Der Arbeitnehmerdatenschutz ist in Deutschland nicht übersichtlich in einem eigenen Arbeitnehmerdatenschutzgesetz geregelt, auch wenn dies verfassungs- und europarechtlich an sich gefordert wäre. Vielmehr ergeben sich die gesetzlichen Rahmenbedingungen aus der Anwendung des allgemeinen Bundesdatenschutzgesetzes (BDSG) und einer Reihe bereichspezifischer Vorschriften.
Jan22
Der BGH hat im Juli diesen Jahres die strafrechtlich relevante Garantenpflicht eines Leiters der Innenrevision einer Anstalt des öffentlichen Rechts bejaht und die Verurteilung zur Betrugsbehilfe durch Unterlassen bestätigt (Az. 5 StR 394/08). Zugleich hat der BGH ausgeführt, dass vergleichbare Maßstäbe auch für „Compliance Officer“ in Unternehmen anwendbar seien. In diesem Beitrag soll geklärt werden, ob die strafrechtlichen Überlegungen des BGH auch auf die Stellung des Datenschutzbeauftragten im Betrieb übertragen werden müssen.
Jan19
Daten über die eigene Gesundheit sind sensibel zu handhaben. Dies spiegelt sich von jeher wider in der ärztlichen Schweigepflicht. Im Rahmen der Möglichkeiten elektronischer Datenverarbeitung drängt sich von Patientenseite her immer mehr das Bedürfnis auf, die eigenen Patientendaten besonders zu schützen. Niedergelassene Ärzte in Deutschland müssen generell die Bestimmungen des Bundesdatenschutzgesetzes für den nicht-öffentlichen Bereich beachten. Im Folgenden wird die Frage untersucht, inwieweit in Arztpraxen die Ernennung eines eigenen Datenschutzbeauftragten erforderlich ist.
Jan3
Es war absehbar, dass der bereits einmal abgelehnte Nacktscanner bei der nächsten sich bietenden Gelegenheit wieder aus der Versenkung geholt werden würde. Erstaunlich war, wie schnell und umfangreich die Öffentlichkeit dieses Mal über seine technischen Verbesserungen informiert werden konnte.
Sicherheit ist ein hohes Gut. Allerdings stimmt auch: Wirklich umfassende Sicherheit ist erst dann erreichbar, wenn nichts mehr einer Überwachung entzogen sein wird.
Dez4
Ich stelle zur Zeit fest, dass viele glauben, ich bin der Auffassung, es muss Webmastern verboten sein, die IP-Adresse von Benutzern überhaupt in Logfiles zu speichern. Das ist falsch. Ein paar kurze Punkte, ohne Diskussionsinhalt, sondern nur um mich kurz selbst zu positionieren:
- Ich bin der Auffassung, dass eine IP-Adresse (gleich ob dynamisch oder statisch) ein personenbezogenes Datum ist. Warum ich das so sehe, kann man hier nachlesen. Da es sich hier um einen Meinungsstreit dreht, gibt es da kein richtig oder falsch – man muss sich einfach entscheiden. Wer es anders sieht, sieht es anders.
- Ich lese das TMG zur Zeit so, dass die Speicherung von IP-Adressen in Logfiles eine Grauzone ist. Auf den ersten Blick liest es sich so, als wäre es ausdrücklich verboten (so liest es z.B. Patrick Breyer), auf den zweiten Blick kann man aber über meine These nachdenken, die Privilegierung des §11 III TMG auf die Speicherung der IPs in Logfiles anzuwenden (Webserver-Dienst, nicht Webseite selber, ist dann durch §11 III TMG privilegiert).
- Weil ich aber herauslese, dass es eine Grauzone ist, sehe ich die Gefahr, dass “kleine” Webmaster plötzlich mit Unterlassungsverfügungen konfrontiert werden. Wer sich wehrt, trägt das Prozesskostenrisiko – mein Interesse ist also im Ergebnis nicht, Webmaster zu Ärgern oder Arbeit zu produzieren, sondern gerade Problemen vorzubeugen.
- Zu viele kennen immer noch nicht den Anspruch auf Einsicht in die Bestandsdaten entsprechend §14 II TMG. Der besteht übrigens nicht nur für Ermittlungsbehörden, sondern auch für Unternehmen, die Urheberrechte schützen wollen. Ich hoffe, wer das liest, bei dem klingelt es endlich: Hier liegt ein vollkommen unterschätztes Risiko für Webseiten-Betreiber, die IPs ohne Zwang speichern.
- Ich bin persönlich sehr unglücklich mit der massenhaften Speicherung dezentralen Speicherung von IP-Adressen in Logfiles. Ich sehe hier einen weiteren Schritt zur “Lebens-Vorratsdatenspeicherung”, die die TK-Vorratsdatenspeicherung perfekt ergänzt. Wieder: Wer das anders sieht, mag es anders sehen. Aber der fordere dann bitte auch den Gesetzgeber auf, im TMG aufzuräumen und die nun mal vorhandene Grauzone durch klare und deutliche Regelungen abzuschaffen. Wer speichern will, der soll das nicht nur klar sagen, sondern sich auch überlegen was er zu welchem zweck speichern will – und vom Gesetzgeber verlangen, dass so umzusetzen. Die momentane rechtliche Lage ist schlicht unbrauchbar. Wer mich kritisiert, weil ich das anprangere, sollte sich nochmals damit beschäftigen, welches Risiko der deutsche Gesetzgeber für Webmaster aufrecht erhält. Auch wer es anders sieht muss auf eine Änderung des TMG pochen – das ist mein Fazit.
Ich selbst diskutiere seit 2002 über die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist. Seit mindestens 1,5 Jahren drehen wir uns aber im Kreis: Argumente sind ausgetauscht, neues kommt nicht dazu. Zwar wird es jetzt zunehmend Publik, weil die Datenschutzbehörden anfangen, das Thema stärker zu verfolgen – für mich ist es aber ein Uralter Hut. Momentan stehe ich auf dem Standpunkt, dass immer die gleichen Diskussionen uns nicht weiterhelfen: Es wird Zeit für brauchbare Rechtsprechung. Und bis dahin beteilige ich mich an keiner Diskussion mehr zum Thema, denn wie gesagt: Die Fronten sind geklärt, die Argumente stehen.
Link:
Dez4
Zunehmend wird ELENA bekannt, erwartungsgemäß werden mehr Daten gespeichert, als ursprünglich geplant: Nun sollen auch Streiks erfasst und Personen zugeordnet werden.
Was mich persönlich stört ist, dass man sich zwar zu Recht über die Streik-Erfassung aufregt, aber weder das System insgesamt nochmals kritisiert noch offen erklärt, dass die lebenslang einmalige Steuer-ID hier ebenfalls erfasst wird. Durch die Steuer-ID im ELENA-Verfahren wird die ID endgültig zur Personenkennziffer des Alltags und es zeigt sich ihre wahre Bedeutung: Sie ist das zukünftige Identifikationsmerkmal der Bürger in diesem Land.
Artikel dazu:
- Bericht bei der ZEIT zum Thema Elena & Streik
- Bericht bei FR-Online
- Steuer-ID wird im Bundesmelderegister gespeichert
- Warnung: ELENA-Berichterstattung
- Einblick in ELENA
_______________________________
Update am 10. Januar 2010:
Dez2
Einmal jährlich mache ich mir Gedanken über die Zukunft des Datenschutzes und orakle ein wenig. Nicht mit dem ernsthaften Anspruch, die genaue Zukunft vorherzusagen, sondern vielmehr um mit tendenziellen Hinweisen Tipps zu geben.
Eine Entwicklung, die ich inzwischen fest erwarte in den nächsten Jahren ist die Vernetzung und vergesellschaftlichung von Auskunfteien. Klingt Abstrakt, kann aber schnell vereinfacht werden: Ich denke an eine Zukunft, in der ich als Arbeitgeber oder Vermieter nicht mehr einfach einen Auszug des polizeilichen Führungszeugnisses verlange oder einen Schufa-Auszug. Vielmehr gibt es eine “Meta-Auskunftei”, die auf Grund von Schufa-Daten und weiteren Quellen ein Profil erstellt. Dabei denke ich z.B. gezielt an ebay: Die Bewertungen hier sind, was das alltägliche Zahl- und Verkaufsverhalten angeht, sehr viel direkter und für den Alltag sicherlich höchst nützlich. Gleichsam ist es sicherlich interessant und als Referenz interessant, wen man bei XING & Co. als direkten Kontakt angelegt hat. Die jetzigen “Personen-Suchmaschinen” sind da bestenfalls ein Anfang, ich könnte mir vorstellen, dass die in einem Premium-Dienst anbieten, Profile von Menschen anzulegen, wobei dann eben auch etablierte Datenbanken wie die Schufa abgefragt werden.
Inwiefern Portale wie Spickmich.de (und spätere Portale für Anwälte, Ärzte etc.) hiervon betroffen sind, mag ich mir noch nicht ausmahlen: Jedenfalls liegt in diesem Bereich ein interessanter geldwerter Vorteil, wenn man die Bewertungen einzelner Personen/Unternehmen verkauft.
Nov30
Ich hatte vor kurzem eine kleine Diskussion losgetreten, als ich erklärt hatte, das TMG wäre ein Spezialgesetz gegenüber dem BDSG, das zwar ausdrücklich die Rechte des Betroffenen im Rahmend es BDSG anerkennt, aber eben nicht die Privilegierungen, etwa den §28 BDSG. Es gab herben Widerspruch, aber auch ein wenig Anerkennung zu meiner Diskussionslinie. Der Artikel ist hier zu finden, wer das vertiefen möchte, sollte bitte meinen sehr langen Kommentar darunter noch lesen.
Als Nachtrag noch ein Argument, das meine These untermauern soll: Inzwischen gilt im TMG der neue §15a TMG, der wiedermals ausdrücklich auf eine Regelung des BDSG (§42a BDSG) verweist. Würde das BDSG so selbstverständlich neben dem TMG zur Anwendung kommen, wie viele glauben, wäre der §15a TMG schlicht überflüssig. Dabei nochmals der Hinweis, dass ich den §12 III TMG so lese, dass nur die den Betroffenen schützenden Vorschriften des BDSG zur Anwendung kommen, aber nicht die den Verarbeiter privilegierenden Vorschriften.
Nov25
Bei der FR-Online habe ich einen Beitrag zu einem erneuten Fall gelesen, in dem Facebook-Fotos zu Problemen im echten Leben geführt habe. Der Sachverhalt ist kurz: Frau wird sehr lange krank geschrieben wegen Depressionen, Krankenversicherer zahlt Krankengeld, Frau geht zu Männer-Strip-Show und veröffentlicht Fotos vom Besuch bei Facebook, Krankenversicherer zahlt unter Hinweis auf diese Fotos kein Krankengeld mehr. Nun liest man bei der FR am Ende das hier:
Wie die Versicherung an die Fotos kam, sei ihr nicht klar – ihr Profil sei nur für bestätigte Freunde zugänglich.
Ein wenig denkt man inzwischen schon automatisch darüber nach, ob die Dame vielleicht doch etwas falsch eingestellt hat, ob es eine Lücke gegeben hat – aber diese Gedanken sind vielleicht zu kompliziert. Denn es ist nicht fernliegend, dass ein “Freund” bei Facebook, der selber beim gleichen Arbeitgeber arbeitet und aus welchen persönlichen Gründen auch immer die Fotos kopiert und weitergeleitet hat.
Zu oft, wenn wir in diesen Tagen von Medienkompetenz sprechen, vergessen wir nämlich die soziale Kompetenz, die man immer braucht: Nicht nur, aber eben auch im Internet. Und speziell auch bei so genannten sozialen Diensten/Netzwerken. Es ist fraglich, warum jeder Kontakt bei Facebook als “Freund” betitelt sein muss. Auch ist fraglich, warum man nicht zwingend eine Nachricht eingeben muss, wenn man dort einen Kontakt hinzufügt – ebenso sollte sich jeder fragen, ob man jeden X-beliebigen ohne Nachfrage als Kontakt bestätigen sollte, den man zwar nicht kennt, der aber eine “Freundschaftsanfrage” gesendet hat.
Das muss nicht unbedingt Kritik an Facebook sein, auf jeden Fall ist es aber eine Kritik an der sozialen Kompetenz derjenigen, die das in dieser Form so nutzen, glauben alleine mit “Privatsphäre”-Optionen alles sichern zu können, und sich dann hinterher wundern, wenn ein “Freund” querschlägt.
Nov24
Drei Stellungnahmen zum Datenschutz sind zur Zeit zu finden, die durchaus lesenswert sind:
- Frau Leutheuser-Schnarrenberger profiliert sich weiter als Bürgerrechtlering. Ich selbst bleiber leider beim Ende hängen: Da steht nämlich, das man erstmal auf Karlsruhe wartet. Da kann man vorher noch so viel reden – anders als die bisherige Politik ist das für mich auch nicht.
- Der Bundesdatenschutzbeauftragte Peter Schaar fordert eine radikale Reform des Datesnchutzrechtes – seine Idee, dass man einen direkten Zugang zu allen gespeicherten Daten haben sollte ist sicherlich ein interessanter Ansatz, der danach verlangt, direkt mit dem “wer soll das bezahlen”-Aufschrei garniert zu werden.
- Was mir und anderen Bürgerrechtlern nicht gelingt, schafft ein Günther Jauch in 5 Minuten: Plötzlich redet jeder über die Empfehlen-Funktion von Amazon. (Hinweis: Hier der alte Artikel von mir dazu)
Nov24
Bei Datenschutz-Praxis.de muss ich lesen, dass nun ernsthaft über noch mehr Strafe, diesmal mögliche Freiheitsstrafen, im Bereich des Datenschutzes nachgedacht wird. Ich würde mich freuen, wenn diese unselige Diskussion endet, bevor sie anfängt – schon beim Thema Jugendstrafrecht läuft seit Jahren eine ähnliche Diskussion, fernab kriminologischer Fakten. Und in diesem Fall sogar fernab der juristischen Realität.
Datenschutzverstöße sind nämlich (zumindest teilweise) sehr wohl mit Freiheitsstrafe sanktioniert, wer aber blind nur ins BDSG blickt, kann das nicht wissen. Wichtiger sind da die §§202a,b,c StGB oder auch der §201a StGB, der Bildaufnahmen einschänkt. Gemeint ist also viel mehr, dass der spezielle Sanktionen-Katalog des BDSG erweitert werden soll. Hier wünsche ich mir schlicht, dass nur die mitreden, die zumindest eine Vorlesung Kriminologie besucht haben. Um das Stammtischniveau zumindest annähernd anzuheben.
Das einzige was hilft, ist eine effektive Kontrolle. Als Vergleich: Es wäre so, als würden wir eine bestenfalls rudimentäre Polizei und Staatsanwaltschaft in Deutschland haben und anstelle diese auszubauen, durch ein Hochkurbeln der möglichen Strafen versuchen die Kriminalität in den Griff zu bekommen. Fakt ist: Die Datenschutzbehörden sind unterbesetzt. Fakt ist auch, dass die Kontrollen – gerade was alltägliche Betriebe angeht – eher gering stattfindet. Es mag für den Staat finanziell günstiger sein, Sanktionen hochzuschrauben – sinnvoller sind aber nur funktionierende Kontrolle und Aufklärung.
Nov21
In der letzten Zeit, speziell auch dank Netzpolitik.org, darf man fast täglich irgendwelche großen Skandale lesen. Heute lesen wir auf Heise nochmal einen Fall der etwas alltäglicher ist: Da tauchen Patienteninformationen in einem Altpapier-Container auf.
Die Frage ist, ob wir uns jetzt jede Woche über irgendwas aufregen wollen, bis dann irgendwann ein Gewöhnungseffekt eingetreten ist, oder man endlich aggressiv einfordert, dann auch kleinere Unternehmen, allen voran Arztpraxen und Anwaltskanzleien, das Thema Datenschutz ernst nehmen und einen Datenschutzbeauftragten bestellen.
Wenn man bedenkt, dass unser Bundesdatenschutzgesetz bei der Frage ob ein DSB bestellt werden muss gar keinen Unterschied macht ob man eine Arztpraxis betreibt oder ein Kiosk, muss man sich eigentlich nicht mehr wundern. Da muss man die Praxis gar nicht kennen, dass mancher Arzt – wenn er denn mal verpflichtet ist und dem nachkommt – kurzerhand die Sprechstundenhilfe als Datenschutzbeauftragte bestellt, die dann wenig Unterstützung bei ihrer Tätigkeit erhält. Vom Glück kann man noch reden, wenn er die dann wenigstens zur “Fortbildung” schickt, was dann wierum gerne ein Absitzseminar ist, das am Ende keine Prüfung in Form eines zertifizierten Tests vorsieht.
Anstatt uns über tägliche Skandale aufzuregen und uns mitunter auf die “Großen” zu konzentrieren, sollten wir die kleinen ins Blickfeld nehmen: Unternehmen vor Ort, speziell Dienstleister die besonders sensible personenbezogene Daten i.S.d §3 IX BDSG verarbeiten. Diese sollten generell verpflichtet sein, einen DSB zu bestellen – und die Landesdatenschutzbeauftragten sollten mit Aufklärungskampagnen und ernsthaften Kontrollen daran arbeiten, dass dieser Pflicht überall nachgekommen wird.
Ich selbst nehme Hinweise – in der Tat erreichen mich regelmäßig Mails mit Hinweisen auf (vermeintliche) Datenschutzskandale – hier bewusst gar nicht auf. Ich möchte hier ein Blog betreiben und ich bin weder die zuständige Aufsichtsbehörde, noch will ich meine Seite zum simplen Pranger degradieren. Wer Hinweise hat, kann die gerne an mich weiterreichen, ich informiere mich immer gerne - aber wer etwas erreichen will, muss sich an die Aufsichtsbehörden wenden. Dazu sind sie da.
Nov20
Den ganzen Tag schon geistert durch die Medien, dass die Bundesregierung plant, die Kameraüberwachung an Bahnhöfen auszubauen. Damit “Überfälle wie in München nicht mehr stattfinden können”. Dazu nur kurz ein Zitat aus meinem Randfugur-Blog, wo ich vor kuzem etwas dazu geschrieben habe, denn das Thema wärmt die CDU ja alle 14 Tage einmal auf:
Keine Kamera hilft, wenn man an einem U-Bahnhof zusammengeschlagen wird – ein Bild, dass die NRW-CDU selbst gerne heranzieht. Perverserweise kann man es sich bei der CDU leisten, mit genau den U-Bahnschlägereien auf die vermeintliche Sicherheit von Kameras zu verweisen, mit deren Aufnahmen (angeblich) die Taten aufgeklärt werden konnten. Leider vermisse ich bis heute in der breiten Masse die tiefgehende Erkenntnis, dass diese Beispiele gerade demonstrieren, dass eine Kamera die Straftat nicht verhindert hat, sondern bestenfalls zur Aufklärung dienen konnte. Ich wage zu behaupten: Ein Polizist anstelle der einen Kamera in den in der Presse breit getretenen Fällen hätte jeden einzelnen Vorfall verhindert.
Nov20
Ohne es zu wollen verhamlosen immer noch viele Datenschützer und Bürgerrechtler den stetig wachsenden Überwachungsstaat, indem sie erklären, es ginge nicht um den großen Bruder in unserer Gesellschaft, sondern vielmehr um die vielen kleinen Brüder. Gemeint ist wohl, den Blick nicht auf den einen großen (bösen) Staat zu lenken, sondern vielmehr die vielen Überwachungen in Geschäften im Auge zu haben.
Das ist letztlich zu kurz gedacht, schon im März 2008 habe ich auf den “Video-Atlas” aufmerksam gemacht und verdeutlicht, dass es nur eine Frage der Zeit ist, bis der Staat versuchen wird, auf die vielen dezentralen Kameras einen einheitlichen Zugriff zu erhalten. Die angeblich vielen kleinen Brüder würden dann ganz schnell zu den kleinen Helfern des großen Bruders.
Während der Video-Atlas in Deutschland weiterhin nicht offen diskutiert wird, ist man in den USA – in Chicago – schon weiter, dort hat man endlich die umfassende Vernetzung erreicht. Abzuwarten bleibt nun, wann die ersten funktionierenden automatisierten Suchmuster zur Verfügung gestellt werden, mit denen nach bestimmten Gesichtern in einem solchen Kamera-Netz gesucht werden kann – viel freier Raum bleibt dann nicht mehr, im öffentlichen Raum.
Nov20
Wohl eher nicht, im Google Watchblog ist zwar so etwas zu lesen, aber man nimmt es dort mit den Begrifflichkeiten nicht so genau. Genauer wird es bei Heise, wo man deutlich raus liest, dass schriftlich gebeten (“ermahnt”) wurde, auf den Einsatz von Google Analytics zu verzichten. Wie der Bundesdatenschutzbeauftragte als Behörde überhaupt abmahnen wöllte, wäre mir ohnehin ein Rätsel.
In dem Zusammenhang frage ich mich dann auch, ob der Hinweis im Googlewatchblog so wirklich von der Behörde gegeben wurde:
Zwar sei es möglich durch Unterbindung von Cookies die Datenerhebung zu verhindern, aber für nicht technischversierte Nutzer nur schwer umzusetzen.
Sollte dem so sein, ergeben sich Zweifel an der technischen Kompetenz: Nicht das Blocken eines Cookies, sondern vielmehr die Verhinderung der Ausführung des Javascript-Codeschnipsels dürften Google-Analytics-Auswertungen im Wege stehen.
Da es leider keine Pressemitteilung vom BfDI gibt, weiß man wenig genaues. Leider. Für mich ist zur Zeit jedenfalls nicht klar, ob man sich an der Erhebung der IP überhaupt stört, oder erst am konkreten Nutzerprofil mithilfe eines Cookies.
