In der Pressemitteilung des Bundesrats heißt es:

“Telemediendienste wie zum Beispiel Online-Netzwerke oder Internet-Foren gewinnen immer mehr an Bedeutung. Dennoch wird der Schutz privater Daten hier bislang häufig vernachlässigt – was vor allem daran liegt, dass der Datenschutz im Internet nicht ausreichend geregelt ist, betont der Bundesrat.

Ein großes Problem stellt aus Sicht der Länder die für Nutzer mangelnde Transparenz bei der Erhebung persönlicher Daten durch die Internetanbieter dar. Die Unternehmen seien zwar verpflichtet, die Nutzer über die Erhebung personenbezogener Daten zu informieren, doch versteckten viele Internet-Dienstleister ihre Hinweise irgendwo in den Nutzungsbedingungen, so dass die Nutzer allenfalls zufällig darauf stießen. Zudem fehle es oft auch an einer ausreichenden Aufklärung über die Risiken der Preisgabe persönlicher Daten. Ein weiteres Problem sieht der Bundesrat darin, dass die Diensteanbieter eine Löschung der eingestellten Daten oftmals nicht anbieten.

Aus diesen Gründen wollen die Länder die Informationspflichten der Unternehmen gegenüber den Nutzern ausdehnen. Diese sollen jederzeit – auch ohne technisches Hintergrundwissen – die Möglichkeiten haben, die notwendigen datenschutzrechtlichen Informationen zu erhalten. Zudem sollen die Diensteanbieter verpflichtet werden, die Nutzer über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen der Persönlichkeitsrechte zu unterrichten. Der Entwurf räumt auch die Möglichkeit ein, veröffentlichte Daten löschen oder sperren zu lassen und will Nutzer vor unberechtigtem Zugriff auf im Endgerät gespeicherte Daten schützen.

Der Gesetzentwurf wird zunächst der Bundesregierung zugeleitet. Diese hat ihn innerhalb von sechs Wochen dem Bundestag zu übersenden, wobei sie ihre Auffassung darlegen soll.”

Die aus unserer Sicht bedeutendsten Änderungen für die Praxis würde der Gesetzentwurf mit den beiden folgenden Regelungen mit sich bringen:

• § 13 Abs. 8 TMG-E – “Cookies”

(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

• § 13a Abs. 1 S. 1 TMG-E – “Sicherheitseinstellungen”

(1) Soweit der Diensteanbieter dem Nutzer die Möglichkeit bietet, den Telemediendienst durch eigene Inhalte mit personenbezogenen Daten zu erstellen und zu gestalten und diese Inhalte anderen Nutzern zugänglich zu machen (…), hat der Diensteanbieter die Sicherheitseinstellungen auf der höchsten Sicherheitsstufe gemäß dem Stand der Technik voreinzustellen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Vortrag von Herrn Professor Dr. Ulrich Goll

Herr Professor Goll, der Datenschützern insbesondere durch seine frühe kritische Haltung gegenüber „ELENA“ bekannt sein dürfte, eröffnete seinen Vortrag mit dem Leitsatz „Nur nicht gespeicherte Daten sind sichere Daten“.

Vortrag von Herrn Peter Schaar

Hervorzuheben ist die Rede von Herrn Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Herr Schaar stellte insbesondere seine inzwischen kritisch diskutierte These zur „neuen Vorratsdatenspeicherung“ namens „Quick Freeze Plus“ vor und nahm bejahend zur „Cookie-Richtlinie“ Stellung.

Vortrag von Herrn Professor Dr. Matthias Bäcker

Großes Interesse weckte bei mir auch der Vortrag von Herrn Professor Dr. Matthias Bäcker, LL.M. von der Universität Mannheim (zuvor Wissenschaftlicher Mitarbeiter am Bundesverfassungsgericht, Dezernat BVR Prof. Dr. Hoffmann-Riem / BVR Prof. Dr. Masing) zum Thema „Informationelle Selbstbestimmung und private Rechtsverhältnisse“.

Der Vortrag befasste sich mit der verfassungsrechtlichen Einbettung des Datenschutzes, enthielt einen Definitionsvorschlag für die Begriffe „Daten“ und „Information“, erläuterte klärend die Abgrenzung zwischen datenschutzrechtlichen Vorgaben für öffentliche Stellen und nicht-öffentliche Stellen („Freiheit gegen Freiheit“) und stellte zum Schluss fest, dass bei der Diskussion um neue Datenschutzgesetze in Berlin häufig vergessen werde, dass der Gesetzgeber aufgrund europarechtlicher Vorgaben häufig keinen oder nicht den behaupteten Spielraum mehr habe. Dies würde auch das Datenschutz Eckpunktepapier der Datenschutz-Aufsichtsbehörden in Teilen verkennen.

Ende der Forderung nach einem „Personenbezug“ von Daten?

Interessant war für mich auch die Feststellung, dass insbesondere Herr Schaar und Herr Professor Bäcker in ihren Vorträgen nach meinem Verständnis anklingen ließen, dass die in § 3 Abs. 1 BDSG vorgenommene Definition von personenbezogenen Daten nicht mehr ausreichend Schutz bieten würde. Vielmehr war eine klare Tendenz zu erkennen, dass man für einen effektiven Datenschutz künftig die Ansammlung von Daten auch dann regulieren müsse, wenn es sich nicht um personenbezogene Daten handeln würde. Etwas verallgemeinernd gesprochen: auch das Sammeln von Daten ohne Personenbezug müsse unter Umständen reguliert werden, wenn mit der Datensammlung eine Gefährdung des informationellen Selbstbestimmungsrecht einhergehe. Eine Tendenz, die sich ja auch schon in der geplanten „Cookie-Richtline“ sowie der Diskussion um Google StreetView abzeichnet.

Offene Fragen: Durchsetzbarkeit deutschen Datenschutzrechts

Keine wirklichen Antworten konnten auf die Frage gefunden werden, wie deutsche datenschutzrechtliche Vorgaben in Zeiten einer globalisierten Wirtschaft und vor allem des Internets auch international durchgesetzt werden können. Zwischen den Zeilen war der Vorschlag zu hören, letztlich durch eine stärke Harmonisierung der Vorgaben und des Vorgehens innerhalb der EU unter Nutzung der Marktmacht mit circa 350 Millionen Europäern den Datenschutz gegenüber Nicht-EU-Staaten durchzusetzen.

Datenschutzrecht führt zu Wettbewerbsverzerrungen

Interessant war in diesem Kontext auch die Feststellung von Herrn Schaar, dass es seiner Ansicht nach eine nicht gerechtfertigte Benachteiligung des in Deutschland ansässigen „StudiVZ“ darstellen würde, wenn sich diese nach dem strengen deutschen Datenschutzrecht zu richten hätten, Facebook als in Kalifornien ansässiges Unternehmen diesen Datenschutz-Regularien indes faktisch entgehe.

Diskussionsrunde am Schlusstag

Unter Moderation von Frau Dr. Knapp von der Frankfurter Rundschau erörterten am Schlusstag Herr Professor Dr. Goll, Herr Peter Schaar, Frau Gabriela Krader LL.M. (Datenschutzbeauftragte der Deutschen Post AG) und Herr Detlef Borchers nochmals Perspektiven der gesetzgeberischen Gestaltungsmöglichkeiten im Datenschutz.

Die Aussagen in Kürze: Frau Gabriela Krader LL.M.

• Nach Ansicht von Frau Krader befinde sich das Recht auf „informationelle Selbstbestimmung“ derzeit „in akutem Notzustand“.
• Die datenschutzrechtliche Rechtslage sei für Unternehmen zudem vielfach unklar (genannt wurden Probleme in der Auslegung von § 11 BDSG, der Scoring-Vorschriften, dem Screening von Beschäftigtenlisten mit Antiterrorlisten).
• Hervorzuheben war zudem das Plädoyer von Frau Krader für eine Beibehaltung des Konzepts der Einwilligung.

Die Aussagen in Kürze: Herr Detlef Borchers

• Herr Borchers wies in seinen sehr interessanten Ausführungen darauf hin, dass die junge Generation von Anwendern den Datenschutz häufig für überflüssig halte und stellte zudem die„Aktion verschollene Häuser“ vor.
• Auch beschrieb er die Diskussion in Teilen der Internetgemeinde, die eine Regulierung des Datenschutzes als „Herrschaftstechnologie“ ablehne.

Die Aussagen in Kürze: Herr Peter Schaar

• Herr Schaar legte seinen Diskussionsfocus bewusst nicht auf die juristischen Themen sondern stellte die seines Erachtens erforderliche gesellschaftspolitische Diskussion zum Datenschutz in den Vordergrund.
• Herr Schaar hielt es für eine Fehlentwicklung, dass es in unserer Gesellschaft „keine Geheimnisse“ mehr geben solle. Eine zivilisierte Gesellschaft, so Herr Schaar, brauche immer Geheimnisse bzw. private Rückzugsräume.
• Auch Herr Schaar kritisierte die derzeitige Rechtslage im Datenschutz als häufig unklar und widerläufig. Zitat: „Wir fahren da in der Tat momentan keinen guten Weg“.
• Daneben legte Herr Schaar einen Schwerpunkt auf Google und die Diskussion um Street View. Google selbst mache zwar seine Nutzer transparent, schaffe aber insbesondere gegenüber den Aufsichtsbehörden keine Öffentlichkeit über Art und Umfang der Datenverarbeitung.
• Seitens Herrn Schaar wurde zudem angeregt, im Internetzeitalter unter Umständen Daten auch dann zu schützen, wenn diese nach bisherigem Verständnis „öffentliche Daten“ seien.
• Auch wenn Herr Schaar betonte, dass es im Internet nie eine 100%ige Löschmöglichkeit würde geben können, begrüßte er die aktuellen Pläne der EU-Kommission zur Überarbeitung des Rechtsrahmens im Datenschutz, die derzeit auch das „Recht auf Löschung“ beinhalten würden. Letztlich sei es erforderlich, einen einheitlichen europäischen Ansatz und Rechtsrahmen im Datenschutz zu schaffen.

Die Aussagen in Kürze: Herr Professor Goll

• Unter dem Motto (Zitat) „retten was zu retten ist“ vertrat Herr Professor Goll die These, dass der veränderte Umgang mit personenbezogenen Daten im Internet ein „jugendtypisches“ Phänomen sei, den die meisten Betroffenen später wahrscheinlich bereuen würden. Im Rahmen der Gestaltungsmöglichkeiten sei der Gesetzgeber daher gehalten, dieser Entwicklung entgegenzuwirken.
• Nach Ansicht von Herrn Professor Goll habe der Gesetzgeber im Bereich des Internet-Datenschutzes keine Alternative zum „anlassbezogenen Aktionismus“. Angesichts der rapiden Veränderungen im technischen Bereich sei der Gesetzgeber hier zwingend immer einen Schritt hinterher (Dem widersprach in Teilen Herr Schaar: Gestaltungsanspruch von Politik müsse seiner Ansicht nach sein, bestimmte Regulierungsmechanismen im Datenschutz zu installieren und „nicht einfach laufen zu lassen“).

Besonders hervorzuheben: Grenzen des Cloud Computings

Besonderer Erwähnung bedürfen noch die Aussagen von Herrn Schaar zum Thema „Cloud Computing“. Nach der Auffassung von Herrn Schaar sei „echtes Cloud Computing“ (vereinfachend gesagt ist „echtes Cloud Computing“: wo welche Daten wann und wie „in der Cloud“ gespeichert werden ist für den Nutzer unklar) derzeit mit deutschem Datenschutzrecht unvereinbar. Allenfalls könne eine datenschutzkonforme Lösung darin bestehen, dass sich Cloud Computing Anbieter freiwillig deutschem Datenschutzrecht unterwerfen würden und eine effektive Kontrolle durch deutsche Aufsichtsbehörden gewährleistet sei.

Fazit

Das Triberger Symposium zum Datenschutz hat interessante Denkanstöße geliefert und meines Erachtens wichtige offene Punkte im Datenschutzrecht angesprochen. Interessant war aus meiner Sicht vor allem der Einblick in die unterschiedlichen Grundansichten zum Thema Datenschutz sowie der Ansatz, im Datenschutzrecht vom Merkmal des Personenbezugs abzusehen, die „junge Generation“ vor sich selbst zu schützen und über eine Europäisierung der Datenschutz-Vorschriften langfristig die eigenen Datenschutz-Standards auch außerhalb der EU durchzusetzen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Was ist der „Düsseldorfer Kreis“?

Der Düsseldorfer Kreis ist der Zusammenschluss der Datenschutz-Aufsichtsbehörden im Unternehmens-Bereich (so genannte „nicht-öffentliche Stellen“). Am 29. April 2010 hat der Düsseldorfer Kreis einen Beschluss hinsichtlich des Datentransfers im Rahmen des Safe-Harbor Abkommens überlassen. Der Düsseldorfer Kreis hat in dem Beschluss unter anderem verschärfte Richtlinien erlassen, die den Unternehmen weitere Pflichten bei Datentransfers an Safe-Harbor zertifizierte US-Unternehmen auferlegen.

Was gilt grundsätzlich beim Export von Daten aus Deutschland heraus?

Gemäß § 4b, c des Bundesdatenschutzgesetzes ist eine Datenübermittlung von deutschen Unternehmen an Unternehmen im Ausland solange unbedenklich, solange sich diese Unternehmen in der Europäischen Union oder im Europäischen Wirtschaftsraum (Norwegen, Island und Liechtenstein) befinden. Sollen die Daten an ein Unternehmen in einem anderen Land übertragen werden, muss gesondert geprüft werden ob die Stelle, welche die Daten erhalten soll, ein angemessenes Datenschutz-Schutzniveau aufweist (hierzu können beispielsweise im Einzelfall so genannte „EU-Standardvertragsklauseln“ oder konzernweite verbindliche Datenschutz-Regeln verwendet werden).

Angemessenes Schutzniveau für manche Länder von EU-Kommission bestimmt

Die EU-Kommission hat für die Länder Kanada, Argentinien, Schweiz, Guernsey und Isle of Man bereits das angemessene Datenschutz-Schutzniveau nach der dortigen Gesetzeslage für das ganze Land bestimmt. Soll in ein anderes Land übertragen werden, dass von der EU-Kommission nicht offiziell anerkannt wurde, muss das angemessene Schutzniveau für den Einzelfall festgestellt werden.

Sonderfall USA

Aufgrund der engen Handelsbeziehungen mit den Vereinigten Staaten wurde seitens der EU eine Sonderlösung bestimmt, obwohl gerade für die USA ein angemessenes Datenschutz-Schutzniveau durch die EU-Kommission nicht festgestellt wurde. Nach dem so genannten „Safe-Harbor-Abkommen“ ist es Unternehmen in den USA möglich, sich bei einer US-Behörde als „Unternehmen mit angemessenem Datenschutzniveau“ zertifizieren zu lassen. Die Unternehmen müssen hierbei dem „Safe-Harbor-Abkommen“ beitreten und sich den darin festgelegten Regeln zum Umgang mit personenbezogenen Daten formal unterwerfen. Der deutsche Datenexporteur darf dann Daten an dieses US-Unternehmen übermitteln (dies natürlich nur, wenn die Übermittlung auch im Übrigen datenschutzrechtlich zulässig ist).

Was galt bisher?

Bisher galt für deutsche Datenexporteure folgende Rechtslage: wenn an ein Unternehmen in den USA, das dem Safe-Harbor-Abkommen beigetreten war, Daten übermittelt werden sollten, war der Datentransfer nach § 4b, c des Bundesdatenschutzgesetzes grundsätzlich gestattet, so dass der deutsche Datenexporteur keine Sanktionen zu befürchten hatte. Durch das Safe Harbor Abkommen konnte ohne die Vereinbarung von EU-Standardvertragsklauseln oder Datenschutz-Unternehmensrichtlinien Daten übertragen werden. Auch für die Unternehmen in den USA war diese Lösung leicht: Dem Safe Harbor Abkommen beizutreten ist nur ein einmaliger Akt, der dann auf alle gewünschten Datenimporte in die USA durch das Unternehmen angewandt werden konnte.

Safe Harbor unter Beschuss

Die zehnjährige Praxis des Safe-Harbor-Abkommens zeigte jedoch aus Sicht der deutschen Datenschutz-Aufsichtsbehörden enorme Datenschutzdefizite. Insbesondere findet praktisch keine Aufsicht oder Kontrolle der Einhaltung der Safe-Harbor Bestimmungen durch die öffentliche Seite statt. Eine Studie hat Ende 2008 größere Defizite aufgedeckt und dokumentiert.

Insbesondere wurde festgestellt, dass viele Unternehmen angeben, Safe Harbor zertifiziert zu sein, ohne tatsächlich beigetreten zu sein. Daneben wurden auch die Mindestbestimmungen des Abkommens weitgehend nicht eingehalten. Auch wurde festgestellt, dass in zehn Jahren nur ein einziger Fall überhaupt von einem Gericht überprüft wurde. Faktisch war damit ein angemessenes Datenschutz-Schutzniveau gerade nicht gewährleistet.

Was ändert sich nun?

Nach dem Beschluss des Düsseldorfer Kreises müssen deutsche Unternehmen, die Daten an US-Unternehmen übermitteln, nun auch Folgendes beachten: Sollen Daten aus Deutschland in die USA exportiert werden, so sind die datenexportierenden Stellen auch dann, wenn das Daten empfangende US-Unternehmen dem Safe Harbor Abkommen beigetreten ist, zu einer aktiven Überprüfung der Einhaltung der datenschutzrechtlichen Mindeststandards verpflichtet.

Der Düsseldorfer Kreis nennt in seinem Beschluss auch, was er unter einer aktiven Überprüfung versteht:

1. Schriftlicher Nachweis über Beitritt zum Abkommen muss vorgelegt werden

Zum einen muss dem deutschen Datenexporteur ein schriftlicher Nachweis über die Tatsache vorgelegt werden, dass dem Safe-Harbor-Abkommen tatsächlich beigetreten wurde. Dieser Nachweis darf nicht älter als sieben Jahre sein und muss die wesentlichen Verpflichtungen des Safe Harbor Abkommens enthalten. Der Erhalt dieser Bescheinigung sollte sorgfältig dokumentiert werden, da die verantwortliche Stelle auf Anforderung der Datenschutzbehörden verpflichtet ist, dieses vorzulegen.

2. Nachweis über Einhaltung der Informationspflichten muss eingeholt werden

Daneben muss der deutsche Datenexporteur sich von dem potentiellen Datenempfänger auch nachweisen lassen, dass dieser seine Informationspflichten gegenüber den Betroffenen wahrnimmt, welche im Safe Harbor Abkommen selbst festgelegt werden.

Informationspflichten nach Safe Harbor

Nach diesen muss das Unternehmen die betroffenen Datensubjekte darüber informieren, zu welchem Zweck Daten erhoben werden, wie diese die Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren können, an welche Kategorien von Dritten die Daten weitergegeben werden und welche Mittel den Privatpersonen zur Verfügung gestellt werden, damit diese die Verwendung und Weitergabe der Daten einschränken können.

Auch der Nachweis, dass dies geschehen ist, muss die verantwortliche Stelle der Aufsichtsbehörde vorlegen können.

3. Verstoß gegen Safe Harbor soll der Aufsichtsbehörde angezeigt werden

Der Düsseldorfer Kreis schlägt daneben vor, einen Verstoß gegen die Safe Harbor Voraussetzungen der Aufsichtsbehörde direkt anzuzeigen. Eine Verpflichtung der Praxis kann sich dem Beschluss jedoch nicht entnehmen lassen.

Bußgelder drohen nun vermehrt auch für den deutschen Datenexporteur

Mit dem Beschluss der Aufsichtsbehörde werden dessen Empfehlungen zu faktischen Voraussetzungen für den Datentransfer in die USA. Bei Verstößen gegen das Bundesdatenschutzgesetz können Bußgelder bis zu 300.000,- Euro drohen, daneben können darüber hinaus gehende Gewinne abgeschöpft und Schadensersatzklagen erhoben werden. Das Haftungsrisiko ist damit relativ hoch.

Empfehlungen für die Praxis

Die oben angegebenen Forderungen des Düsseldorfer Kreises sollten unbedingt beachtet werden. Die Datenschutz-Aufsichtsbehörden auf Länderebene orientieren sich im Regelfall sehr stark an der Meinung des Gremiums.

Datenschutz nicht nur formal sondern auch tatsächlich gewährleisten

Um den sicheren Datenschutzstandard nicht nur formal sondern auch tatsächlich zu gewährleisten empfehlen wir den Unternehmen, noch zusätzlich datenschutzfördernde Maßnahmen zu ergreifen, beispielsweise durch die Vereinbarung von Vertragsstrafen zur Absicherung von Imageverlust durch negative Presseberichterstattung bei „Datenschutzskandalen“ (hierbei lässt sich die exakte Höhe des Schadens häufig schwer nachweisen).

Fazit

Deutsche Unternehmen, die an US-Unternehmen mit Safe Harbor Zertifizierung personenbezogene Daten exportieren, müssen nun die im Artikel beschriebenen erweiterten Regelungen beachten (Schriftlicher Nachweis über Safe Harbor Beitritt, Nachweis über Einhaltung der Informationspflichten, ggfs. Hinweispflichten gegenüber der Aufsichtsbehörde etc.).

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Die jährlichen Versicherungsprämien sind dabei nicht teuer – die Allianz gewährt unseren Lesern Sonderkonditionen und daneben Rabatte in folgenden Fällen:

• Rabatt bei mehrjähriger Laufzeit
• Sonderkonditionen für Existenzgründer

Was kostet die Versicherung – drei typische Szenarien

Die Kosten für die Versicherung richten sich nach dem jährlichen Umsatz und der Höhe der gewünschten Versicherungssumme. Wir haben drei typische Szenarien durchgerechnet:

Quelle: Allianz

Beispiel 1:
Jährlicher Umsatz als ext. Datenschutzbeauftragter: 20.000,- Euro
Versicherungssumme: 100.000,- Euro
Jahresnettoprämie: 200,- Euro (zzgl. 19% Steuer – weitere Rabatte möglich)

Beispiel 2:
Jährlicher Umsatz als ext. Datenschutzbeauftragter: 100.000,- Euro
Versicherungssumme: 500.000,- Euro
Jahresnettoprämie: 960,- Euro (zzgl. 19% Steuer – weitere Rabatte möglich)

Beispiel 3:
Jährlicher Umsatz als ext. Datenschutzbeauftragter: 500.000,- Euro
Versicherungssumme: 1.000.000,- Euro
Jahresnettoprämie: 2.880,- Euro (zzgl. 19% Steuer – weitere Rabatte möglich)

Ihr Ansprechpartner bei der Allianz – Versicherung von externen Datenschutzbeauftragten

Herr Boris Bull

Spezialberatung Startups & Unternehmer
Direktionsbeauftragter für Ärzte & Heilberufe

Allianz Generalvertretung Krölls
Erzgießereistraße 22
80335 München

Telefon: 089-726 31 924
Telefax: 089–726 31 925

E-Mail: boris.bull@allianz.de

XING-Profil

Kontaktieren Sie Herrn Bull von der Allianz und erfragen Sie Ihre individuellen Versicherungskonditionen als externer Datenschutzbeauftragter.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular

E-Mail: email@iitr.de

Datenschutz-Newsletter

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Beiträge und aktuelle Entwicklungen im Datenschutzrecht.

Was beinhaltet der Datenschutz-Codex? Teil 1: Transparenz im Datenschutz: Einhaltung gesetzlicher Vorgaben In diesem werden in den Punkten 1 bis 5 wichtige datenschutzrechtliche Rahmenbedingungen für Webseitenbetreiber offengelegt und exemplarisch dargestellt. Mehr…

Teil 2: Freiwillige Verpflichtung: transparenter Umgang mit personenbezogenen Daten

Zusätzlich hat sich der Webseitenbetreiber in den Punkten 6 bis 10 über die unmittelbar geltenden gesetzlichen Vorgaben hinaus zu einem transparenten und vernünftigen Umgang mit Kundendaten zu verpflichten. Mehr…

Damit dient der Datenschutz-Codex zugleich als Zusammenfassung datenschutzrechtlicher Themen, die für Webseitenbetreiber relevant sind.

Das Signet des Datenschutz-Codex schafft bei Kunden von Webseitenbetreibern Vertrauen und erfüllt mit Teil 2 zudem die Voraussetzungen eines Verhaltenscodex nach § 2 Abs. 1 Nr. 5 UWG, um Webseitenbetreibern wie Kunden einen verlässlichen Rechtsrahmen für die Einhaltung des Codex zu bieten.

Was erhält der Webseiten-Betreiber?

• Codex
• Signet
• Handbuch
• Codex-Mail

Interesse?

• Weitere Informationen zum Datenschutz-Codex
• FAQ
• Bestellmöglichkeiten für Update-Service Mandaten der IT-Recht Kanzlei München

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Laden Sie hier den Referentenentwurf vom 28.5.2010 zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes („Arbeitnehmerdatenschutzgesetz“) herunter:

• Zum Gesetzesentwurf auf der Webseite des IITR…

Laufende Informationen zum Datenschutz

Tragen Sie sich einfach in den Newsletter des IITR ein und Sie werden automatisch über aktuelle Entwicklungen im Datenschutzrecht informiert.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Auf den Webseiten des Instituts für IT-Recht IITR können Sie den vollständigen Entwurf des “Gesetzes zur Regelung des Beschäftigtendatenschutzes” herunterladen.

• Zum Gesetzesentwurf auf der Webseite des IITR…

Update vom 9. Juni 2010
Laden Sie hier den Referentenentwurf des Bundesinnenministeriums vom 28.5.2010 herunter.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Datenschutzkonformer Einsatz von E-Mail-Marketing-Software

Marketingmaßnahmen per E-Mail sind eine kostengünstige Möglichkeit, die eigenen Produkte zu bewerben. Häufig wird von Unternehmen hierbei auf spezielle E-Mail-Marketing-Software zurück gegriffen, die sowohl die gesicherte Zustellung wie auch das spezifizierte Adressmanagement beherrscht. Hierbei sind zahlreiche rechtliche Vorgaben zu beachten. Der Video-Beitrag untersucht insbesondere die wettbewerbs- und datenschutzrechtlichen Aspekte beim Einsatz solcher Software.

Zum Video…

Über den Referenten Herrn Thorsten Ingeberg

Herr Ingeberg ist Diplom-Jurist (univ.) aus München und verantwortet als freiberuflicher Mitarbeiter des Instituts für IT-Recht IITR den Bereich Schulung, insbesondere die Aus- und Fortbildung von internen Datenschutzbeauftragten. Herr Ingeberg ist derzeit wissenschaftlicher Mitarbeiter von Herrn Professor Dr. Michael Hassemer am Lehrstuhl für Zivilrecht, Wirtschaftsrecht, Geistiges Eigentum an der Technischen Universität Kaiserslautern. Weitere Informationen…

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Was beinhaltet der Datenschutz-Codex? Teil 1: Transparenz im Datenschutz: Einhaltung gesetzlicher Vorgaben In diesem werden in den Punkten 1 bis 5 wichtige datenschutzrechtliche Rahmenbedingungen für Webseitenbetreiber offengelegt und exemplarisch dargestellt. Mehr…

Teil 2: Freiwillige Verpflichtung: transparenter Umgang mit personenbezogenen Daten

Zusätzlich hat sich der Webseitenbetreiber in den Punkten 6 bis 10 über die unmittelbar geltenden gesetzlichen Vorgaben hinaus zu einem transparenten und vernünftigen Umgang mit Kundendaten zu verpflichten. Mehr…

Damit dient der Datenschutz-Codex zugleich als Zusammenfassung datenschutzrechtlicher Themen, die für Webseitenbetreiber relevant sind.

Das Signet des Datenschutz-Codex schafft bei Kunden von Webseitenbetreibern Vertrauen und erfüllt mit Teil 2 zudem die Voraussetzungen eines Verhaltenscodex nach § 2 Abs. 1 Nr. 5 UWG, um Webseitenbetreibern wie Kunden einen verlässlichen Rechtsrahmen für die Einhaltung des Codex zu bieten.

Was erhält der Webseiten-Betreiber?

• Codex
• Signet
• Handbuch
• Codex-Mail

Sonderkonditionen bei Buchung bis zum 31.07.2010

Zur Einführung erhalten Webseiten-Betreiber bei Buchung bis zum 31.07.2010 50% Rabatt für das erste Jahr.

Interesse?

• Weitere Informationen zum Datenschutz-Codex
• FAQ
• Bestellmöglichkeiten

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Wie funktioniert internationaler Datenschutz?

In grenzüberschreitend tätigen Konzernen und Unternehmen gehört der internationale Datentransfer (insbesondere von Arbeitnehmer- und Kundendaten) zum alltäglichen Geschäft. Der Video-Beitrag gibt einen ersten Überblick der hierbei zu beachtenden datenschutzrechtlichen Vorgaben und erläutert was beachtet werden muss, sobald Daten ins Ausland übermittelt werden sollen.

Zum Video…

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Kraska: Herr Schmidl, das Bundesinnenministerium arbeitet derzeit an einer Neuregelung des Arbeitnehmerdatenschutzes. Erst im September letzten Jahres waren neue Vorschriften im Arbeitnehmerdatenschutz in Kraft getreten. Warum gibt es schon wieder Änderungen?

Schmidl: Mit den Änderungen im vergangenen Herbst ist lediglich § 32 BDSG in das Gesetz aufgenommen worden, der nach Maßgabe der Gesetzesbegründung keine Neuerungen schaffen, sondern nur bisherige Grundsätze zusammenfassen sollte. § 32 BDSG regelt in sehr allgemeiner Form die Erhebung, Verarbeitung und Nutzung von Daten, die „für Zwecke des Beschäftigungsverhältnisses“ erforderlich ist. Ungeachtet dieser Aussage des Gesetzgebers begannen einige Aufsichtsbehörden unmittelbar nach Inkrafttreten von § 32 BDSG damit, vor dem 1. September 2009 als zulässig etablierte Vorgänge in den Unternehmen in Zweifel zu ziehen. Häufig wurde dies mit Zweifeln daran begründet, ob und in welchem Umfang neben § 32 BDSG noch andere Erlaubnistatbestände eingreifen können.

Kraska: Warum muss der Arbeitnehmerdatenschutz denn überhaupt in eigenen Vorschriften geregelt werden?

Schmidl: Dies entspricht der seit Jahren bestehenden Forderung, dass von der Datenverarbeitung besonders betroffene Bereiche in spezialgesetzlichen Normen geregelt werden sollten, um den Besonderheiten des jeweiligen Bereichs Rechnung tragen zu können. Auch wenn es gerade im Lichte der bevorstehenden Schaffung neuer Regelungen zum Arbeitnehmerdatenschutz ein leichtes wäre, dieser Argumentation beizupflichten, möchte ich betonen, dass auch das allgemeine Datenschutzrecht in der durch Rechtsprechung und Vorgaben der Aufsichtsbehörden konkretisierten Form bisher in der Lage gewesen ist, einen angemessenen Arbeitnehmerdatenschutz zu erreichen. Die für die Begründung der Erforderlichkeit spezieller Regelungen zitierten „Datenschutzskandale“, können nicht oder zumindest nicht ausschließlich mit den aus dem allgemeinen Datenschutzrecht resultierenden Unklarheiten begründet werden. Die Mehrheit der in der Öffentlichkeit diskutierten Fälle war auch nach dem durch Vorgaben von Rechtsprechung und Verwaltung konkretisierten allgemeinen Datenschutzrecht unzulässig.

Kraska: Warum hat sich der Gesetzgeber bislang so schwer getan, Regelungen in diesem Bereich zu fassen – und warum mussten letztlich erst Rechtsprechung und Aufsichtsbehörden durch eine konkretisierende verfassungskonforme Auslegung des Arbeitnehmerdatenschutzes einspringen?

Schmidl: Die Schaffung von Spezialregelungen zum Arbeitnehmerdatenschutz muss auch den Schutz berechtigter Unternehmensinteressen sicherstellen. Es ist rechtlich schwierig und politisch kontrovers, sich an dieser Aufgabe zu versuchen. Dies scheint mir der Grund für den langwierigen Prozess. Deutlich wird dies bereits im Zusammenhang mit der Verhandlung einer Betriebsvereinbarung, wenn es um die Konkretisierung der berechtigten Interessen des Arbeitgebers einerseits und seiner Mitarbeiter andererseits lediglich für einen bestimmten Betrieb geht. Auch wenn sich die Betriebsparteien auf abstrakter Ebene einig sind, dass Datenschutz im Unternehmen nicht dazu führen darf, dass das Unternehmen seine Geschäftszwecke nicht mehr erreichen kann, so gehen die Meinungen in aller Regel erheblich auseinander, wenn es um die Frage geht, wie viel Datenschutz zuviel Datenschutz ist. Das Unterfangen, ein Gesetz zu schaffen, dass diese Interessenskollision mit allgemeingültigen Entscheidungen auflöst, ist daher eine äußerst komplexe Herausforderung, die vor allem politische Grundsatzentscheidungen erforderlich macht.

Kraska: Nun ist ja vom Bundesinnenministerium ein Eckpunkte-Papier zur Neuregelung des Arbeitnehmerdatenschutzes veröffentlich worden. Was erwartet uns in dem Bereich?

Schmidl: Soweit veröffentlicht sind dies gemäß des Eckpunkte-Papiers verkürzt folgende Punkte:

1. Das Fragerecht des Arbeitgebers im Einstellungsverfahren soll gesetzlich geregelt werden.
2. Gesundheitliche Untersuchungen oder Prüfungen sollen nur zulässig sein, wenn sie erforderlich sind.
3. Die Korruptionsbekämpfung und die Durchsetzung von Compliance-Anforderungen sollen aufgrund klarer gesetzlicher Grundlagen erfolgen können.
4. Ganz allgemein soll die Videoüberwachung von nicht öffentlich zugänglichen Betriebsstätten nur zulässig sein, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich und verhältnismäßig ist.
5. Die Erhebung von Beschäftigtendaten durch Ortungssysteme soll nur während der Arbeits- und Bereitschaftszeiten zur Sicherheit des Beschäftigten oder zur Koordinierung des Einsatzes des Beschäftigten zugelassen werden.
6. Biometrische Merkmale eines Beschäftigten soll der Arbeitgeber elektronisch nur erheben und verwenden dürfen, soweit dies aus betrieblichen Gründen zu Autorisierungs- und Authentifikationszwecken erforderlich ist.
7. Der Arbeitgeber soll – insbesondere zur Gewährleistung des ordnungsgemäßen technischen Betriebs, zu Abrechnungszwecken sowie zu Zwecken der Korruptionsbekämpfung/Compliance – die Nutzung von Telekommunikationsdiensten und Telemedien am Arbeitsplatz im erforderlichen Maß kontrollieren dürfen.
8. In Betriebs-/Dienstvereinbarungen oder Tarifverträgen sollen wie bisher eigenständige Grundlagen und Einschränkungen für eine zulässige Datenerhebung und -verwendung im Beschäftigungsverhältnis vorgesehen werden können.
9. Die Zulässigkeit der individuellen Einwilligung des Beschäftigten in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten soll auf ausdrücklich geregelte Fälle beschränkt werden,
10. Der Arbeitgeber darf Beschäftigtendaten auch erheben, verarbeiten und nutzen soweit deren Kenntnis erforderlich ist, um nach der Beendigung des Beschäftigungsverhältnisses bestehende Pflichten – etwa buchhalterische oder steuerliche Nachweiszwecke – zu erfüllen.

Kraska: Wie beurteilen Sie diese Pläne?

Schmidl: Grundsätzlich sind die veröffentlichten Eckpunkte zu begrüßen. Es bleibt aber abzuwarten, wie die konkreten Regelungen ausfallen werden. Es wäre aus meiner Sicht zudem wünschenswert gewesen, auch die Fragen der Einschaltung von Auftragsdatenverarbeitung im Bereich der Verwaltung von Personaldaten explizit zu regeln und eine Erleichterung beim Austausch von Arbeitnehmerdaten im Konzern zu schaffen. Denn gerade im Konzern führt das Datenschutzrecht häufig zu komplexen Rechtsfragen und die Durchsetzung berechtigter Konzerninteressen ist nicht immer ohne rechtliche Risiken möglich.

Kraska: Gerade das Outsourcing von Personaldaten ist ja mit Einführung des § 32 BDSG in die Diskussion geraten. Was war der Hintergrund?

Schmidl:  Einige Aufsichtsbehörden vertreten die Auffassung, dass eine Auslagerung von Personaldaten auf Grundlage von § 32 BDSG nicht mehr möglich, zumindest aber rechtlich zweifelhaft sei und auch ein Rückgriff auf andere datenschutzrechtliche Erlaubnistatbestände ausscheide. Für die Praxis hätte dies gravierende Folgen.

Kraska: Was ist der aktuelle Sachstand?

Schmidl: Derzeit tauschen sich die verschiedenen Aufsichtsbehörden der Länder in diesem Punkt aus. Man kann nur hoffen, dass hier eine praxisgerechte Lösung gefunden wird.

Kraska: Vielen Dank für das Gespräch.

Kontakt zu Dr. Michael Schmidl, LL.M. Eur. (Rechtsanwalt/Maître en Droit) Weiterführender Artikel: Schmidl, Arbeitnehmerdatenschutz vor der Reform – Fehlanzeige? Treffen Sie Herrn Schmidl als Referenten auf dem 11. Datenschutzkongress 2010 in Berlin Das Interview führte RA Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Datenschutzkonformer Einsatz von Tracking-Tools

Die obersten Datenschutz-Aufsichtsbehörden haben Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit ist in der Praxis von der Verwendung von Google Analytics (und ähnlicher Tools) in seiner derzeitigen Form in den meisten Fällen abzuraten.

Zum Video…

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Die Verschwiegenheitsverpflichtung wird in § 4 f Abs. 4 Bundesdatenschutzgesetz („BDSG“) normiert. Dieser lautet:

„(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.“

Inhalt der Norm

Durch die Norm wir der Datenschutzbeauftragte zur Verschwiegenheit verpflichtet. Daneben muss er, soweit es zur Sicherstellung des Datenschutzes erforderlich ist, in Abwägung der betroffenen Interessen natürlich auch berechtigt sein, unter Wahrung des Datenschutzes unsachgemäße Vorgänge zu melden.

Sinn und Zweck der Norm

Wer sich vertrauensvoll an den Datenschutzbeauftragten wendet soll sicher gehen können, dass dieser die Daten vertraulich behandelt, damit dem Betroffenen hieraus keine Nachteile entstehen können. Sinn und Zweck der Norm ist es daneben, die Funktion des Datenschutzbeauftragten als Selbstkontrollorgan des Unternehmens zu gewährleisten und dessen unabhängige Stellung innerhalb des Unternehmens zu stärken.

Welche Sachverhalte werden von der Verschwiegenheitspflicht des Datenschutzbeauftragten umfasst?

Eine spezifische berufliche Schweigepflicht des Datenschutzbeauftragten wie etwa bei Ärzten, Anwälten etc. besteht beim Datenschutzbeauftragten nicht (vgl. zu insoweit anvertrauten Geheimnissen § 203 Abs. 2a StGB).

Folgt man dem Wortlaut des Gesetzes so ist nach diesem lediglich normiert, dass der Beauftragte die Identität des Betroffenen nicht offen legen darf. Er darf danach auch nicht zulassen, dass über Rückschlüsse dessen Identifikation möglich ist. Eine die gesamte Tätigkeit des Datenschutzbeauftragten umfassende Verschwiegenheitsverpflichtung wurde vom Gesetzgeber nicht ausdrücklich normiert. Dennoch muss aufgrund der Gesamtsystematik davon ausgegangen werden, dass eine solche existiert. Denn der Beauftragte erhält nach dem Gesetz Zugang zu allen gespeicherten personenbezogenen Daten – dies ohne eine entsprechende Verschwiegenheitsverpflichtung anzunehmen erscheint unsinnig und wird auch in der rechtlichen Diskussion nicht weiter angezweifelt. § 4 f Abs. 4 BDSG kann damit nur als Teilaspekt einer umfassenden Verschwiegenheitspflicht verstanden werden.

Wer wird durch § 4 f Abs. 4 BDSG geschützt?

Durch § 4 f Abs. 4 BDSG werden in erster Linie die Betroffenen geschützt, wenn sie sich bei dem Datenschutzbeauftragten über die Verarbeitung ihrer personenbezogenen Daten beschweren (§ 4 f Abs. 5 Satz 2 BDSG). Liegt dem Datenschutzbeauftragten eine Beschwerde vor, muss er diese so behandeln, dass ein Rückschluss auf den Betroffenen, der die Beschwerde eingereicht hat, nicht möglich ist. Die hauptsächlich Betroffenen in diesem Zusammenhang werden wohl die Beschäftigten eines Unternehmens sein. Dennoch beschränkt sich der Anwendungsbereich der Norm nicht ausschließlich auf sie. Vielmehr können sich auch Kunden oder sonstige Personen, deren Daten auf jedwede Weise durch die verantwortliche Stelle verarbeitet worden sind, an den Beauftragten wenden. Sie alle werden von der Verschwiegenheitspflicht gleichermaßen umfasst.

Die Verschwiegenheitspflicht schützt auch denjenigen, der konkrete Anhaltspunkte für eine mißbräuchliche Verarbeitung seiner Daten hat. Dieser kann sich an den Datenschutzbeauftragten wenden und sich dabei auf einen vertraulichen Umgang mit seinen personenbezogenen Daten verlassen.

Welche Angaben der Betroffenen werden von der Schweigepflicht umfasst?

Grundsätzlich muss der Beauftragte über sämtliche Angaben Stillschweigen bewahren. Das gilt jedenfalls für die Angaben, mit Hilfe derer der Betroffene direkt oder indirekt identifiziert werden könnte. Damit sind Daten wie etwa der Name oder die Adresse gleichfalls betroffen wie Zahlungsbesonderheiten und berufliche Qualifikationen.

Wem gegenüber gilt die Verschwiegenheitspflicht?

Die Pflicht zur Verschwiegenheit gilt primär gegenüber der verantwortlichen Stelle. Daneben gilt sie genauso gegenüber der Arbeitnehmervertretung wie auch gegenüber Dritten (auch Ärzten) oder Aufsichtsbehörden.

Was sind die Folgen?

Durch die Verschwiegenheitsverpflichtung wird die Unabhängigkeit des Datenschutzbeauftragten gefördert. Gleichzeitig entsteht eine Distanzierung zur verantwortlichen Stelle, da die Verschwiegenheitspflicht auch die Berichtspflicht einschränkt. Der Datenschutzbeauftragte ist schließlich als unabhängige Kontrollinstanz und nicht als Hilfsperson der verantwortlichen Stelle zu begreifen und kann damit nicht als Informationsquelle für diese verwendet werden.

Welche Möglichkeiten hat daneben der Betroffene?

Der Betroffene hat die Möglichkeit, den Datenschutzbeauftragten von der Pflicht zur Verschwiegenheit zu entbinden, indem er eine ausdrückliche und schriftliche Erklärung abgibt. Es handelt sich insofern um ein strenges Einwilligungserfordernis, was meint, dass der Betroffene sich über die Tragweite dieser Entscheidung im Klaren sein muss. Insoweit müssen ihm die dafür nötigen Informationen mitgeteilt werden. Eine generelle Einwilligung in eine Offenlegung kommt nicht in Betracht. Vielmehr kann der Betroffene nur einwilligen, soweit er die Offenlegung für einen konkreten Fall in Betracht zieht und sich dementsprechend auf das mit der Offenlegung einhergehende Risiko einlässt. Wichtig: Der Datenschutzbeauftragte kann die Daten des Betroffenen auch dann nicht offen legen, wenn die Offenlegung dazu nötig wäre, weitere Nachforschungen anzustellen oder so evtl. der Beschwerde des Betroffenen weiterzuhelfen. Tritt dieser Fall ein, muss der Datenschutzbeauftragte vielmehr Schritt um Schritt vorgehen, um die Rechte des Betroffenen zu wahren, mag sich der Aufklärungsprozess dadurch auch verzögern.

Stellt der Datenschutzbeauftragte bei der Überprüfung der Datenschutzprozesse, die möglicherweise auf eine Beschwerde zurückgeht, einen Fehler fest, so entbindet ihn auch dies nicht von der Schweigepflicht. Eine Ausnahme kann sich nur für den Fall ergeben, an dem der Betroffene selbst am Verarbeitungsprozess beteiligt war und vorsätzlich gegen gesetzliche Vorgaben verstoßen hat, da er dann in diesem Zusammenhang nicht als schutzwürdig im Sinne des BDSG verstanden werden kann.

Was geschieht bei einem Verstoß gegen die Verschwiegenheitspflicht?

Das Gesetz sieht keine unmittelbaren Sanktionen bei einem Verstoß gegen die Verschwiegenheitspflicht vor. Da die Verschwiegenheitsverpflichtung aber stets im Zusammenhang mit der Zuverlässigkeit des Datenschutzbeauftragten zu begreifen ist, kann dies freilich zu einem Widerruf der Bestellung des Datenschutzbeauftragten führen. Daneben können sich auch Schadensersatzansprüche ergeben.

Gewährleistung der Verschwiegenheit des Datenschutzbeauftragten

Damit die Verschwiegenheit des Datenschutzbeauftragten überhaupt möglich ist, müssen die Kommunikationswege zu und von dem Datenschutzbeauftragten entsprechend sicher organisiert werden. Dazu gehört, dass die an ihn gerichtete Post nicht zentral geöffnet werden darf, sondern diesen unkontrolliert erreichen muss. Daneben müssen ihn erreichende und von ihm ausgehende Telefonate von der Telefondatenerfassung ausgenommen werden. Ein Einzelzimmer, in welchem er vertrauliche Gespräche führen kann, muss zur Verfügung gestellt werden. Dieselbe Bewertung muss freilich auch für die Organisation seines E-Mail-Postfaches sowie für einen digitalen Terminkalender gelten. Jeglicher Rückschluss auf die Betroffenen, denen gegenüber er seine Stellung wahrnimmt, darf nicht rekonstruierbar sein.

Strafrechtlicher Schutz der Verschwiegenheit des Datenschutzbeauftragten

Im BDSG befindet sich keine Norm, die einen Verstoß gegen die Verschwiegenheitsverpflichtung strafrechtlich sanktioniert oder mit einem Bußgeld belegt.

Die Wahrung der Schweigepflicht des Beauftragten wird vom Strafgesetzbuch nur in den in § 203 Abs. 2a StGB besonders genannten Fällen erfasst (Stichwort: „Verletzung anvertrauter Geheimnisse besonders geschützter Personen“).

Zeugnisverweigerungsrecht des Datenschutzbeauftragten

Der Schweigepflicht des Datenschutzbeauftragten korrespondiert ein Zeugnisverweigerungsrecht in § 4 f Abs. 4 a BDSG. Insofern kann er die Aussage verweigern wenn Daten betroffen sind, die seiner beruflichen Geheimhaltungspflicht unterliegen. Das Zeugnisverweigerungsrecht erstreckt sich auch auf sein Hilfspersonal. Soweit das Zeugnisverweigerungsrecht reicht, unterliegen die Akten des Datenschutzbeauftragten auch einem strafprozessualen Beschlagnahmeverbot.

Fazit

Insgesamt wird die unabhängige Stellung des Datenschutzbeauftragten durch die Verschwiegenheitsverpflichtung gestärkt. Für Unternehmen mit internen Datenschutzbeauftragten heißt dies vor allem, dass diesen die technischen Möglichkeiten zur vertraulichen Kommunikation mit anderen Beschäftigten oder Kunden zur Verfügung gestellt werden müssen, um den gesetzlichen Vorgaben zu entsprechen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Die Video-Beiträge orientieren sich an unseren Veröffentlichungen und greifen einzelne, besonders relevante Themen heraus. Es werden regelmäßig neue Datenschutz-Informations-Videos erscheinen. Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie laufend über neue Videos.

Die Reihe startet zu Ostern mit dem Beitrag

Wann braucht Ihr Unternehmen einen Datenschutzbeauftragten? – Ein Leitfaden

Trotz der zahlreichen Gesetzesänderungen im Bundesdatenschutzgesetz (BDSG) existiert heute immer noch keine eindeutige Struktur, wann ein Unternehmen einen Datenschutzbeauftragten – sei es intern oder extern – beschäftigen muss. Das Ergebnis nach mehreren Novellen ist nach wie vor eine inkonsequente Verknüpfung verschiedener Elemente, die einem konsequenten Datenschutz widersprechen. Das Video stellt für Sie kurz dar, in welchen Fällen Sie einen Datenschutzbeauftragten benennen müssen.

Zum Video…

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.

Frohe Ostern

Wir wünschen allen Lesern ein frohes Osterfest und viel Vergnügen mit unseren Videos.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Den Checklisten ist eine Versionsnummer zugewiesen worden, da wir diese laufend aktualisieren und weiterentwickeln. Wir freuen uns insoweit über Anregungen und Vorschläge.

Tragen Sie sich einfach in den Newsletter des IITR ein und Sie werden über neue Datenschutz-Checklisten und aktuelle Entwicklungen im Datenschutzrecht informiert.

Rechtlicher Hinweis zur Verwendung der Checklisten
Die Checklisten stellen weder eine Rechtsberatung dar noch ersetzen sie die Beratung durch einen fachkundigen Rechtsanwalt, bei der die Besonderheiten des Einzelfalls berücksichtigt werden können. Die Checklisten haben nicht den Anspruch, rechtssichere Handlungsanweisungen zur Verfügung zu stellen, sondern verfolgen ausschließlich das Ziel, Datenschutzinteressierten einen kurzen Überblick über möglicherweise relevante Fragestellungen zu liefern. Bitte informieren Sie sich auch über die laufenden Veränderungen in Rechtsprechung und Aufsichtspraxis oder holen im Zweifel fachkundigen Rat ein. Bitte verwenden Sie die Checklisten nur, wenn Sie mit diesen Regelungen einverstanden sind.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Dieses Urteil schützt den Bürger unmittelbar lediglich vor Maßnahmen und Zugriffen des Staates. Private Datensammlungen großer Unternehmen jedoch sind heute bereits äußerst umfangreich. Ob sie tatsächlich umfangreicher sind als das, was der Staat hat, entzieht sich allerdings meiner Kenntnis.

Die Forderung von Herrn Schaar nach einer Begrenzung von Datenmacht mit Blick auf private Unternehmen und Internetdienste ist grundsätzlich zu begrüßen, wäre da nicht zunächst das Problem der auf Deutschland begrenzten Zuständigkeit deutscher Gesetzgebung. Bei allem Selbstbewusstsein deutscher Regelkunst wird es kaum gelingen, die Datenlust international tätiger Konzerne so weit zu reglementieren, dass deren Geschäftsmodell daran scheitern würde. Denn fällt eine nationale Reglementierung so rigide aus, dass sich das Engagement nicht mehr rechnet, so werden die davon betroffenen Konzerne ihre davon betroffenen nationalen Dienste einstellen.

China mag dafür ein Beleg sein.

Ein weiteres Problem könnte darin bestehen, aus rein opportunistischen Gründen bei uns lediglich das zu regeln, was zunächst geregelt werden kann.

Was für China der Verzicht auf die für uns heute selbstverständliche Meinungsfreiheit darstellt, das könnte für uns morgen der Verzicht auf Google Street View sein.

Vielleicht schauen wir uns in wenigen Jahren die Städte und Strände jener Gegenden an, die wir als nächstes in unserem Urlaub bereisen werden, während ein US-Tourist von seinen in Deutschland liegenden Zielorten bestenfalls den fragmentierten Eindruck einer Trümmerlandschaft erhalten wird. Ausdruck einer in Gesetz gegossenen Zaun- und Gardinen-Mentalität, auf Grund derer wir die Abbildung von Zäunen und Gardinen reglementieren.

Unsere Daten, unsere digitalisierten Profile vagabundieren derweil weiterhin ungezügelt durch die Weltgeschichte, und wir visualisieren unser Unvermögen, mit Innovationen bedacht und souverän umgehen zu können, indem wir lediglich das gesetzlich geregelt haben werden, was wir erwischen konnten.

Das Problem könnte auch noch an einer anderen Stelle liegen: der scheidende Verfassungsrichter Hans-Jürgen Papier hat das mangelnde Bewusstsein der Bürger für den Datenschutz beklagt. Wer seine Daten preisgebe, trage Mitschuld am Missbrauch. Dann jedoch wandte er sich – das sollte niemanden wundern – an den Gesetzgeber und forderte diesen auf, den Datenschutz zu verbessern. Auch er gab, wie Schaar, seiner Sorge um den Schutz der Grundwerte des Bürgers Ausdruck.

Tatsächlich liegen die Probleme tiefer: unser Gemeinwesen ist in seinen Fundamenten betroffen. Das Verfassungsgericht führte in seinem jüngst ergangenen Urteil zur Vorratsspeicherung unter anderem aus, dass die unbemerkte Verarbeitung und Verwendung von Daten geeignet sei, „ (…) ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann.“

Wenn dies mal nicht unser Gemeinwesen und unsere Gesellschaft insgesamt betreffen dürfte. Es ist fraglich, ob uns ausgerechnet die Politik in ihrem selektiv pragmatischen Vorgehen vor dieser Bedrohung bewahren kann.

Autor:
Eckehard Kraska

Sehen Sie hier das Video (Länge 4:23 Minuten):

Auswahl von Aufgaben des Bundesdatenschutzbeauftragten:

§ 4c Abs. 2 S. 2 BDSG: “Bei den Post- und Telekommunikationsunternehmen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig.”

§ 10 Abs. 3 S. 1 BDSG: “Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten.”

§ 19 Abs. 6 S. 1 BDSG: “Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde.”

§ 21 BDSG: “Jedermann kann sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden, wenn er der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen des Bundes in seinen Rechten verletzt worden zu sein. Für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese in Verwaltungsangelegenheiten tätig werden.”

§ 24 Abs. 1 BDSG: “Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz.”

§ 25 Abs. 1 BDSG: “Stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet er dies (…).”

§ 26 Abs. 1 BDSG: “Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht. Er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche Entwicklungen des Datenschutzes.”

§ 26 Abs. 2 S. 1 BDSG: “Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte Gutachten zu erstellen und Berichte zu erstatten.”

§ 26 Abs. 3 S. 1 BDSG: “Der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in Fragen des Datenschutzes beraten.”

§ 26 Abs. 4 S. 1 BDSG: “Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 38 hin.”

§ 44 Abs. 2 BDSG: “Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde.”

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130392-0
E-Mail: email@iitr.de

Schon während seiner Zeit in Neuseeland beschäftigte sich Herr Schütze als Offical Information and Privacy Officer des New Zealand Ministry of Social Development mit dem Datenschutzrecht.

Für das IITR verfasst Herr Schütze vornehmlich Beiträge zum Arbeitnehmerdatenschutz.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130392-0
E-Mail: email@iitr.de

Das EU Parlament nutzte erstmals seine Möglichkeiten, die ihm durch den Lissabon-Vertrag zugefallen sind und lässt damit einen bereits abgeschlossenen Vertrag zwischen der EU-Kommission und den USA nachträglich durchfallen.

Zunächst stellt dies einen Hinweis auf eine ungewöhnliche Praxis dar, Verträge abzuschließen ohne die in diesem Falle notwendig gewordene Zustimmung des Parlamentes abwarten zu wollen. Von einem Zugewinn an Demokratie ist daher nun auch die Rede. Was zur Frage führt, in welchem politischen System wir bisher gelebt haben könnten.

Die überdeutliche Mehrheit ablehnender Abgeordneter kann man auch so werten, dass es hier um mehr als nur den Datenschutz gegangen sein dürfte.

Es war vor allem ein Machtsignal des europäischen Parlamentes.

Dennoch bleibt es ein guter Tag auch für den Datenschutz, der nun für kurze Zeit in das Blickfeld der politischen Öffentlichkeit rückt. Und zwar auf beiden Seiten des Atlantiks.

Der Datenschutz kann diese Aufwertung gut vertragen. Denn tatsächlich stellt Datenschutz einen zentralen Baustein dar bei der Bewahrung und Stärkung der Demokratie.

Autor:
Eckehard Kraska

Was spricht für den Einsatz von E-Mail-Marketing-Software?

Ein wichtiger Grund für den Einsatz einer professionellen E-Mail-Marketing-Software ist für die Unternehmen die rechtssichere Automatisierung der Adressverwaltung. Die Software erkennt selbst, an welche gespeicherten Adressen der Newsletter versendet werden soll. Die Software erkennt auch, wenn eine zuvor erteilte Einwilligung zum Newsletter-Versand widerrufen worden ist und blockiert insoweit jeglichen weiteren Versand.

Wichtige Funktionen von E-Mail-Marketing-Software

Die wichtigsten Funktionen von E-Mail-Marketing-Software sind die automatisierte Abonnenten-Verwaltung (zum Beispiel durch das Führen einer sog. Blacklist), die korrekte Protokollierung der Einwilligungen sowie die Auswertung der gespeicherten Daten im Rahmen des Datenschutzrechts.

Vorteil zum Direktmarketing: die eingebundene Adressgewinnung

Ein wesentlicher Vorteil zum klassischen Direktmarketing liegt in der Möglichkeit der Adressgewinnung. Jedes verwendete E-Mail-System sollte daher Werkzeuge für die Online-Erfassung bereitstellen und einen Austausch mit einer vorhandenen Kundendatenbank ermöglichen. Die unterschiedlichen Programme bieten vielfältigen Möglichkeiten der Adresseingabe, Adressenabmeldung und des Im- und Exports von Daten an.

Spam-Filter: kommt die E-Mail tatsächlich beim Empfänger an?

Um zu vermeiden, dass E-Mails als Spam gekennzeichnet werden besteht für Unternehmen die (kostenpflichtige) Möglichkeit, der „Certified Senders Alliance“ (CSA) beizutreten. Die CSA ist ein Projekt des Verbandes der deutschen Internetwirtschaft eco e.V. und des Deutschen Dialogmarketing Verbandes mit dem Ziel, seriöse Massenanbieter mit einer „Positivliste“ von Spam-Versendern zu unterscheiden.

Welche rechtlichen Rahmenbedingungen sind zu beachten?

Die in dem dargestellten Zusammenhang zu prüfenden Normen sind im Wesentlichen die §§ 4, 7 UWG (UWG steht für „Gesetz gegen den unlauteren Wettbewerb“; insofern sei auch auf unseren Beitrag unter diesem Link verwiesen) sowie die einschlägigen Normen aus dem Bundesdatenschutzgesetz (BDSG), insbesondere § 4 Abs. 1 BDSG (genaueres zum Thema Einwilligung im Datenschutzrecht lesen Sie hier).

E-Mail Versand: Einwilligung erforderlich

Gemäß § 4 Abs. 1 BDSG muss für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten immer eine gesetzliche Gestattung oder eine durch den Betroffenen erteilte Einwilligung vorliegen. E-Mail Adressen sind, da sie Bezug zu einer bestimmten oder bestimmbaren Person aufweisen (§ 3 Abs. 1 BDSG) als personenbezogene Daten nach dem BDSG zu verstehen. Daher muss darauf geachtet werden, dass E-Mail Newsletter nur an solche Empfänger versendet werden, die zuvor ihre Einwilligung hierzu erteilt haben. Eine bestehende Geschäftsbeziehung allein oder ein vermutetes Interesse des (gewerblichen) Empfängers am Erhalt des Newsletters genügt nicht.

Weitere Verarbeitung in der Software: von der Einwilligung gedeckt?

Zudem muss beachtet werden, dass aufgrund der strengen Zweckbindung der Einwilligung nach dem deutschen Recht jeder einzelne Schritt der Datenverarbeitung von der Einwilligungserklärung gedeckt sein muss. Selbst im Fall der Absicherung des reinen Newsletter-Versandes durch eine datenschutzrechtliche Einwilligungserklärung kann daher die Verwendung der E-Mail-Adresse in Bezug auf andere mögliche Marketingfunktionen einer E-Mail-Marketing-Software unzulässig sein.

Von enormer Wichtigkeit: die Protokollierung elektronischer Einwilligungserklärungen

Enorme Wichtigkeit hat auch das Erfordernis der Protokollierung elektronisch erteilter Einwilligungserklärungen (§ 28 Abs. 3a BDSG). Danach müssen derartige Einwilligungen protokolliert und in einer Weise gespeichert werden, dass der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung mit Wirkung für die Zukunft widerrufen kann. Dies kann durch ein automatisches Verarbeitungsverfahren in der E-Mail-Marketing-Software organisiert werden, was sich aus datenschutzrechtlicher Sicht als Vorteil erweist. Denn eine nicht nachweisbare Einwilligung des Betroffenen wird vom Gesetz letztlich als nicht vorhandene Einwilligung eingestuft. Damit drohen die in § 43 BDSG angedrohten ordnungsrechtlichen Konsequenzen beim Newsletter-Versand ohne zugehörige (protokollierte) Einwilligung.

Zugleich: bei fehlender Einwilligung drohen auch Abmahnungen

Da der Versand von E-Mail-Newslettern ohne (protokollierte) Einwilligung auch als wettbewerbswidrig eingestuft werden kann, drohen in einem solchen Fall nicht nur das Einschreiten der Datenschutz-Aufsichtsbehörden sondern auch Abmahnungen.

Protokollierung der Einwilligung durch die E-Mail-Marketing-Software möglich?

Die Einwilligung des Newsletter-Empfängers muss also protokolliert werden und jederzeit abrufbar sein. Dies ist noch nicht bei allen Anbietern von E-Mail-Marketing-Software möglich und sollte daher zuvor vom Anwender überprüft werden.

Funktionen zur Erfolgskontrolle beim E-Mail-Versand: der Einzelfall entscheidet

Viele Anbieter von E-Mail-Marketing-Software bieten die Möglichkeit, über bestimmte Analysetools das Leseverhalten der Empfänger zu analysieren (Wann wurde die E-Mail empfangen, geöffnet und gelesen? Auf welche Links wurde geklickt? Etc.). Eine pauschalierte datenschutzrechtliche Bewertung dieser Maßnahmen ist nicht möglich. Hier ist im Einzelfall die datenschutzrechtliche Zulässigkeit zu untersuchen. Im Grundsatz ist auch hier zu untersuchen, ob durch diese Erfolgskontrolle personenbezogene Daten erhoben werden (was bei vielen Funktionen derzeit der Fall ist) und ob dies durch eine Einwilligung oder gesetzliche Erlaubnisnormen des BDSG gedeckt ist.

Fazit

Vor dem Einsatz einer E-Mail-Marketing-Software sollte diese auf die Einhaltung insbesondere datenschutzrechtlicher Vorgaben überprüft werden. Die datenschutzrechtliche Verantwortung bleibt immer bei dem Anwender der Software, auch wenn sich eventuell Regressansprüche gegenüber einem Anbieter ergeben können. Wenn Sie E-Mail-Marketing-Software einsetzen achten Sie auf eine transparente Protokollierung versendeter E-Mails und der dazugehörigen Einwilligungserklärungen. Gerade hinsichtlich der Funktionen zur Erfolgskontrolle sollten Sie sich im Zweifelsfall rechtlich beraten lassen, um Abmahnungen und aufsichtsrechtliche Maßnahmen zu vermeiden.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130392-0
E-Mail: email@iitr.de

Weitere Informationen zu der XING Gruppe finden Sie hier.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130392-0
E-Mail: email@iitr.de

Der Volltext der Pressemitteilung lautet:

“Der Datenbrief ist eine Forderung des Chaos Computer Clubs (CCC), um die informationelle Selbstverteidigung des Bürgers zu stärken und die Anhäufung von personenbezogenen Daten möglichst unattraktiv zu machen. Er bietet die Chance, die Verarbeitung eigener persönlicher Daten besser zu überblicken und zu kontrollieren.

Der CCC fordert den Gesetzgeber auf, den Datenschutz für den Einzelnen zu verbessern. Als eine wichtige Maßnahme sehen wir die Einführung eines “Datenbriefes”: Wenn eine Firma, Behörde oder Institution personenbezogene Daten über jemanden erhebt, speichert oder übermittelt, muß der Betroffene regelmäßig über die über ihn gespeicherten Daten informiert werden. Das betrifft auch Daten, die über ihn beispielsweise durch “Anreicherung” mit anderen Datenquellen erzeugt werden, also Profile, Scoring-Werte, Annahmen über Vorlieben, interne Kundenklassenzuordnungen usw. Natürlich sind diese Daten zum Teil hochdynamischer Natur, das ändert jedoch nichts daran, daß der Betroffene ein Recht auf regelmäßigen kostenlosen Einblick hat.

Das Ziel des Datenbriefes ist es, für jeden Bürger transparent zu machen, wer die eigenen Daten verarbeitet. Der Bürger oder Verbraucher wird zukünftig bewußter mit seinen Daten umgehen, wenn er erstmal einen Überblick bekommen hat, welche Daten über ihn gespeichert sind. Das Recht des Betroffenen auf Auskunft hat dabei Vorrang vor etwaigen Geschäfts- oder Behördengeheimnissen der speichernden und verarbeitenden Firmen. Persönlichkeitsrechte Dritter müssen selbstverständlich gewahrt werden.

Nach dem Bundesdatenschutzgesetz (BDSG) ist eine natürliche Person “Betroffener”, wenn über sie Einzelangaben über persönliche oder sachliche Verhältnisse erhoben oder verarbeitet werden (§ 3 I BDSG). Zwar hat ein Betroffener nach BDSG ein Recht auf Auskunft (§§ 19, 34 BDSG), jedoch muß er dazu erstmal ahnen, wer über ihn Daten gespeichert hat und wer die tatsächlich verantwortliche Stelle ist. Außerdem muß er gegenüber der verantwortlichen Stelle nachweisen, daß er die tatsächlich betroffene Person ist. Dies kann relativ einfach durch eine Kopie des Personalausweises erfolgen, einige Unternehmen fordern sogar eine Identifikation mittels des PostIdent-Verfahrens.

Wir fordern eine Paradigma-Umkehr der bisherigen Praxis, wo der Bürger als Bittsteller gegenüber der speichernden Stelle auftritt. Die für eine Datenverarbeitung verantwortliche Stelle soll sich durch den Datenbrief wieder ihrer Verantwortung bewußt werden. Der Zugang zum Datenbrief muß auch dann ermöglicht werden, wenn beispielsweise keine postalische Adresse zum jeweiligen Datengeber verzeichnet ist. Die Übersicht über die gespeicherten Daten und ihre Verwendungsergebnisse muß dann mit den gleichen Zugangsdaten möglich sein, wie der sonstige Zugang zum Dienst oder Service.

Versendet das Unternehmen oder die Behörde im Laufe des Jahres Briefpost an den Datengeber, kann der Datenbrief beigelegt werden. Der Mehraufwand sollte dazu führen, daß das jeweilige Unternehmen kritisch prüft, ob eine längerfristige Datenspeicherung sinnvoll und notwendig ist. Der bürokratische Aufwand ist jedoch durchaus vertretbar, da in der Regel ohnehin für Reklame, amtliche Mitteilungen, Rechnungen, Vertragsänderungen oder andere Korrespondenzen Briefe versandt werden: Der Datenbrief liegt dann anbei. Da gerade im elektronischen Rechtsverkehr oft nur eine E-Mail-Adresse vorhanden ist, kann ein solcher Datenbrief natürlich auch elektronisch, beispielsweise in Form einer Anleitung zum Abruf der Daten, versandt werden.

Mit der Verpflichtung zum Versenden des Datenbriefes soll ein Umdenken sowohl bei Behörden und Firmen als auch beim Bürger einsetzen. Firmen werden genauer prüfen, ob und wie lange Daten wirklich erforderlich sind. Da auch die Rechtsgrundlage der Speicherung und Übermittlung sowie eine einfache Widerspruchsmöglichkeit enthalten sein muß, wird sich der Verantwortliche einmal mehr Gedanken machen, ob die Datensammlung überhaupt legal, zumindest aber, ob sie notwendig ist. Da persönliche Daten über Menschen und deren heutige oder prognostizierte Kaufkraft und Kreditwürdigkeit einen kommerziellen Wert haben und zum Handelsgut geworden sind, müssen Strafen drohen. Firmen, die es unterlassen, die Verbraucher zu informieren, sollen durch harte Strafen nachhaltig abschreckt werden, damit die angestrebte Transparenz erreicht wird.

Die Übersicht gibt dem Betroffenen die Möglichkeit, die Richtigkeit der Daten zu überprüfen und gegebenenfalls eine Korrektur und einen Widerspruch zu veranlassen. Jeder kann nach Erhalt des Datenbriefes entscheiden, der Speicherung der Daten weiterhin stillschweigend zuzustimmen oder ihr zu widersprechen. Dazu soll der Auskunft zwingend ein Widerspruchs- sowie Korrekturformular beiliegen. Fehlerhafte Daten können eine Ursache von für den Verbraucher nachteiligen Vertragsentscheidungen sein (beispielsweise negative Schufa-Auskunft, Scoring-Werte).

Es ist an der Zeit, die Asymmetrie zwischen Bürgern, deren persönliche Daten oft ohne ihr Wissen verarbeitet werden, und Firmen oder Behörden, die solche großen Sammlungen anlegen, weiterverarbeiten oder verkaufen, zu beenden. Nur mündige Menschen können sich frei entscheiden, wem sie ihre Daten anvertrauen, und dabei Unternehmen bevorzugen, die möglichst wenige Daten speichern. Ein Gesetz, das den Datenbrief verpflichtend macht und bei Mißachtung deftige Strafen androht, ist längst überfällig.

Welche Informationen soll der Datenbrief enthalten?
Grundsätzlich sollen alle gespeicherten Daten des Betroffenen enthalten sein. Der Datenbrief muß außerdem in jeden Fall enthalten, ob und welche Daten an eine dritte Stelle übermittelt wurden. Diese Übermittlung muß begründet werden. Dazu gehört die Auskunft, woher die Daten stammen und zu welchem Zweck sie aufbewahrt werden.

Wie oft soll der Datenbrief versendet werden?
Die Benachrichtigung sollte unmittelbar nach Beginn der Erhebung, der Verarbeitung oder des Empfangs übermittelter Daten erfolgen. Dies könnte zum Beispiel im Rahmen einer Auftragsbestätigung, mit der Lieferung einer bestellten Ware oder als einzelne Mitteilung erfolgen. Danach soll jährlich informiert werden.

Werden durch den Datenbrief nicht bestimmte Daten erst notwendig zu erheben, etwa die Postadresse?
Nein, auf keinen Fall soll der Datenbrief als Einladung verstanden werden, noch mehr Daten zu erheben. Der Betroffene muß natürlich nur auf dem Weg informiert werden, auf dem er ohnehin erreichbar ist.

Wird das nicht ein bürokratisches Monster? Wer soll das kontrollieren?
Die verantwortlichen Stellen werden durch das Bundesdatenschutzgesetz zum Versand des Datenbriefes verpflichtet. Der Geschäftsführer einer Firma ist persönlich für die Einhaltung der Informationspflicht haftbar. Der Bürger kann jederzeit die Aufsichtsbehörden informieren, wenn er den Verdacht hat, daß eine Stelle ihrer Auskunftspflicht nicht nachkommt.
Die Bundesländer müssen dafür sorgen, daß es einen einheitlichen Ansprechpartner für solche Beschwerden gibt, denn die bisherige Ausstattung der Datenschutzbehörden ist nicht ausreichend. So wird es den Betroffenen erleichtert, sich gegen Mißbrauch ihrer Daten zu wehren.

Wie sieht es beim CCC mit dem Datenbrief aus? Ihr speichert doch auch Mitgliederdaten.
Der Chaos Computer Club e. V. versendet seit Jahren eine Übersicht im Rahmen der Einladung zur Mitgliederversammlung.

Der CCC bittet darum, Kommentare und Vorschläge zum Datenbrief an datenbrief(at)ccc.de zu senden.”

BGH-Urteil vom Juli 2009: Strafbarkeit des Compliance-Officers

Angeklagt war der Leiter der Innenrevision einer Anstalt des öffentlichen Rechts. Aufgrund eines Kalkulationsfehlers eines anderweitig verfolgten Haupttäters wurden gegenüber abgabenpflichtigen Bürgern zu hohe Abgaben erhoben. Der Berechnungsfehler wurde von dem Leiter der Innenrevision in der Folgezeit bemerkt, aber nicht korrigiert, so dass auch in der Folgeperiode zu hohe Abgaben erhoben wurden. Durch die überhöhten Abgaben entstand den betroffenen Bürgern ein Schaden in Höhe von insgesamt 23 Mio. Euro. Daraufhin verurteilte das zuständige Landgericht den Leiter der Innenrevision zur Beihilfe zum Betrug durch Unterlassen. Dieses Urteil hat der BGH bestätigt. Der Leiter der Innenrevision hätte hier das betrügerische Handeln des Haupttäters durch eine Unterrichtung des Vorstandsvorsitzenden oder des Aufsichtsrats unterbinden können und müssen, denn sein konkreter Dienstposten war gerade so zugeschnitten, dass er zum Schutz der Anlieger vor betrügerischen Handlungen verpflichtet war.

Die Entscheidung ist von Bedeutung, weil sie grundsätzliche Aussagen zu den Garantenpflichten im Unternehmen im Hinblick auf die Verhinderung von Straftaten gegen Dritte trifft.

Relevanz im Zusammenhang mit dem Datenschutzrecht

Der zitierte Sachverhalt könnte auch für den Datenschutzbeauftragten eines Betriebes relevant werden, wenn die Gefahrenverteilung, die dem Leiter der Innenrevision im Urteil zur Last gelegt wurde, auch auf die Position des Datenschutzbeauftragten im Betrieb für dessen Fehlverhalten übertragbar wäre.

Rechtliche Einführung in den Sachverhalt

Nach dem Strafgesetzbuch kann eine Straftat eine nach diesem Gesetz tatbestandsmäßige, rechtswidrige und schuldhafte Handlung sein. Handlung ist in diesem Sinne generell jedes menschliche Verhalten. Unterschieden werden muss zwischen dem aktiven Tun, das durch eine Person ausgeführt wird, und dem Unterlassen aktiven Tuns, durch welches ebenfalls ein Straftatbestand verwirklicht werden kann (§ 13 StGB). Unterlassen im Sinne des Strafgesetzbuchs meint insoweit das Nicht-Entfalten von Aktivität und das Nicht-Eingreifen in einen ablaufenden Kausalprozess. Dieses kann genau wie auch die Entfaltung von Aktivität zu einer Strafbarkeit führen.

Natürlich kann aber nicht jedes Unterlassen jeder erdenklichen Handlung eine Strafbarkeit zur Folge haben. Nach § 13 StGB ist ein Unterlassen nur dann strafbar, wenn eine sogenannte „Garantenpflicht“ zur Durchführung der gebotenen Handlung verpflichtet hätte.

Bestehen einer Garantenpflicht

Eine strafrechtliche Garantenpflicht ist gegeben, wenn der Unterlassende rechtlich dafür einzustehen hat, dass der tatbestandliche Erfolg einer Straftat nicht eintritt und das Unterlassen der Verwirklichung des gesetzlichen Tatbestands durch ein Tun entspricht.

Garantenpflichten können sich insoweit direkt aus dem Gesetz, aus Gewährsübernahme (z.B. auf Grundlage eines Vertrags wie einem Dienstvertrag gemäß § 611 BGB), aus einem besonderen Vertrauensverhältnis (z.B. aufgrund familiären Zusammenlebens) oder aus der Herbeiführung einer Gefahrenlage (sog. Ingerenz) ergeben.

Garantenpflicht aus einem Dienstvertrag?

Zur Begründung einer Garantenpflicht aus einem Dienstvertrag reicht jedoch der Vertragsschluss noch nicht aus, vielmehr muss es auch zu einer tatsächlichen Übernahme des Pflichtenkreises kommen. Zusätzlich muss ein besonderes Vertrauensverhältnis gegeben sein, durch welches gerade die besonderen Schutzpflichten übertragen werden. Dann besteht eine Sonderverantwortung für die Integrität des übernommenen Verantwortungsbereichs.

Die Stellung eines Compliance Officers oder hier des Leiters der Innenrevision umfasst gerade die Verhinderung von Straftaten, so dass ein besonderer Verantwortungsbereich gegeben ist. Auch vor dem hier besprochenen Fall wurden in der Rechtsprechung in ähnlichen Positionen Garantenstellungen für die Übernahme bestimmter Funktionen anerkannt, so u.a. bei hohen staatlichen Repräsentanten, denen der Schutz von Leib und Leben der ihnen anvertrauten Bürger obliegt (siehe BGH NJW 1992, 3247), oder bei Polizeibeamten (BGH NJW 1993, 544).

Wieso kann dieser Sachverhalt für den Datenschutzbeauftragten relevant sein?

Da der Datenschutzbeauftragte einer ähnlichen Pflichtenstruktur wie der Compliance Officer unterliegt, könnte der besprochene Fall übertragen werden.

Die Aufgabe des Datenschutzbeauftragten ist es gemäß § 4g Abs.1 S. 1 BDSG, auf die Einhaltung des Bundesdatenschutzgesetzes sowie auf andere Vorschriften des Datenschutzes (z.B. aus dem TMG) hinzuwirken. Insofern trifft ihn wie den Compliance Officer die Pflicht, Dritte vor Straftaten aus dem Unternehmensumfeld zu schützen, wenn auch in unterschiedlicher Form: der Compliance Beauftragte muss die Begehung der Straftaten unterbinden, der Datenschutzbeauftragte muss lediglich darauf hinwirken, dass keine datenschutzwidrigen Handlungen zu Lasten Dritter vorgenommen werden.

Datenschutzbeauftragter nimmt staatliche Aufgaben wahr

Dabei ist insbesondere zu beachten, dass der Datenschutzbeauftragte durch seine Tätigkeit letztlich staatliche Aufgaben wahrnimmt, wie beispielsweise die Vorabkontrolle von Verfahren automatisierter Datenverarbeitung. Seine Tätigkeit wird damit nicht in erster Linie durch die vertragliche Beauftragung, sondern – wie bei dem Leiter der Innenrevision – direkt durch das Gesetz und die Gesetzmäßigkeit des Vollzugs der Gesetze bestimmt. Damit nimmt er auch nicht allein Interessen des Unternehmens sondern sämtlicher durch die Datenverarbeitung betroffenen Personen wahr.

Damit ist die Stellung des Datenschutzbeauftragten sogar noch weiter als die Stellung des privatrechtlich beauftragten Compliance Officers zu begreifen, für welchen eine Garantenpflicht im Sinne des Strafrechts nach dem oben Beschriebenen angenommen wird, wenn dieser entgegen der ihm anvertrauten Aufgaben nicht handelt.

Gerade weil der zwar aufgrund privaten Dienstvertrages beschäftigte Datenschutzbeauftragte staatliche Aufgaben des Datenschutzes wahrnimmt, besteht für ihn damit eine Garantenpflicht hinsichtlich der Hinwirkung auf einen datenschutzrechtlich zulässigen Umgang mit personenbezogenen Daten im Betrieb.

Aufgaben des Datenschutzbeauftragten

Insgesamt besteht somit die Hauptaufgabe des Datenschutzbeauftragten darin, die Bestimmungen des BDSG auf die besonderen Verhältnisse der Daten verarbeitenden Stelle anzuwenden. Einen der Schwerpunkte des Handelns des Datenschutzbeauftragten stellt die Überwachung der Datenverarbeitungsprogramme dar. Durch die begleitende Kontrolle soll gerade eine gesetzeswidrige Verarbeitung personenbezogener Daten verhindert werden. Dies bezieht sich gerade auch auf die Verhinderung von Straftaten, die durch Andere begangen werden können. Den Datenschutzbeauftragten trifft damit neben der Kontrolle der relevanten Datenverarbeitungsvorgänge auch die Verpflichtung, Fehler im Umgang mit den Daten, welche datenschutzrechtlich relevant sein können, an die verantwortliche Stelle zu melden. Unterlässt er die Kontrolle oder die Meldung und werden dadurch Straftaten Anderer ermöglicht, kann der Datenschutzbeauftragte aufgrund der bestehenden Garantenpflicht aus unserer Sicht selbst strafrechtlich verantwortlich sein.

Praktische Auswirkung

Der Datenschutzbeauftragte muss die erforderliche Fachkunde besitzen, um die datenschutzrechtlich relevanten Themen im Unternehmen zutreffend beurteilen und seiner gesetzlichen Verpflichtung nachkommen zu können, gegenüber der Unternehmensleitung auf die Einhaltung datenschutzrechtlicher Vorschriften hinzuwirken. In seinem eigenen Interesse sollte der Datenschutzbeauftragte daher an regelmäßigen Schulungsmaßnahmen teilnehmen und seine Tätigkeit genau dokumentieren, um im Zweifelsfall seine pflichtgemäße Aufgabenerfüllung nachweisen zu können.

Fazit

Der Datenschutzbeauftragte kann sich unserer Ansicht nach durch Unterlassen strafbar machen, wenn er seinen Hinwirkungspflichten auf einen ordnungsgemäßen Umgang mit personenbezogenen Daten im Betrieb nicht nachkommt und so strafbare Handlungen Dritter ermöglicht oder gefördert werden. Es ist Datenschutzbeauftragten daher zu empfehlen, ihre ordnungsgemäß durchgeführten Beaufsichtigungs- und Hinwirkungspflichten stets sorgfältig zu dokumentieren, um nicht selbst strafrechtlich in die Verantwortung gezogen werden zu können.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130392-0
E-Mail: email@iitr.de

Herr Professor Dr. Hassemer ist Inhaber des Lehrstuhls für Zivilrecht, Wirtschaftsrecht, Geistiges Eigentum an der Technischen Universität Kaiserslautern, Fachbereich Wirtschaftswissenschaften.

Seine wissenschaftliche Ausrichtung liegt an der Schnittstelle von Technik, Wirtschaft und Recht. Dementsprechend finden sich die Schwerpunkte in Forschung und Lehre in den Rechten des Geistigen Eigentums (Patent-, Muster-, Sorten-, Kennzeichen- und Urheberrecht), dem deutschen und europäischen Wirtschafts- und Wettbewerbsrecht sowie der vertraglichen und außervertraglichen Haftung für fehlerbehaftete Produkte, Waren und Dienstleistungen.

Weitere Informationen:

• Webseite des Wissenschaftlichen Beirats des IITR
• Webseite des Lehrstuhls für Zivilrecht, Wirtschaftsrecht, Geistiges Eigentum von Herrn Professor Dr. Michael Hassemer an der Technischen Universität Kaiserslautern
• Publikationen von Herrn Professor Dr. Hassemer

Kontakt:

IITR Institut für IT-Recht – IITR GmbH
Rechtsanwalt Dr. Sebastian Kraska
Telefon: 089-5130392-0
E-Mail: email@iitr.de

Über das IITR:

Das IITR – Institut für IT-Recht berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen (Externe Datenschutzbeauftragte, Beratung, Zertifizierung, Schulung). Auf dem Blog www.datenschutzbeauftragter-online.de sowie unter www.iitr.de finden Sie wöchentlich neue Beiträge zu Fragen des Datenschutzrechts.

Lorig: Arbeitgeber sind ab sofort verpflichtet, Mitarbeiterdaten wie Einkommenshöhe, Urlaubstage und später auch Kündigungsgründe an einen zentralen Speicher weiterzuleiten. Wer dann beispielsweise Arbeitslosen-, Wohn oder Elterngeld beantragen will, der kann sich mit einer Chipkarte ausweisen. Mit dieser kann die Behörde dann auf die Daten zugreifen – ganz ohne Papierkram. Elena soll dabei helfen, Bürokratie abzubauen und den Service in den Ämtern zu verbessern. Das klingt ja so erstmal gut. Und zugeschaltet ist uns nun Alexander Dix, Berlins Datenschutzbeauftragter. Schönen Guten Morgen Herr Dix.

Dix: Guten Morgen Herr Lorig.

Lorig: Auch Ihre persönlichen Daten werden ab heute dann im zentralen Register landen. Haben Sie ein gutes Gefühl dabei?

Dix: Ich habe kein gutes Gefühl dabei. Hier werden zum Abbau von Bürokratiekosten die Datensätze von 40 Mio. Beschäftigten in der ganzen Bundesrepublik an die Zentralstelle der Rentenversicherer übermittelt, obwohl nur ein Bruchteil dieser Personen überhaupt jemals in die Lage kommen wird, etwa Sozialleistungen, Wohngeld, Elterngeld zu beantragen. Das gleicht dem Versuch, den Teufel mit dem Belzebub auszutreiben. Ich halte dieses Vorhaben für vollkommen unverhältnismäßig. Die Datenschutzbeauftragten haben schon 2008 auf gravierende verfassungsrechtliche Probleme die hier entstehen hingewiesen, leider hat der Gesetzgeber diese Bedenken bei Seite gewischt.

Lorig: Aber was haben Sie dagegen, wenn bürokratische Vorgänge entschleunigt oder entschlankt werden?

Dix: Dagegen ist im Prinzip nichts zu sagen, man muss sich aber über die Mittel unterhalten. Wenn hier die Arbeitgeber natürlich gewisse Kosten einsparen, nachdem sie jetzt in einer einmaligen Aktion für jeden einzelnen ihrer Beschäftigten diese Datensätze melden müssen ist dies die eine Seite, aber die grundrechtlichen Kosten die dadurch entstehen, sind nicht ausreichend bedacht worden. Hier entsteht ein immenser zentraler Datenspeicher, der nur mit großem Aufwand überhaupt zu sichern sein wird. Und solche zentralen Datenspeicher haben die Eigenart, dass sie Begehrlichkeiten auch auf allen möglichen Seiten wecken werden – und die werden entstehen. Schon jetzt sind ja Forderungen laut geworden, dieses System auszuweiten – weitere Bescheinigungen dort eingeben zu lassen. Ich halte das wie gesagt für eine unverhältnismäßige Vorratsdatenspeicherung und ich hoffe sehr, dass das Bundesverfassungsgericht Gelegenheit erhalten wird, dieses Gesetz zu überprüfen.

Lorig: Können Sie uns mal ein konkretes Beispiel nennen, anhand dessen wir auch verstehen, warum das aus Ihrer Sicht komplett übertrieben ist?

Dix: Es ist ja so, dass natürlich Beschäftigte ihren Arbeitsplatz verlieren und dann auf Sozialleistungen angewiesen sind, Hartz IV oder Wohngeld beantragen müssen. Das ist richtig – das musste bisher mit Papieren und Bescheinigungen geschehen, die sie beim Arbeitgeber beantragen. Das hatte den Nachteil – der jetzt wegfällt – dass der Arbeitgeber erfährt, dass jemand Sozialleistungen beantragen muss. Aber – nochmals – jetzt werden auf Vorrat die Datensätze für 40 Mio. Beschäftigte zentral gespeichert. Zwar nur unter Pseudonym, aber gleichwohl handelt es sich um personenbezogene Daten. Und es kommt noch etwas hinzu: Erst jetzt wird bekannt, dass zu diesen Datensätzen auch sehr sensitive Informationen wie etwa Abmahnungen, Kündigungsgründe aus Sicht des Arbeitgebers und sogar die Beteiligungen an Streiks gemeldet werden sollen. Wenn diese Informationen bei den Beratungen des Gesetzesentwurfs bekannt gewesen wären, bin ich ziemlich sicher, das Gesetz wäre so nicht verabschiedet worden.

Lorig: Aber warum hat denn das überhaupt keiner mitbekommen? Ich meine – ich habe im Sommer, muss ich gestehen – das auch nicht mitbekommen. Eigentlich hätte es doch einen großen Aufschrei geben müssen. Warum haben wir da alle geschlafen?

Dix: Das ist in der Tat ein Problem. Die Datenschutzbeauftragten haben auf die grundsätzlichen Probleme schon vor zwei Jahren hingewiesen. Aber es ist die ständige Schwierigkeit bei solchen Diskussion, dass sie bisher zu sehr in Fachkreisen geführt werden. Die Öffentlichkeit muss sich stärker an solchen Diskussionen beteiligen können. Es darf nicht im – sozusagen – Husarenritt durchs Parlament gezogen werden. Das ist in diesem Fall leider auch so geschehen. Und da muss man auch klar sagen: es hätte auch mehr Öffentlichkeitsarbeit von Seiten der Regierung passieren müssen. Das ist nicht das erste Mal, dass erst bei Inkrafttreten eines problematischen Gesetzes das ganze Ausmaß dieser Datensammelwut erkennbar wird.

Lorig: Alexander Dix, der Datenschutzbeauftragte aus Berlin, zu ELENA, dem elektronischen Entgeltnachweis. Dankeschön.

Links zum Thema:

• Blog: Aufregung um ELENA: Ich vermisse da was.
• Blog: Neues von ELENA – und ein Einblick in Elena (Update)
• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: Häufig gestellte Fragen zum ELENA-Verfahren
• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: Pressemitteilung zum Datenschutz beim ELENA-Verfahren
• Entschließung der 76. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 6. und 7. November 2008 in Bonn: Weiterhin verfassungsrechtliche Zweifel am ELENA-Verfahren
• Offizielle Website für das ELENA-Verfahren

Autor: Dr. Sebastian Kraska