen im Sinne des §3 Abs. 2 BDSG aufzunehmen sind, jedoch sind auch nicht automatisierte Verfahren zu dokumentieren.

Diese Pflicht ergibt sich aus dem §4g Abs. 2 BDSG.

Auch Verfahren die durch einen Dienstleister ausgeführt werden sind aufzunehmen.

Der Datenschutzbeauftragte prüft in diesem Fall auch, ob eine Auftragsdatenverarbeitung im Sinne des §11 BDSG vorliegt.

2.       Das öffentliche Verfahrensverzeichnis

Laut §4g Abs. 2. Satz 2 BDSG macht der Datenschutzbeauftragte Angaben nach §4e Satz 1 Nr.1 -8 BDSG.

Diese Angaben stellt er auf Antrag jedermann in geeigneter Weise zur Verfügung.

Diese Maßnahme dient der Transparenz über Art und Weise, wie ein Unternehmen mit personenbezogenen Daten umgeht.

Im Gegensatz zum internen Verfahrensverzeichnis beinhaltet das öffentliche Verfahrensverzeichnis bedeutend weniger Informationen.

Die Verfahren werden pauschal und vereinfacht dargestellt. Personen und technische Maßnahmen sind nicht enthalten.

Wer ist in der Pflicht ?

Für die Erstellung und Aktualisierung der Verzeichnisse ist die verantwortliche Stelle zuständig, nicht der Datenschutzbeauftragte.

Dieser beurteilt die Informationen und berät die verantwortliche Stelle im Hinblick auf die Rechtmäßigkeit.

Die beiden Verzeichnisse sind ein elementarer Baustein bei der Umsetzung des Datenschutzes im Unternehmen. Gerne beraten wir Sie bei der Erstellung Ihrer Verzeichnisse.

Michael Bätzler

Auftragsdatenverarbeitung vs. Funktionsübertragung – Teil 1: Begrifflichkeiten

Der datenschutzrechtlichen Auftragsdatenverarbeitung und der Funktionsübertragung sind gemein, dass in beiden Konstellationen ein Unternehmen personenbezogene Daten für ein anderes Unternehmen verarbeitet.
Die Unterschiede in der datenschutzrechtlichen Verantwortlichkeit und Haftung (siehe Teil 3 der Reihe) und die Konsequenzen für den Datenschutzbeauftragten (siehe Teil 4 der Reihe) sind allerdings gravierend.
Dumm nur, dass es in der Praxis oftmals gar nicht so einfach ist, im konkreten Fall zu entscheiden, ob nun eine Auftragsdatenverarbeitung oder eine Funktionsübertragung vorliegt (siehe Teil 2 der Reihe).
Gerade beim Outsourcing von diversen Leistungen steht man oft vor der Frage, ob entweder das eine oder das andere vorliegt.

Worum geht es bei der Auftragsdatenverarbeitung und der Funktionsübertragung nach Datenschutzrecht?

Fangen wir einmal ganz vorne an:
Szenario 1: Eine datenverarbeitende Stelle
Einfachster Fall, der letztendlich weder eine Auftragsdatenverarbeitung noch eine Funktionsübertragung darstellt, aber der Veranschaulichung dienen soll, ist, dass es ein Unternehmen gibt, das die personenbezogenen Daten selbst (für eigene Zwecke) verarbeitet. Hier existieren typischerweise verschiedene Abteilungen, zwischen denen personenbezogene Daten übertragen werden, beispielsweise zur Rechtsabteilung, Buchhaltung, Vertrieb oder IT-Abteilung/Server.
Da die Daten nur innerhalb des Unternehmens, also der verantwortlichen Stelle im Sinne des § 3 Abs. 7 BDSG, übertragen werden, stellt dies keine Datenübermittlung im datenschutzrechtlichen Sinne gem. § 3 Abs. 4 Nr. 3 BDSG dar.

Szenario 2: Funktionsübertragung/Datenübermittlung
Es bestehen zwei Unternehmen, wobei ein Unternehmen vom anderen beauftragt wird, bestimmte Leistungen zu erbringen. Hierzu werden auch personenbezogene Daten übertragen. Das datenverarbeitende Unternehmen erarbeitet und liefert ein bestimmtes Ergebnis oder eine bestimmte Leistung, erbringt beispielsweise eine Rechtsberatung oder eine Steuerberatung.
Liegt eine Funktionsübertragung vor, werden personenbezogene Daten an das verarbeitende Unternehmen im Sinne von § 3 Abs. 4 Nr. 3 BDSG übermittelt.

Szenario 3: Auftragsdatenverarbeitung
Auch hier bestehen zwei Unternehmen. Ein Unternehmen beauftragt das andere Unternehmen mit einer Datenverarbeitung. Hier greift § 11 BDSG mit der Konsequenz, dass so etwas wie ein „Mittelding“ zwischen Szenario 1 und Szenario 2 ensteht. Obwohl hier zwei Unternehmen wie in Szenario 2 bestehen, zwischen welchen personenbezogene Daten ausgetauscht werden, wird die Angelegenheit ähnlich wie in Szenario 1 gesehen, in welchem die Daten nicht im datenschutzrechtlichem Sinne von § 3 Abs. 4 Nr. 3 BDSG übermittelt (sondern nur „genutzt“ im Sinne des § 3 Abs. 5 BDSG) werden. Um im bildlichen Sinne eine ähnlich enge Bindung wie in Szenario 1 herzustellen, wird das datenverarbeitende Unternehmen – der Auftragnehmer bei der Auftragsdatenverarbeitung gem. § 11 BDSG – über eine notwendige vertragliche Vereinbarung ganz eng an den Auftraggeber gebunden. Letztendlich entscheidet in dieser Konstellation der Auftraggeber bis ins Detail, welche personenbezogene Daten in welcher Art und Weise zu verarbeiten sind. Das kann zum Beispiel der Fall sein, wenn ein Rechenzentrum statt der eigenen IT-Abteilung mit der Datenverarbeitung beauftragt wird oder statt die eigene Vertriebsabteilung ein externer Lettershop oder Callcenter mit der Kontaktierung der Kunden beauftragt wird.

Facebook erneut im Visir der Aufsichtsbehörden

PRESSEMITTEILUNG DES ULD VOM   16.05.2012

 

Am 11. Mai 2012 ist Facebook erneut mit Vorschlägen für die Änderung seiner Datenverwendungsregeln an die Öffentlichkeit getreten. Zwei solcher Versuche des einseitigen Festlegens der Verarbeitungsbestimmungen waren schon erfolglos, weil jeweils über 7000 Nutzende den Vorschlägen widersprochen hatten. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat die geplanten Änderungen gesichtet und musste feststellen, dass erneut keine wesentlichen Verbesserungen und sogar weitere Verschlechterungen aus Datenschutzsicht vorgesehen sind, z. B. Ermächtigungen für eine noch längere Speicherung und Nutzung der Daten. Wenn wirklich etwas mehr Transparenz hergestellt wird, dann dadurch, dass die unzulässigen Verarbeitungen genauer beschrieben werden.

Die vom irischen Datenschutzbeauftragten vor fünf Monaten geäußerte Kritik in einem Auditbericht wird zwar aufgegriffen, aber die dort geforderten tatsächlichen Änderungen nicht umgesetzt. Der Leiter des ULD ´Thilo Weichert kommentiert:

„Facebook nervt, indem es die Öffentlichkeit mit immer wieder neuen Scheinmanövern hinhält. Facebook muss nicht einfach sein Kleingedrucktes ändern, sondern seine Geschäftspolitik und seine Datenverarbeitung.

Hierüber muss dann Transparenz hergestellt werden. Reale Optionsmöglichkeiten sind für die Betroffenen einzurichten, wobei die Grundeinstellung auf weitestgehende Vertraulichkeit ausgerichtet sein muss. Die Übermittlung von Nutzungsdaten in die USA ist zu stoppen.

Reale Transparenz könnte Facebook herstellen, indem das Unternehmen uns Aufsichtsbehörden aussagekräftige Dokumentationen vorlegen würde. Dies wurde dem ULD im September 2011 versprochen. Bis heute haben wir aber nichts erhalten.

Wir können Facebook-Nutzenden nur ein weiteres Mal empfehlen, gegen die geplanten Datenverwendungsrichtlinien Einspruch einzulegen. Forderungen dazu finden sich unter www.our-policy-org. Würden diese umgesetzt, wäre Facebook zwar noch nicht in der Rechtskonformität angelangt, aber auf dem Weg dorthin. Jedem, der meint, Facebook behördlich oder kommerziell nutzen zu müssen, empfehle ich die Lektüre der bisherigen und der geplanten Datenverwendungsregelungen, um zu erfahren, mit welchem windigen Unternehmen er kooperiert. Und wer meint, mit Datenschutzverstößen reich werden zu können und gefasst ist, sich hierbei zu täuschen, dem ist nach Börsengang von Facebook der Aktienkauf zu empfehlen. Das ULD hofft, dass das Verwaltungsgericht Schleswig jetzt bald die Termine für die Verfahren gegen unsere Facebook-Verfügungen festlegt, auch wenn zwei Kläger ihre Klagebegründungen immer noch nicht vorgelegt haben.“

Die geplanten Änderungen der Datenverwendungsrichtlinien finden sich unter

https://www.facebook.com/note.php?note_id=10151730729670301

Analytics-Nutzer im Visier des Bayerischen Landesamt für Datenschutzaufsicht

Das BayLDA hat in einem ersten Durchgang 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft. 

Hierfür hat es eine eigene Software entwickelt, mit der automatisiert festgestellt werden kann, ob Google Analytics entsprechend den o.g. Vorgaben eingesetzt wird. 

Geplant ist, in absehbarer Zeit auch die datenschutzkonforme Nutzung anderer Programme zur Reichweitenmessung zu überprüfen.

Die Prüfung hatte zum Ergebnis, dass auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wird und bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform einsetzen. 

Soweit der Einsatz nicht datenschutzkonform erfolgt, wird das BayLDA an die übrigen 2.371 Webseitenbetreiber herantreten, sie über das Ergebnis der Prüfung informieren und auffordern, den Einsatz des Programms gemäß den o.g. Vorgaben datenschutzkonform zu gestalten.

"Die Webseitenbetreiber in Bayern, die noch Defizite bei der Umsetzung der datenschutzrechtlichen Vorgaben aufweisen, werden von uns angeschrieben und in einem ersten Schritt aufgefordert, diese zu beheben. Wir sehen dies als Beitrag zur Qualitätssicherung für die Unternehmen einerseits und Sicherstellung des Schutzes des allgemeinen Persönlichkeitsrechts der Nutzer andererseits an“ so Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.

Laut dem Nachrichtensender n-tv wurden bereits sechsseitige Schreiben an die besagten Unternehmen versandt.

Bußgeldverfahren wollen die Bayern vorerst allerdings vorerst nur für den Fall einleiten, wenn ein Webseitenbetreiber sich nach entsprechender Aufforderung durch das BayLDA nachhaltig weigert, sein Programm anzupassen. 

Dann könnten Strafen von bis zu 50.000 Euro fällig werden.

Mitarbeiterfotos im Internet

Die Veröffentlichung von Fotos seiner Mitarbeiter auf der Website und einem News-Blog kann die Persönlichkeitsrechte der abgebildeten Person verletzen, wenn diese aus dem Unternehmen zwar ausgeschieden ist, die Informationen über diese Person aber weiterhin im Internet auf der Firmenseite abrufbar sind.

Dies hat das LAG Hessen in seinem Urteil vom 24.01.2012 - Az. 19 SaGa 1480/11 entschieden.

Eine Rechtsanwältin war auf der Website der Kanzlei abgebildet, bei welcher sie angestellt war. Ferner fand sich im News-Blog der Kanzlei ein Hinweis, dass die Anwältin das Anwaltsteam in einem bestimmen Rechtsgebiet unterstütze nebst Angaben zu ihrem Profil mit einem Foto. Die dort veröffentlichten Informationen stammten von der beschäftigten Rechtsanwältin selbst.

Nachdem das Arbeitsverhältnis von Seiten des Arbeitgebers gekündigt wurde, versäumte es die Kanzlei trotz entsprechender Aufforderung, die genannten Informationen und das Foto ihrer ehemaligen Arbeitnehmerin aus dem Blog zu entfernen. Die Aufführung auf der Kanzleiwebsite wurden hingegen entfernt.

Dies verletze die ehemalige Arbeitnehmerin in ihrem Persönlichkeitsrecht, insbesondere an ihrem Recht am eigenen Bild - so das LAG Hessen, welches das Urteil des Arbeitsgerichts Frankfurt am Main vom 05. Oktober 2011 – 13 Ga 160/11 - bestätigte.

Es fehle an der erforderliche Einwilligung zur Darstellung dieser Informationen und des Bildnisses. Eine Einwilligung, welche die ehemalige Arbeitnehmerin durch die Mitarbeit an der Veröffentlichung erteilt habe, sei inzwischen wirksam widerrufen worden. Als Widerrufsgrund genüge das Ausscheiden aus dem Arbeitsverhältnis.
Zudem könne der Eindruck entstehen, dass auf den Webseiten dargestellte Person noch in dem Unternehmen arbeite, da ein Nutzer davon ausgehen könne, dass eine professionell geführte Homepage aktualisiert werde.

Es sei, so das Gericht, der ehemaligen Arbeitnehmerin nach Beendigung des Arbeitsverhältnisses nicht mehr zuzumuten, dass der ehemalige Arbeitgeber mit ihrem Profil werbe. Denn es sei evident, dass die Einwilligung der ehemaligen Mitarbeiterin in die Veröffentlichung nur für die Dauer der Beschäftigung gelten solle. Damit konnte sie ihre Einwilligung nach Beendigung des Arbeitsverhältnisses wirksam widerrufen.

Link zum vollständigen Urteil

Facebooks "Freundefinder" verstößt gegen deutsches Datenschutzrecht

Keine Freundschaftsanfragen ohne Einwilligung des kontaktierten Verbrauchers, kein unzureichender Hinweis bei der Registrierung eines neuen Facebook-Nutzers auf den Import von E-Mail-Adressen sowie Vertragsklauseln u.a. zur Nutzung von IP-Inhalten, Werbung und den „Facebook-Datenschutzrichtlinien“ unwirksam: Auf Klage des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände hat das Landgericht Berlin heute der Facebook Ireland Limited die Versendung entsprechender Anfragen an Dritte und die Verwendung eines unzureichenden Hinweises auf Datenimport bei der Registrierung sowie die Verwendung verschiedener Vertragsklauseln untersagt.
Nach Auffassung des Landgerichts sind die entsprechende Werbepraxis von Facebook und die verwendeten Klauseln mit wettbewerbsrechtlichen Grundsätzen sowie den Regeln über Allgemeine Geschäftsbedingungen nicht vereinbar.

Landgericht Berlin, Urteil vom 6. März 2012
- 16 O 551/10 -

Quelle: Pressemitteilung des LG Berlin