Haftung und Sanktionen bei Datenschutzverstößen – Schadensersatz und Schmerzensgeld

Entsteht dem von einem Datenschutzverstoß Betroffenen einen materieller oder immaterieller Schaden, so steht ihm die Geltendmachung von Schadensersatz (oder bei immateriellen Schäden gemeinhin Schmerzensgeld genannt) aus mehreren Ansprüchen offen: Zum einen sieht hier das Bundesdatenschutzgesetz in § 7 und § 8 BDSG Schadensersatzansprüche vor. Daneben sehen insbesondere die deliktischen Ansprüche aus dem Bürgerlichem Gesetzbuch – konkret die §§ 823, 831, 824 und 826 BGB.

Nach § 7 BDSG macht sich eine verantwortliche Stelle gemäß § 3 Abs. 7 BDSG bei einer datenschutzwidrigen Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten des Betroffenen schadensersatzpflichtig, sofern dem Betroffenen durch die Datenschutzverletzung ein Schaden entstanden ist. Zu beachten ist allerdings, dass sich die verantwortliche Stelle exculpieren kann, sofern sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

Zu beachten sind die zahlreichen Einschränkungen des § 7 BDSG: Den Schadensersatzanspruch kann nur eine natürliche Person geltend machen, ferner muss es sich bei den von der betroffenen Stelle verarbeiteten Daten um die Daten des Betroffenen selbst handeln und auch dem Betroffenen muss der Schaden selbst entstanden sein. Wichtig in diesem Zusammenhang ist auch, dass aufgrund des klaren Wortlaut des nicht etwa Mitarbeiter oder Arbeitnehmer oder gar der Datenschutzbeauftragte gemäß § 7 BDSG haften, sondern ausschließlich die verantwortliche Stelle. Die Schadensersatzpflicht besteht auch bei jedem Verstoß gegen eine Datenschutzvorschrift – egal in welcher Art und Weise eine unzulässige datenschutzwidrige Verarbeitung erfolgte. Dies können beispielsweise Verstößen gegen das BDSG durch die unerlaubte zweckentfremdete Nutzung von personenbezogenen Daten sein, die unberechtigte Nutzung von Daten sein – etwa weil keine wirksame Einwilligung vorliegt – oder keine Rechtsgrundlage für eine Datenverarbeitung vorliegt. Eine Haftung nach § 7 BDSG kommt beispielsweise auch in Betracht, wenn ein Verstoß gegen die Datenschutzvorschriften des Telemediengesetzes (TMG) oder des Telekommunikationsgesetzes (TKG) vorliegen.

Der verantwortlichen Stelle steht gemäß § 7 Satz 2 BDSG der Entlastungsbeweis offen: Hat die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet, haftet sie nicht. Dies bedeutet, dass sie alle im konkreten Fall darlegen muss, die erforderlichen Maßnahmen getroffen zu haben, um eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zu ermöglichen - in anderen Worten also alle gesetzlichen Anforderungen eingehalten wurden aber der Schaden beim Betroffenen dennoch nicht verhindert werden konnte.

Einer der schwierigsten Punkte bei einem Schadensersatz aus Datenschutzverletzungen ist die Nachweisbarkeit eines konkreten Schadens. Ein solcher muss der Betroffene darlegen und beweisen. Der Ersatz immaterieller Schäden ist von § 7 BDSG nicht vorgesehen – hier muss man sich des § 8 BDSG (wegen § 8 Abs. 2 BDSG) bedienen - sofern dessen engen Voraussetzungen überhaupt vorliegen - oder eines Anspruchs aus den Verletzung des allgemeinen Persönlichkeitsrechts.

Bei § 8 BDSG handelt es sich um eine Sondervorschrift zur Haftung von öffentlichen Stellen (§ 2 BDSG). Im Gegensatz zu § 7 BDSG besteht hier bei einer datenschutzwidrigen Verarbeitung von personenbezogenen Daten eine "echte" Gefährdungshaftung. Zu beachten ist aber hier, dass es sich im Gegensatz zu § 7 BDSG um eine "automatisierte Datenverarbeitung" handeln muss. Abs. 2 sieht hier eine Schadensersatzpflicht auch von immateriellen Schäden vor. Abs. 3 begrenzt die Haftung sowohl für materielle als auch immaterielle Schäden auf einen Höchstbetrag von 130.000,00 €.

Aufgrund dieser etwas löchrigen Anspruchsgrundlagen für die Geltendmachung von materiellen und immateriellen Schäden sind deshalb die daneben stehenden vertraglichen Ansprüche und deliktsrechtliche Ansprüche aus dem Bürgerlichen Gesetzbuch (BGB) relevant.

Datenschutzgerechtes Verhalten kann sich zum Beispiel aus einer Hauptpflicht des Vertragsverhältnisses ergeben, in der Regel aber aus der Verpflichtung durch vertragliche Nebenpflichten, welche unter Umständen zu einem vertraglichen Schadensersatzanspruch führen können.

Aus § 823 Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder dem allgemeinen Persönlichkeitsrecht kann sich im Falle eines verschuldeten Verstoßes gegen Datenschutzvorschriften ein Schadensersatzanspruch ergeben. Nach den allgemeinen haftungsrechtlichen Grundsätzen kann auch hier ein Unternehmen als juristische Person gemäß §§ 30,31 BGB oder aus der Verletzung einer Organisationspflicht (Organisationsverschulden) haften. Für von einem Mitarbeiter oder Angestellten – oder auch des Datenschutzbeauftragten – begangenen Datenschutzverstoß kann ein Unternehmen aber auch nach den Grundsätzen der Haftung für Verrichtungsgehilfen gemäß § 831 BGB in Verbindung mit § 823 Abs. 1 BGB haften. Hier steht dem Unternehmen allerdings ein Entlastungsbeweis frei, indem dargelegt wird, dass die Mitarbeiter sorgfältig ausgewählt wurden und sie auch ausreichend über die Befugnisse zur Verarbeitung personenbezogener Daten belehrt worden sind.

Wird etwa durch ein datenschutzwidriges Verhalten der Kredit eines anderen gefährdet oder dessen wirtschaftliche Lage nachteilig beeinflusst, kommt eine Haftung aus § 824 BGB (Kreditgefährdung) in Betracht. Im Einzelfall denkbar ist auch eine Inanspruchnahme aus sittenwidriger vorsätzlicher Schädigung gemäß § 826 BGB.

Für den Schadensersatz von immateriellen Schäden kommt ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder des allgemeinen Persönlichkeitsrechts in Betracht.

Haftung und Sanktionen bei Datenschutzverstößen – Straftatbestände und Strafen

Das Bundesdatenschutzgesetz sieht bei einer schwerwiegenden Verletzung von Datenschutzvorschriften in bestimmten Fällen - im Gegensatz zu den Ordnungswidrigkeitstatbeständen des § 43 BDSG und der Sanktionierung mit Bußgeldern - in § 44 BDSG die Verhängung von Strafen vor. Konkret: Freiheitsstrafe bis zu zwei Jahre oder eine Geldstrafe.

Strafbar macht sich nach § 44 BDSG, wer eine in § 43 Abs. 2 BDSG bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht.

Voraussetzung für eine Strafbarkeit ist, dass die Tathandlung vorsätzlich erfolgt – eine dem § 43 Abs. 2 BDSG zur Erfüllung des Ordnungswidrigkeitentatbestands erforderliche "nur" fahrlässige Tatbegehung reicht also nicht aus.

Der Täter muss auch gegen Entgelt handeln, also durch den  Datenschutzverstoß im Hinblick auf eine Gegenleistung erbringen. Alternativ dazu reicht auch aus, wenn sich der Täter selbst oder einer anderen Person einen Vermögensvorteil verschaffen möchte oder einen anderen schädigen möchte. Eine Schädigung kann auch in einer Ehrverletzung bestehen.

Bei den Straftatbestand des § 44 BDSG handelt es sich um ein Antragsdelikt, weshalb entsprechend § 44 Abs. 2 BDSG ein Strafantrag gemäß §§ 77-77d StGB erforderlich ist. Hierbei ist zu berücksichtigen, dass antragsberechtigt nur der Betroffene (also gemäß § 3 Abs. 1 BDSG die natürliche Person ist, auf welche die der Tat zugrunde liegenden Daten bezogen sind), die verantwortliche Stelle gemäß § 3 Abs. 7 BDSG, der Bundesbeauftragte für den Datenschutz und Informationsfreiheit und die jeweils zuständige Aufsichtsbehörde. In diesem Zusammenhang ist für die Stellung eines Strafantrags die Antragsfrist des § 77b Abs. 1 StGB von drei Monaten relevant.

Da es sich bei § 44 BDSG um eine strafrechtliche Vorschrift handelt, gelten auch die allgemeinen Vorschriften des Strafgesetzbuches. Dies bedeutet unter anderem, dass der Versuch der Tat nicht strafbar ist (§ 23 Abs. 1 StGB) und die Tat auch gemäß § 13 StGB durch Unterlassen begehbar und strafbar ist.

Bundesdatenschutzbeauftragter und Bundesnetzagentur stellen Leitfaden zur Speicherung von Telekommunikations-Verkehrsdaten vor

Die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit haben heute in Hamburg einen gemeinsam entwickelten Leitfaden für eine datenschutzgerechte Speicherung von Verkehrsdaten bei Telekommunikationsanbietern vorgestellt.
Bei datenschutzrechtlichen Kontrollen fallen immer wieder Unternehmen auf, die Verkehrsdaten zu lange speichern, weil die gesetzlichen Regelungen zu großzügig ausgelegt werden. Das Telekommunikationsgesetz regelt zwar, wann Verkehrsdaten gespeichert werden dürfen, aber diese Regelungen sind zum Teil auslegungsbedürftig.

Peter Schaar: Mit der Bekanntgabe unserer Prüfungsmaßstäbe erhält die Telekommunikationswirtschaft ein höheres Maß an Rechtssicherheit. Zugleich werden die Rechte der Betroffenen gestärkt, die an einer datenschutzgerechten Begrenzung der Verarbeitung ihrer Verkehrsdaten interessiert sind. Ich verspreche mir von dem Leitfaden, dass die Unternehmen ihre teilweise deutlich zu langen Speicherfristen reduzieren.

Verkehrsdaten geben Informationen darüber, wer wann mit wem telefoniert hat. Oft sind weitere Informationen enthalten, etwa beim Handy die Standortdaten ("Cell-ID“) oder Seriennummer des Handys ("IMEI“). Verkehrsdaten werden nicht nur für die Telefonrechnung benötigt, sondern auch für andere Zwecke. Beispielsweise helfen sie bei der Abrechnung von Telefongesprächen. Netzbetreiber dürfen diese Daten in engen Grenzen auch zur Störungsbeseitigung verwenden.

Quelle: Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 27.09.2012

Der Leitfaden kann hier auf den Seiten des BFDI heruntergeladen werden.

Videoüberwachung, Leibensvisitationen und Taschenkontrollen bei Mitarbeitern

Vor dem Arbeitsgericht Oberhausen waren mehrere Verfahren gegen die Firma B.GmbH anhängig. Diese Firma betreibt weltweit Geschäfte unter dem Namen „I.“.

Ehemalige Arbeitnehmer verlangten von ihrem Arbeitgeber die Zahlung von Schmerzensgeld wegen Verletzung ihres Persönlichkeitsrechts.

Sie begründeten dies damit, dass eine dauerhafte Überwachung bei ihrer Arbeit durch fest installierte Kameras erfolgt sein soll. Außerdem, so die Kläger, seien regelmäßig geschlechterübergreifende Leibesvisitationen und Taschenkontrollen bei den Mitarbeitern durchgeführt worden.

Die Firma B. GmbH rechtfertigte ihre Maßnahmen mit Sicherheitsinteressen und dem Zweck der Leistungskontrolle.

Das Gericht wies in seiner mündlichen Verhandlung darauf hin, dass permanente Kameraaufzeichnungen zur Leistungs- und Sicherheitskontrolle rechtlich nicht zulässig seien, wenn hierzu kein begründeter Anlass bestehe.

Eine in Aussicht gestellte Beweisaufnahme über die Überwachungspraktiken der Firma B. GmbH wurde schließlich nicht durchgeführt. Die Parteien einigten sich zuvor auf einen Vergleich. Danach soll die Firma B. GmbH an den Kläger 3.000,00 EUR zahlen. In anderen vergleichbaren Fällen, die beim Arbeitsgericht Oberhausen anhängig sind, wurden entsprechende Regelungen getroffen.

Quelle: Pressemitteilung des ArbG Oberhausen vom 07.09.2012.

Kommentar: 
Dieser Fall veranschaulicht eindrucksvoll, dass eine Videoüberwachung von Arbeitnehmern - darüberhinaus weitere Überwachungsmaßnahmen, welche einen Eingriff in das Persönlichkeitsrecht der Angestellten darstellt - nicht so ohne weiteres möglich ist, schon gar nicht mit der pauschalen Berufung auf "Sicherheitsinteressen" und der "Leistungskontrolle".
Nach meinem persönlichen Empfinden scheint es derzeit offenbar aufgrund der technischen Möglichkeiten zu einer unauffälligen, kostengünstigen und schier unbegrenzten (Speicherplatz!) optischen Datenerfassung und -speicherung zu einem regelrechten Boom bei der Videoüberwachung zu kommen. Hier muss aber zum einen bedacht werden, dass es sich bei diesen Maßnahmen um einen erheblichen Eingriff in die Persönlichkeitsrechte der betroffenen Mitarbeiter, Besucher oder (nur) Passanten kommt, welcher ohne Anlaß und ohne vorherige Bestimmung des Aufzeichungszwecks (siehe § 6b BDSG) und einer sorgsamen Abwägung mit den Interessen der Betroffenen unzulässig ist. Ferner ist natürlich - gleich ob eine Prüfung nach § 6b BDSG, § 32 BDSG oder § 28 Abs. 1 Nr. 2 BDSG erfolgt - auf die erforderliche Transparenz der Maßnahme zu achten - sprich auf die Videoüberwachung ist gem. § 6b Abs. 2 BDSG hinzuweisen.
Fraglich im oben geschilderten Fall dürfte auch sein, ob der hoffentlich vorhandene Datenschutzbeauftragte der Firma B. GmbH eine erforderliche datenschutzrechtliche Vorabkontrolle gem. § 4d Abs. 5 BDSG durchgeführt hat. Und eigentlich dürfte ein Bußgeldbescheid der zuständigen Datenschutzaufsichtsbehörde nicht lange auf sich warten lassen...

Haftung und Sanktionen bei Datenschutzverstößen – Ordnungswidrigkeitstatbestände und Bußgelder

Datenschutzverstöße werden gesetzlich mit den Bußgeldvorschriften des § 43 BDSG sanktioniert.

Hierbei zählt der Katalogtatbestand des § 43 Abs. 1 BDSG einzelne Vorschriften des Bundesdatenschutzgesetzes auf, bei deren vorsätzlichem oder fahrlässigem Verstoß ein Bußgeld von bis zu 50.000 € drohen.

Die in der Praxis relevantesten Normen bzw. Verstöße sind hierbei typischerweise folgende:

• Verletzung der Pflicht zur Bestellung eines Beauftragten für den Datenschutz (§ 4f Abs. 1 Satz 1,2,3 und 6): Es wurde kein Datenschutzbeauftragter in der vorgeschriebenen Form bestellt, obwohl die Bestellung eines solchen gesetzlich vorgeschrieben ist oder es wurde ein Datenschutzbeauftragter zwar formal korrekt bestellt, dieser entfaltet aber keine Tätigkeiten als Datenschutzbeauftragter (Scheinbestellung, Pseudo-Bestellung). Ein Verstoß liegt auch vor, wenn bei dem bestellten Datenschutzbeauftragten aufgrund einer unzulässigen Interessenkollisionen die notwendige Zuverlässigkeit gemäß 4f Abs. 2 Satz 1 BDSG fehlt.
• Pflichtverletzungen im Zusammenhang mit Maßnahmen der Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 2, § 11 Abs. 2 Satz 4 BDSG): Ein Bußgeld droht dann, wenn ein Auftrag im Rahmen der Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde (also typischerweise einer der Punkte aus dem Katalog des § 11 Abs. 2 Satz 1 fehlt oder unvollständig geregelt ist) oder sich der Auftragnehmer bei der Auftragsdatenverarbeitung nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt.
• Unterlassen der Unterrichtung des Betroffenen bei der Nutzung von Daten für Werbezwecke und für den Adresshandel (§ 28 Abs. 4 Satz 2 BDSG): Der Betroffene ist gemäß § 28 Abs. 4 BDSG bei der Ansprache zum Zwecke der Werbung oder Markt- und Meinungsforschung bzw. bei der Begründung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unterrichten.
• Verstöße bei der Erteilung einer Auskunft an den Betroffenen (§ 34 BDSG): Das Auskunftsbegehren eines Betroffenen wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder die erforderlichen Daten werden entgegen § 34 Absatz 1a BDSG nicht gespeichert. Letzteres wird insbesondere durch die Neuregelung des BDSG aus dem Jahre 2009 und 2010 und auch durch das Auslaufen der Übergangsvorschriften aus§ 47 BDSG zum 31.08.2012 relevant, wonach in bestimmten Fällen für die Dauer von zwei Jahren nach Erhalt/Übermitteln von personenbezogenen Daten die Datenherkunft gespeichert werden muss.

Ein Verstoß gegen die Ordnungswidrigkeitentatbestände des § 43 Abs. 2 BDSG zieht ein Bußgeld von bis zu 300.000 € nach sich. § 43 Abs. 2 BDSG pönalisiert insbesondere Pflichten beim Umgang mit personenbezogenen Daten. Hervorzuheben sind folgende Tatbestände:

• Unbefugtes Erheben oder Verarbeiten von personenbezogenen Daten, die nicht allgemein zugänglich sind
• Unbefugtes Abrufen und Verschaffen von nicht allgemein zugänglichen personenbezogenen Daten
• Zweckentfremdete Nutzung entgegen § 28 Abs. 5 Satz 1 BDSG / § 29 Abs. 4 BDSG von übermittelten personenbezogenen Daten
• Verstoß gegen das Koppelungsverbot des § 28 Abs. 3b BDSG, also das Abhängigmachen eines Vertragsschlusses von der Einwilligung des Betroffenen
• Das Missachten eines Widerspruchs des Betroffenen gemäß § 28 Abs. 4 Satz 1 BDSG zur Nutzung seiner personenbezogenen Daten für Werbezwecke
• Verletzung von Informationspflichten bei Datenschutzverstößen gemäß § 42a BDSG

Zu beachten ist, dass ein Bußgeldtatbestand mit jedem einzelnen Vergehen verwirklicht wird. D.h. wahrscheinlich ist eine Kumulation von vielen (kleinen?) Datenschutzverstößen bei der Handhabung einer datenschutzwidrigen Praxis. So wurden in der Vergangenheit von den Aufsichtsbehörden beispielsweise Bußgelder gegen eine Einzelhandelskette in Höhe von 1.462.000 € verhängt, gegen eine Bank ein Bußgeld in Höhe von 120.000 €, gegen eine Drogeriemarktkette in Höhe von 137.500 € und gegen ein Transportunternehmen in Höhe von 1.123.503,50 €.

Haftung und Sanktionen bei Datenschutzverstößen – Übersicht

Relativ häufig wird einem in der datenschutzrechtlichen Beratungspraxis entgegnet, dass ein Datenschutzverstoß doch keine Sanktionen nach sich ziehe und das Datenschutzrecht ein "zahnloser Tiger" sei. Ich möchte in der folgenden Reihe darstellen, dass dies mitnichten der Fall ist. Vielmehr bestehen zahlreiche Sanktionsmöglichkeiten bei einem Verstoß gegen die Regeln des Datenschutzes. 

Unbestritten besteht allerdings gerade im Bereich des Datenschutzrechts eine relativ restriktive Ahndungspraxis – sowohl von Seiten der Aufsichtsbehörden als auch von Wettbewerbern und Verbraucherverbänden. Beobachtbar ist allerdings, dass sich die Ahndungspraxis in den letzten Jahren deutlich gesteigert hat, auch was die Wahrnehmung von Datenschutzverstößen in der Öffentlichkeit angeht. 

Mit der Reform des BDSG wurde zum 1.9.2009 der Bußgeldrahmen des § 43 BDSG zum einen von 25.000 € auf 50.000 € bzw. von 250.000 € auf 300.000 € erhöht. Zum anderen ist auch immer wieder in der Diskussion,  Unterlassungsansprüche - und damit eine Abmahnbefugnis - für Verbraucher- oder Datenschutzverbände zu schaffen. Darüber hinaus sieht auch der aktuelle Entwurf der Europäischen Datenschutz-Verordnung in Art. 79 DS-GVO die Verhängung von Geldbußen bis zur Höhe von 2 % des weltweiten Jahresumsatzes eines Unternehmens vor.

Teil 1: Haftung und Sanktionen bei Datenschutzverstößen - Ordnungswidrigkeitstatbestände/Bußgelder

Teil 2: Haftung und Sanktionen bei Datenschutzverstößen - Straftatbestände/Strafen

Kritische Zero-Day-Schwachstelle im Internet Explorer

Mit breitflächiger Ausnutzung ist zu rechnen / BSI empfiehlt temporär Nutzung eines alternativen Browsers

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hin.
Betroffen sind IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP, sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden.
Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt.
Zudem ist der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen ist.
Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.

Ein Sicherheitsupdate des Herstellers ist derzeit nicht verfügbar.
Daher empfiehlt das BSI allen Nutzern des Internet Explorers, so lange einen alternativen Browser für die Internetnutzung zu verwenden, bis der Hersteller ein Sicherheitsupdate zur Verfügung gestellt hat.
Das BSI steht bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung.
Sobald die Sicherheitslücke geschlossen ist, wird das BSI darüber informieren.

QUELLE:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn

Staatstrojaner-Überprüfung durch Schaar abgeschlossen

Wie heute bekannt wurde, hat der Bundesdatenschutzbeauftragte Peter Schaar seine Prüfung über den Einsatz und die rechtlichen Grauzonen des Staatstrojaners beendet.

Er bestätigt die Analyse des Chaos Computer Clubs (CCC) und mahnt ebenfalls Verbesserungen an. Die Ermittlungsbehörden, der Finanz- und der Innenminister geben dem CCC zwar in allen Kritikpunkten recht, sehen aber dennoch keine Notwendigkeit zum Handeln.

Dem CCC wurde ein Schreiben zugespielt, in dem Schaar abschließend Stellung zu seinen Erkenntnissen im Rahmen der Staatstrojanerprüfung bezieht. Der CCC stellt das Papier zum Download zur Verfügung.
Schaar hatte nach der Veröffentlichung des CCC im Oktober 2011
mit Ausnahme der Geheimdienste alle Bundesbehörden überprüft, die staatliche Spionagesoftware einsetzen.

Das Innenministerium hält nach dem Bericht daran fest, die untaugliche Verschlüsselung des Staatstrojaners weiterhin als "geeignet" zu bezeichnen, räumt allenfalls "Optimierungsspielraum" ein. Weiterhin soll auch in Zukunft der Quellcode weder für die Behörden selbst noch für Schaars Prüfbehörde einsehbar sein.
"Hier kommt eine erstaunliche Kritikunfähigkeit seitens der Behörden und des Ministeriums zum Ausdruck, denen nicht weniger als die Sicherheit und Privatsphäre der Bevölkerung anvertraut ist.

Wo sowohl gesetzlich als auch technisch erheblich nachgebessert werden müßte, verschanzt sich Innenminister Hans-Peter Friedrich hinter einem trotzigen 'Weiter so!'", sagte Dirk Engling, Sprecher des CCC.

Für den Bericht hätte Peter Schaar naturgemäß Einsicht in den Quellcode nehmen müssen. Die Trojaner-Herstellerfirma Digitask erdreistete sich jedoch, dem Bundesdatenschutzbeauftragten nur dann Einsicht zu gewähren, sofern er eine Vereinbarung zum Stillschweigen unterzeichnen sowie 1.200 Euro pro Prüfungstag als "Beratungsdienstleistung" bezahlen würde.
Schaar lehnte mit Verweis auf seine Pflichten als staatlicher Kontrolleur selbstverständlich ab.

Damit wurde eine unabhängige Beurteilung durch den Datenschutzbeauftragten faktisch verhindert. Hier zeigt sich das Erpressungspotential durch das Outsourcen von hoheitlichen Aufgaben an private, keiner effektiven Kontrolle unterliegenden Firmen.

Es hat die beteiligten Behörden zehn Monate gekostet, sich den vom CCC vorgebrachten Feststellungen zum Staatstrojaner vollumfänglich anzuschließen. Überraschenderweise zieht jedoch das BMI ganz andere Schlußfolgerungen aus den nun mehrfach bestätigten Fakten. Insbesondere hält es die in Anfängermanier zusammengestoppelte Absicherung der Kommunikation zwischen Staatstrojaner und Kontrollcomputer weiterhin für ausreichend.
"Damit wird weiterhin in Kauf genommen, daß staatliche Trojaner nicht effektiv kontrolliert und somit auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden könnten", sagte Dirk Engling, Sprecher des Chaos Computer Clubs.

Das BKA und der Zollfahndungsdienst hatten in den vergangenen Jahren in mehreren Fällen monatelang staatliche Spionagesoftware eingesetzt.
Die Anzahl der Betroffenen ist unbekannt.

QUELLE: www.ccc.de (Chaos Computer Club)

Kreditinstitute in der Kritik der Aufsichtsbehörden

Der Verbraucherzentrale Schleswig-Holstein und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) liegen Schreiben von Geldinstituten vor, in denen deren Kunden aufgefordert werden, weitreichende Einwilligungserklärungen zu unterzeichnen.

In den Anschreiben wird der Anschein erweckt, es gehe in erster Linie um dringende Handlungsszenarien in Bezug auf vertragliche Fürsorge- und Beratungspflichten und nicht um eine weitgehende Datenfreigabe. In den fraglichen Passagen heißt es beispielsweise:

„…stellen Sie sich vor: Ihre Geldanlage oder Ihr Kredit bei uns ist fällig und niemand sagt Ihnen Bescheid. Das geht nicht, oder?“

In der Einwilligungserklärung finden sich indessen Passagen wie:

„Einwilligung zu Anrufen der Bank für eigene und Produkte von aktuellen und zukünftigen Verbund- und Kooperationspartnern.“

               

„Die Irreführung des Verbrauchers liegt folglich in dem Zusammenspiel zwischen dem Anschreiben, das ein konkretes Risiko bzw. Vorteile für den Verbraucher aufzeigt, und der Einwilligungserklärung, die offenkundig Werbezwecken dient“, so Boris Wita, Justiziar der Verbraucherzentrale Schleswig-Holstein. „Wir empfehlen, sich diese Datenweitergabeklauseln sorgsam durchzulesen, sich nicht zur Unterzeichnung drängen zu lassen und gegebenenfalls Passagen zu streichen“, so Wita weiter. Bei Rückfragen können sich die Verbraucher gerne an die Beratungsstellen der Verbraucherzentrale wenden.

Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, kritisiert das bekannt gewordene Vorgehen der

Banken: „Die Praxis dieser Kreditinstitute ist äußerst bedenklich, da Einwilligungen nur mit einer klaren Information des Verbrauchers wirksam sind. Einwilligungen in Telefonwerbung nehmen eine Sonderstellung ein, da solche Anrufe einen besonders belästigenden Eingriff in die Privatsphäre darstellen. Banken werden den Erwartungen ihrer Kunden nur gerecht, wenn sie fair und transparent mit deren Daten umgehen. Das Erschleichen einer Einwilligung, indem ein falscher Eindruck erweckt wird, ist dagegen mit seriösen Geschäftspraktiken nicht vereinbar.“

Weitere Informationen erhalten Sie beim

Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein Holstenstr. 98, 24103 Kiel

E-Mail: mail@datenschutzzentrum.de

 QUELLE:  Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein Holstenstr. 98, 24103 Kiel

Ende der Übergangszeit beim Umgang mit Marketingdaten und Adresshandelsdaten zum 31.08.2012

Zum 01.09.2009 ist ja bekanntermaßen unter anderem die lange umstrittene Neuregelung des § 28 Abs. 3 BDSG in Kraft getreten. Auslöser für die Neuregelung der Vorschrift über die Verarbeitung von personenbezogenen Daten für Zwecke des Adresshandels und der Werbung waren diverse Datenschutzverstöße insbesondere von größeren Unternehmen, über welche auch ausführlich in der Presse und den Medien berichtet wurde. Als Konsequenz hat sich der Gesetzgeber für eine Verschärfung der Vorschriften über den Umgang mit Marketing- und Adresshandelsdaten ausgesprochen. Nach der alten Rechtslage (§ 28 Abs. 3 BDSG bis zum 31.08.2009) durften personenbezogene Daten weitgehend "großzügig" für Werbe- und Adresshandelszwecke genutzt werden, sofern es sich hierbei um sog. Listendaten handelte.

Nachdem der Gesetzgeber sich für eine sehr restriktive Lösung (Nutzung für Werbezwecke nur mit Einwilligung des Betroffenen) ausgesprochen hatte und nach massiver Lobbyarbeit der Werbewirtschaft ist der "neue" § 28 Abs. 3 BDSG zum 01.09.2009 in Kraft getreten, welcher grundsätzlich eine Einwilligung des Betroffenen in die Nutzung seiner personenbezogenen Daten zu Werbezwecken vorsieht, aber auch Ausnahmen definiert, nach denen bestimmte personenbezogene Daten auch ohne Einwilligung des Betroffenen zu Zwecken der Werbung und des Adresshandels genutzt werden dürfen.

Leider ist die Neuregelung des § 28 Abs. 3 BDSG textlich sehr lang (und damit teilweise unübersichtlich) und sprachlich etwas "anspruchsvoll" (neutral formuliert) ausgefallen. Auf jeden Fall sind die Anforderungen der Nutzung personenbezogener Daten zu Werbezwecken und zu Zwecken des Adresshandels im Verlgeich zur vorherigen Regelung wesentlich erhöht worden.

Nach § 47 Nr. 2 BDSG gibt es eine Übergangsvorschrift für personenbezogene Daten, welche vor dem 01.09.2009 erhoben wurden ("Altdaten"). Und genau diese läuft zum 31.8.2012 ab, d.h. ab dem 01.09.2012 sind auch für die Altdaten ausschließlich die "neuen" Vorschriften des § 28 Abs. 3 BDSG zum Umgang mit personenbezogenen Daten zu Werbezwecken anzuwenden. Für personenbezogene Daten, welche nach dem 01.09.2009 erhoben und gespeichert wurden, galten die neuen Regelungen ohnehin schon.

Die neuen restriktiveren Vorschriften, insbesondere die „neuen“ § 28 Abs. 3 (in Verbindung mit § 34 Abs. 1a BDSG), sehen unter anderem vor, dass die sog. „Listendaten“ nur noch in ganz bestimmten Fällen für Werbezwecke für eigene Werbung genutzt werden, z.B. wenn mit den betreffenden Personen eine vertragliche Beziehung besteht (z.B. Bestandskunden) oder die Daten aus öffentlichen Verzeichnissen stammen oder die Daten im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift genutzt werden sollen.

Dies bedeutet natürlich, dass das werbende Unternehmen im Konfliktfalle nachweisen muss, dass die personenbezogenen Daten zu Werbezwecken rechtskonform genutzt wurden - in conreto dass eine der in § 28 Abs. 3 BDSG genannten Ausnahmetatbestände oder eine Einwilligung des Betroffenen vorliegen.

Sollen nun Daten zu Werbezwecke an ein anderes Unternehmen übertragen oder übermittelt werden – dies gilt auch im Unternehmensverbund/Konzern/Gruppe (kein Konzernprivileg im Datenschutzrecht), muss nunmehr ab dem 01.09.2012 auch für Altdaten die Herkunft der Daten und der Empfänger der Daten für die Dauer von 2 Jahren nach der Datenübermittlung gespeichert werden und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger erteilt werden (§ 34 Abs. 1a BDSG).

Dies bedeutet je nach Datennutzung, dass die in den werbenden Unternehmen vorgehaltenen Datenbanken erweitert, vervollständigt oder bzgl. der vorhandenen Altdaten überarbeitet/verifiziert werden sollten.

Werden Daten für Werbung Dritter genutzt, z.B. für ein Unternehmen im Unternehmensverbund, dann muss überdies dem Betroffenen in der Werbung die für die Nutzung verantwortliche Stelle kenntlich gemacht werden.

Im schlimmsten Fall droht hier bei Nichtbeachtung ein Bußgeld gem. § 43 BDSG in Höhe von bis zu 50.000 bzw. 300.000 EUR.

Die Änderungen betreffen auch den § 29 BDSG bei der Geschäftsmäßigen Datenerhabung und -speicherung zum Zweck der Übermittlung, sofern die verarbeiteten Daten für die Werbung vorgesehen ist, da der § 29 Abs. 1 S. 2 BDSG auf den § 28 Abs. 3 BDSG verweist.

Die Frage, wie eine Werbung übermittelt werden darf (Brief, Telefon, Fax, E-Mail, SMS usw), also die Anforderungen des § 7 UWG, bleiben unverändert.

Werbung, das Listenprivileg und der §28 Absatz 3 BDSG

Laut den Regelungen des Bundesdatenschutzgesetzes, ist die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten unzulässig, es sei denn der Betroffene hat ausdrücklich eingewilligt, oder der §28 regelt eine Ausnahmevorschrift.

Wie verhält es sich nun aber bei Listendaten und was sind Listendaten überhaupt ?

Bei Listendaten handelt es sich gemäß § 28 Abs. 3 Satz 2 BDSG um Daten, die listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe, die sich auf

• die Zugehörigkeit des Betroffenen zu dieser Personengruppe,
• seine Berufs-, Branchen-, oder Geschäftsbezeichnung,
• seinen Namen, Titel, akademischen Grad,
• seine Anschrift und
• sein Geburtsjahr
  
  

beschränken.  Also haben die Betroffenen einer Liste immer ein gemeinsames Merkmal.

Nicht zu diesen Listendaten gehören insbesondere Telefon- und Faxnummern, E-Mail-Adresse und das komplette Geburtsdatum.

Eine Verarbeitung und Nutzung von Listendaten ist laut § 28 Abs. 3 S.2 BDSG für Zwecke des Adresshandels oder für Werbung zulässig, wenn folgende Punkte erfüllt werden:

• Für Zwecke der Werbung für eigene Angebote, sofern die Daten direkt beim Betroffenen erhoben wurden, oder aus allgemein zugänglichen Verzeichnissen stammen
  (Bestandskundenwerbung).

• Für Zwecke der Werbung im Hinblick auf eine  berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift
  (Business-to-Business Werbung).

• Für Spendenanfragen, sofern die Spende steuerbegünstigt ist
  (Spendenwerbung).

Ist es gestattet den Listendaten weiter Informationen hinzuzufügen ? 

Dies muss eindeutig mit einem jein beantwortet werden.

Die Verantwortliche Stelle kann laut dem § 28 Abs. 3 S. 3 für Zwecke der Eigenwerbung im B2B Bereich zu den Listendaten weitere Daten hinzuspeichern.

Es gilt aber der Grundsatz, dass nur ordnungsgemäß erhobene Daten hinzugespeichert werden dürfen.

Zu den zulässigen Erhebungsquellen zählen allgemein zugängliche Verzeichnisse, wie zum Beispiel Branchenverzeichnisse, Rufnummernverzeichnisse oder Adressverzeichnisse.

Vorsicht ist bei Daten aus dem Internet geboten, denn dieses ist nicht unbedingt eine Quelle im Sinne der Vorschrift.

Bitte beachten Sie, dass die  Verarbeitung und Nutzung auch von Listendaten nur dann zulässig ist, wenn diese dem schutzwürdigen Interesse des Betroffenen nicht entgegenstehen.

Es gilt auch hier der Grundsatz, dass der Betroffene der Nutzung und Speicherung wiedersprechen kann.

Wie bei vielen anderen Dingen gibt es bei der Verarbeitung von Listendaten Risiken, die es zu vermeiden gilt.

Sprechen Sie mit Ihrem Datenschutzbeauftragten.

Wie personenbezogene Daten aus den Melderegistern gemäß Meldegesetz sonst noch zu Werbe- und Adresshandelszwecken genutzt werden können

Über die aktuelle Diskussion zum neuen Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) habe ich ja bereits berichtet, ferner über das Thema wie bereits nach der jetzigen Rechtslage nach dem geltenden Meldegesetzen die über eine einfache Melderegisterauskunft erlangten personenbezogenen Daten zu Zwecken der Werbung und des Adresshandels genutzt werden dürfen.

Heute möchte ich über einen Fall berichten, welcher mir einen Bekannter vor kurzem zugetragen hat: Dieser Bekannter – wohnhaft in der Stadt Ettlingen nahe Karlsruhe – hat mich vor kurzem auf einen Eintrag im Stadtanzeiger von Ettlingen hingewiesen, nach welchem jeder Einwohner der Stadt der Veröffentlichung seiner Daten wie Name und Anschrift aus dem städtischen Melderegister zur Veröffentlichung in ein geplantes Einwohnerbuch der Stadt innerhalb einer bestimmten Zeit wieder sprechen müsse, sofern eine Veröffentlichung der eigenen personenbezogenen Daten in diesem Verzeichnis über alle Einwohner der Stadt nicht gewünscht sei. Dieses Buch oder Verzeichnis soll dann veröffentlicht und im Handel erhältlich sein.

Mein Bekannter war verwundert darüber, dass so etwas datenschutzrechtlich anscheinend möglich ist, insbesondere weil er über diesen Hinweis zum Widerspruch nur durch Zufall gestolpert ist. Seinem Bericht zufolge hat er die ein oder andere Person auf diesen Umstand hingewiesen, welche von einer Widerspruchsmöglichkeit bzw. von dem gesamten Vorgang gar nichts wussten.

Nach einer kurzen Recherche im Meldegesetz Baden-Württemberg war ich selbst etwas überrascht, dass § 34 Abs. 3 des Meldegesetzes Baden-Württemberg es den Meldebehörden erlaubt, Vor- und Familiennamen, Doktorgrad und Anschriften der volljährigen Einwohner in Einwohnerbüchern und ähnlichem Nachschlagewerken sowie elektronischen Adressverzeichnissen zu veröffentlichen und an andere zum Zwecke der Herausgabe solcher Werke zu übermitteln. Allerdings besteht gemäß § 34 Abs. 4 des Meldegesetzes Baden-Württemberg den Betroffenen die Möglichkeit, der Veröffentlichung seiner Daten zu widersprechen. Im Fall der Veröffentlichung in einem Einwohnerbuch und ähnlichem Nachschlagewerken (zum Beispiel elektronischen Adressverzeichnissen) kann der Betroffene auch verlangen, dass die Eintragung seiner Daten nur in gedruckten oder elektronischen Verzeichnissen erfolgt. Auf dieses Widerspruchsrecht hat die Meldebehörde hinzuweisen – und zwar bei der Anmeldung bei der Gemeinde bzw. Stadt sowie spätestens zwei, jedoch nicht früher als vier Monate vor der Veröffentlichung oder Übermittlung. Hierbei hat die Meldebehörde die Möglichkeit, die Widerspruchsfrist auf mindestens einen Monat zu begrenzen.

Ich muss gestehen, dass ich insbesondere deshalb von diesem Umstand etwas überrascht war – genauso wie mein Bekannter –, weil mir dieser Umstand und die Widerspruchsmöglichkeit bisher so nicht bekannt waren. Insbesondere vor dem Hintergrund, dass ich vor ca. drei Jahren in eine andere Stadt/Gemeinde gezogen bin und als in Datenschutzdingen äußerst interessierter Mensch/Rechtsanwalt mit Sicherheit einen solchen Hinweis auf die Befugnis zur Veröffentlichung meiner personenbezogenen Daten bzw. einer Widerspruchsmöglichkeit wahrgenommen hätte.

Wird über diese Art und Weise ein Einwohnerbuch als allgemein zugängliches Verzeichnis geschaffen, dürfen die veröffentlichten Daten der Einwohner selbstverständlich gemäß § 28 Abs. 3 Nr. 1 BDSG von interessierten Unternehmen zum Zwecke des Adresshandels oder der Werbung verarbeitet und genutzt werden.

Eine entsprechende Befugnis der Meldebehörden findet sich in so ziemlich jedem Meldegesetz der Länder. Eine entsprechende Erlaubnis findet sich im übrigen auch in § 50 Abs. 3 des neuen Gesetzes zur Fortentwicklung des Meldewesens (MeldFortG), wonach Adressbuchverlagen zu allen Einwohnern, die das 18. Lebensjahr vollendet haben, Auskunft erteilt werden über deren Familiennamen, Vornamen, Doktorgrad und derzeitige Anschriften. Diese Daten dürfen nach der Gesetzesvorschrift nur für die Herausgabe von Adressbüchern (Adressverzeichnisse in Buchform) verwendet werden. Immerhin – eine Veröffentlichung in elektronischen Verzeichnissen ist nunmehr per Gesetz nicht mehr erlaubt.

Merke daher: Wer durch die aktuelle Diskussion über die Reform der Meldegesetze datenschutzrechtlich sensibilisiert wurde und eine entsprechende Datenübermittlung wie beschrieben nicht wünscht, sollte einer Datenübermittlung zu diesen Zwecken widersprechen. Ein solches Widerspruchsrecht sieht auch das MeldFortG in § 50 Abs. 5 vor.