Durch Urteil vom 28.11.2013 hat die 10. Kammer die Klage eines Automobillogistikunternehmens gegen den Landesbeauftragten für den Datenschutz Niedersachsen abgewiesen.
Die Klägerin - eine Logistikdienstleisterin aus Rehden, die insbesondere in der Automobillogistik tätig ist - lagert auf ihrem Betriebsgelände ständig mehrere tausend Kraftfahrzeuge. Täglich wird eine Vielzahl von Fahrzeugen abgeholt, die den Abholern - insbesondere Fahrern von Speditionen - übergeben werden. Um den Speditionsvorgang zu überwachen, werden die Personalausweise der Abholer eingescannt und auf einem eigenen Rechner gespeichert. Der Landesbeauftragte für den Datenschutz Niedersachsen hatte der Klägerin aufgegeben, das Einscannen von Personalausweisen zu unterlassen und die rechtswidrig gespeicherten Daten zu löschen.
Das Gericht hat mit dem heutigen Urteil die Klage gegen die Untersagung des Speicherns und die Anordnung des Löschens abgewiesen, weil diese rechtmäßig seien. Nach den hier anzuwendenden Vorschriften des Personalausweisgesetzes sei der Personalausweis ein Identifizierungsmittel, das der Inhaber vorlege und vorzeige, um sich auszuweisen. Nach dem eindeutigen Willen des Gesetzgebers sei aber das unbeschränkte Erfassen der Daten - und damit auch das Einscannen und Speichern durch ein Unternehmen - untersagt. Dadurch solle die Datensicherheit geschützt werden, weil einmal erfasste und gespeicherte Daten leicht missbräuchlich verwendet werden könnten. Die Kammer hat nicht den Vorwurf gegen die Klägerin erhoben, sie verwende die Daten missbräuchlich. Um den Zweck des Gesetzes zu erfüllten, dürften aber so wenig Daten wie möglich in Umlauf gebracht werden, so dass auch die Praxis der Klägerin zu untersagen sei.
Die Berufung gegen das Urteil wurde nicht zugelassen. Die Klägerin kann beim Niedersächsischen Oberverwaltungsgericht einen Antrag auf Zulassung der Berufung stellen.
Aktenzeichen: 10 A 5342/11
Quelle: Pressemitteilung VG Hannover vom 28.11.2013
Montag, 2. Dezember 2013
Freitag, 7. Juni 2013
Zur Zweckbindung im Datenschutzrecht und des Löschungsanspruchs für zweckwidrige Datenspeicherungen
Ein aktueller Fall des Verwaltungsgerichts Karlsruhe (Entscheidung vom 27.05.2013, Az. 2 K 3249/12) ist ein schönes Beispiel dafür, was die Zweckbindung im Datenschutzrecht bedeutet und welche Konsequenzen die Erledigung des Erhebungs- und Speicherungszwecks hat.
Einer der wichtigsten Grundsätze des europäischen und deutschen Datenschutzrechts ist der Zweckbindungsgrundsatz. Dieser besagt, dass personenbezogene Daten nur für von vornherein festgelegte eindeutige und rechtmäßige Zwecke erhoben werden dürfen und im Nachhinein nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Dieser Grundsatz kommt im Bundesdatenschutzgesetz an vielen Stellen zum Ausdruck, z.B. in § 4 Abs. 3 BDSG, § 14 Abs. 1 BDSG oder in § 28 Abs. 1 S. 2 BDSG.
Wie so oft in der Juristerei (und bei vielen anderen Dingen im Leben...) gibt es keinen Grundsatz ohne Ausnahme: In bestimmten, vom Gesetz definierten Fällen ist eine Datenverarbeitung für einen anderen (als den ursprünglich bei der Datenerhebung verfolgten) Zweck zulässig. Solche Fälle der erlaubten Zweckänderung finden sich z.B. in § 14 Abs. 2 BDSG oder § 28 Abs. 2 BDSG. Einer der prominentesten Fälle der Zweckänderung findet sich in § 28 Abs. 3 Nr. 1 BDSG, wenn ursprünglich zum Abschluss oder der Abwicklung eines Vertrages erhobene und gespeicherte Daten (unter bestimmten Voraussetzungen) nun AUCH für Werbezwecke genutzt werden dürfen. Trotz des Ausnahmecharakters ist zu erahnen, dass aufgrund der recht breit formulierten Ausnahmevorschriften eine Zweckänderung doch recht häufig in der Praxis vorkommen kann.
Personenbezogene Daten, welche ausschließlich zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, unterliegen einer strengen Zweckbindung, welche keine Ausnahmen zuläßt (siehe etwa § 31 BDSG oder § 14 Abs. 4 BDSG).
Rechtsfolge einer unerlaubten Zweckänderung ist die Löschung der (quasi zweckveränderten) Daten, welche für diese "neuen" Zwecke rechtswidrig gespeichert werden (§ 35 Abs. 2 Nr. 1 BDSG für den nichtöffentlichen Bereich, § 20 Abs. 2 Nr. 1 BDSG für den öffentlichen Bereich). Hat sich darüber hinaus auch der "ursprüngliche" Zweck der Erhebung und Speicherung der personenbezogenen Daten zwischenzeitlich erledigt, d.h. ist eine Speicherung der Daten zur Erreichung des Erhebungszwecks nicht mehr erforderlich (Bsp: Bestellung des Kunden wurde abgewickelt, Interessent hat Newsletter abbestellt, dem Bewerber wurde abgesagt usw.) und bestehen keine speziellen Aufbewahrungsfristen für die Daten, so sind diese Daten gem. § 35 Abs. 2 Nr. 3 BDSG (bzw. § 20 Abs. 2 Nr. 2 BDSG für den öffentlichen Bereich) zu löschen.
Diesen Löschungsanspruch kann der Betroffene auch gerichtlich durchsetzen - wie geschehen im Fall vor dem VG Karlsruhe. Da es im vorliegenden Fall um Löschungsansprüche gegen eine Landesbehörde geht, sind die Vorschriften des Landesdatenschutzgesetzes (Baden-Württemberg) anwendbar und das Verwaltungsgericht das sachlich zuständige Gericht.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Anbei die Pressemitteilung des Verwaltungsgerichts Karlsruhe vom 31.05.2013 (Hinweis: § 15 LDSG BW entspricht weitgehend dem § 14 BDSG, § 23 Abs. 1 LDSG BW entspricht weitgehend dem § 20 Abs. 2 BDSG, der Sachverhalt ist in den Grundsätzen auch auf eine Datenverarbeitung durch nichtöffentliche Stellen - also etwa durch Unternehmen - übertragbar):
Die 2. Kammer des Verwaltungsgerichts Karlsruhe hat das Land Baden-Württemberg verpflichtet, drei Dateien mit „Arbeitskopien“ des Outlook-Postfachs des früheren Ministerpräsidenten Stefan M. sowie sämtliche Kopien dieser Dateien zu löschen, nachdem diese dem Landesarchiv zur Übernahme als Archivgut angeboten worden sind. Die - auf vorbehaltlose Löschung gerichtete - Klage von Stefan M. hatte somit überwiegend Erfolg, was in der Kostenentscheidung des Urteils zum Ausdruck kommt (3/4 der Kosten hat das Land zu tragen).
Im Herbst 2010 erstellte ein Mitarbeiter des IT-Bereichs des Staatsministeriums eine Kopie des auf dem Server dieses Ministeriums liegenden und Stefan M. zugewiesenen Original-Outlook-Postfachs. Dies geschah, weil technische Probleme bezüglich des elektronischen Terminkalenders dieses Postfachs aufgetreten waren. Nachdem der Fehler nicht hatte gefunden werden können, blieben die kopierten Postfach-Daten gespeichert. Demgegenüber wurden die Original-E-Mail-Accounts von Stefan M. nach dem Regierungswechsel auf dem Server des Staatsministeriums (endgültig) gelöscht. Erst im Sommer 2012 wurde das Staatsministerium auf die nach seinen Angaben zwischenzeitlich in Vergessenheit geratenen kopierten Dateien wieder aufmerksam.
Zur Begründung seines Anspruchs auf Löschung dieser Dateien mit „Arbeitskopien“ seines früheren Outlook-Postfachs macht Stefan M. geltend, personenbezogene Daten in Dateien seien nach dem Landesdatenschutzgesetz - LDSG - zu löschen, wenn ihre Kenntnis für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich sei. Dem hält das beklagte Land entgegen, sowohl die Speicherung der Dateien als auch deren Nutzung seien zur Erfüllung staatlicher Aufgaben erforderlich. Da Stefan M. seine dienstliche E-Mail-Korrespondenz nicht vollständig zu den Sachakten genommen habe, bedürfe es einer Auswertung des E-Mail-Postfachs. Dies gelte insbesondere für Vorgänge im Zusammenhang mit dem Ankauf von EnBW-Anteilen im Dezember 2010.
Zur Begründung seiner Entscheidung hat das Verwaltungsgericht ausgeführt:
Stefan M. habe nach § 23 Abs. 1 Nr. 2 Landesdatenschutzgesetz - LDSG - Anspruch auf Löschung der Daten in den von seinem damaligen Outlook-Postfach gefertigten „Arbeitskopien“, denn die Kenntnis dieser (unstreitig) personenbezogenen Daten sei für die speichernde Stelle (das Staatsministerium) zur Erfüllung ihrer Aufgaben nicht mehr erforderlich. Dies ergebe sich - ausschlaggebend - daraus, dass § 15 Abs. 4 LDSG einer Nutzung der Daten für den vom Land allein noch vorgesehenen Zweck, nämlich die Auswertung des kopierten E-Mail-Accounts auf aktenrelevante Vorgänge, entgegenstehe. Nach dieser Vorschrift dürften personenbezogene Daten, die - wie im vorliegenden Fall - ausschließlich zum Zweck der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert würden, nur für diesen Zweck genutzt werden. Sinn und Zweck dieser strikten Zweckbindung sei es, eine Beeinträchtigung des Vertrauensverhältnisses zum Betroffenen und der Datensicherheit zu verhindern. Andernfalls würde die Akzeptanz der Erstellung von Sicherheitskopien im Hinblick auf die damit verbundene Ausweitung der Datenvorhaltung sinken, was der Datensicherheit abträglich wäre. § 15 Abs. 4 LDSG sei als Spezialvorschrift anzusehen, weshalb es nicht darauf ankomme, ob eine der in § 15 Abs. 2 LDSG aufgeführten Voraussetzungen für das weitere Speichern und Nutzen personenbezogener Daten für andere als die mit der ursprünglichen Speicherung verfolgten Zwecke vorliege.
Ohne Erfolg berufe sich das Land daher darauf, es müssten mit Hilfe der kopierten E-Mail-Postfachdaten möglicherweise unrichtige Angaben von Stefan M. überprüft werden (§ 15 Abs. 2 Nr. 4 LDSG). Da § 15 Abs. 4 LDSG eingreife, sei es auch ausgeschlossen, die Daten im Hinblick auf die Aufdeckung möglicher Rechtsverstöße von Stefan M. auszuwerten.
Vor der von Stefan M. somit grundsätzlich zu Recht beanspruchten Löschung der Dateien seien allerdings die Daten gemäß § 23 Abs. 3 LDSG dem Landesarchiv zur Übernahme als Archivgut nach Maßgabe des § 3 Landesarchivgesetz anzubieten. Der in diesen Vorschriften zum Ausdruck kommende „Vorrang des Archivrechts“ vor dem allgemeinen Datenschutzrecht begegne keinen verfassungsrechtlichen Bedenken; denn dem Schutz der Persönlichkeit von Stefan M. werde nach den Vorschriften des Landesarchivgesetzes hinreichend Rechnung getragen. Stefan M. komme auch der Schutz des § 3 Abs. 2 S. 3 Landesarchivgesetz zugute. Danach seien die anbietungspflichtigen Unterlagen zu vernichten, wenn das Landesarchiv die Übernahme ablehne oder nicht innerhalb eines Jahres über die Übernahme entschieden habe. Diese Jahresfrist sei derzeit noch nicht abgelaufen.
Das Urteil vom 27.05.2013 - 2 K 3249/12 - ist nicht rechtskräftig. Die Beteiligten können hiergegen beim Verwaltungsgerichtshof Baden-Württemberg die vom Verwaltungsgericht zugelassene Berufung einlegen.
Quelle: Pressemitteilung des Verwaltungsgerichts Karlsruhe vom 31.05.2013
Einer der wichtigsten Grundsätze des europäischen und deutschen Datenschutzrechts ist der Zweckbindungsgrundsatz. Dieser besagt, dass personenbezogene Daten nur für von vornherein festgelegte eindeutige und rechtmäßige Zwecke erhoben werden dürfen und im Nachhinein nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Dieser Grundsatz kommt im Bundesdatenschutzgesetz an vielen Stellen zum Ausdruck, z.B. in § 4 Abs. 3 BDSG, § 14 Abs. 1 BDSG oder in § 28 Abs. 1 S. 2 BDSG.
Wie so oft in der Juristerei (und bei vielen anderen Dingen im Leben...) gibt es keinen Grundsatz ohne Ausnahme: In bestimmten, vom Gesetz definierten Fällen ist eine Datenverarbeitung für einen anderen (als den ursprünglich bei der Datenerhebung verfolgten) Zweck zulässig. Solche Fälle der erlaubten Zweckänderung finden sich z.B. in § 14 Abs. 2 BDSG oder § 28 Abs. 2 BDSG. Einer der prominentesten Fälle der Zweckänderung findet sich in § 28 Abs. 3 Nr. 1 BDSG, wenn ursprünglich zum Abschluss oder der Abwicklung eines Vertrages erhobene und gespeicherte Daten (unter bestimmten Voraussetzungen) nun AUCH für Werbezwecke genutzt werden dürfen. Trotz des Ausnahmecharakters ist zu erahnen, dass aufgrund der recht breit formulierten Ausnahmevorschriften eine Zweckänderung doch recht häufig in der Praxis vorkommen kann.
Personenbezogene Daten, welche ausschließlich zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, unterliegen einer strengen Zweckbindung, welche keine Ausnahmen zuläßt (siehe etwa § 31 BDSG oder § 14 Abs. 4 BDSG).
Rechtsfolge einer unerlaubten Zweckänderung ist die Löschung der (quasi zweckveränderten) Daten, welche für diese "neuen" Zwecke rechtswidrig gespeichert werden (§ 35 Abs. 2 Nr. 1 BDSG für den nichtöffentlichen Bereich, § 20 Abs. 2 Nr. 1 BDSG für den öffentlichen Bereich). Hat sich darüber hinaus auch der "ursprüngliche" Zweck der Erhebung und Speicherung der personenbezogenen Daten zwischenzeitlich erledigt, d.h. ist eine Speicherung der Daten zur Erreichung des Erhebungszwecks nicht mehr erforderlich (Bsp: Bestellung des Kunden wurde abgewickelt, Interessent hat Newsletter abbestellt, dem Bewerber wurde abgesagt usw.) und bestehen keine speziellen Aufbewahrungsfristen für die Daten, so sind diese Daten gem. § 35 Abs. 2 Nr. 3 BDSG (bzw. § 20 Abs. 2 Nr. 2 BDSG für den öffentlichen Bereich) zu löschen.
Diesen Löschungsanspruch kann der Betroffene auch gerichtlich durchsetzen - wie geschehen im Fall vor dem VG Karlsruhe. Da es im vorliegenden Fall um Löschungsansprüche gegen eine Landesbehörde geht, sind die Vorschriften des Landesdatenschutzgesetzes (Baden-Württemberg) anwendbar und das Verwaltungsgericht das sachlich zuständige Gericht.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Anbei die Pressemitteilung des Verwaltungsgerichts Karlsruhe vom 31.05.2013 (Hinweis: § 15 LDSG BW entspricht weitgehend dem § 14 BDSG, § 23 Abs. 1 LDSG BW entspricht weitgehend dem § 20 Abs. 2 BDSG, der Sachverhalt ist in den Grundsätzen auch auf eine Datenverarbeitung durch nichtöffentliche Stellen - also etwa durch Unternehmen - übertragbar):
Die 2. Kammer des Verwaltungsgerichts Karlsruhe hat das Land Baden-Württemberg verpflichtet, drei Dateien mit „Arbeitskopien“ des Outlook-Postfachs des früheren Ministerpräsidenten Stefan M. sowie sämtliche Kopien dieser Dateien zu löschen, nachdem diese dem Landesarchiv zur Übernahme als Archivgut angeboten worden sind. Die - auf vorbehaltlose Löschung gerichtete - Klage von Stefan M. hatte somit überwiegend Erfolg, was in der Kostenentscheidung des Urteils zum Ausdruck kommt (3/4 der Kosten hat das Land zu tragen).
Im Herbst 2010 erstellte ein Mitarbeiter des IT-Bereichs des Staatsministeriums eine Kopie des auf dem Server dieses Ministeriums liegenden und Stefan M. zugewiesenen Original-Outlook-Postfachs. Dies geschah, weil technische Probleme bezüglich des elektronischen Terminkalenders dieses Postfachs aufgetreten waren. Nachdem der Fehler nicht hatte gefunden werden können, blieben die kopierten Postfach-Daten gespeichert. Demgegenüber wurden die Original-E-Mail-Accounts von Stefan M. nach dem Regierungswechsel auf dem Server des Staatsministeriums (endgültig) gelöscht. Erst im Sommer 2012 wurde das Staatsministerium auf die nach seinen Angaben zwischenzeitlich in Vergessenheit geratenen kopierten Dateien wieder aufmerksam.
Zur Begründung seines Anspruchs auf Löschung dieser Dateien mit „Arbeitskopien“ seines früheren Outlook-Postfachs macht Stefan M. geltend, personenbezogene Daten in Dateien seien nach dem Landesdatenschutzgesetz - LDSG - zu löschen, wenn ihre Kenntnis für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich sei. Dem hält das beklagte Land entgegen, sowohl die Speicherung der Dateien als auch deren Nutzung seien zur Erfüllung staatlicher Aufgaben erforderlich. Da Stefan M. seine dienstliche E-Mail-Korrespondenz nicht vollständig zu den Sachakten genommen habe, bedürfe es einer Auswertung des E-Mail-Postfachs. Dies gelte insbesondere für Vorgänge im Zusammenhang mit dem Ankauf von EnBW-Anteilen im Dezember 2010.
Zur Begründung seiner Entscheidung hat das Verwaltungsgericht ausgeführt:
Stefan M. habe nach § 23 Abs. 1 Nr. 2 Landesdatenschutzgesetz - LDSG - Anspruch auf Löschung der Daten in den von seinem damaligen Outlook-Postfach gefertigten „Arbeitskopien“, denn die Kenntnis dieser (unstreitig) personenbezogenen Daten sei für die speichernde Stelle (das Staatsministerium) zur Erfüllung ihrer Aufgaben nicht mehr erforderlich. Dies ergebe sich - ausschlaggebend - daraus, dass § 15 Abs. 4 LDSG einer Nutzung der Daten für den vom Land allein noch vorgesehenen Zweck, nämlich die Auswertung des kopierten E-Mail-Accounts auf aktenrelevante Vorgänge, entgegenstehe. Nach dieser Vorschrift dürften personenbezogene Daten, die - wie im vorliegenden Fall - ausschließlich zum Zweck der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert würden, nur für diesen Zweck genutzt werden. Sinn und Zweck dieser strikten Zweckbindung sei es, eine Beeinträchtigung des Vertrauensverhältnisses zum Betroffenen und der Datensicherheit zu verhindern. Andernfalls würde die Akzeptanz der Erstellung von Sicherheitskopien im Hinblick auf die damit verbundene Ausweitung der Datenvorhaltung sinken, was der Datensicherheit abträglich wäre. § 15 Abs. 4 LDSG sei als Spezialvorschrift anzusehen, weshalb es nicht darauf ankomme, ob eine der in § 15 Abs. 2 LDSG aufgeführten Voraussetzungen für das weitere Speichern und Nutzen personenbezogener Daten für andere als die mit der ursprünglichen Speicherung verfolgten Zwecke vorliege.
Ohne Erfolg berufe sich das Land daher darauf, es müssten mit Hilfe der kopierten E-Mail-Postfachdaten möglicherweise unrichtige Angaben von Stefan M. überprüft werden (§ 15 Abs. 2 Nr. 4 LDSG). Da § 15 Abs. 4 LDSG eingreife, sei es auch ausgeschlossen, die Daten im Hinblick auf die Aufdeckung möglicher Rechtsverstöße von Stefan M. auszuwerten.
Vor der von Stefan M. somit grundsätzlich zu Recht beanspruchten Löschung der Dateien seien allerdings die Daten gemäß § 23 Abs. 3 LDSG dem Landesarchiv zur Übernahme als Archivgut nach Maßgabe des § 3 Landesarchivgesetz anzubieten. Der in diesen Vorschriften zum Ausdruck kommende „Vorrang des Archivrechts“ vor dem allgemeinen Datenschutzrecht begegne keinen verfassungsrechtlichen Bedenken; denn dem Schutz der Persönlichkeit von Stefan M. werde nach den Vorschriften des Landesarchivgesetzes hinreichend Rechnung getragen. Stefan M. komme auch der Schutz des § 3 Abs. 2 S. 3 Landesarchivgesetz zugute. Danach seien die anbietungspflichtigen Unterlagen zu vernichten, wenn das Landesarchiv die Übernahme ablehne oder nicht innerhalb eines Jahres über die Übernahme entschieden habe. Diese Jahresfrist sei derzeit noch nicht abgelaufen.
Das Urteil vom 27.05.2013 - 2 K 3249/12 - ist nicht rechtskräftig. Die Beteiligten können hiergegen beim Verwaltungsgerichtshof Baden-Württemberg die vom Verwaltungsgericht zugelassene Berufung einlegen.
Quelle: Pressemitteilung des Verwaltungsgerichts Karlsruhe vom 31.05.2013
Montag, 3. Juni 2013
Die datenschutzrechtliche Zulässigkeit des GPS-Trackings von Firmenfahrzeugen
Bei der Einführung einer GPS-Ortungsanlage zur Erfassung der Firmenfahrzeuge ist zu berücksichtigen, dass mit dem Tracken der Fahrzeuge auch erfasst und ermittelt wird, wo sich der jeweilige Außendienstmitarbeiter mit dem Dienstfahrzeug aufhält. Bei diesen Informationen handelt es sich um personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG. Es liegt auf der Hand, dass mit einer unbegrenzten Erhebung und Speicherung dieser GPS-Daten ein lückenloses Bewegungs- bzw. Tätigkeitsprofil des entsprechenden Mitarbeiters angefertigt werden kann. Eine Vollüberwachung eines Mitarbeiters ist nach der Rechtsprechung des Bundesarbeitsgerichts allerdings rechtswidrig.
Wonach hat sich ein datenschutzkonformer GPS-Einsatz also zu orientieren?
Rechtsgrundlage für einen konformen Einsatz dürfte in den meisten Fällen § 28 Abs. 1 Nr. 2 BDSG bzw. § 32 Abs. 1 BDSG sein. Hiernach sind die berechtigten Interessen des Unternehmens als datenverarbeitende Stelle gegen schutzwürdige Interessen des von der Tracking-Maßnahme Betroffenen abzuwägen.
Hierbei können berechtigte Interesse des Unternehmens etwa die effektive Organisation der Firmenfahrzeuge bzw. der Außendienstmitarbeiter sein. Grundsätzlich hat ja auch ein Mitarbeiter seinen Arbeitgeber über Arbeitszeiten und Einsatztätigkeit zu unterrichten. Auch können solche berechtigte Interessen des Unternehmens das Erfordernis einer genauen Kostenermittlung sein, etwa weil diese Fahrtkosten einem Kunden in Rechnung zu stellen sind oder für interne Buchhaltungszwecke erforderlich sind. Ferner denkbare berechtigte Interessen des Unternehmens: Eine Ortung ist für die Sicherheit des Beschäftigten oder von sehr wertvollem Unternehmens- oder Kundeneigentum (Bsp: Geldtransporter!) erforderlich.
Dem stehen etwaige schutzwürdige Interessen des betroffenen Mitarbeiters gegenüber, dessen Verhalten potentiell überwacht werden kann. Gemäß § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zwar ist einem Arbeitgeber die Überwachung der Arbeitsleistung seiner Mitarbeiter in angemessener Weise zuzubilligen. Dies darf allerdings zu keiner Totalüberwachung des Arbeitnehmers führen (vergleichbar mit der Rund-um-die-Uhr-Überwachung durch Kameras). In den Bereich einer Totalüberwachung käme ein Unternehmen, wenn durch das GPS-System kontrollieren würde, wie der betreffende Außendienstmitarbeiter seine Arbeit verrichtet, die Pausen gestaltet oder sich im Straßenverkehr verhält.
Ist zu befürchten, dass der Außendienstmitarbeiter während des Beschäftigungsverhältnisses eine Straftat begeht oder begangen hat und eine GPS-Ortung zur Aufdeckung oder Aufklärung dieser Straftat erforderlich ist und im Einzelfall das schutzwürdige Interesse des Betroffenen nicht überwiegt, ist gemäß § 32 Abs. 1 Satz 2 BDSG der Einsatz von GPS-Trackern in zeitlich begrenztem Umfang auch zu einer Vollüberwachung möglich.
Auch wenn eine GPS-Überwachung der Firmenfahrzeuge rechtmäßig durchgeführt wird, ist zu beachten, dass diese Maßnahme gemäß § 4d Abs. 5 BDSG potentiell ein schwerwiegender Eingriff in Persönlichkeitsrechte des überwachten Arbeitnehmers darstellen kann, mithin besondere Risiken für dessen Rechte und Freiheiten aufweisen kann und damit eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten zu erfolgen hat. Hierbei sollte gewährleistet werden, dass nur die zwingend zur Erreichung des jeweiligen Zwecks erforderlichen Daten in technischer Hinsicht erhoben werden (§ 3a BDSG - Datenvermeidung und Datensparsamkeit), die betreffenden Verarbeitungszwecke klar definiert werden und ein entsprechendes Löschkonzept vom Datenschutzbeauftragten erstellt wird. Letztendlich sind die betroffenen Mitarbeiter von der durchgeführten Maßnahme zu unterrichten.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Wonach hat sich ein datenschutzkonformer GPS-Einsatz also zu orientieren?
Rechtsgrundlage für einen konformen Einsatz dürfte in den meisten Fällen § 28 Abs. 1 Nr. 2 BDSG bzw. § 32 Abs. 1 BDSG sein. Hiernach sind die berechtigten Interessen des Unternehmens als datenverarbeitende Stelle gegen schutzwürdige Interessen des von der Tracking-Maßnahme Betroffenen abzuwägen.
Hierbei können berechtigte Interesse des Unternehmens etwa die effektive Organisation der Firmenfahrzeuge bzw. der Außendienstmitarbeiter sein. Grundsätzlich hat ja auch ein Mitarbeiter seinen Arbeitgeber über Arbeitszeiten und Einsatztätigkeit zu unterrichten. Auch können solche berechtigte Interessen des Unternehmens das Erfordernis einer genauen Kostenermittlung sein, etwa weil diese Fahrtkosten einem Kunden in Rechnung zu stellen sind oder für interne Buchhaltungszwecke erforderlich sind. Ferner denkbare berechtigte Interessen des Unternehmens: Eine Ortung ist für die Sicherheit des Beschäftigten oder von sehr wertvollem Unternehmens- oder Kundeneigentum (Bsp: Geldtransporter!) erforderlich.
Dem stehen etwaige schutzwürdige Interessen des betroffenen Mitarbeiters gegenüber, dessen Verhalten potentiell überwacht werden kann. Gemäß § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zwar ist einem Arbeitgeber die Überwachung der Arbeitsleistung seiner Mitarbeiter in angemessener Weise zuzubilligen. Dies darf allerdings zu keiner Totalüberwachung des Arbeitnehmers führen (vergleichbar mit der Rund-um-die-Uhr-Überwachung durch Kameras). In den Bereich einer Totalüberwachung käme ein Unternehmen, wenn durch das GPS-System kontrollieren würde, wie der betreffende Außendienstmitarbeiter seine Arbeit verrichtet, die Pausen gestaltet oder sich im Straßenverkehr verhält.
Ist zu befürchten, dass der Außendienstmitarbeiter während des Beschäftigungsverhältnisses eine Straftat begeht oder begangen hat und eine GPS-Ortung zur Aufdeckung oder Aufklärung dieser Straftat erforderlich ist und im Einzelfall das schutzwürdige Interesse des Betroffenen nicht überwiegt, ist gemäß § 32 Abs. 1 Satz 2 BDSG der Einsatz von GPS-Trackern in zeitlich begrenztem Umfang auch zu einer Vollüberwachung möglich.
Auch wenn eine GPS-Überwachung der Firmenfahrzeuge rechtmäßig durchgeführt wird, ist zu beachten, dass diese Maßnahme gemäß § 4d Abs. 5 BDSG potentiell ein schwerwiegender Eingriff in Persönlichkeitsrechte des überwachten Arbeitnehmers darstellen kann, mithin besondere Risiken für dessen Rechte und Freiheiten aufweisen kann und damit eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten zu erfolgen hat. Hierbei sollte gewährleistet werden, dass nur die zwingend zur Erreichung des jeweiligen Zwecks erforderlichen Daten in technischer Hinsicht erhoben werden (§ 3a BDSG - Datenvermeidung und Datensparsamkeit), die betreffenden Verarbeitungszwecke klar definiert werden und ein entsprechendes Löschkonzept vom Datenschutzbeauftragten erstellt wird. Letztendlich sind die betroffenen Mitarbeiter von der durchgeführten Maßnahme zu unterrichten.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Dienstag, 21. Mai 2013
Bei unerwünschter Briefwerbung 4000 EUR Streitwert bei Unterlassungsklage
Auch Datenschutzrecht - dazu siehe weiter unten - in der Entscheidung vielmehr allgemeines Zivilrecht (Recht am eingerichteten und ausgeübten Gewerbebetrieb):
Mißachtet ein Versender von Post-Werbesendungen die Aufforderung des Beworbenen, von einer weiteren Zusendung von Briefwerbung abzusehen und klagt der Betroffene daraufhin auf Unterlassung, so beläuft sich der Streitwert dieser Klage (nach welcher sich Gerichts- und Anwaltskosten bemessen) auf 4.000 EUR - so das OLG Hamm in seiner Entscheidung 9 W 23/13 vom 11.04.2013.
Damit setzt das Gericht den vom LG Bielefeld festgesetzen Streitwerts von 10.000 EUR beträchtlich herunter.
Denn, so das OLG, belästige die vom Betroffenen unerwünschte Postwerbung (auch gegenüber dem Werbetreibenden zum Ausdruck gebracht) ähnlich wie unerwünschte E-Mails den Betroffenen zwar. Im Gegensatz zu anderen Werbeformen (wie E-Mail, Fax, Telefon) seien die "konkret verursachte Behinderung des Geschäftsbetriebs sowie die hierdurch verursachten Kosten jedoch vergleichsweise gering", "auch der von der Klägerin angeführte Personal- und Verwaltungsaufwand ist als sehr gering zu bewerten". Ferner, so das Gericht, bedürften die Schreiben "keiner besonderen Sachbearbeitung oder Beantwortung, es besteht die einfache Möglichkeit, sie zu entsorgen oder unbearbeitet zu lassen. Hinzu kommt, dass die Beklagte keine Flut an Schreiben versandt hat. Vielmehr hat die Klägerin insoweit konkret lediglich vier Schreiben innerhalb von knapp sechs Monaten genannt."
Hier waren die Gerichte nur mit dem Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb befaßt (wobei das Urteil als Versäumnisurteil gegen den Werbetreibenden erging).
Nun wie angekündigt zum datenschutzrechtlichen Aspekt, der allerdings in der Gerichtsentscheidung keine Rolle spielte:
Zu beachten ist datenschutzrechtlich allerdings auch, dass ein Widerspruch in die Nutzung der Daten zu Werbezwecken die Datennutzung und Datenverarbeitung zu Werbezwecken gem. § 28 Abs. 4 BDSG unzulässig macht. Ein solcher Widerspruch ist im vorliegenden Fall auch erkennbar, schließlich hatte sich der Betroffene dahingehend geäußert, dass er die Zusendung von Werbepost nicht wünsche (wäre im Einzelfall durch Auslegung zu ermitteln).
Dieser Sachverhalt bedeutet also darüberhinaus ein Verstoß gegen Datenschutzrecht nach § 28 Abs. 4 BDSG, wonach nach Widerspruch des Betroffenen eine Datennutzung und Datenverarbeitung für Zwecke der Werbung oder der Markt- und Meinungsforschung unzulässig wird. Auf diese Widerspruchsmöglichkeit ist im Übrigen auch hinzuweisen - ein Verstoß hiergegen ist mit einem Ordnungsgeld von bis zu 50.000 EUR bußgeldbewährt (§ 43 Abs. 1 Nr. 3 BDSG).
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Mißachtet ein Versender von Post-Werbesendungen die Aufforderung des Beworbenen, von einer weiteren Zusendung von Briefwerbung abzusehen und klagt der Betroffene daraufhin auf Unterlassung, so beläuft sich der Streitwert dieser Klage (nach welcher sich Gerichts- und Anwaltskosten bemessen) auf 4.000 EUR - so das OLG Hamm in seiner Entscheidung 9 W 23/13 vom 11.04.2013.
Damit setzt das Gericht den vom LG Bielefeld festgesetzen Streitwerts von 10.000 EUR beträchtlich herunter.
Denn, so das OLG, belästige die vom Betroffenen unerwünschte Postwerbung (auch gegenüber dem Werbetreibenden zum Ausdruck gebracht) ähnlich wie unerwünschte E-Mails den Betroffenen zwar. Im Gegensatz zu anderen Werbeformen (wie E-Mail, Fax, Telefon) seien die "konkret verursachte Behinderung des Geschäftsbetriebs sowie die hierdurch verursachten Kosten jedoch vergleichsweise gering", "auch der von der Klägerin angeführte Personal- und Verwaltungsaufwand ist als sehr gering zu bewerten". Ferner, so das Gericht, bedürften die Schreiben "keiner besonderen Sachbearbeitung oder Beantwortung, es besteht die einfache Möglichkeit, sie zu entsorgen oder unbearbeitet zu lassen. Hinzu kommt, dass die Beklagte keine Flut an Schreiben versandt hat. Vielmehr hat die Klägerin insoweit konkret lediglich vier Schreiben innerhalb von knapp sechs Monaten genannt."
Hier waren die Gerichte nur mit dem Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb befaßt (wobei das Urteil als Versäumnisurteil gegen den Werbetreibenden erging).
Nun wie angekündigt zum datenschutzrechtlichen Aspekt, der allerdings in der Gerichtsentscheidung keine Rolle spielte:
Zu beachten ist datenschutzrechtlich allerdings auch, dass ein Widerspruch in die Nutzung der Daten zu Werbezwecken die Datennutzung und Datenverarbeitung zu Werbezwecken gem. § 28 Abs. 4 BDSG unzulässig macht. Ein solcher Widerspruch ist im vorliegenden Fall auch erkennbar, schließlich hatte sich der Betroffene dahingehend geäußert, dass er die Zusendung von Werbepost nicht wünsche (wäre im Einzelfall durch Auslegung zu ermitteln).
Dieser Sachverhalt bedeutet also darüberhinaus ein Verstoß gegen Datenschutzrecht nach § 28 Abs. 4 BDSG, wonach nach Widerspruch des Betroffenen eine Datennutzung und Datenverarbeitung für Zwecke der Werbung oder der Markt- und Meinungsforschung unzulässig wird. Auf diese Widerspruchsmöglichkeit ist im Übrigen auch hinzuweisen - ein Verstoß hiergegen ist mit einem Ordnungsgeld von bis zu 50.000 EUR bußgeldbewährt (§ 43 Abs. 1 Nr. 3 BDSG).
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Donnerstag, 2. Mai 2013
Kein Auskunfsanspruch eines abgelehnten Stellenbewerbers bzgl. des dann eingestellten Bewerbers und der Auswahlkriterien
Ein abgelehnter Stellenbewerber hat gegen den Arbeitgeber keinen Anspruch auf Auskunft, ob dieser einen anderen Bewerber eingestellt hat.
Die 1961 in der Russischen SSR geborene Klägerin hatte sich im Jahre 2006 auf die von der Beklagten ausgeschriebene Stelle eines/einer Softwareentwicklers/-in erfolglos beworben. Die Beklagte teilte ihr nicht mit, ob sie einen anderen Bewerber eingestellt hatte und gegebenenfalls, welche Kriterien für diese Entscheidung maßgeblich gewesen waren. Die Klägerin behauptet, sie habe die Voraussetzungen für die ausgeschriebene Stelle erfüllt und sei lediglich wegen ihres Geschlechts, ihres Alters und ihrer Herkunft nicht zu einem Vorstellungsgespräch eingeladen und damit unter Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) diskriminiert worden. Sie hat von der Beklagten eine angemessene Entschädigung in Geld verlangt. Die Vorinstanzen haben die Klage abgewiesen.
Einen Anspruch der Klägerin auf Auskunft gegen die Beklagte, ob diese einen anderen Bewerber eingestellt hat und gegebenenfalls aufgrund welcher Kriterien, sah der Achte Senat des Bundesarbeitsgerichts nach nationalem Recht nicht. Auf seine Vorlage an den EuGH hatte dieser mit Urteil vom 19. April 2012 (- C-415/10 -) entschieden, dass sich ein solcher Auskunftsanspruch auch nicht aufgrund des Gemeinschaftsrechts ergibt, die Verweigerung jedes Zugangs zu Informationen durch einen Arbeitgeber jedoch unter Umständen einen Gesichtspunkt darstellen kann, welcher beim Nachweis der Tatsachen heranzuziehen ist, die eine Diskriminierung vermuten lassen. Unter Zugrundelegung dieser Rechtsprechung des EuGH blieb die Entschädigungsklage vor dem Achten Senat des Bundesarbeitsgerichts ohne Erfolg. Die Klägerin hat zwar auf ihr Geschlecht, ihr Alter und ihre Herkunft hingewiesen, jedoch keine ausreichenden Indizien dargelegt, welche eine Benachteiligung wegen eines in § 1 AGG genannten Grundes vermuten lassen und die nach § 22 AGG zu einer Beweislast der Beklagten dafür führen würden, dass kein Verstoß gegen die Bestimmungen zum Schutz vor Benachteiligungen vorgelegen hat. Auch die Verweigerung jeglicher Auskunft durch die Beklagte begründete im Streitfalle nicht die Vermutung einer unzulässigen Benachteiligung der Klägerin iSd. § 7 AGG.
Bundesarbeitsgericht, Urteil vom 25. April 2013 - 8 AZR 287/08 -
Vorinstanz: Landesarbeitsgericht Hamburg, Urteil vom 9. November 2007 - H 3 Sa 102/07 -
Quelle: Pressemitteilung des Bundesarbeitsgerichts vom 25.4.2012
Die 1961 in der Russischen SSR geborene Klägerin hatte sich im Jahre 2006 auf die von der Beklagten ausgeschriebene Stelle eines/einer Softwareentwicklers/-in erfolglos beworben. Die Beklagte teilte ihr nicht mit, ob sie einen anderen Bewerber eingestellt hatte und gegebenenfalls, welche Kriterien für diese Entscheidung maßgeblich gewesen waren. Die Klägerin behauptet, sie habe die Voraussetzungen für die ausgeschriebene Stelle erfüllt und sei lediglich wegen ihres Geschlechts, ihres Alters und ihrer Herkunft nicht zu einem Vorstellungsgespräch eingeladen und damit unter Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) diskriminiert worden. Sie hat von der Beklagten eine angemessene Entschädigung in Geld verlangt. Die Vorinstanzen haben die Klage abgewiesen.
Einen Anspruch der Klägerin auf Auskunft gegen die Beklagte, ob diese einen anderen Bewerber eingestellt hat und gegebenenfalls aufgrund welcher Kriterien, sah der Achte Senat des Bundesarbeitsgerichts nach nationalem Recht nicht. Auf seine Vorlage an den EuGH hatte dieser mit Urteil vom 19. April 2012 (- C-415/10 -) entschieden, dass sich ein solcher Auskunftsanspruch auch nicht aufgrund des Gemeinschaftsrechts ergibt, die Verweigerung jedes Zugangs zu Informationen durch einen Arbeitgeber jedoch unter Umständen einen Gesichtspunkt darstellen kann, welcher beim Nachweis der Tatsachen heranzuziehen ist, die eine Diskriminierung vermuten lassen. Unter Zugrundelegung dieser Rechtsprechung des EuGH blieb die Entschädigungsklage vor dem Achten Senat des Bundesarbeitsgerichts ohne Erfolg. Die Klägerin hat zwar auf ihr Geschlecht, ihr Alter und ihre Herkunft hingewiesen, jedoch keine ausreichenden Indizien dargelegt, welche eine Benachteiligung wegen eines in § 1 AGG genannten Grundes vermuten lassen und die nach § 22 AGG zu einer Beweislast der Beklagten dafür führen würden, dass kein Verstoß gegen die Bestimmungen zum Schutz vor Benachteiligungen vorgelegen hat. Auch die Verweigerung jeglicher Auskunft durch die Beklagte begründete im Streitfalle nicht die Vermutung einer unzulässigen Benachteiligung der Klägerin iSd. § 7 AGG.
Bundesarbeitsgericht, Urteil vom 25. April 2013 - 8 AZR 287/08 -
Vorinstanz: Landesarbeitsgericht Hamburg, Urteil vom 9. November 2007 - H 3 Sa 102/07 -
Quelle: Pressemitteilung des Bundesarbeitsgerichts vom 25.4.2012
Mittwoch, 24. April 2013
OVG Schleswig-Holstein: Für Facebook ist deutsches Datenschutzrecht nicht anwendbar
Mit Beschlüssen vom 22.04.2013 entschied das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) auf Beschwerden des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gegen Beschlüsse des Verwaltungsgerichts (VG) Schleswig, dass auf die Datenverarbeitung bei Facebook auch in Bezug auf deutsche Nutzer nicht deutsches, sondern ausschließlich irisches Datenschutzrecht anwendbar sei (Az. 4 MB 10/13, 4 MB 11/13). Damit wurde die vorläufige Vollstreckbarkeit der ULD-Verfügungen gegen Facebook Inc./USA und Facebook Ireland Ltd., gemäß dem deutschen Telemedienrecht eine anonyme oder pseudonyme Nutzung zuzulassen, rechtskräftig aufgehoben. Begründet wurde dies vom OVG damit, dass Facebook Ireland Ltd. eine Niederlassung von Facebook in Europa darstellt, nicht aber die Facebook Germany GmbH, die nur in den Bereichen der Anzeigenakquise und des Marketing für den Konzern tätig sei.
Der nicht anfechtbare Beschluss des OVG hat zur Folge, dass gegenüber Facebook direkt deutsches Datenschutzrecht nicht angewendet werden kann. Der Leiter des ULD Thilo Weichert zeigt sich über die Beschlüsse enttäuscht: „Das Gericht erlaubt es, dass durch geschickte interne Organisation in einem IT-Konzern die Anwendbarkeit des strengen deutschen Datenschutzrechts ausgehebelt wird. Bedauerlich ist auch, dass die vom ULD vorgetragene grundrechtliche Begründung seiner Bescheide nicht aufgegriffen wurde. Für Nutzende und deutsche Unternehmen, die sich an den deutschen Datenschutzstandards halten müssen, ist es schwer zu verstehen, weshalb ein Angebot für den deutschen Markt diese Standards ignorieren darf. Wir müssen diese Entscheidung aber akzeptieren und werden deshalb den Widersprüchen von Facebook gegen unsere Verfügungen im Hauptsacheverfahren entsprechen.
So bedauerlich die OVG-Entscheidungen für den Datenschutz auch sein mögen, sie haben eine obergerichtliche Aussage in der stark umstrittenen Rechtsfrage gebracht, welches Datenschutzrecht bei internationalen sozialen Netzwerken anwendbar ist. Seit Dezember 2011 ist weiterhin vor dem VG Schleswig die Rechtsfrage anhängig, ob zumindest für deutsche Stellen, die über Facebook Fanpages betreiben, das deutsche Datenschutzrecht anwendbar ist. Hierzu enthalten die OVG-Beschlüsse keine Aussagen. Es ist zu hoffen, dass diese Verfahren zügig in Angriff genommen werden, um weitere Rechtsklarheit zu erhalten.
Die OVG-Beschlüsse sollten von der Politik als Signal verstanden werden, dass auf europäischer Ebene mit der derzeit diskutierten Datenschutz-Grundverordnung nicht nur ein hoher Datenschutzstandard festgeschrieben, sondern auch dessen Durchsetzbarkeit sichergestellt werden muss. Anderenfalls wird Facebook weiterhin versuchen, sich durch organisatorische Tricks einer wirksamen Datenschutzkontrolle zu entziehen. Wir erleben derzeit, dass sich internationale IT-Unternehmen durch eine ausgeklügelte interne Organisation der Zahlung von Steuern entziehen. Die Politik muss verhindern, dass sich neben Steueroasen auch Datenschutzoasen – also Bereiche ohne effektive Datenschutzkontrolle – entwickeln.“
Quelle: Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 24.04.2013
Der nicht anfechtbare Beschluss des OVG hat zur Folge, dass gegenüber Facebook direkt deutsches Datenschutzrecht nicht angewendet werden kann. Der Leiter des ULD Thilo Weichert zeigt sich über die Beschlüsse enttäuscht: „Das Gericht erlaubt es, dass durch geschickte interne Organisation in einem IT-Konzern die Anwendbarkeit des strengen deutschen Datenschutzrechts ausgehebelt wird. Bedauerlich ist auch, dass die vom ULD vorgetragene grundrechtliche Begründung seiner Bescheide nicht aufgegriffen wurde. Für Nutzende und deutsche Unternehmen, die sich an den deutschen Datenschutzstandards halten müssen, ist es schwer zu verstehen, weshalb ein Angebot für den deutschen Markt diese Standards ignorieren darf. Wir müssen diese Entscheidung aber akzeptieren und werden deshalb den Widersprüchen von Facebook gegen unsere Verfügungen im Hauptsacheverfahren entsprechen.
So bedauerlich die OVG-Entscheidungen für den Datenschutz auch sein mögen, sie haben eine obergerichtliche Aussage in der stark umstrittenen Rechtsfrage gebracht, welches Datenschutzrecht bei internationalen sozialen Netzwerken anwendbar ist. Seit Dezember 2011 ist weiterhin vor dem VG Schleswig die Rechtsfrage anhängig, ob zumindest für deutsche Stellen, die über Facebook Fanpages betreiben, das deutsche Datenschutzrecht anwendbar ist. Hierzu enthalten die OVG-Beschlüsse keine Aussagen. Es ist zu hoffen, dass diese Verfahren zügig in Angriff genommen werden, um weitere Rechtsklarheit zu erhalten.
Die OVG-Beschlüsse sollten von der Politik als Signal verstanden werden, dass auf europäischer Ebene mit der derzeit diskutierten Datenschutz-Grundverordnung nicht nur ein hoher Datenschutzstandard festgeschrieben, sondern auch dessen Durchsetzbarkeit sichergestellt werden muss. Anderenfalls wird Facebook weiterhin versuchen, sich durch organisatorische Tricks einer wirksamen Datenschutzkontrolle zu entziehen. Wir erleben derzeit, dass sich internationale IT-Unternehmen durch eine ausgeklügelte interne Organisation der Zahlung von Steuern entziehen. Die Politik muss verhindern, dass sich neben Steueroasen auch Datenschutzoasen – also Bereiche ohne effektive Datenschutzkontrolle – entwickeln.“
Quelle: Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 24.04.2013
Montag, 22. April 2013
Über das richtige „Maß“ beim Datenschutz
Gleich zu Beginn, damit ich nicht falsch verstanden werde:
Ich halte den Datenschutz für eine absolut wichtige Sache, jede Person und
insbesondere jedes Unternehmen sollte unbedingt den Datenschutz beherzigen und
ein „anständiges“ Datenschutzmanagement betreiben.
In der Praxis kommt mir aber immer wieder unter, dass quasi
mit „Kanonen auf Spatzen“ geschossen wird – und das ist meines Erachtens für
die Akzeptanz des Datenschutzes sehr abträglich.
Beispiel:
Im Rahmen eines Auftragsdatenverarbeitungsverhältnisses gem.
§ 11 BDSG wird der Geschäftsführer des Auftragnehmers – eines relativ kleinen
Unternehmens mit 5-8 Mitarbeitern – mit einer Frageliste des
Datenschutzbeauftragten des Auftraggebers zu den durchgeführten technischen und
organisatorischen Maßnahmen nach § 11 BDSG mit ca. 200 Fragen konfrontiert. Das
mag in manchen Fällen sinnvoll und auch erforderlich sein, wenn es etwa um
etwas sensiblere Daten mit einer erhöhten Schutzstufe geht oder um ein
größeres, gar international agierendes Unternehmen. In diesem Fall – ich war
mir nicht einmal ganz sicher, ob es sich überhaupt um einen Fall der
Auftragsdatenverarbeitung und nicht etwa der Funktionsübertragung handelt
(Beiträge hierzu) – war die Frageliste absolut überdimensioniert und führte beim
Geschäftsführer des Auftragnehmers zu nichts anderem als Frust. Wir sind die
Frageliste durchgegangen und haben sehr viele Felder mit dem Verweis auf die
fehlende „Erforderlichkeit“ abgearbeitet, weil viele abgefragte Maßnahmen offensichtlich etwa bei
einem Rechenzentrumsbetrieb Sinn machen, hier aber nicht – in ständiger
Begleitung von einem Schimpfen des Geschäftsführers über den Datenschutz und
„was sich die Herren in Berlin dabei nur gedacht haben“. Meine
Besänftigungsversuche und Erklärungen, warum bestimmte Regelungen durchaus
sinnvoll sind, konnten nicht dazu beitragen, den Menschen für Datenschutz zu
begeistern. Ich befürchte auch, nach dieser Erfahrung wird das in Zukunft auch
kaum möglich sein.
Schlecht für die Akzeptanz des Datenschutzes.
Genauso unverständlich – weil es letztendlich nur für Frust
sorgt und den Datenschutz nur als „Bremse“ oder „reine Schikane“ erscheinen
lässt – ist es, wenn manch jemand (zugegeben oftmals leider ein
Datenschutzbeauftragter) massenweise Verbote ausspricht oder an ein
Unternehmen, das keine personenbezogene Daten höherer Schutzstufen verarbeitet
(wie eigentlich die meisten Unternehmen – ausgenommen natürlich der Bereich
„Personal“), pauschal überall Anforderungen wie in einem
„Hochsicherheitsbereich“ anlegt.
Klar dient es auf den ersten Blick dem Datenschutz, wenn ich
beispielsweise überall den Einbau von Türen der höchsten Sicherheitsklasse
fordere. Aber ist das auch für jeden Raum in Anbetracht der damit zu
schützenden Daten erforderlich und angemessen – oder etwa nur beispielsweise
beim Serverraum?
Das soll nicht bedeuten, dass man „alles durchgehen lassen“
sollte oder den Datenschutz „lax“ betreiben sollte (was in der Praxis leider
auch sehr häufig zu beobachten ist) – natürlich nicht. Aber man sollte bei dem
anzulegenden Maß erstens berücksichtigen, ob die geforderten Maßnahmen (auch
vom Aufwand her) gemessen am Schutzzweck in einem angemessen Verhältnis stehen
und keinesfalls pauschal mit irgendwelchen Fragebögen oder Checklisten
bestimmte, möglicherweise in manchen Situationen durchaus sinnvolle
Anforderungen pauschal über ein ganzes Unternehmen stülpen, sondern hier mit
Augenmaß zu differenzieren.
Meine Auffassung von der Funktion des
Datenschutzbeauftragten ist es, die Mitarbeiter des Unternehmens für den
Datenschutz zu sensibilisieren und zu überzeugen, warum bestimmte erforderliche
Maßnahmen sinnvoll sind und eine Lösung zu finden, wie bestimmte für das
Unternehmen erforderliche Maßnahmen oder Prozesse datenschutzkonform gestaltet
werden können – ich nenne das den „gelebten“ Datenschutz.
Das reine „Anordnen“ von möglicherweise noch im Einzelfall
unverhältnismäßigen Maßnahmen ohne Hinterfragung und Erläuterung ist meines
Erachtens nur kontraproduktiv und führen – siehe Beispiel oben – nur dazu, dass
der Datenschutz sowohl im Unternehmen als auch generell von der Gesellschaft
nicht akzeptiert wird. Und das ist schlecht.
Der allgemeine Rechtsgrundsatz der Verhältnismäßigkeit –
auch ausdrücklich in einzelnen Normen des BDSG zu finden - verlangt keinen
„Datenschutz um jeden Preis“. Maßnahmen zur Sicherung des Datenschutzes sind
niemals Selbstzweck, sondern sind immer am Schutzzweck auszurichten. So ist es
z.B. in § 9 S. 2 BDSG zu lesen (bei den zu ergreifenden technischen und
organisatorischen Maßnahmen) oder in § 4f Abs. 2 S. 2 BDSG (Maß der
erforderlichen Fachkunde eines Datenschutzbeauftragten).
Und nochmals um Missverständnisse zu vermeiden: Es geht bei
diesem „Maß“ nicht um die Fragen, ob Datenschutz betrieben werden muss und
bestimmte Datenschutzerfordernisse zu beachten sind. Es geht darum, wie und mit
welchen Maßnahmen diese zwingend zu befolgenden Erfordernisse in concreto in
Anbetracht des Schutzzwecks der Daten und des zu betreibenden Aufwands umzusetzen
sind.
Das hierfür benötigte Fingerspitzengefühl zeichnet den
„guten“ Datenschutzbeauftragten aus.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Mittwoch, 17. April 2013
Verstärkt Botnet-Angriffe auf Wordpress-Seiten - Was ist zu tun?
Wie Heise Online und Spiegel Online bereits berichteten,
sind Wordpress- und Joomla-Installationen derzeit einer Brute-Force-Attacke
ausgesetzt. Demnach wird derzeit wohl über ein Botnet versucht, über
wiederholte Loginversuche (mit wechselnden Passwörtern nach der
Wörterbuch-Methode) auf den Admin-Account Zugriff auf die
Wordpress-Installationen zu erlangen. Nach erfolgreicher Attacke werde eine Backdoor
installiert, über welche das System in ein Botnet eingebunden würde.
Diese Mitteilung kann ich nur bestätigen: Meine Blogseiten
registrierten heute Nacht mehrere vergebliche Login-Versuche über den User „admin“
– alle ausgehend von derselben IP-Adresse.
Was kann man dagegen tun? Eigentlich ist es recht einfach:
- Sicheres Passwort wählen
Man kann es eigentlich nicht oft genug erwähnen: Ein sicheres Passwort ist die halbe Miete. Mindestens 8 Zeichen mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Warum nicht einen ganzen Satz nehmen oder zumindest die Anfangsbuchstaben eines Satzes (Bsp: MNiHMuib25Ja. für „Mein Name ist Hans Maier und ich bin 25 Jahre alt.“) – der Begriff ist leicht zu merken, findet man aber in keinem einer Brute-Force-Attacke zugrundeliegendem Wörterbuch und ist auch durch reines Ausprobieren nur sehr schwer zu ermitteln. - Standards ändern
Den Standard-Admin (User: admin) löschen und einen anderen Admin-User eintragen. In der Regel – wie auch in dem von mir geschilderten Fall – wird ein Login über den Standard-Admin-User versucht. Über mache Wordpress-Plugins können auch die URL der Standardanmeldeseiten von Wordpress geändert werden – auch das macht es einem Angreifer schwieriger. - Sperren einbauen
Über Wordpress-Plugins wie z.B. „Limit Login Attemps“ die Anzahl der zulässigen Login-Versuche begrenzen. Nach einer festgelegten Anzahl von fehlgeschlagenen Logins werden Login-Versuche ausgehend von derselben IP-Adresse automatisch für eine gewisse Zeit geblockt. Diese Maßnahme verringert die Anzahl der durchzuführenden Angriffe (zumindest von derselben IP-Adresse) deutlich.
Montag, 18. März 2013
Datenschutz beim Einsatz von CRM-Software
Customer
Relationship Management (CRM)-Software und Datenschutz: Dem Anschein nach zwei
Dinge, die nicht miteinander vereinbar sind. Zumindest war dies früher mein
erster Eindruck, wenn ich mit Vertriebsmitarbeitern über das Thema Datenschutz
und deren Gewohnheit zur Speicherung beinahe sämtlicher Informationen über
einen Kunden in deren CRM-System diskutiert habe. Scheinbar wahllos werden alle
(personenbezogenen) Informationen über Bestandskunden, Newsletterabonnenten,
Messekontakte und sonstigen irgendwie mit der verarbeitenden Stelle in Kontakt
stehenden Personen in den großen CRM-System-„Topf“ geworfen.
Kann so
ein System datenschutzkonform betrieben werden?
Ja,
definitiv. Dies stellte ich bei einem vertieften Umgang mit diesem Thema bei
der Beratung eines Mandanten fest, welcher sehr intensiv eine CRM-Software
einsetzt (und entwickelt).
Die
richtige Herangehensweise an einen datenschutzkonformen Datenumgang in einem
CRM-System liegt letztendlich in einer "knallharten" Klassifizierung
der verarbeiteten personenbezogenen Daten nach Erhebungs- und
Verarbeitungszweck.
Denn
einer der Grundsätze des Datenschutzrechts ist der Zweckbindungsgrundsatz – das
bedeutet, dass personenbezogene Daten nur für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in
einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise
weiterverarbeitet werden dürfen (es sei denn, es liegt eine gesetzliche
Ausnahme vor). Nach dem Trennungsgebot (Anlage zu § 9 BDSG, Satz 1 Nr. 8)
müssen zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können. Außerdem ist der Verwendungszweck in den meisten Fällen im Endeffekt ausschlaggebend
für die Zulässigkeit einer Datennutzung.
Für die
CRM-Software bedeutet dies, dass in einem ersten Schritt der Verarbeitungszweck
definiert werden muss und hiernach die gespeicherten Datensätze zu
differenzieren sind, zum Beispiel zwischen personenbezogenen Daten von
bestehenden Kunden, welche zum Zweck der Kundenbetreuung im System gespeichert
werden und zum Beispiel von Daten, die zur Verwendung für Werbezwecke
gespeichert werden. Hier empfiehlt es sich, entsprechende Gruppen in der
CRM-Software einzurichten.
Denn die
Frage, wie man mit Daten umzugehen hat, welche für die Kundenbetreuung (oder
Vertragserfüllung) eingesetzt werden, richtet sich nach § 28 Abs. 1 Satz 1 Nr.
1 BDSG. Je nach zugrunde liegendem Vertragsverhältnis können dies sehr vielfältige
Informationen sein, solange die Daten zur Erfüllung des konkreten
rechtsgeschäftlichen Schuldverhältnisses objektiv erforderlich sind. Hierbei
kann es sich zum Beispiel auch um bestimmte Vorlieben eines Vertragspartners
handeln, sofern diese Vorlieben mit dem zu Grunde liegenden Schuldverhältnis im
Zusammenhang stehen. Zur Durchführung eines Vertragsverhältnisses erforderlich
und geeignet kann beispielsweise die Speicherung über die vom Kunden bevorzugte
Weinsorte sein, wenn die datenverarbeitende Stelle für den Kunden Weinseminare
veranstaltet.
Anders
verhält es sich allerdings, wenn in der CRM-Software vorgehaltene
personenbezogene Daten zur Nutzung für Werbezwecke vorgesehen sind, sei es,
weil sich die betroffenen Personen für das Produkt der verarbeitenden Stelle
interessieren oder es sich auch hier um Bestandskunden handelt, welche man mit
Werbung für neue oder andere Produkte nutzt. Die rechtliche Grundlage für diese
Datenverarbeitung ist in § 28 Abs. 3 BDSG zu finden. Hierbei handelt es sich um
recht strikte und konkrete Vorgaben, welche eine zulässige Nutzung der
personenbezogenen Daten für Werbezwecke vorsehen. Insbesondere ist hier zu
beachten, dass im CRM-System entsprechende Kategorien vorhanden sind, welche
einen Schluss auf die Tatbestandsvariante des § 28 Abs. 3 BDSG zulässt, also
die Nutzung dieser Daten zu Werbezwecken rechtfertigt. Beispielsweise ob eine
Einwilligung in die Werbenutzung vorliegt, ggf. auch zur Art und Weise der
Werbenutzung (zum Beispiel in die E-Mail-Werbung oder Faxwerbung). Oder
beispielsweise ob das Datum aus einem „allgemein zugänglichen Verzeichnis“
(Telefonbuch, Branchenverzeichnis, usw.) im Sinne des § 28 Abs. 3 S. 2 Nr. 1
BDSG stammt (und welchem, denn im Zweifelsfall ist dies ja von der
verarbeitenden Stelle zu beweisen). Außerdem muss je nach Herkunft der Daten
gemäß § 34 Absatz 1a BDSG die Herkunft der Daten und der Empfänger für die
Dauer von zwei Jahren nach Übermittlung gespeichert werden, um bei einer
Auskunft gemäß § 34 BDSG eine entsprechende Auskunft geben zu können.
Aus
diesen Gründen ist es vorteilhaft, wenn sich auch die entsprechenden Hersteller
von CRM-Software über einen datenschutzkonforme Einsatz ihrer Software von
Anfang an Gedanken machen, um dem Anwender einen Einsatz entsprechend § 3a BDSG
(Datenvermeidung und Datensparsamkeit) zu ermöglichen und zu erleichtern.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Freitag, 15. März 2013
Daten beim Vertriebsunternehmen von AVAST entwendet
Am Samstag, den 09. März. 2013, wurden die Webseiten des deutschen Vertriebsunternehmens des Anti-Virenherstellers AVAST gehackt und sichtbar manipuliert.
Hierbei wurden Daten von knapp 20.000 Personen, darunter Bankverbindungen, E-Mail Adressen, Geburtsdaten sowie Anschriften entwendet.
Wie Avadas zwischenzeitlich mitteilte, soll es sich ausschließlich um Daten von Kunden handeln, die eine Rechnung von der Firma Procello erhalten haben.
Avadas teilt sich mit den Firmen SW-Distribution und Procello abscheinend ein gemeinsames Shop-System.
Es bleibt nun abzuwarten wie der AVAST Distributor, die AVADAS GmbH, reagiert und in wiefern sie die Nutzer von der ungewollten Veröffentlichung ihrer personenbezogen Daten informiert.
Wir empfehlen: Ändern Sie dringend Ihre Kennwörter zu Ihrem AVAST.de Account. Darüberhinaus sollten Sie prüfen, ob von diesem Hack auch Ihre E-Mail-Adresse und Ihr Paypal-Account betroffen sind und auch hier die Passwörter vorsorglich ändern.
Peinlich ist, dass ein Unternehmen welches IT Sicherheitsprodukte anbietet, ein veraltetes Content Management System betrieben hat, welches den Hack überhaupt erst ermöglicht hat.
Software sollte immer aktuell gehalten werden, speziell dann, wenn sie Daten verwaltet, die einen hohen Schutzbedarf erfordern.
Hierbei wurden Daten von knapp 20.000 Personen, darunter Bankverbindungen, E-Mail Adressen, Geburtsdaten sowie Anschriften entwendet.
Wie Avadas zwischenzeitlich mitteilte, soll es sich ausschließlich um Daten von Kunden handeln, die eine Rechnung von der Firma Procello erhalten haben.
Avadas teilt sich mit den Firmen SW-Distribution und Procello abscheinend ein gemeinsames Shop-System.
Es bleibt nun abzuwarten wie der AVAST Distributor, die AVADAS GmbH, reagiert und in wiefern sie die Nutzer von der ungewollten Veröffentlichung ihrer personenbezogen Daten informiert.
Wir empfehlen: Ändern Sie dringend Ihre Kennwörter zu Ihrem AVAST.de Account. Darüberhinaus sollten Sie prüfen, ob von diesem Hack auch Ihre E-Mail-Adresse und Ihr Paypal-Account betroffen sind und auch hier die Passwörter vorsorglich ändern.
Peinlich ist, dass ein Unternehmen welches IT Sicherheitsprodukte anbietet, ein veraltetes Content Management System betrieben hat, welches den Hack überhaupt erst ermöglicht hat.
Software sollte immer aktuell gehalten werden, speziell dann, wenn sie Daten verwaltet, die einen hohen Schutzbedarf erfordern.
Donnerstag, 14. März 2013
Unterlassungsanspruch wegen fehlerhafter Bonitätsaufkunft
In der Zeitschrift für Datenschutz wird in der jüngsten Ausgabe von einer interessanten Entscheidung des LG München I vom 08.08.2012 (Az. 25 O 13635/12) berichtet.
Im dem Fall zugrunde liegenden Sachverhalt hat – wohl eine Auskunftei – gegenüber einem Unternehmen eine unzutreffende Bonitätsauskunft über eine Person (die Klägerin) erteilt. Diese unrichtige Bonitätsauskunft sei nicht durch § 28a BDSG und § 29 BDSG (welche die datenschutzrechtlichen Befugnisse zum Erheben, Speichern und Übermitteln von Daten durch Auskunfteien regeln) gerechtfertigt, weshalb das Persönlichkeitsrecht der Klägerin verletzt wurde.
Eine Abwägung der Interessen der Beteiligten – auf der einen Seite das Persönlichkeitsrecht der Klägerin aus Art. 2 GG und der anderen Seite das Interesse der Beklagten an der ungehinderten Ausübung ihres Gewerbebetriebes (Art. 12 GG) – komme zu dem Ergebnis, dass bei der unzutreffenden Bonitätsauskunft das Interesse der Klägerin überwiege. Denn, so das Gericht, sei hier sowohl das Recht auf informationelle Selbstbestimmung der Klägerin (welches ja nach der Volkszählungsentscheidung des Bundesverfassungsgerichts Grundlage des Datenschutzrecht ist) als auch die Ehre der Klägerin verletzt.
Folgerichtig stehe der Klägerin hier ein Unterlassungsanspruch bezüglich der Übermittlung der unrichtigen Scorewerte bzw. der Bonitätsauskunft aus §§ 823, 1004 BGB zu.
Das Gericht betont, dass der Unterlassungsanspruch nur bzgl. der unrichtigen Bonitätsauskunft/Scorewert bestehe und der Klägerin keine Unterlassungsansprüche gegen die Beklagte auf Abgabe sonstiger Auskünften über die Klägerin zustehen.
Anmerkung:
Zu beachten ist aber, dass das Gericht hier nur über die Kosten des bereits erledigten Rechtsstreits zu entscheiden hatte – wahrscheinlich hatte die Beklagte im Verfahren eine strafbewehrte Unterlassungserklärung abgegeben. Diese Rechtsprüfung erfolgt nur summarisch (nach dem Sachstand zum Zeitpunkt der Erledigung des Rechtsstreits).
Neben einem Unterlassungsanspruch, der Gegenstand dieses Verfahrens war, stehen der Klägerin im Grunde auch Schadensersatzansprüche (etwa aus § 7 BDSG oder § 823 BGB) zu, sofern die Rechtsverletzung zu einem bezifferbaren Schaden auf Seiten der Klägerin geführt hat/hätte. Den Streitwert bezifferte das LG München I. immerhin auf 8.000 EUR.
Siehe auch generell zum Thema: Haftung und Sanktionen bei Datenschutzverstößen
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Im dem Fall zugrunde liegenden Sachverhalt hat – wohl eine Auskunftei – gegenüber einem Unternehmen eine unzutreffende Bonitätsauskunft über eine Person (die Klägerin) erteilt. Diese unrichtige Bonitätsauskunft sei nicht durch § 28a BDSG und § 29 BDSG (welche die datenschutzrechtlichen Befugnisse zum Erheben, Speichern und Übermitteln von Daten durch Auskunfteien regeln) gerechtfertigt, weshalb das Persönlichkeitsrecht der Klägerin verletzt wurde.
Eine Abwägung der Interessen der Beteiligten – auf der einen Seite das Persönlichkeitsrecht der Klägerin aus Art. 2 GG und der anderen Seite das Interesse der Beklagten an der ungehinderten Ausübung ihres Gewerbebetriebes (Art. 12 GG) – komme zu dem Ergebnis, dass bei der unzutreffenden Bonitätsauskunft das Interesse der Klägerin überwiege. Denn, so das Gericht, sei hier sowohl das Recht auf informationelle Selbstbestimmung der Klägerin (welches ja nach der Volkszählungsentscheidung des Bundesverfassungsgerichts Grundlage des Datenschutzrecht ist) als auch die Ehre der Klägerin verletzt.
Folgerichtig stehe der Klägerin hier ein Unterlassungsanspruch bezüglich der Übermittlung der unrichtigen Scorewerte bzw. der Bonitätsauskunft aus §§ 823, 1004 BGB zu.
Das Gericht betont, dass der Unterlassungsanspruch nur bzgl. der unrichtigen Bonitätsauskunft/Scorewert bestehe und der Klägerin keine Unterlassungsansprüche gegen die Beklagte auf Abgabe sonstiger Auskünften über die Klägerin zustehen.
Anmerkung:
Zu beachten ist aber, dass das Gericht hier nur über die Kosten des bereits erledigten Rechtsstreits zu entscheiden hatte – wahrscheinlich hatte die Beklagte im Verfahren eine strafbewehrte Unterlassungserklärung abgegeben. Diese Rechtsprüfung erfolgt nur summarisch (nach dem Sachstand zum Zeitpunkt der Erledigung des Rechtsstreits).
Neben einem Unterlassungsanspruch, der Gegenstand dieses Verfahrens war, stehen der Klägerin im Grunde auch Schadensersatzansprüche (etwa aus § 7 BDSG oder § 823 BGB) zu, sofern die Rechtsverletzung zu einem bezifferbaren Schaden auf Seiten der Klägerin geführt hat/hätte. Den Streitwert bezifferte das LG München I. immerhin auf 8.000 EUR.
Siehe auch generell zum Thema: Haftung und Sanktionen bei Datenschutzverstößen
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Freitag, 1. März 2013
Herausgabeanspruch bzgl. privater E-Mails - nochmals zum Fall des OLG Dresden Az. 4 W 961/12
Die Entscheidung des OLG Dresden vom 5.9.2012, Az. 4 W 961/12 ist im Moment ja ein vieldiskutierter Fall - ich hatte ja auch darüber berichtet, siehe hier.
Leider sehe ich häufig, dass der falsche Schluss aus der Entscheidung gezogen wird. Quintessenz der Entscheidung ist nämlich eigentlich nicht, dass man den Beschäftigten (im konkreten Fall war es ja ein freier Mitarbeiter) um Einwilligung in die Löschung seiner privaten E-Mails bitten muss, sondern dass diese privaten E-Mails herauszugeben sind.
Denn das ist ja eigentlich die Konsequenz des Falles: Wenn eine Einwilligung zur Löschung des privaten Contents verweigert wird - das kann ja bei einer freiwilligen Einwilligung durchaus der Fall sein - dann bedeutet dies ja nicht, dass der E-Mail-Account bis in alle Ewigkeit gesichert werden muss. Denn das ist ja - abgesehen von Fällen mit etwaigen Aufbewahrungspflichten für Geschäftsbriefe und nach HGB - datenschutzrechtlich auch wieder problematisch (Löschpflicht nach Zweckwegfall § 35 Abs. 2 S. 2 Nr. 3 BDSG und allgemeiner Grundsatz der Datensparsamkeit § 3a BDSG). Hier sind dem Betroffenen die privaten E-Mails entweder in geeigneter Weise herauszugeben oder dem Betroffenen die Möglichkeit zum "wegsichern" zu gewähren. Nur weil dies im Fall des OLG Dresden nicht möglich war, zog das Gericht die Möglichkeit eines Schadensersatzanspruchs in Betracht.
Auch dürfte die angesprochene Entscheidung in der Regel nur für den Fall einer fristlosen Kündigung oder einer sofortigen Beendigung der Zusammenarbeit relevant werden.
Im Fall, dass ein Beschäftigungsverhältnis ordentlich unter Wahrung der Kündigungsfristen endet, bleibt für den Betroffenen ausreichend Zeit, seinen privaten Content auszusondern und in geeigneter Art und Weise zu sichern. Und dies muss - das ist die Schlussfolgerung aus der Entscheidung - dem Mitarbeiter erlaubt werden.
Das kann natürlich in manchen Fällen wiederum gerade bei Beendigung des Arbeitsverhältnisses hinsichtlich der Wahrung von Betriebsgeheimnissen problematisch sein, insbesondere wenn der Arbeitgeber fürchten muss, dass etwa der Beschäftigte mit Verlassen des Arbeitsplatzes bei der Gelegenheit auch noch betrieblichen Content und Know-How abzuziehen versucht. Dies ist letztendlich aber schlichtweg die Folge der Erlaubnis der Nutzung eines betrieblichen E-Mail-Accounts auch für private Zwecke. Denn der Arbeitgeber darf von privaten E-Mails keine Kenntnis nehmen (aufgrund Fernmeldegeheimnis § 88 TKG oder zumindest die Auswirkungen hiervon, je nach beurteilendem Gericht). Und wie will der zur Herausgabe verpflichtete Arbeitgeber denn ohne Kenntnisnahme des Inhalts zwischen privatem und geschäftlichem Content bei einer Herausgabe der Nachrichten differenzieren?
Im übrigen dürfte das Gesagte nicht nur für E-Mails, sondern auch für sonstigen (erlaubt gespeicherten) privaten Content wie Texte, Videos, Musik usw. gelten - hier spielt auch noch die Inhaberschaft an urheberrechtlichen Nutzungsrechten und das Eigentumsrecht mit hinein.
Meines Erachtens wieder ein Argument - neben so vielen anderen, eine saubere Trennung von betrieblicher und privater E-Mail- und Content-Haltung zu beachten.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Leider sehe ich häufig, dass der falsche Schluss aus der Entscheidung gezogen wird. Quintessenz der Entscheidung ist nämlich eigentlich nicht, dass man den Beschäftigten (im konkreten Fall war es ja ein freier Mitarbeiter) um Einwilligung in die Löschung seiner privaten E-Mails bitten muss, sondern dass diese privaten E-Mails herauszugeben sind.
Denn das ist ja eigentlich die Konsequenz des Falles: Wenn eine Einwilligung zur Löschung des privaten Contents verweigert wird - das kann ja bei einer freiwilligen Einwilligung durchaus der Fall sein - dann bedeutet dies ja nicht, dass der E-Mail-Account bis in alle Ewigkeit gesichert werden muss. Denn das ist ja - abgesehen von Fällen mit etwaigen Aufbewahrungspflichten für Geschäftsbriefe und nach HGB - datenschutzrechtlich auch wieder problematisch (Löschpflicht nach Zweckwegfall § 35 Abs. 2 S. 2 Nr. 3 BDSG und allgemeiner Grundsatz der Datensparsamkeit § 3a BDSG). Hier sind dem Betroffenen die privaten E-Mails entweder in geeigneter Weise herauszugeben oder dem Betroffenen die Möglichkeit zum "wegsichern" zu gewähren. Nur weil dies im Fall des OLG Dresden nicht möglich war, zog das Gericht die Möglichkeit eines Schadensersatzanspruchs in Betracht.
Auch dürfte die angesprochene Entscheidung in der Regel nur für den Fall einer fristlosen Kündigung oder einer sofortigen Beendigung der Zusammenarbeit relevant werden.
Im Fall, dass ein Beschäftigungsverhältnis ordentlich unter Wahrung der Kündigungsfristen endet, bleibt für den Betroffenen ausreichend Zeit, seinen privaten Content auszusondern und in geeigneter Art und Weise zu sichern. Und dies muss - das ist die Schlussfolgerung aus der Entscheidung - dem Mitarbeiter erlaubt werden.
Das kann natürlich in manchen Fällen wiederum gerade bei Beendigung des Arbeitsverhältnisses hinsichtlich der Wahrung von Betriebsgeheimnissen problematisch sein, insbesondere wenn der Arbeitgeber fürchten muss, dass etwa der Beschäftigte mit Verlassen des Arbeitsplatzes bei der Gelegenheit auch noch betrieblichen Content und Know-How abzuziehen versucht. Dies ist letztendlich aber schlichtweg die Folge der Erlaubnis der Nutzung eines betrieblichen E-Mail-Accounts auch für private Zwecke. Denn der Arbeitgeber darf von privaten E-Mails keine Kenntnis nehmen (aufgrund Fernmeldegeheimnis § 88 TKG oder zumindest die Auswirkungen hiervon, je nach beurteilendem Gericht). Und wie will der zur Herausgabe verpflichtete Arbeitgeber denn ohne Kenntnisnahme des Inhalts zwischen privatem und geschäftlichem Content bei einer Herausgabe der Nachrichten differenzieren?
Im übrigen dürfte das Gesagte nicht nur für E-Mails, sondern auch für sonstigen (erlaubt gespeicherten) privaten Content wie Texte, Videos, Musik usw. gelten - hier spielt auch noch die Inhaberschaft an urheberrechtlichen Nutzungsrechten und das Eigentumsrecht mit hinein.
Meines Erachtens wieder ein Argument - neben so vielen anderen, eine saubere Trennung von betrieblicher und privater E-Mail- und Content-Haltung zu beachten.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Montag, 25. Februar 2013
Schadensersatz wegen der Löschung privater E-Mails eines Beschäftigten?
In einem Verfahren über die Gewährung von Prozesskostenhilfe hatte dass OLG Dresden in seiner Entscheidung vom 5.9.2012 (Aktenzeichen 4 W 961/12) entschieden, dass dem Grunde nach aufgrund der Löschung eines E-Mail-Accounts eines Vertragspartners ein Anspruch auf Schadensersatz in Betracht kommen könnte.
Was war geschehen? Der Antragsteller war beim Antragsgegner als freier Mitarbeiter (Fahrradkurier) tätig und erhielt für die Dauer seiner Tätigkeit ein Smartphone. Nach Beendigung des Vertragsverhältnisses entstanden offensichtlich Meinungsverschiedenheiten zwischen den Parteien, die darin gipfelten, dass der Antragsteller den Antragsgegner auf Unterlassung der Betätigung bestimmter Äußerungen in Anspruch nehmen wollte, Auskunft über gebrauchte erbrachte Leistungen erfragte als auch sämtliche des an den Antragsteller vermieteten E-Mail-Account vorhandene Daten an diesen herauszugeben. Die Herausgabe des Smartphones verweigerte der Antragsteller gegenüber dem Antragsgegner.
Der Herausgabeanspruch bezüglich der Daten auf dem E-Mail-Account scheiterte, da der Antragsgegner den E-Mail-Accounts und alle darauf befindlichen Daten bereits gelöscht hatte.
Allerdings hielt es dass OLG Dresden für denkbar, dass aufgrund der Löschung der Daten in einem E-Mail-Account ein Schadensersatzanspruch dem Grunde nach gegeben sein könnte. Das Gericht stützte diesen Anspruch auf eine Verletzung der vertraglichen Nebenpflichten aus dem zwischen den Parteien bestehenden Vertrag sowie auf § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz (§ 274 Abs. 1 Nr. 2 StGB – Urkundenunterdrückung und § 303a StGB – Datenveränderung).
Das Gericht führt dazu aus, dass es zu den vertraglichen Nebenpflichten gehöre, Schäden von Rechtsgütern des anderen Vertragspartners fernzuhalten, die aus der eigenen Sphäre entstehen können. Werde im Rahmen eines Vertragsverhältnisses von einem Vertragspartner für den anderen ein E-Mail Account angelegt, auf dem dieser auch private E-Mails speichert, entspreche es den vertraglichen Nebenpflichten, von einer Löschung des Accounts nach Beendigung des Vertragsverhältnisses so lange abzusehen, bis klar sei, dass die andere Partei an der Nutzung des Accounts kein Interesse mehr habe. Dies lasse sich im vorliegenden Fall – so das OLG Dresden – aber nicht feststellen.
Diese Entscheidung ist bemerkenswert: Insbesondere dürfte dieser Sachverhalt auch auf die Konstellation des klassischen Arbeitsverhältnisses übertragbar sein, wenn auch hier der Arbeitnehmer private E-Mails auf dem betrieblichen Account speichert. Will man die Ausführungen des OLG Dresden auf diesen Sachverhalt übertragen, bedeutet dies, dass auch in solchen Konstellationen der Arbeitgeber sich – sofern es sich nicht klar aus den Umständen ergibt – von der Befugnis der Löschung auch der privaten E-Mails versichern sollte.
Andererseits ist vorliegend auch folgendes zu bedenken: Es handelt sich bei dem Verfahren um ein solches zur Gewährung von Prozesskostenhilfe. Das Gericht muss also lediglich feststellen, ob ein entsprechender Klageantrag grundsätzlich Aussicht auf Erfolg haben könnte. Darüber hinaus wird die Kunst hier sein, einen Schaden konkret zu beziffern. Dies dürfte in den meisten Fällen schwierig werden, ist im Einzelfall aber durchaus denkbar.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Was war geschehen? Der Antragsteller war beim Antragsgegner als freier Mitarbeiter (Fahrradkurier) tätig und erhielt für die Dauer seiner Tätigkeit ein Smartphone. Nach Beendigung des Vertragsverhältnisses entstanden offensichtlich Meinungsverschiedenheiten zwischen den Parteien, die darin gipfelten, dass der Antragsteller den Antragsgegner auf Unterlassung der Betätigung bestimmter Äußerungen in Anspruch nehmen wollte, Auskunft über gebrauchte erbrachte Leistungen erfragte als auch sämtliche des an den Antragsteller vermieteten E-Mail-Account vorhandene Daten an diesen herauszugeben. Die Herausgabe des Smartphones verweigerte der Antragsteller gegenüber dem Antragsgegner.
Der Herausgabeanspruch bezüglich der Daten auf dem E-Mail-Account scheiterte, da der Antragsgegner den E-Mail-Accounts und alle darauf befindlichen Daten bereits gelöscht hatte.
Allerdings hielt es dass OLG Dresden für denkbar, dass aufgrund der Löschung der Daten in einem E-Mail-Account ein Schadensersatzanspruch dem Grunde nach gegeben sein könnte. Das Gericht stützte diesen Anspruch auf eine Verletzung der vertraglichen Nebenpflichten aus dem zwischen den Parteien bestehenden Vertrag sowie auf § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz (§ 274 Abs. 1 Nr. 2 StGB – Urkundenunterdrückung und § 303a StGB – Datenveränderung).
Das Gericht führt dazu aus, dass es zu den vertraglichen Nebenpflichten gehöre, Schäden von Rechtsgütern des anderen Vertragspartners fernzuhalten, die aus der eigenen Sphäre entstehen können. Werde im Rahmen eines Vertragsverhältnisses von einem Vertragspartner für den anderen ein E-Mail Account angelegt, auf dem dieser auch private E-Mails speichert, entspreche es den vertraglichen Nebenpflichten, von einer Löschung des Accounts nach Beendigung des Vertragsverhältnisses so lange abzusehen, bis klar sei, dass die andere Partei an der Nutzung des Accounts kein Interesse mehr habe. Dies lasse sich im vorliegenden Fall – so das OLG Dresden – aber nicht feststellen.
Diese Entscheidung ist bemerkenswert: Insbesondere dürfte dieser Sachverhalt auch auf die Konstellation des klassischen Arbeitsverhältnisses übertragbar sein, wenn auch hier der Arbeitnehmer private E-Mails auf dem betrieblichen Account speichert. Will man die Ausführungen des OLG Dresden auf diesen Sachverhalt übertragen, bedeutet dies, dass auch in solchen Konstellationen der Arbeitgeber sich – sofern es sich nicht klar aus den Umständen ergibt – von der Befugnis der Löschung auch der privaten E-Mails versichern sollte.
Andererseits ist vorliegend auch folgendes zu bedenken: Es handelt sich bei dem Verfahren um ein solches zur Gewährung von Prozesskostenhilfe. Das Gericht muss also lediglich feststellen, ob ein entsprechender Klageantrag grundsätzlich Aussicht auf Erfolg haben könnte. Darüber hinaus wird die Kunst hier sein, einen Schaden konkret zu beziffern. Dies dürfte in den meisten Fällen schwierig werden, ist im Einzelfall aber durchaus denkbar.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Mittwoch, 20. Februar 2013
Datenschutz im Konzern- oder Unternehmensverbund
Betreibt ein Konzern oder ein Unternehmensverbund Datenschutz, so sind einige Besonderheiten bei der Umsetzung und Organisationen des Datenschutzes im Vergleich zum Einzelunternehmen zu beachten.
Der Gesetzgeber hat bei der Fassung des Bundesdatenschutzgesetzes (BDSG) den Grundsatz aufgestellt, dass es im Datenschutzrecht kein sog. Konzernprivileg gebe. Das bedeutet, dass trotz konzernmäßiger Verbundenheit oder einem engen Zusammenarbeiten in einer Unternehmensgruppe jedes dem Konzern oder der Unternehmensgruppe angeschlossene Unternehmen eine eigene verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG darstellt. Übermittelt also zum Beispiel die Konzerntochter an die Konzernmutter personenbezogene Daten, so stellt dies eine datenschutzrechtlich relevante Datenübermittlung im Sinne von § 3 Abs. 4 Nr. 3 BDSG dar, womit die Rechtmäßigkeit einer solchen Maßnahme auch zu prüfen ist. Nicht möglich ist es, den Konzern oder die Unternehmensgruppe als eine einzelne verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes anzusehen. Denn dies würde bedeuten, dass ein Datenaustausch zwischen den Konzernunternehmern bzw. den gruppenangehörigen Unternehmen ein reiner Datenaustausch innerhalb einer verantwortlichen Stelle wäre. Dies hätte freilich zur Konsequenz, dass bei einem weltweit aufgestellten Konzern eine Datenübermittlung auch außerhalb der EU ohne weiteres möglich wäre (was nicht der Fall ist).
Für die Datenschutzpraxis bedeutet dies folgendes:
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Der Gesetzgeber hat bei der Fassung des Bundesdatenschutzgesetzes (BDSG) den Grundsatz aufgestellt, dass es im Datenschutzrecht kein sog. Konzernprivileg gebe. Das bedeutet, dass trotz konzernmäßiger Verbundenheit oder einem engen Zusammenarbeiten in einer Unternehmensgruppe jedes dem Konzern oder der Unternehmensgruppe angeschlossene Unternehmen eine eigene verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG darstellt. Übermittelt also zum Beispiel die Konzerntochter an die Konzernmutter personenbezogene Daten, so stellt dies eine datenschutzrechtlich relevante Datenübermittlung im Sinne von § 3 Abs. 4 Nr. 3 BDSG dar, womit die Rechtmäßigkeit einer solchen Maßnahme auch zu prüfen ist. Nicht möglich ist es, den Konzern oder die Unternehmensgruppe als eine einzelne verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes anzusehen. Denn dies würde bedeuten, dass ein Datenaustausch zwischen den Konzernunternehmern bzw. den gruppenangehörigen Unternehmen ein reiner Datenaustausch innerhalb einer verantwortlichen Stelle wäre. Dies hätte freilich zur Konsequenz, dass bei einem weltweit aufgestellten Konzern eine Datenübermittlung auch außerhalb der EU ohne weiteres möglich wäre (was nicht der Fall ist).
Für die Datenschutzpraxis bedeutet dies folgendes:
- Jedes der Unternehmensgruppe oder dem Konzern angehörige Unternehmen muss einen Datenschutzbeauftragten bestellen. Einen Konzerndatenschutzbeauftragten per se gibt es so nicht. Allerdings kann jedes Unternehmen denselben Datenschutzbeauftragten förmlich bestellen.
- Eine Datenübermittlung an konzernangehörige Unternehmen oder Unternehmen derselben Unternehmensgruppe ist datenschutzrechtlich genauso zu bewerten und zu prüfen wie eine Datenübermittlung an ein gänzlich fremdes Unternehmen. Bei einer etwaigen Interessenabwägung, etwa im Rahmen des § 28 Abs. 2 oder 3 BDSG darf zu Gunsten der berechtigten Interessen der verarbeitenden Stelle die Zugehörigkeit zu einem Konzern oder einer Unternehmensgruppe bzw. die damit einhergehende "Nähe" zum Partnerunternehmen nicht berücksichtigt werden – denn dies würde ja quasi doch wieder zu einer vom Gesetzgeber nicht gewünschten Anerkennung des Konzernprivilegs führen.
- Nehmen die Unternehmen innerhalb des Konzerns oder der Unternehmensgruppe Aufgaben auch für andere dem Verbund angehörige Unternehmen wahr - wie z.B. den gemeinsamen Betrieb eines Rechenzentrums, einer gemeinsamen Personalabteilung, eines gemeinsamen Vertriebs usw -, so sollte zwischen den beteiligten Unternehmen eine Datenschutzvereinbarung geschlossen werden, welche die datenschutzrechtlichen Kompetenzen, Pflichten und auch Entscheidungsbefugnisse und die damit zusammenhängenden (Weisungs-)Rechte explizit regelt. In manchen Fällen kann hier eine Auftragsdatenverarbeitung gemäß § 11 BDSG vorliegen, in anderen Fällen eine sog. Funktionsübertragung. Bei einer zentralisierten Personalverwaltung zum Beispiel dürfen die Mitarbeiter der jeweiligen Unternehmen aufgrund dieser organisatorisch veranlassten Zentralisierung nicht schlechter gestellt werden als wenn das eigene Unternehmen die Personalverwaltung durchgeführt. Das Arbeiten mit in der Praxis häufig zu findenden Einwilligungen gemäß § 4a BDSG (zum Beispiel in Arbeitsverträgen) ist meines Erachtens nicht zielführend und abzulehnen, da bei einer Einwilligung auch immer die Möglichkeit einer Verweigerung oder Ablehnung der Einwilligung vorgesehen sein muss, was in diesem Falle zur Konsequenz hätte, dass das betreffende Unternehmen in diesem Falle die Personalverwaltung nur für diesen Mitarbeiter selbst ausführen müßte (und andere Mitarbeiter über die zentralisierte Personalverwaltung führen könnte). Bei einer solchen alternativlosen Einwilligung mangelt es an einer Freiwilligkeit im Sinne von § 4a BDSG.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Freitag, 15. Februar 2013
Klarnamenpflicht bei Facebook: ULD scheitert mit Verfügung vor dem VG Schleswig
Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein hatte in der Vergangenheit Facebook wegen der Untersagung der Nutzung von Pseudonymen (Klarnamenpflicht) gerügt.
In concreto hatte das ULD beanstandet, dass Facebook nunmehr eine Verwendung von Pseudonymen auf seiner Social-Network-Plattform untersagte, d.h. nur die Angaben des richtigen bürgerlichen Namens einer natürlichen Person erlaubt sei. Dies verstoße, so das ULD, gegen § 13 Abs. 6 des deutschen Telemediengesetzes (TMG).
Zum Zweck der Abhilfe seiner Beanstandung hatte das ULD eine Anordnung der sofortigen Vollziehung der Untersagung der Klarnamenpflicht gegenüber Facebook erlassen und zugestellt.
Facebook hat sich nunmehr vor dem Verwaltungsgericht (VG) Schleswig erfolgreich gegen diese Anordnung gewehrt. Das VG Schleswig kam in seiner Entscheidung nämlich zu dem Schluss, dass vorliegend wegen § 1 Abs. 5 BDSG nicht deutsches, sondern irisches Datenschutzrecht zur Anwendung komme, welches eine entsprechende Verpflichtung gem. § 13 Abs. 6 TMG nicht kenne.
Es sei auch unschädlich, dass es eine Facebook Germany GmbH mit Sitz in Hamburg gebe. Zwar ergäbe sich eine Anwendbarkeit deutschen Datenschutzrechts bei dem Unterhalten einer deutschen Niederlassung. Bei der Facebook Germany GmbH würden die personenbezogenen Daten der Nutzer aber gar nicht verarbeitet, sondern diese Niederlassung würde nur Marketing betreiben. Alle nicht-nordamerikanischen Facebook-Nutzer würden von der Niederlassung in Irland verarbeitet. Es sei darüber hinaus auch unschädlich, dass Facebook Ireland auf Mittel der Firma Akamai zurückgreife, welche in Deutschland belegen seien, da die Firma Akamai nur im Auftrag von Facebook Ireland tätig werde.
Da nach Ansicht des VG Schleswig irisches Datenschutzrecht Anwendung finde, sei damit eine Anordung
des ULD gem. § 38 Abs. 5 S. 1 BDSG i.V.m. § 13 Abs. 6 TMG unwirksam.
Bei der Entscheidung des VG Schleswig ist allerdings zu beachten, dass es sich hierbei um ein Verfahren des Eilrechtsschutzes handelt, bei welchem die aufschiebende Wirkung des Widerspruchs von Facebook gegen die Anordung des ULD wieder hergestellt wurde. Dabei nimmt das Gericht nur eine summarische Prüfung der Sach- und Rechtslage vor.
Zum einen kann gegen diesen Beschluss noch Beschwerde vor dem Schleswig-Holsteinischen Oberverwaltungsgericht eingelegt werden - was das ULD angekündigt hat. Zum anderen läßt noch die Hauptsacheangelegenheit auf sich warten.
Anbei die Pressemitteilung des Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein:
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
In concreto hatte das ULD beanstandet, dass Facebook nunmehr eine Verwendung von Pseudonymen auf seiner Social-Network-Plattform untersagte, d.h. nur die Angaben des richtigen bürgerlichen Namens einer natürlichen Person erlaubt sei. Dies verstoße, so das ULD, gegen § 13 Abs. 6 des deutschen Telemediengesetzes (TMG).
Zum Zweck der Abhilfe seiner Beanstandung hatte das ULD eine Anordnung der sofortigen Vollziehung der Untersagung der Klarnamenpflicht gegenüber Facebook erlassen und zugestellt.
Facebook hat sich nunmehr vor dem Verwaltungsgericht (VG) Schleswig erfolgreich gegen diese Anordnung gewehrt. Das VG Schleswig kam in seiner Entscheidung nämlich zu dem Schluss, dass vorliegend wegen § 1 Abs. 5 BDSG nicht deutsches, sondern irisches Datenschutzrecht zur Anwendung komme, welches eine entsprechende Verpflichtung gem. § 13 Abs. 6 TMG nicht kenne.
Es sei auch unschädlich, dass es eine Facebook Germany GmbH mit Sitz in Hamburg gebe. Zwar ergäbe sich eine Anwendbarkeit deutschen Datenschutzrechts bei dem Unterhalten einer deutschen Niederlassung. Bei der Facebook Germany GmbH würden die personenbezogenen Daten der Nutzer aber gar nicht verarbeitet, sondern diese Niederlassung würde nur Marketing betreiben. Alle nicht-nordamerikanischen Facebook-Nutzer würden von der Niederlassung in Irland verarbeitet. Es sei darüber hinaus auch unschädlich, dass Facebook Ireland auf Mittel der Firma Akamai zurückgreife, welche in Deutschland belegen seien, da die Firma Akamai nur im Auftrag von Facebook Ireland tätig werde.
Da nach Ansicht des VG Schleswig irisches Datenschutzrecht Anwendung finde, sei damit eine Anordung
des ULD gem. § 38 Abs. 5 S. 1 BDSG i.V.m. § 13 Abs. 6 TMG unwirksam.
Bei der Entscheidung des VG Schleswig ist allerdings zu beachten, dass es sich hierbei um ein Verfahren des Eilrechtsschutzes handelt, bei welchem die aufschiebende Wirkung des Widerspruchs von Facebook gegen die Anordung des ULD wieder hergestellt wurde. Dabei nimmt das Gericht nur eine summarische Prüfung der Sach- und Rechtslage vor.
Zum einen kann gegen diesen Beschluss noch Beschwerde vor dem Schleswig-Holsteinischen Oberverwaltungsgericht eingelegt werden - was das ULD angekündigt hat. Zum anderen läßt noch die Hauptsacheangelegenheit auf sich warten.
Anbei die Pressemitteilung des Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein:
Mit zwei Beschlüssen vom 14.02.2013 entschied das Verwaltungsgericht (VG) Schleswig im vorläufigen Rechtsschutzverfahren der Facebook Inc./USA und der Facebook Ireland Ltd. gegen das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wegen der von Facebook durchgesetzten Klarnamenpflicht, dass ausschließliche Niederlassung von Facebook in Europa die Facebook Ltd. in Irland und deshalb auch in Deutschland nur irisches Datenschutzrecht anzuwenden sei (Az. 8 B 61/12, 8 B 60/12). Die Anordnungen des ULD auf Entsperrung von Facebook-Konten solcher Personen in Schleswig-Holstein, die ausschließlich und alleine wegen Nichtangabe oder nicht vollständiger Angabe von Echtdaten bei der Registrierung gesperrt worden sind, wurden vom Verwaltungsgericht zurückgewiesen. Die Klarnamenpflicht steht unzweifelhaft im Widerspruch zu § 13 Abs. 6 des deutschen Telemediengesetzes. Im irischen Recht besteht dagegen kein expliziter gesetzlicher Anspruch auf anonyme oder pseudonyme Nutzung von Telemedien. Das ULD beruft sich auf deutsches Recht.
Gemäß den Beschlüssen des VG Schleswig ist nicht deutsches, sondern irisches Recht anwendbar, obwohl die gesamte Verkehrsdatenverarbeitung von Facebook mit den entsprechenden Profilbildungen in den USA erfolgt. Es soll danach auch keine Rolle spielen, dass das Unternehmen mit der Facebook Germany GmbH eine Niederlassung in Deutschland hat. Weiterhin sei nicht relevant, dass die wesentlichen Inhaltsdaten in Deutschland nicht nur erhoben, sondern hier auch von dem Dienstleister Akamai gespeichert und verarbeitet werden.
Der Leiter des ULD Thilo Weichert kommentiert die Beschlüsse: „Die Entscheidungen sind mehr als verblüffend und gehen in der Argumentation über das Vorbringen von Facebook hinaus, das die Nichtanwendbarkeit des deutschen Datenschutzrechtes damit begründete, Facebook Inc. in den USA sei nur der Auftragsdatenverarbeiter der Facebook Ireland Ltd. Sie sind in sich widersprüchlich, wenn sie die fehlende rechtliche Relevanz von Facebook Germany damit erklären, dass dort keine Daten verarbeitet würden, zugleich aber das Unternehmen in Irland für zuständig erklären, obwohl dort auch keine Daten verarbeitet werden.
Die Beschlüsse des VG Schleswig hätten zur Folge, dass eine One-Stop-Shop-Regelung, wie sie in einer europäischen Datenschutz-Grundverordnung – kombiniert mit einem ausgeklügelten Kooperationssystem der Aufsichtsbehörden – geplant ist, für die IT-Unternehmen gar nicht nötig wäre. Es käme nur darauf an, die Konzernstruktur so zu gestalten, wie es Facebook tut, also eine Niederlassung in einem EU-Staat mit niedrigem Datenschutzniveau für zuständig zu erklären. Dies war nicht die Regelungsabsicht der Europäischen Union.“
Deshalb wird das ULD die Beschlüsse des VG Schleswig vor dem Schleswig-Holsteinischen Oberverwaltungsgericht anfechten und hiergegen Beschwerde einlegen.
(Quelle: Pressemitteilung des ULD vom 15.02.2013)
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Auftragsdatenverarbeitung bei Wartung oder Fernwartung
Weitverbreitet sind heutzutage Wartungsverträge, welche zum einen die
Wartung, die Pflege oder den Service bei Hardware betreffen oder eben
eine entsprechende Wartung – oftmals in der Form einer Fernwartung – von
Software. Je nach betroffener Hardware oder Software kann das
Unternehmen, welches die entsprechende Wartung durchführt, dabei mehr
oder weniger mit personenbezogenen Daten des Auftraggebers in Berührung
kommen. Sei es, weil ein Unternehmen im Rahmen der Fehlerbeseitigung
oder der Problembehebung remote per Fernwartung auf das System, eine
Softwareanwendung oder eine Datenbank des Auftragnehmers zugreift. Sei
es, dass ein IT-Unternehmen mit Administratorenzugriffsrechten den
Server des Auftraggebers verwaltet. Sei es, dass ein Unternehmen PCs
oder Multifunktionsgeräte (Kopierer, Faxgeräte, Scanner usw.) mit
verbauter Festplatte mit in die Werkstatt nimmt und repariert.
In diesen Fällen hat der Auftragnehmer die zu mindestens theoretische Möglichkeit, auf personenbezogene Daten des Auftraggebers zuzugreifen. Dies kann im Rahmen des Wartungsauftrags gewünscht, erlaubt und erforderlich sein – oder auch nicht.
Der Gesetzgeber sieht hier eine ähnliche Situation und insbesondere eine ähnliche Gefährdungslage wie bei der klassischen Auftragsdatenverarbeitung nach § 11 BDSG. Dementsprechend stellt der Gesetzgeber in § 11 Abs. 5 BDSG einer Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen einer Auftragsdatenverarbeitung gleich, indem er eine entsprechende Geltung der Vorschriften zur Auftragsdatenverarbeitung gemäß § 11 Abs. 1-4 BDSG angeordnet. Es handelt sich bei der Prüfung, Wartung und Fernwartung also nicht um eine Auftragsdatenverarbeitung an sich - daher ist streng genommen die Überschrift dieses Beitrags nicht ganz korrekt - sondern nur um eine entsprechende Anwendung dieser Vorschriften aufgrund einer vergleichbaren Interessenlage.
Hierbei ist aber nur eine Prüfung oder eine Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag betroffen, wenn hierbei einen Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die Anforderungen entsprechend einer Auftragsdatenverarbeitung sind somit nicht zu fordern, sofern gänzlich ausgeschlossen werden kann, dass ein – auch theoretischer – Zugriff auf personenbezogene Daten erfolgen kann. Dies dürfte in der Praxis nur in den seltensten Fällen zutreffen. Ausgeschlossen sind auch Fälle, in denen eine entsprechende Wartung oder Prüfung durch die verantwortliche Stelle selbst durchgeführt wird, etwa die eigene IT-Abteilung.
Dies bedeutet in der Praxis, dass in den meisten Fällen einer Software- oder Hardwarewartung eine entsprechende Vereinbarung entsprechend den Vorgaben der Auftragsdatenverarbeitung gemäß § 11 BDSG erforderlich sein dürfte. Eine solche Vereinbarung ist freilich anzupassen an die Besonderheiten einer (Fern-) Wartung. Im übrigen gelten die sonstigen Erfordernisse gemäß § 11 BDSG hier genauso, insbesondere das Erfordernis der Schriftlichkeit und auch die Anforderungen nach § 11 Abs. 2 BDSG, also etwa eine ausführliche Beschreibung des Auftrags, der betroffenen Daten, der Befugnisse und Weisungen der Parteien als auch die Kontrollepflichten des Auftraggebers und die korrespondierenden Duldungspflichten des Auftragnehmers.
Da der Gesetzgeber bei seinem Hinweis in § 11 Abs. 5 BDSG auf die entsprechende Anwendung der Absätze 1-4 hierbei offensichtlich die klassische Auftragsdatenverarbeitung im Sinne hatte und erst in zweiter Linie die Prüfung- und Wartungssituationen, sollte eine entsprechende notwendige Vereinbarung unbedingt auf die Besonderheiten der Wartungssituationen angepasst werden.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
In diesen Fällen hat der Auftragnehmer die zu mindestens theoretische Möglichkeit, auf personenbezogene Daten des Auftraggebers zuzugreifen. Dies kann im Rahmen des Wartungsauftrags gewünscht, erlaubt und erforderlich sein – oder auch nicht.
Der Gesetzgeber sieht hier eine ähnliche Situation und insbesondere eine ähnliche Gefährdungslage wie bei der klassischen Auftragsdatenverarbeitung nach § 11 BDSG. Dementsprechend stellt der Gesetzgeber in § 11 Abs. 5 BDSG einer Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen einer Auftragsdatenverarbeitung gleich, indem er eine entsprechende Geltung der Vorschriften zur Auftragsdatenverarbeitung gemäß § 11 Abs. 1-4 BDSG angeordnet. Es handelt sich bei der Prüfung, Wartung und Fernwartung also nicht um eine Auftragsdatenverarbeitung an sich - daher ist streng genommen die Überschrift dieses Beitrags nicht ganz korrekt - sondern nur um eine entsprechende Anwendung dieser Vorschriften aufgrund einer vergleichbaren Interessenlage.
Hierbei ist aber nur eine Prüfung oder eine Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag betroffen, wenn hierbei einen Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die Anforderungen entsprechend einer Auftragsdatenverarbeitung sind somit nicht zu fordern, sofern gänzlich ausgeschlossen werden kann, dass ein – auch theoretischer – Zugriff auf personenbezogene Daten erfolgen kann. Dies dürfte in der Praxis nur in den seltensten Fällen zutreffen. Ausgeschlossen sind auch Fälle, in denen eine entsprechende Wartung oder Prüfung durch die verantwortliche Stelle selbst durchgeführt wird, etwa die eigene IT-Abteilung.
Dies bedeutet in der Praxis, dass in den meisten Fällen einer Software- oder Hardwarewartung eine entsprechende Vereinbarung entsprechend den Vorgaben der Auftragsdatenverarbeitung gemäß § 11 BDSG erforderlich sein dürfte. Eine solche Vereinbarung ist freilich anzupassen an die Besonderheiten einer (Fern-) Wartung. Im übrigen gelten die sonstigen Erfordernisse gemäß § 11 BDSG hier genauso, insbesondere das Erfordernis der Schriftlichkeit und auch die Anforderungen nach § 11 Abs. 2 BDSG, also etwa eine ausführliche Beschreibung des Auftrags, der betroffenen Daten, der Befugnisse und Weisungen der Parteien als auch die Kontrollepflichten des Auftraggebers und die korrespondierenden Duldungspflichten des Auftragnehmers.
Da der Gesetzgeber bei seinem Hinweis in § 11 Abs. 5 BDSG auf die entsprechende Anwendung der Absätze 1-4 hierbei offensichtlich die klassische Auftragsdatenverarbeitung im Sinne hatte und erst in zweiter Linie die Prüfung- und Wartungssituationen, sollte eine entsprechende notwendige Vereinbarung unbedingt auf die Besonderheiten der Wartungssituationen angepasst werden.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Dienstag, 12. Februar 2013
Neues Beschäftigtendatenschutzgesetz wohl nicht mehr in dieser Legislaturperiode
Nachdem ja nach dem Wiederaufgreifen eines zwei Jahre alten Gesetzesentwurfs von der Verabschiedung eines neuen Beschäftigtendatenschutzgesetzes bzw. von expliziten Regelungen im Bundesdatenschutzgesetz zur Regelung des Datenschutzes im Beschäftigungsverhältnis gemäß § 3 Abs. 11 BDSG dann doch noch abgesehen wurde und eine bereits geplante Verabschiedung von der Tagesordnung gestrichen wurde, scheint sich nun auch in absehbarer Zeit im Bereich des Beschäftigten- oder Arbeitnehmerdatenschutzes nichts mehr Neues zu tun. Zu mindestens legt dies eine Aussage der beteiligten Fachkreise nahe, welche von einer Neuregelung und Verabschiedung noch in dieser Legislaturperiode absehen wollen.
Dies ist kaum verwunderlich, wenn man sich die Entstehungsgeschichte des bisherigen Entwurfs und die hierbei sehr kontrovers geführten Diskussionen und insbesondere auch die massive Kritik der beteiligten Kreise betrachtet. Dies ist auch kaum verwunderlich, denn immerhin geht es hier um einen ganz zentralen datenschutzrechtlichen und auch sehr praxisrelevanten Bereich.
Man muss sich nun sowieso die Frage stellen, ob dann überhaupt noch mit einer – im Grunde durchaus begrüßenswerten – Regelung von Fragen des Datenschutzes im Arbeitsverhältnis zu rechnen ist vor dem Hintergrund der Bemühungen der EU um die Verabschiedung einer europäischen Datenschutzverordnung.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Dies ist kaum verwunderlich, wenn man sich die Entstehungsgeschichte des bisherigen Entwurfs und die hierbei sehr kontrovers geführten Diskussionen und insbesondere auch die massive Kritik der beteiligten Kreise betrachtet. Dies ist auch kaum verwunderlich, denn immerhin geht es hier um einen ganz zentralen datenschutzrechtlichen und auch sehr praxisrelevanten Bereich.
Man muss sich nun sowieso die Frage stellen, ob dann überhaupt noch mit einer – im Grunde durchaus begrüßenswerten – Regelung von Fragen des Datenschutzes im Arbeitsverhältnis zu rechnen ist vor dem Hintergrund der Bemühungen der EU um die Verabschiedung einer europäischen Datenschutzverordnung.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Donnerstag, 7. Februar 2013
Facebook stellt datenschutzwidrige Gesichtserkennung ab
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die im vergangenen Jahr gegen die Facebook Inc. erlassene Anordnung aufgehoben. Die Anordnung richtete sich gegen die datenschutzrechtlich unzulässige Ausgestaltung der Gesichtserkennung bei Facebook. Mittlerweile ist diese Funktion europaweit abgeschaltet worden, was das Unternehmen gegenüber dem Hamburgischen Datenschutzbeauftragten plausibel dargelegt hat. Auch die angekündigte Löschung der bisher erfassten biometrischen Daten ist von der Hamburger Datenschutzaufsichtsbehörde kontrolliert worden. Hierzu hat Facebook überprüfbare Auszüge aus dem benutzten Programmcode vorgelegt. Die dabei gewonnenen Erkenntnisse wurden zudem vom irischen Datenschutzbeauftragten, der eigene Untersuchungen angestellt hat, bestätigt.
In Gesprächen mit Vertretern des Unternehmens wurde darauf hingewiesen, dass umgehend ein neues Verfahren eingeleitet werden würde, wenn die Gesichtserkennung ohne Berücksichtigung der deutschen und europäischen Datenschutzvorgaben erneut eingeführt werden sollte.
„Facebook hat auf unseren Druck reagiert und die rechtswidrige Erhebung personenbezogener Daten eingestellt sowie die zur Dokumentation erforderlichen Auskünfte erteilt. Außerdem wurde zugesagt, dass Facebook zukünftig die datenschutzrechtlichen Vorgaben erfüllen wird. Das Unternehmen weiß, welche unserer Forderungen nicht diskutierbar sind. Hierzu gehört insbesondere eine bewusste und informierte Einwilligung des Nutzers vor jeder biometrischen Erfassung“, so Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
Quelle: Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 07.02.2013
In Gesprächen mit Vertretern des Unternehmens wurde darauf hingewiesen, dass umgehend ein neues Verfahren eingeleitet werden würde, wenn die Gesichtserkennung ohne Berücksichtigung der deutschen und europäischen Datenschutzvorgaben erneut eingeführt werden sollte.
„Facebook hat auf unseren Druck reagiert und die rechtswidrige Erhebung personenbezogener Daten eingestellt sowie die zur Dokumentation erforderlichen Auskünfte erteilt. Außerdem wurde zugesagt, dass Facebook zukünftig die datenschutzrechtlichen Vorgaben erfüllen wird. Das Unternehmen weiß, welche unserer Forderungen nicht diskutierbar sind. Hierzu gehört insbesondere eine bewusste und informierte Einwilligung des Nutzers vor jeder biometrischen Erfassung“, so Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
Quelle: Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 07.02.2013
Dienstag, 29. Januar 2013
Verabschiedung des Beschäftigtendatenschutzgesetzes vorerst verschoben
Die eigentlich für diesen Freitag, 01.02.2013 im Bundestag geplante
Verabschiedung von Vorschriften zum Arbeitnehmerdatenschutz im BDSG ist von der
Koalition erst einmal abgesagt und im Bundestag von der Tagesordnung genommen worden.
Die Koalitionsfraktionen wollen noch einmal mit Gewerkschaften und Arbeitgebern
über das Vorhaben reden, das auf enorme Kritik von allen Seiten gestoßen war,
insbesondere nach der kürzlich erfolgten überraschenden Ankündigung, das Vorhaben
nun doch noch „schnell“ in dieser Legislaturperiode im Bundestag durchzubringen.
Die Verschiebung und Überarbeitung des Entwurfs ist in der Tat begrüßenswert. Auch wenn das
Ansinnen zur Verabschiedung von Regelungen zum Datenschutz im Beschäftigungsverhältnis
absolut sinnvoll ist, sollte doch aufgrund der Tragweite der Regelungen auch
der Gesetzesentwurf solide ausgearbeitet sein. Hieran bestanden auch von „neutraler“
Seite - von Juristen, welche mit dem
Gesetz umgehen und auslegen müssen - erhebliche Zweifel.
Statt aller folgendes Statement zu dem Gesetzesentwurf eines
Beschäftigtendatenschutzgesetzes von Herrn Thilo Weichert, Leiter des
Unabhängigen Datenschutzzentrums Schleswig-Holstein: „Dieser Gesetzestext
bringt, nicht zuletzt wegen seiner wortreichen Placeboregelungen, weder für
Arbeitgeber noch für Arbeitnehmer mehr Rechtssicherheit. Das Versprechen der
Koalitionsvereinbarung, den Arbeitnehmerdatenschutz zu verbessern, wird so
nicht umgesetzt. Wer praktisch zwei Jahre alle Diskussionsbeiträge ausgesessen
hat, darf diesen Entwurf nun nicht im Schnelltempo durchwinken. Dafür ist das
Anliegen des Beschäftigtendatenschutzes viel zu wichtig.“
Bis zur Ausarbeitung eines neuen Entwurfes verbleibt es bei
der bisherigen Rechtslage – Datenschutz im Beschäftigungsverhältnis: Die „normalen“
Regelungen des BDSG gelten auch im Beschäftigungsverhältnis, insbesondere die
allgemeine Interessenabwägung zwischen dem Informationsinteresse des
Arbeitgebers und dem informationellen Selbstbestimmungsrechts des
Arbeitnehmers, ergänzt durch die Rechtsprechung insbesondere der
Arbeitsgerichte.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Abonnieren
Posts (Atom)