Hintergrund: Erlaubnis privater Nutzung

Erlaubt der Arbeitgeber seinen Beschäftigten die Nutzung des betrieblichen E-Mail Zugangs zu privaten Zwecken, wird er damit zu einem geschäftsmäßigen Anbieter von Telekommunikationsdienstleistungen. Das Telekommunikationsgesetz („TKG“) richtet sich nicht nur an Telekommunikationskonzerne als „klassische“ Anbieter von Telekommunikationsdienstleistungen, sondern erfasst auch betriebliche Telekommunikationsanlagen. Diese Möglichkeit wurde vom Gesetzgeber bewusst offengelassen, denn der Anbieter muss weder die Absicht haben mit dem Angebot von Telekommunikationsdiensten „Geld zu verdienen“ (Gewinnererzielungsabsicht – § 3 Nr. 10 TKG), noch muss sich das Angebot an die Allgemeinheit richten sondern kann auch gegenüber einer geschlossenen Benutzergruppe (Belegschaft im betrieblichen Kommunikationsnetz) erbracht werden.

Das Problem: Erlaubnis aufgrund Duldung

Der Arbeitgeber muss nach herrschender Meinung aber nicht einmal explizit die private Nutzung erlauben: es reicht aus, wenn er die auch private Nutzung des E-Mail Zugangs duldet und Verstöße nicht rechtzeitig sanktioniert. Das heißt ganz praktisch: nur das tatsächlich kontrollierte und sanktionierte Verbot privater E-Mail Nutzung schützt den Arbeitgeber wirklich davor, als „Anbieter von Telekommunikationsdienstleistungen“ eingeordnet werden zu können.

Rechtsfolge: Arbeitgeber als „Anbieter von Telekommunikationsdienstleistungen“

Folge der Einordnung des Arbeitgebers als „Anbieter von Telekommunikationsdienstleistungen“ und damit der Anwendbarkeit des TKG ist, dass dieser den Verpflichtungen zum Schutz des Fernmeldegeheimnisses gemäß § 88 TKG unterliegt. Verbindungs- und Inhaltsdaten, die bei der betrieblichen E-Mail Kommunikation anfallen, dürfen nur in den im TKG ausdrücklich geregelten Fällen (Entgeltermittlung § 97 TKG; Störung und Missbrauch von Telekommunikationsdiensten § 100 TKG) erhoben und ansonsten nicht überwacht werden. Insbesondere darf nicht auf andere einfachgesetzliche Erlaubnisnormen z.B. des Bundesdatenschutzgesetzes („BDSG“) zurückgegriffen werden.

Das heißt konkret: Einschränkung von Kontrollmöglichkeiten

Das Fernmeldegeheimnis oder Telekommunikationsgeheimnis statuiert ein Verbot des „unbefugten Abhörens, Unterdrückens, Verwertens oder Entstellens, von Fernmelde- Botschaften und ist grundgesetzlich geschützt (Art. 10 Grundgesetz). Legaldefiniert ist das Fernmeldegeheimnis in § 88 Abs. 1 TKG, wonach von diesem „der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war“, geschützt wird.

Das Bundesverfassungsgericht hat sich 2006 in einer Grundsatzentscheidung zum Anwendungsbereich des Fernmeldegeheimnisses geäußert. Danach soll das Fernmeldegeheimnis die Vertraulichkeit der „privaten“ Fernkommunikation gewährleisten, weil die am Kommunikationsvorgang Beteiligten wegen der räumlichen Distanz auf die Hilfe eines Dritten (Telekommunikationsunternehmen) bei der Datenübermittlung angewiesen sind. Geschützt ist neben per Telefon übertragener Kommunikation auch die Datenübertragung per E-Mail. Das Fernmeldegeheimnis schützt nur vor spezifischen Gefahren, die in Zusammenhang mit dem Übertragungsvorgang stehen. Der Schutzbereich reicht daher nur soweit die Nachricht noch nicht beim Empfänger angekommen ist und damit der Übertragungsvorgang abgeschlossen ist. Sobald nämlich die Nachricht im „Machtbereich“ des Empfängers angelangt ist, kann dieser selbst geeignete Schutzmaßnahmen treffen um den Zugriff von Unbefugten zu verhindern. Zudem können per E-Mail empfangene Dateien gar nicht oder nur sehr schwer von selbst erstellten Dateien unterschieden werden.

Konkret für E-Mails: Auslegung des Begriffs „Herrschaftsbereich des Empfängers“

Bei der Versendung von privaten E-Mails am Arbeitsplatz ist fraglich ab welchem Zeitpunkt die Nachricht im Herrschaftsbereich des Empfängers angelangt ist. Kann man davon bereits ausgehen, wenn die Nachricht auf dem Server des Arbeitgebers angelangt ist, weil ja der jeweilige Angestellte ab diesem Zeitpunkt die weitere Verwendung der E-Mail beeinflussen kann oder soll es darauf ankommen ob die Nachricht auf dem individuell genutzten PC des Beschäftigten eingegangen ist?

BVerfG: E-Mail Postfach ist geschützt

In einer Entscheidung aus dem Jahre 2009 hat der Bundesgerichtshof („BGH“) zudem ausgeführt, dass der vom Fernmeldegeheimnis geschützte Telekommunikationsvorgang auch dann als abgeschlossen zu betrachten sei, wenn die betreffende E-Mail beim Webmail Provider gespeichert ist. Der Schutz des Fernmeldegeheimnisses würde dadurch erheblich beschränkt, da die E-Mails zumeist auf zentralen Servern gespeichert sind. Die Server können mitunter sehr weit vom lokalen Netzwerkanschluss des Beschäftigten entfernt sein.

Diesem Ansatz des BGH hat das Bundesverfassungsgericht allerdings in einem Beschluss vom 16. Juni 2009, bei dem es um die Beschlagnahmung von E-Mails durch die Strafverfolgungsbehörden ging, widersprochen und stellte klar:

„Der zugangsgesicherte Kommunikationsinhalt in einem E Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, ist durch das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) geschützt. Der Kommunikationsteilnehmer hat keine technische Möglichkeit, die Weitergabe der E-Mails durch den Provider an Dritte zu verhindern. Dieser technisch bedingte Mangel an Beherrschbarkeit begründet die  besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis, welches  jenen Gefahren für die Vertraulichkeit begegnen will, die sich aus der  Verwendung eines Kommunikationsmediums ergeben, das einem staatlichem Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden.

Dies gilt unabhängig davon, ob eine E-Mail auf dem Mailserver des Providers zwischen- oder endgespeichert ist. Dem Schutz durch Art. 10 Abs. 1 GG steht nicht entgegen, dass während der Zeitspanne, während deren die E-Mails auf dem Mailserver des Providers „ruhen“, ein Telekommunikationsvorgang in einem dynamischen Sinne nicht stattfindet. Art. 10 Abs. 1 GG folgt nicht dem rein technischen Telekommunikationsbegriff des Telekommunikationsgesetzes, sondern knüpft an den Grundrechtsträger und dessen Schutzbedürftigkeit aufgrund der Einschaltung Dritter in den Kommunikationsvorgang an. Die spezifische Gefährdungslage und der Zweck der Freiheitsverbürgung von Art. 10 Abs. 1 GG bestehen auch dann weiter, wenn die E-Mails nach Kenntnisnahme beim Provider gespeichert bleiben. […] Die Auslagerung der E-Mails auf den nicht im Herrschaftsbereich des Nutzers liegenden Mailserver des Providers bedeutet nicht, dass der Nutzer mit dem Zugriff auf diese Daten durch Dritte einverstanden ist (Beschluss vom 16. Juni 2009, 2 BvR 902/06).“

Zwar hatte das Bundesverfassungsgericht vorliegend über einen Fall mit strafprozessualem Einschlag zu entscheiden. Eine ähnliche Gefahrenlage für die (gestattete) private E-Mail Kommunikation des Arbeitnehmers ergibt sich jedoch gleichwohl, sodass die vom Bundesverfassungsgericht aufgestellten Grundsätze ebenfalls gelten müssen.

Teilweise wird nach der Art des eingesetzten E-Mail Systems (POP3- oder IMAP-Verfahren) unterschieden. Bei einer POP3 Anwendung, wo die E-Mails beim Abruf durch den E-Mail Client (MS Outlook, Mozilla Thunderbird, etc.) vom Server im Regelfall automatisch gelöscht und nur lokal gespeichert werden, unterfallen diese E-Mails nach herrschender Meinung nicht mehr dem Schutz des Fernmeldegeheimnisses. Im Gegensatz dazu wird bei Verwendung des IMAP-Protokolls lediglich eine Kopie der auf dem Server gespeicherten Nachricht angefertigt.

IMAP-Postfach: Fernmeldegeheimnis?

Daraus folgt teilweise die – umstrittene – Ansicht, dass per IMAP weiterhin auf dem Server gespeicherte E-Mail ebenfalls nicht mehr dem Fernmeldegeheimnis unterfallen, denn der E-Mail-Empfänger habe sich ja bewusst dazu entschieden die E-Mail im „Machtbereich“ des Arbeitgebers zu belassen anstatt vom Server zu löschen. Dagegen spricht nicht nur, dass ein bloßes passives „zur Kenntnis nehmen“ nicht mit einer aktiven Handlung (E-Mail löschen, verschieben etc.) gleichgesetzt werden kann, sondern auch der mit IMAP verbundene Sicherheitsaspekt. Sinn der grundsätzlich dauerhaften Speicherung der E-Mails auf dem Posteingangsserver ist, dass diese auch im Fall eines Computerabsturzes weiterhin verfügbar sind und zudem die Bearbeitung von E-Mail ggf. nicht auf einen PC Arbeitsplatz beschränkt ist sondern mehrfach abgerufen werden kann. Diese Vorteile dürfen nicht durch ein – aus Sicht des Arbeitnehmers – geringeres Schutzniveau entwertet werden.

Ausblick: neuer Gesetzentwurf zum Beschäftigtendatenschutz sieht Ausnahme vor

In einigen Punkten verspricht nun der Entwurf des Bundesinnenministeriums vom 11. August 2010 zur Schaffung eines “Gesetzes zur Regelung des Beschäftigtendatenschutzes” Abhilfe, der nach verschiedenen Presseberichten noch diese Woche vom Bundeskabinett verabschiedet werden soll (Update: “Beschäftigtendatenschutz: Regierung verabschiedet Gesetzesentwurf“). Danach soll gemäß § 32i Abs. 4 BDSG-E bei Verbot der Privatnutzung (str.) auch bei privaten Daten im E-Mail-Postfach des Beschäftigten der Zugriff durch den Arbeitgeber zulässig sein, wenn der Beschäftigte hiervon weiß und es für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Fazit

Die Reichweite des Fernmeldegeheimnisses ist bei der E-Mail Überwachung durch den Arbeitgeber auch wegen seiner strafrechtlichen Absicherung eine kritische Größe und in jedem Fall zu beachten. Wollen Arbeitgeber die Privatkommunikation über die betriebliche E-Mail-Adresse gestatten, haben diese sich bei der Überwachung in den Grenzen der Erlaubnisnormen des TKG zu bewegen und müssen dadurch auf weitgehende Kontrollen ihrer Beschäftigten verzichten. Klärung einiger offener Fragen verspricht der neue Entwurf des Bundesinnenministeriums zum Beschäftigtendatenschutz: danach sollen Kontrollen insb. des E-Mail-Postfachs künftig grundsätzlich möglich sein, wenn die Privatnutzung untersagt ist (str.), der Beschäftigte hiervon weiß und die Kontrolle für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessor Benjamin Schuetze, LL.M. (VUW)

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Kraska: Herr Schmidl, das Bundesinnenministerium arbeitet derzeit an einer Neuregelung des Arbeitnehmerdatenschutzes. Erst im September letzten Jahres waren neue Vorschriften im Arbeitnehmerdatenschutz in Kraft getreten. Warum gibt es schon wieder Änderungen?

Schmidl: Mit den Änderungen im vergangenen Herbst ist lediglich § 32 BDSG in das Gesetz aufgenommen worden, der nach Maßgabe der Gesetzesbegründung keine Neuerungen schaffen, sondern nur bisherige Grundsätze zusammenfassen sollte. § 32 BDSG regelt in sehr allgemeiner Form die Erhebung, Verarbeitung und Nutzung von Daten, die „für Zwecke des Beschäftigungsverhältnisses“ erforderlich ist. Ungeachtet dieser Aussage des Gesetzgebers begannen einige Aufsichtsbehörden unmittelbar nach Inkrafttreten von § 32 BDSG damit, vor dem 1. September 2009 als zulässig etablierte Vorgänge in den Unternehmen in Zweifel zu ziehen. Häufig wurde dies mit Zweifeln daran begründet, ob und in welchem Umfang neben § 32 BDSG noch andere Erlaubnistatbestände eingreifen können.

Kraska: Warum muss der Arbeitnehmerdatenschutz denn überhaupt in eigenen Vorschriften geregelt werden?

Schmidl: Dies entspricht der seit Jahren bestehenden Forderung, dass von der Datenverarbeitung besonders betroffene Bereiche in spezialgesetzlichen Normen geregelt werden sollten, um den Besonderheiten des jeweiligen Bereichs Rechnung tragen zu können. Auch wenn es gerade im Lichte der bevorstehenden Schaffung neuer Regelungen zum Arbeitnehmerdatenschutz ein leichtes wäre, dieser Argumentation beizupflichten, möchte ich betonen, dass auch das allgemeine Datenschutzrecht in der durch Rechtsprechung und Vorgaben der Aufsichtsbehörden konkretisierten Form bisher in der Lage gewesen ist, einen angemessenen Arbeitnehmerdatenschutz zu erreichen. Die für die Begründung der Erforderlichkeit spezieller Regelungen zitierten „Datenschutzskandale“, können nicht oder zumindest nicht ausschließlich mit den aus dem allgemeinen Datenschutzrecht resultierenden Unklarheiten begründet werden. Die Mehrheit der in der Öffentlichkeit diskutierten Fälle war auch nach dem durch Vorgaben von Rechtsprechung und Verwaltung konkretisierten allgemeinen Datenschutzrecht unzulässig.

Kraska: Warum hat sich der Gesetzgeber bislang so schwer getan, Regelungen in diesem Bereich zu fassen – und warum mussten letztlich erst Rechtsprechung und Aufsichtsbehörden durch eine konkretisierende verfassungskonforme Auslegung des Arbeitnehmerdatenschutzes einspringen?

Schmidl: Die Schaffung von Spezialregelungen zum Arbeitnehmerdatenschutz muss auch den Schutz berechtigter Unternehmensinteressen sicherstellen. Es ist rechtlich schwierig und politisch kontrovers, sich an dieser Aufgabe zu versuchen. Dies scheint mir der Grund für den langwierigen Prozess. Deutlich wird dies bereits im Zusammenhang mit der Verhandlung einer Betriebsvereinbarung, wenn es um die Konkretisierung der berechtigten Interessen des Arbeitgebers einerseits und seiner Mitarbeiter andererseits lediglich für einen bestimmten Betrieb geht. Auch wenn sich die Betriebsparteien auf abstrakter Ebene einig sind, dass Datenschutz im Unternehmen nicht dazu führen darf, dass das Unternehmen seine Geschäftszwecke nicht mehr erreichen kann, so gehen die Meinungen in aller Regel erheblich auseinander, wenn es um die Frage geht, wie viel Datenschutz zuviel Datenschutz ist. Das Unterfangen, ein Gesetz zu schaffen, dass diese Interessenskollision mit allgemeingültigen Entscheidungen auflöst, ist daher eine äußerst komplexe Herausforderung, die vor allem politische Grundsatzentscheidungen erforderlich macht.

Kraska: Nun ist ja vom Bundesinnenministerium ein Eckpunkte-Papier zur Neuregelung des Arbeitnehmerdatenschutzes veröffentlich worden. Was erwartet uns in dem Bereich?

Schmidl: Soweit veröffentlicht sind dies gemäß des Eckpunkte-Papiers verkürzt folgende Punkte:

1. Das Fragerecht des Arbeitgebers im Einstellungsverfahren soll gesetzlich geregelt werden.
2. Gesundheitliche Untersuchungen oder Prüfungen sollen nur zulässig sein, wenn sie erforderlich sind.
3. Die Korruptionsbekämpfung und die Durchsetzung von Compliance-Anforderungen sollen aufgrund klarer gesetzlicher Grundlagen erfolgen können.
4. Ganz allgemein soll die Videoüberwachung von nicht öffentlich zugänglichen Betriebsstätten nur zulässig sein, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich und verhältnismäßig ist.
5. Die Erhebung von Beschäftigtendaten durch Ortungssysteme soll nur während der Arbeits- und Bereitschaftszeiten zur Sicherheit des Beschäftigten oder zur Koordinierung des Einsatzes des Beschäftigten zugelassen werden.
6. Biometrische Merkmale eines Beschäftigten soll der Arbeitgeber elektronisch nur erheben und verwenden dürfen, soweit dies aus betrieblichen Gründen zu Autorisierungs- und Authentifikationszwecken erforderlich ist.
7. Der Arbeitgeber soll – insbesondere zur Gewährleistung des ordnungsgemäßen technischen Betriebs, zu Abrechnungszwecken sowie zu Zwecken der Korruptionsbekämpfung/Compliance – die Nutzung von Telekommunikationsdiensten und Telemedien am Arbeitsplatz im erforderlichen Maß kontrollieren dürfen.
8. In Betriebs-/Dienstvereinbarungen oder Tarifverträgen sollen wie bisher eigenständige Grundlagen und Einschränkungen für eine zulässige Datenerhebung und -verwendung im Beschäftigungsverhältnis vorgesehen werden können.
9. Die Zulässigkeit der individuellen Einwilligung des Beschäftigten in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten soll auf ausdrücklich geregelte Fälle beschränkt werden,
10. Der Arbeitgeber darf Beschäftigtendaten auch erheben, verarbeiten und nutzen soweit deren Kenntnis erforderlich ist, um nach der Beendigung des Beschäftigungsverhältnisses bestehende Pflichten – etwa buchhalterische oder steuerliche Nachweiszwecke – zu erfüllen.

Kraska: Wie beurteilen Sie diese Pläne?

Schmidl: Grundsätzlich sind die veröffentlichten Eckpunkte zu begrüßen. Es bleibt aber abzuwarten, wie die konkreten Regelungen ausfallen werden. Es wäre aus meiner Sicht zudem wünschenswert gewesen, auch die Fragen der Einschaltung von Auftragsdatenverarbeitung im Bereich der Verwaltung von Personaldaten explizit zu regeln und eine Erleichterung beim Austausch von Arbeitnehmerdaten im Konzern zu schaffen. Denn gerade im Konzern führt das Datenschutzrecht häufig zu komplexen Rechtsfragen und die Durchsetzung berechtigter Konzerninteressen ist nicht immer ohne rechtliche Risiken möglich.

Kraska: Gerade das Outsourcing von Personaldaten ist ja mit Einführung des § 32 BDSG in die Diskussion geraten. Was war der Hintergrund?

Schmidl:  Einige Aufsichtsbehörden vertreten die Auffassung, dass eine Auslagerung von Personaldaten auf Grundlage von § 32 BDSG nicht mehr möglich, zumindest aber rechtlich zweifelhaft sei und auch ein Rückgriff auf andere datenschutzrechtliche Erlaubnistatbestände ausscheide. Für die Praxis hätte dies gravierende Folgen.

Kraska: Was ist der aktuelle Sachstand?

Schmidl: Derzeit tauschen sich die verschiedenen Aufsichtsbehörden der Länder in diesem Punkt aus. Man kann nur hoffen, dass hier eine praxisgerechte Lösung gefunden wird.

Kraska: Vielen Dank für das Gespräch.

Kontakt zu Dr. Michael Schmidl, LL.M. Eur. (Rechtsanwalt/Maître en Droit) Weiterführender Artikel: Schmidl, Arbeitnehmerdatenschutz vor der Reform – Fehlanzeige? Treffen Sie Herrn Schmidl als Referenten auf dem 11. Datenschutzkongress 2010 in Berlin Das Interview führte RA Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Was ist eine Gemeinschaftspraxis?

Ärzte schließen sich gerne zu Gemeinschaftspraxen zusammen. Dies hat wirtschaftliche Vorteile, da in Bezug auf Personal und Räumlichkeiten effizienter gearbeitet werden kann. Daneben kann auch hinsichtlich der Patienten immer wieder ein fachlicher Austausch stattfinden. Ein Patient, der eine Praxisgemeinschaft aufsucht, schließt auf der zivilrechtlichen Ebene mit allen Ärzten, die in dieser Gemeinschaft assoziiert sind, einen einheitlichen Behandlungsvertrag ab. Da die Ärzte sich auf dieser Grundlage einen gemeinsamen Patientenstamm schaffen, ist dieser Vorgang datenschutzrechtlich relevant, denn jeder Arzt kann auf den gemeinsam angelegten Patientenstamm zugreifen.

Welche datenschutzrechtlichen Regelungen finden Anwendung?

Das Datenschutzrecht ist im Medizinbereich sehr komplex. Es finden verschiedene Gesetze sowie eine Vielzahl teilweise konkurrierender Regelungen Anwendung. Wie dargestellt gilt grundsätzlich das BDSG. Daneben finden neben landesrechtlichen Regelungen unter anderem auch das Sozialgesetzbuch sowie die ärztlichen Berufsordnungen der jeweiligen Ärztekammer Anwendung.

Patientengeheimnis und Dokumentationspflicht des Arztes

Nach der Datenerhebung und der Anlegung der Patientenakte ist der Arzt im zivilrechtlichen Sinn Eigentümer der Patientenunterlagen. Nach der ärztlichen Berufsordnung trifft ihn neben der Dokumentationspflicht zusätzlich eine Aufbewahrungspflicht für mehrere Jahre. Gemäß § 28 BDSG ist der Arzt dazu ermächtigt, Patientendaten zu speichern. So erfolgt während des ärztlichen Behandlungsvertrages das Speichern, Verändern oder Übermitteln im Rahmen des Vertragsverhältnisses.

Für die Wahrung der Datenschutzrechte ist stets die verantwortliche Stelle gemäß § 3 Abs. 7 BDSG entscheidend

Die für die Datenverarbeitung verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG ist stets derjenige, der die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Dies ist in einer 1-Personen-Praxis der behandelnde Arzt selbst und in einer Gemeinschaftspraxis die Gemeinschaftspraxis an sich und nicht der jeweilige einzelne Arzt, der die Daten ursprünglich in das System eingegeben hat.

Besonderheit: Hausarztmodell

Bei der Verarbeitung personenbezogener Patientendaten im Rahmen des so genannten Hausarztmodells gelten hinsichtlich der Datenspeicherung und des zentralisierten Datenzugriffs einige abweichende Vorgaben. Weitere Informationen zu diesem speziellen Thema finden Sie hier.

Besonderheit: elektronische Gesundheitskarte

Auch bezüglich der zentralisierten Zusammenführung von Patientendaten insbesondere im Zuge der Einführung der elektronischen Gesundheitskarte (vgl. insoweit § 291a SGB V) sind insoweit Besonderheiten zu beachten, als dass der Rückgriff auf lokal in der Arztpraxis gespeicherte Patientendaten zunehmend in der Hintergrund rücken dürfte.

Was geschieht, wenn sich die Gemeinschaftspraxis auflöst?

Betrachtet man die Interessenlage der betroffenen Ärzte, so hätte sicherlich jeder von diesen allein aufgrund wirtschaftlicher Bedingungen ein Interesse daran, den gesamten lokal gespeicherten Patientenstamm zu behalten. Dies dürfte in den meisten Fällen jedoch den Grundsätzen der Zweckbindung (§ 39 BDSG) und der Datensparsamkeit (§ 3a BDSG) widersprechen. Daneben liegt auch ein Verstoß gegen das Erforderlichkeitsprinzip des § 28 Abs. 1 BDSG nahe, der auf das Arzt-Patienten-Verhältnis regelmäßig Anwendung findet. Eine einfache Weitergabe des kompletten Datenbestandes an alle ausscheidenden Ärzte („Vervielfachung der Datenbestände“) scheidet damit im Regelfall aus.

Zu empfehlen: Trennung der Datenbestände

Grundsätzlich empfiehlt es sich daher, bereits vom Beginn der Gemeinschaftspraxis an die lokal gespeicherten Patientendatenbestände nach Ärztezugehörigkeit zu trennen. Mit einem modernen EDV-System stellt es kein großes Problem dar, von Beginn an die Zuordnung eines Patienten zu einem behandelnden Arzt herzustellen. Dann ist auch nach der Auflösung einer Praxis klar geregelt, welchem Arzt die einzelnen Patientendaten zuzuordnen sind. Scheidet dieser aus der Praxis aus sind nach der Übergabe „seiner“ Patientendaten diese Daten aus dem allgemeinen Praxissystem zu löschen.

Was ist wenn eine Zuordnung zu einem Arzt nicht erfolgt ist?

Probleme können entstehen, wenn eine Zuordnung der Patienten zu dem jeweiligen behandelnden Arzt unterlassen wurde. Zivilrechtlich dürfte dieser jedenfalls einen Anspruch auf die Herausgabe der Daten der Patienten haben, die ihm aus der Gemeinschaftspraxis in die neue Praxis folgen. Insofern ist eine Lösung über die nachträgliche Herausgabe der Daten möglich.

In den übrigen Fällen liegt eine vergleichsweise Heranziehung der Regelungen im Fall eines Praxisverkaufs nahe. Nach der Rechtsprechung wird von dem Veräußerer einer Praxis verlangt, dass bei einer Weitergabe von Patientenunterlagen vom Betroffenen eine Zustimmung zur Übertragung in hinsichtlich Art und Umfang eindeutiger und unmissverständlicher Weise einzuholen ist. Ohne diese Zustimmung wird sowohl in das informationelle Selbstbestimmungsrecht des Patienten eingegriffen wie auch die ärztliche Schweigepflicht verletzt.

Was tun: das „Zwei-Schrank-Modell“

In der Praxis hat sich für den Fall der Veräußerung einer Praxis zur Sicherung des informationellen Selbstbestimmungsrechts des Betroffenen das „Zwei-Schrank-Modell“ durchgesetzt. Hierbei behält der Verkäufer die informationsrechtliche Verfügungsbefugnis an dem Datenbestand. Der Bestand wird in einem verschlossenen Schrank an den Erwerber übergeben. Der Erwerber ist dazu verpflichtet, die Kartei nur zu verwahren. Kommt ein Patient in die Praxis, der behandelt werden möchte, muss dieser vor Ort eine Einwilligungserklärung dahingehend abgeben, dass dieser die Befugnis, auf den Datenstamm zuzugreifen, nun auf den Erwerber überträgt. Erteilt der Patient sein Einverständnis, so ist es in der Akte zu dokumentieren. Der Gewahrsam an den Daten per se wird damit von einer datenschutzrechtlichen Möglichkeit zur Einsichtnahme getrennt.

Soweit, wie inzwischen üblich, die Patientenakte elektronisch geführt wird, muss der Altbestand gesperrt werden. Erst nach der Einholung der Einwilligung darf auf diesen mittels des generell bestehenden EDV-Systems zugegriffen werden.

Übertragung auf die Gemeinschaftspraxis

Aufgrund der vergleichbaren Interessenlage liegt ein Rückgriff auf die Handhabe im Fall des Verkaufs einer Arztpraxis mit lokal gespeicherten Patientendaten nahe. Auch hier sollen Daten, die zuvor einer verantwortlichen Stelle zugeordnet gewesen sind (sprich: der Gemeinschaftspraxis) auf eine andere verantwortliche Stelle (sprich: der einzelne Arzt) übertragen werden. Letztlich findet genau derselbe datenschutzrechtliche Prozess statt: ein Wechsel der verantwortlichen Stelle, die die Rechte der Betroffenen zu wahren hat.

Unterscheidung: Praxisgemeinschaft

Streng abzugrenzen ist der dargestellte Sachverhalt von einer Praxisgemeinschaft. Hier schließen sich mehrere Ärzte nur zusammen, um die Praxisräume gemeinsam zu nutzen oder etwa das Praxispersonal gemeinsam zu beschäftigen. Jeder Arzt hat aber seinen eigenen Patientenstamm und ist insofern selbst die verantwortliche Stelle im Sinne des BDSG. Löst sich eine Praxisgemeinschaft auf, so stellen sich keine datenschutzrechtlichen Besonderheiten, da jeder Arzt einfach seine Patienten behält und dementsprechend mit dem Datenstamm verfährt.

Fazit

Neu zu gründenden Gemeinschaftspraxen ist bei lokaler Speicherung der Patientendaten von Anfang an eine saubere Trennung der Datenbestände nach behandelndem Arzt zu empfehlen. So ist im Fall der Praxis-Auflösung eine einfache und trennscharfe Aufteilung der Patientendaten möglich. Wurde dies unterlassen, liegt im Fall der Praxis-Auflösung ein Rückgriff auf das so genannte „Zwei-Schrank-Modell“ nahe. Eine vollständige und unbeschränkte Weitergabe der kompletten lokal gespeicherten Patientendaten an alle ausscheidenden Ärzte ohne Einwilligung der betroffenen Patienten wird im Regelfall datenschutzrechtlich unzulässig sein. Insbesondere bei der Einwilligung sind weitere gesetzliche Vorgaben zu beachten.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz

Telefon: 089-5130392-0
E-Mail: email@iitr.de

Dienstliche Nutzung

Soweit beim Einsatz betrieblicher Kommunikationsmittel Bezug zu den dienstlichen Aufgaben des Arbeitnehmers (d.h. zu seinen Dienstpflichten) besteht, ist von einer dienstlichen Nutzung auszugehen. Darauf, ob die konkrete Nutzungshandlung zweckmäßig ist, kommt es nicht an. Entscheidend ist aber, dass die jeweilige Nutzung unter abstrakt-objektiven Gesichtspunkten dazu geeignet ist, dienstliche Aufgaben zu fördern. Darunter fällt auch der Austausch von Daten innerhalb des Unternehmens. Was von den Arbeitsvertragsparteien jeweils als Dienstpflicht angesehen wird, ist im Idealfall im Arbeitsvertrag beschrieben oder ergibt sich z.B. aus der Stellenausschreibung. Als dienstliche Nutzung ist ebenfalls die so genannte betrieblich veranlasste Privatnutzung (z.B. Mitteilung an den Ehepartner, dass sich die Heimkehr verzögert) oder die Förderung des Privatkontaktes zu Kunden anzusehen.

Private Nutzung

Private Nutzung ist in Abgrenzung zur oben vorgenommenen Definition alles, was nicht den dienstlichen Aufgaben des Arbeitnehmers zuzurechnen ist. Die Abgrenzung zwischen dienstlicher und privater Nutzung kann im Einzelfall schwierig sein und gerade in IT-„affinen“ Unternehmen zu Problemen führen. Um Überschneidungen zu vermeiden sind in der Praxis klare Absprachen zwischen Unternehmensleitung und Belegschaft empfehlenswert.

Kontrollmöglichkeiten

Der Arbeitgeber wird regelmäßig ein Interesse daran haben zu erfahren, ob seine Angestellten die betrieblichen Kommunikationsmittel dienstlich oder privat nutzen. Im Hinblick auf die Zulässigkeit hierfür erforderlicher Kontrollen ist zwischen äußeren Verbindungsdaten und so genannten Inhaltsdaten zu unterscheiden. Unter äußeren Verbindungsdaten sind all jene Daten zu fassen, die Art und Umfang des genutzten Dienstes umschreiben (bei der E-Mail z.B. Absender, Empfänger, Datum, Größe der E-Mail; bei der Web-Nutzung z.B. Verbindungszeit, Datenmenge, URL).

Ein Beispiel: Hinsichtlich der Kontrolle von Inhaltsdaten stehen dem Arbeitgeber bei dienstlich veranlasster Internetnutzung und dem Verbot privater Internetnutzung weitreichende Kontrollbefugnisse zu. Als Gläubiger der vom Arbeitnehmer geschuldeten Arbeitsleistung ist er befugt, sich über eben diese Arbeitsleistung Kenntnis zu verschaffen. Er kann dazu auch Einsicht in den Datenverkehr nehmen. Die gesetzlichen Vorgaben finden sich insofern in den §§ 32, 28 Bundesdatenschutzgesetz (BDSG). Der Arbeitgeber sollte seine Mitarbeiter allerdings über seine Kontrollrechte und Rechte zur Einsichtnahme informieren und ihnen so die Chance geben, sich darauf einzustellen.

Erlaubte Privatnutzung – Erfassung von Verkehrsdaten

Bei Erlaubnis privater Nutzung des betrieblichen Internetanschlusses/E-Mail-Zugangs durch den Arbeitgeber unterfallen die dabei anfallenden Daten dem Anwendungsbereich des Telekommunikationsgesetzes (TKG). Der Arbeitgeber wird in diesem Zusammenhang als „geschäftsmäßiger Anbieter von Telekommunikationsdiensten“ im Sinne von § 3 Nr. 6 TKG definiert, da er seinen Internetzugang (auch) für fremde Zwecke zur Verfügung stellt. Zwischen Arbeitgeber und Arbeitnehmer entsteht dadurch neben dem schon bestehenden Arbeitsverhältnis ein vertragliches Verhältnis hinsichtlich der Nutzung der betrieblichen Telekommunikationsanlagen. „Telekommunikation“ ist in diesem Zusammenhang weit auszulegen und soll sowohl Telefonie sowie die Datenübertragung umfassen. Unerheblich für diese Einordnung ist, ob die Nutzung durch den Arbeitnehmer entgeltlich ist und sich nur an eine geschlossene Benutzergruppe richtet.

Nachteil (stillschweigend) erlaubter Privatnutzung: Anwendbarkeit des Fernmeldegeheimnisses

Die Einordnung als Telekommunikationsdienstleistung im Sinne des TKG hat zur Folge, dass der Arbeitgeber im Verhältnis zu seinen Arbeitnehmern den Verpflichtungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG) unterliegt. Der Schutz des Fernmeldegeheimnisses ist, wie das Bundesverfassungsgericht jüngst klarstellte, sehr weitreichend und greift im Falle einer an den Arbeitnehmer adressierten E-Mail nur dann nicht mehr, wenn der betreffende Mitarbeiter von einer eingehenden E-Mail tatsächlich Kenntnis erlangt hat und er die Kenntnisnahme durch den Arbeitgeber verhindern kann.

Inhalte die nun dem Telekommunikationsgeheimnis unterfallen dürfen nur verwendet werden, wenn eine gesetzliche Vorschrift dies erlaubt, die sich ausdrücklich auf einen Telekommunikationsvorgang bezieht. Das TKG selbst regelt in den § 91 ff. TKG bereichsspezifische Eingriffstatbestände, die sich allerdings nur auf Verkehrsdaten (äußere Verbindungsdaten) beziehen.

Darunter fällt

• die Datenerfassung zu Abrechnungszwecken (§ 96 Abs. 1 TKG, diese erfordert zudem eine Entgeltregelung zwischen den Arbeitsvertragsparteien) und
• die Beseitigung von Störungen von Telekommunikationsanlagen (§ 100 Abs. 1 TKG, dies rechtfertigt beispielsweise die vom Arbeitgeber eingesetzte automatische Virenprüfung) und
• die Missbrauchskontrolle (§ 100 Abs. 3 TKG).

Der Dienstanbieter soll dadurch vor einer nicht gestatteten Inanspruchnahme seiner Telekommunikationsanlagen geschützt werden. Hat ein Arbeitgeber die private Internetnutzung zum Beispiel inhaltlich/zeitlich beschränkt, so läge in der Überschreitung dieser Nutzungsregelung ein Missbrauch im Sinne des § 100 Abs. 3 TKG. Für einen Verstoß müssen allerdings „tatsächliche Anhaltspunkte“, die der Arbeitgeber zudem auch dokumentiert haben muss, vorliegen. Nicht ausreichend ist hingegen die abstrakte Gefahr des Missbrauchs. Eine verdachtsunabhängige, wenn auch nur stichprobenartige Kontrolle kann unter den Voraussetzungen des § 100 Abs. 3 TKG daher nicht gerechtfertigt werden.

Protokollierung von Inhaltsdaten bei erlaubter Privatnutzung

Kommen die Vorschriften des TKG zur Anwendung darf sich der Arbeitgeber grundsätzlich keine Kenntnis vom Inhalt eines Telekommunikationsvorgangs verschaffen (z.B. Inhalt einer E-Mail oder Auswertung welche Internetseiten aufgerufen wurden). Zwar lässt die rechtswissenschaftliche Literatur bei schwerwiegenden Verstößen wie Straftaten teilweise Ausnahmen zu. Jedoch fehlt es, soweit das Fernmeldegeheimnis reicht, an einem spezifischen, das verfassungsmäßig verbriefte Fernmeldegeheimnis berücksichtigenden Eingriffstatbestand.

Wichtig in der Praxis: Kontrolle des Verbots

Für die Praxis wichtig ist an dieser Stelle noch der Hinweis, dass das abstrakte Verbot der privaten Nutzung betrieblicher Kommunikationsmittel allein nicht ausreichend ist. Denn verbietet der Arbeitgeber zwar die private Nutzung, duldet aber innerbetrieblich stillschweigend die Privatnutzung, kann dies dem Verbot seine Wirksamkeit nehmen. Es ist daher empfehlenswert, im Falle des Verbots privater Nutzung von betrieblichen Kommunikationsmitteln dieses auch im Betrieb durchzusetzen (insbesondere mit dokumentierten Stichproben).

Fazit

Gerade auf Grund der Reichweite des Fernmeldegeheimnisses nach der Lesart des Bundesverfassungsgerichts lautet der an Arbeitgeber gerichtete Rat in der Praxis zumeist, die private Nutzung betrieblicher Kommunikationsmittel zu untersagen. In jedem Fall empfiehlt es sich, den Umgang mit betrieblichen Kommunikationsmitteln und etwaige Kontrollmaßnahmen innerbetrieblich zu regeln (beispielsweise in einer Betriebsvereinbarung). Nur mit einer klaren und transparenten Regelung im Betrieb können beim Einsatz von Kommunikations- und Überwachungstechniken Rechtsunsicherheiten vermieden werden.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessor Benjamin Schütze, LL.M. (Wellington)

Telefon: 089-5130392-0
E-Mail: email@iitr.de

Abberufungsverlangen erfolgt gegenüber dem Unternehmen

Das Abberufungsrecht der Behörde ist nicht das Recht, unmittelbar in das Verhältnis zwischen dem Datenschutzbeauftragten und dem Unternehmen einzugreifen. Die Bestellung kann damit nicht selbst von der Aufsichtsbehörde widerrufen werden, sondern die Entscheidung zur Abberufung muss, wie die Bestellung zum Datenschutzbeauftragten auch, von dem Unternehmen selbst getroffen werden. Die entsprechenden Erklärungen können damit nur von dem Unternehmen abgegeben werden. Die Behörde kann nur die Vornahme dieser Erklärungen verlangen.

§ 38 Abs. 5 S. 3 Bundesdatenschutzgesetz („BDSG“) lautet:

[Die Aufsichtsbehörde] (…) kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.

Und § 4f Abs. 3 BDSG lautet an der hierfür entscheidenden Stelle:

Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen [Anm.: Unternehmen] auch auf Verlangen der Aufsichtsbehörde, widerrufen werden.

Verlangt die Aufsichtsbehörde von einem Unternehmen demnach die Abberufung des Datenschutzbeauftragten, kann sich dieses auf Grund § 4f Abs. 3 BDSG ohne Vorliegen weiterer etwaiger Widerrufsvoraussetzungen von dem Datenschutzbeauftragten lösen.

Warum hat die Aufsichtsbehörde diese Kompetenz?

Die Kompetenz der Aufsichtsbehörde ein Abberufungsverlangen auszusprechen folgt letztlich aus § 38 Abs. 5 S. 3 BDSG. An dieser Stelle wird die Aufgabe der Aufsichtsbehörde normiert, die Fachkunde und Zuverlässigkeit der Beauftragten zu überprüfen.

Gemäß §38 Abs. 5 S. 2 BDSG ist es der Aufsichtsbehörde überlassen, Konsequenzen aus einer mangelhaften Ausführung des Datenschutzes zu ziehen. Ob ein Abberufungsverlangen erfolgt oder nicht ist damit in das Ermessen der Behörde gestellt. Jedoch kann bei besonders schwerwiegenden Verstößen das Ermessen der Behörde auf Null reduziert sein, was bedeutet, dass der Behörde nur eine Alternative zur Handlung bleibt und zwar die tatsächliche Abberufung.

Gründe zur Abberufung

Die Abberufung eines betrieblichen Datenschutzbeauftragten kann nur dann verlangt werden, wenn dieser nicht die zur Amtsführung notwendige Fachkunde und Zuverlässigkeit aufweist. Sinn der Regelung ist im wesentlichen Druck dahingehend auszuüben, dass von Unternehmen tatsächlich nur qualifizierte Personen bestellt werden.

Ein Abberufungsgrund ist immer dann gegeben, wenn festgestellt wird, dass ein Datenschutzbeauftragter seine Aufgaben nicht ordnungsgemäß erfüllt und insoweit entweder die Fachkunde oder die Zuverlässigkeit desjenigen betroffen ist. Neben des Standardbeispiels der Interessenkollision (z.B. Datenschutzbeauftragter ist gleichzeitig Leiter der EDV-Abteilung) sind konkrete Beispiele, dass eine Durchführung der Schulung der Mitarbeiter nicht stattfindet, eine datenschutzrechtliche Begutachtung neuer Datenverarbeitungsverfahren nicht vorgenommen wird oder die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme nicht überwacht wird. Daneben kommen als weitere Gründe die fehlende Kontrolle der Datensicherungsmaßnahmen in Betracht oder auch das Unvermögen, die bisherigen Tätigkeiten durch entsprechende Dokumentationen belegen zu können.

Abberufung wegen langer Krankheit ist möglich

Da der Begriff der Zuverlässigkeit im objektiven Sinn zu verstehen ist kommt auch eine Abberufung wegen dauerhafter Krankheit und insofern hervorgerufener Arbeitsunfähigkeit in Betracht. Kann der Datenschutzbeauftragte seine Funktion nicht wahrnehmen, muss seine Zuverlässigkeit im Rahmen seiner Aufgaben verneint werden. Insofern besteht dann ein Abberufungsgrund für die Aufsichtsbehörde.

Inhalt des Abberufungsverlangens

Inhaltlich enthält das Abberufungsverlangen die Anordnung an das Unternehmen, den Datenschutzbeauftragten abzuberufen. In der Reaktion ist vom Unternehmen eine ausdrückliche und eindeutige Erklärung notwendig, den Datenschutzbeauftragten abzuberufen. Aus dieser Erklärung muss klar hervor gehen, dass die Tätigkeit des Datenschutzbeauftragten beendet werden soll. Auch wenn anders als für die Bestellung (§ 4 Abs. 1 BDSG) die Schriftlichkeit nicht gesetzlich vorgeschrieben ist, sollte auch die Abbestellung aus Beweis- und Publizitätsgründen schriftlich erfolgen.

Abberufungsverlangen ist ein Verwaltungsakt gegenüber dem Unternehmen

Beim Abberufungsverlangen handelt sich um einen Verwaltungsakt mit Verpflichtung für das Unternehmen und nicht, wie eine Mindermeinung annimmt, um einen Verwaltungsakt mit Doppelwirkung (also mit direkter Wirkung auch gegenüber dem Datenschutzbeauftragten). Da der Datenschutzbeauftragte aber in seinem rechtlichen Interesse betroffen ist, kann dieser zum Verfahren zugezogen werden. Jedenfalls muss das Abberufungsverlangen auch ihm gegenüber bekanntgegeben werden.

Im Klartext heißt dies: das Abberufungsverlangen der Aufsichtsbehörde beendet noch nicht die Tätigkeit des Datenschutzbeauftragten. Erst mit Widerruf der Bestellung durch das Unternehmen endet die Stellung des Datenschutzbeauftragten im Unternehmen.

Nach Eintritt der Bestandskraft des Verwaltungsaktes besteht für das Unternehmen eine Rechtspflicht zur Abberufung des Datenschutzbeauftragten. Diese darf nicht einzelvertraglich oder kollektivrechtlich abbedungen werden. Eine Bindung der Abberufung an eine Zustimmung des Betriebsrates ist damit unzulässig.

In der Praxis

Damit wird die Behörde, wenn Sie an der Fachkunde oder Zuverlässigkeit eines Beauftragten zweifelt, zunächst direkt dem Beauftragten aufgeben, seine Kenntnisse zu verbessern.

Verlangt die Aufsichtsbehörde jedoch final die Abberufung, so muss sich das Unternehmen daran halten, um eine notfalls zwangsweise Durchsetzung des Abberufungsverlangens zu vermeiden.

Möglichkeit zur Stellungnahme für den Datenschutzbeauftragten

Zu beachten ist, dass dem Datenschutzbeauftragten rechtzeitig vor der Abbestellung die Möglichkeit der Stellungnahme einzuräumen ist. Wenn eine ernsthafte Möglichkeit besteht, dass der Datenschutzbeauftragte sein Verhalten korrigiert oder verbessert, so muss zumindest vorläufig von einer Abberufung als ultima ratio abgesehen werden.

Abberufungsmöglichkeit auch bei externem Datenschutzbeauftragten?

Bestellt ein Unternehmen einen externen Datenschutzbeauftragten so gilt das oben Gesagte auch für den externen Datenschutzbeauftragten entsprechend.

Besteht ein Sonderkündigungsschutz für interne Datenschutzbeauftragte?

Der Sonderkündigungsschutz hinsichtlich des Arbeitsverhältnisses des internen Datenschutzbeauftragten besteht im Fall der Abberufung durch die Aufsichtsbehörde grundsätzlich weiter. Es kann jedoch davon ausgegangen werden, dass in Fällen, in denen eine Abberufung des Datenschutzbeauftragten rechtswirksam möglich ist, genauso auch eine Kündigung des Arbeitsverhältnisses aus wichtigem Grund in Betracht kommt. Insofern wäre also der Einzelfall entscheidend.

Fazit

Die Aufsichtsbehörden haben mit dem Abberufungsrecht die Möglichkeit, die innerbetriebliche Einhaltung der datenschutzrechtlichen Vorgaben durch einen unabhängigen Datenschutzbeauftragten zu gewährleisten. Unternehmen sollten daher vor der Ernennung sorgsam prüfen, ob der Datenschutzbeauftragte die gesetzlich erforderliche Fachkunde und Zuverlässigkeit besitzt, um Streitigkeiten mit der Aufsichtsbehörde zu vermeiden.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz

Telefon: 089-5130392-0
E-Mail: email@iitr.de

Wann muss man überhaupt einen Datenschutzbeauftragten beschäftigen?

Gemäß § 4f BDSG müssen öffentlich und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich bestellen. Gemäß § 4f Abs. 1 S. 3 BDSG gilt dies im Grundsatz nicht, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, was bei den meisten Arztpraxen der Fall sein dürfte.

Datenschutzbeauftragter ist auch nötig, wenn die Datenverarbeitung einer Vorabkontrolle unterliegt

Allerdings haben nicht-öffentliche Stellen unabhängig von der Anzahl der Arbeitnehmer gemäß § 4f Abs. 1 S. 6 BDSG einen Datenschutzbeauftragten zu bestellen, wenn die Verarbeitung der personenbezogenen Daten einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt. Unter Vorabkontrolle im Sinne der genannten Norm ist eine Prüfung vor Beginn der Verarbeitung zu verstehen. Auf diese wird, um den Rahmen nicht zu sprengen, an dieser Stelle nicht eingegangen. Es muss nur festgestellt werden, ob eine solche durchzuführen ist, damit bestimmt werden kann, ob deswegen auch die Bestellung eines Datenschutzbeauftragten nötig ist.

Welche Verarbeitungen unterliegen einer Vorabkontrolle nach § 4d Absatz 5 BDSG?

Daten unterliegen nach dieser Norm einer Vorabkontrolle, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

Eine Vorabkontrolle ist nach dieser Vorschrift insbesondere dann durchzuführen, wenn besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG verarbeitet werden. In diesem werden als besondere personenbezogene Daten die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit sowie Daten über die Gesundheit oder das Sexualleben genannt. Gesundheitliche Daten in diesem Sinne sind alle Angaben, welche die körperlichen und geistigen Zustände und Bewertungen eines Menschen einschließlich seines Verhaltens betreffen. Die Daten, welche ein Arzt jeglicher Fachrichtung in seinem Verarbeitungssystems aufnimmt, sind damit gesundheitliche Daten im Sinne dieser Vorschrift und damit besondere personenbezogene Daten, so dass nach § 4d Abs. 5 BDSG eine Vorabkontrolle nötig ist. Diese Bewertung ist im Sinne des Gesetzes, denn die Erhebung, Speicherung und Nutzung von Gesundheitsdaten betrifft den Betroffenen in einem sehr sensiblen Persönlichkeitsbereich.

Nach § 4d Abs. 5 S. 2 2. Halbsatz BDSG gibt es jedoch Ausnahmen, nach welchen eine Vorabkontrolle entfällt. Diese entfällt nach dem Wortlaut des Gesetzes, wenn entweder eine gesetzliche Verpflichtung zur Datenerhebung vorliegt, der Betroffene seine Einwilligung gegeben hat oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Damit muss an dieser Stelle geprüft werden, ob einer dieser Ausnahmetatbestände für den Fall der Arztpraxis vorliegt:

1. Auch wenn die Normen des BDSG den Arzt zur Erhebung etc. von Daten ermächtigen, korrespondiert diesem keine gesetzliche Verpflichtung. Der Arzt ist zwar im Verhältnis zum Patienten zur Dokumentation verpflichtet. Diese Verpflichtung ergibt sich aus § 10 MBO, der Berufsordnung der Ärzte. Die Bestimmung dieser Berufsordnung begründet jedoch keine gesetzliche Verpflichtung des Arztes, die Daten der Patienten elektronisch zu verarbeiten. Der erste Ausnahmetatbestand, nach dem eine Vorabkontrolle entfallen würde, ist damit nicht einschlägig.
2. Eine Vorabkontrolle kann auch dann entfallen, wenn alle Patienten ihre Einwilligung in die Datenverarbeitung geben. Damit können zwar Ärzte, die eine neue Praxis gründen ab dem ersten Patienten, der zur Behandlung erscheint, über das Einholen einer Einwilligungserklärung das Erfordernis eines Datenschutzbeauftragten umgehen, da so das Erfordernis einer Vorabkontrolle entfallen würde. Zu beachten wäre dabei aber, dass es sich, da es um besondere Arten personenbezogener Daten geht, um eine genaue Einwilligungserklärung handeln muss. In einer bereits bestehenden Praxis existieren jedoch in den meisten Fällen bereits Datenbestände ohne eingeholte Einwilligung. Dann ist diese Umgehung der Vorabkontrolle jedoch nicht möglich.
3. Der letzte Ausnahmetatbestand ist für Arztpraxen nicht einschlägig, da besondere Arten personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG vorliegen. Nach dem Willen des Gesetzgebers sind die bereits genannten Erlaubnistatbestände als leges speciales zu verstehen, so dass in diesem besonderen Fall ein Rückgriff auf die Geschäftsbeziehung im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG nicht zuzulassen ist. Zudem ist mit der wohl herrschenden Meinung davon auszugehen, dass eine elektronische Erfassung und Verarbeitung von Patientendaten nicht erforderlich im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG ist (dies richtet sich vielmehr nach § 28 Abs. 6 ff. BDSG, der indes im Rahmen von § 4d Abs. 5 S. 2 2. Halbsatz BDSG mangels Verweis keine Berücksichtigung findet).

Damit greift vorliegend kein Erlaubnistatbestand ein, der eine Vorabkontrolle entfallen lassen würde. Im Rückschluss muss nach § 4f Abs. 1 BDSG für die Arztpraxis ein Datenschutzbeauftragter bestellt werden.

Gründet man eine neue Praxis und baut einen neuen Patientenstamm auf, kommt auch die Möglichkeit der Einholung einer Einwilligungserklärung in Betracht. Hierbei ist insbesondere § 4a Abs. 3 BDSG zu beachten, der an die Einwilligungserklärung in die Erhebung, Verarbeitung und Nutzung von Patientendaten besondere Voraussetzungen knüpft.

Fazit

Grundsätzlich braucht nach derzeit geltender Rechtslage jede bestehende Arztpraxis, die Patientendaten elektronisch verarbeitet, ohne bei jedem Patienten eine datenschutzrechtliche Einwilligungserklärung eingeholt zu haben, einen Datenschutzbeauftragten. Wird kein Datenschutzbeauftragter bestellt müsste dies zu Abmahnungen durch die Aufsichtsbehörde und zur Erhebung von Bußgeldern führen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz

Telefon: 089-5130392-0
E-Mail: email@iitr.de

Ich kann mir die bissige Bemerkung nicht verkneifen, dass es bezeichnend ist, dass z.B. das Kapitel “Datenschutzrechtliche Grundsätze” mit 4 Unterkapiteln auskommt, was dem geübten DSB etwas wenig erscheinen sollte. Hier fehlen – bezeichnenderweise! – die Prinzipien von Transparenz, Subsidiarität, Direkterhebung und Verhältnismäßigkeit in den Übreschriften. Glücklicherweise sind sie dennoch in den anderen Kapiteln (Erlaubnisvorbehalt, Datensparsamkeit/Datenvermeidung, Zweckbindung, Datensicherung) zu finden, allerdings eher als Randbemerkungen, was leider auch dem leidlichen Alltag im Umgang mit Behörden beim Thema entspricht.

Hin und wieder bin ich ein wenig an der Sprache gestolpert, die das Opfer der sehr kurzen Schreibweise wird. So lese ich z.B. auf Seite 61 zum Thema “personenbezogene Daten”:

Es kann nur eine Person “betroffen” sein. Informationen, die sich mittelbar auf Personen beziehen, werden grundsätzlich nicht geschützt.

Hier stehe ich bis heute auf dem Schlauch, was die Autoren dem Leser damit sagen möchten: Dass Informationen auch dann personenbezogen sind, wenn sie nur mittelbar einer Person zuzuordnen sind, kann jedenfalls nicht gemeint sein (Legaldefinition des §3 BDSG stellt das klar). Leider aber liest man vielleicht genau das heraus, was sicherlich für Irritationen bei denen führt, die sich mit diesem Text das Thema erarbeiten.

Schön ist es, dass besonders praxisrelevante – und vor Ort leider gerne vernachlässigte – Aufgaben (wie das Verfahrensverzeichnis) besonders gewürdigt werden. Gerade vor diesem Hintergrund würde es dem Buch gut tun, eine umfassende Checkliste zu präsentieren, anhand der Behörden nachprüfen können, welche Punkte im eigenen Haus abgearbeitet werden müssen, dabei man nicht bei der ersten Nachfrage nach dem Verfahrensverzeichnis plötzlich große Augen machen muss.

Das Buch finde ich als Arbeitshilfe für die Verwaltung insgesamt gelungen. Es ist ein kompakter Wegweiser, spezialisiert auf die landesrechtlichen Vorgaben in NRW.

Weitere Anregung: Was im Buch leider ganz fehlt und in der Praxis auch immer wieder ein Problem ist, ist das Informationsfreiheitsgesetz NRW. Immer noch – gerade bei der Polizei – stelle ich fest, dass Behörden nach Gründen fragen und dann erst abwägen wollen, ob man Einsicht erhält. Wenn man auf das feststehende Recht hinweist, ergibt sich häufig Unkenntnis in Sachen IFG NRW. Ein paar Seiten dazu – zumal die Landesdatenschutzbeauftragten im Regelfall auch für das IFG zustöndig sind – hätte nicht geschadet und das Buch abgerundet.

Daten zum Buch:

Datenschutz in NRW
Achim Richter, Susanne Fries
Walhalle Verlag
ISBN 9783802915574

Gegliedert ist das Buch in die folgenden Teile:

1. Grundlagen des Datenschutzes – hier wird keine simple Einleitung geboten, sondern vielmehr eine Einführung in zentrale Begrifflichkeiten, Erklärungen zu den rechtlichen Grundlagen und auch die Klarstellung, welche Themen es noch gibt, die zwar verwandt sind, aber strikt zu trennen sind (Recht am eigenen Bild etwa).
2. Informationelles Selbstbestimmungsrecht – auf gut 20 Seiten wird, unter Darstellung des Urteils des BVerfG – das Grundrecht erklärt und handlich dargestellt, an dem sich der Datenschutz orientiert.
3. Datenschutzrechtliche Konzepte – Witt stellt die Prinzipien des Datenschutzes  und verwandte Themen schrittweise, durchaus im Detail, aber nicht langatmig vor.
4. Verhältnis zur IT-Sicherheit – mit 16 Seiten sicherlich äusserst kompakt ausgefallen, aber immer noch ausreichend
5. Datenschutz in ausgewählten Bereichen – es gibt für drei verschiedene Bereiche (Mitarbeiter, Kunden, Soziales) einzelne Darstellungen ausgewählter Punkte
6. Aktuelle Entwicklungen

Alles in allem ist das Buch überzeugend und für Anfänger – ich denke etwa an den zukünftigen innerbetrieblichen DSB im kleinen mittelständischen Unternehmen, der nach einem kurzen Seminar an den Job gehen soll – ein echter Tipp.

Das Versprechen des Covers – eine praxisorientierte Einführung zu bieten – wird in jedem Fall eingehalten: Keine langatmigen theoretischen Modelle oder Erwägungen. Hier wird ganz klar von einem Praktiker für Praktiker geschrieben.

Der Nachteil des Buches liegt auf der Hand, ist aber unabwendbar: Es wurde Ende 2007 vorgelegt, somit fehlen die letzten Neuerungen im Datenschutzrecht. Eine Neuauflage des guten Buches steht wohl zur Zeit nicht in Aussicht. Damit bleibt es dennoch ein Tipp für Einsteiger, gerade da es um viele allgemeine Richtlinien geht, die hier vermittelt werden. Man muss hier einfach mit etwas Gefühl rangehen und etwa den Mitarbeiterdatenschutz mit Distanz und in Kenntis der ersten Änderungen im BDSG lesen.

Daten zum Buch

Bernhard C. Witt
Datenschutz kompakt und verständlich
Verlag Vieweg
ISBN 9783834801395

Somit bleibt als Referenzwerk bisher nur die Loseblatt-Kommentierung des Bundesdatenschutzgesetzes von Schaffland / Wiltfang (Stand: Oktober 2009), wenn man etwas aktuelles sucht – zu der kann ich aber nichts schreiben, denn alle drei Werke vorrätig zu halten ist auch mir zu teuer. Daher an dieser Stelle keine weitere Bewertung dieses Werkes.

Beim Gola/Schomerus bleibt meine generelle Empfehlung für alle bestellten Datenschutzbeauftragten, diesen als Handkommentar zu nutzen, sofern man ihn kritisch nutzt. Juristen jedenfalls sollten Simitis und Gola/Schomerus zeitgleich nutzen, um immer sämtliche Sichtweisen nachprüfen zu können. Vorkommnisse wie am Amtsgericht München, wo ohne weitere Nachprüfung der Gola/Schomeus mit einer höchst umstrittenen Meinung ohne weitere Auseinandersetzung zitiert wird, müssen Einzelfälle bleiben.

Natürlich gibt es gute Werke für die tägliche Praxis, den Kongehl etwa oder die aktuell erschienene Gesetzessammlung. Aber darin erschöpft es sich schon fast. Wenn man sich auf dem Markt umsieht, allgemeine Sachbücher weglässt und nur Fachliteratur betrachtet, die spätestens im Jahr 2008 erschienen ist, bleibt nicht wirklich viel übrig. Literatur zum Thema speziell für Studenten, damit man bereits im Studium den Eintieg findet, gibt es sogar gar nicht.

Bei den Kommentaren sieht es nicht besser aus: Den Markt teilen sich Simitis und Gola/Schomerus. Der Simitis hat den Stand von 2006, Gola/Schomerus von 2007. Aktuell ist das bei weitem nicht, wobei dann der Gola/Schomerus immer noch unreflektiert die Lehre vom “Datum mit relativem Personenbezug” vertritt, was schon 2007 m.E. nicht mehr so vertretbar war. Eine Neuauflage beider Kommentare ist immer noch nicht angekündigt.

Immerhin auf dem Zeitschriftenmarkt gibt es einen Lichtblick: Auch wenn ich mit der DuD ja sehr unzufrieden bin, verbleiben weitere (Datenschutz-PRaxis, MMR, Datenschutz-Berater), also insgesamt ein recht umfangreiches Angebot.

Was mich wundert ist dabei die Verkennung der beiden Zielgruppen: So gibt es einmal Juristen, die in diesem Bereich tätig sind, aber eben auch juristische Laien die zunehmend als interne Datenschutzbeauftragte in Betrieben zum Einsatz kommen. Hier bietet sich die Möglichkeit, mit einem Thema gleich doppelt zum Zuge zu kommen, wobei ich feststellen muss, dass gerade der praktische Bereich literarisch vollkommen unterbesetzt ist.

Wer den Datenschutz ernst nimmt, muss an dieser Stelle bei den Verlagen mehr Engagement fordern: In der NJW-Spezial wäre Platz für einen Abschnitt zum Datenschutz. Praxis-Guides sind dringend nötig, dabei benötigen die zunehmend zum Einsatz kommenden Laien wahrscheinlich am besten Checklisten, die in Form eines Kommentars aufbereitet sind. Es wäre schön, wenn die juristischen Verlage dieses Gebiet endlich systematisch erschließen.

Die bei TÜV-Media erschienene Sammlung, herausgegeben vom BvD, ist mir vor allem in drei Punkten besonders aufgefallen:

1. Das Format ist extrem kompakt, ich schätze eine halbe DinA5–Seite groß. Damit ist es sehr portabel und ist jederzeit griffbereit – anders als Loseblattsammlungen.
2. Der Umfang ist enorm: Alles was irgendwie mit Datenverarbeitung zu tun hat und nicht vollkommen abwegig ist, wurde hier rein gepackt. Dazu gehören nicht nur das BDSG, die SGB und naheliegende Normen wie die StPO (Auszugsweise) oder das KUrhG,sondern auch weitergehende Normen wie z.B. das TMG oder die Abgabenordnung.
3. Die Struktur ist interessant gewählt: Die Sammlung ist nach Themenbereichen strukturiert (Grundsätzliches, Personalverwaltung, Fürsorgepflicht des Arbeitgebers, Email und Internet, Geschäfts– und Kundenbeziehungen) und bietet somit die Möglichkeit, anhand des Themas um das es geht zielstrebig entsprechende Normen aufzufinden. Damit wird diese Sammlung auch der Praxis gerecht, in der zunehmend juristische Laien als Datenschutzbeauftragte eingesetzt werden, die sich also somit eine Gesetzessystematik erst aneignen müssen.

Im Ergebnis gefällt mir die Sammlung sehr gut; Sie wird wohl das umfassendste Werk sein, dass man zur Zeit findet. Dabei soll nicht vergessen werden, dass die Sammlung Top-Aktuell ist: Sämtliche Änderungen der nächsten Zeit sind bereits eingearbeitet, dort wo es sinnvoll ist auch in Form einer Synopse, so dass man sieht, welche Regelung bis zu welchem Zeitpunkt in welcher Formulierung gilt.

Alles in allem handelt es sich um eine Gesetzessammlung, die sehr auf den praktischen Bedarf und das tägliche Arbeiten ausgerichtet ist. Ich kann sie hier als Anschaffung empfehlen, zumal der Preis sehr günstig ist. Infos zur Sammlung:

Datenschutz – Eine Vorschriftensammlung
September 2009
472 Seiten
15,90 EUR
ISBN 978-3-8249-1103-5
Hier im TÜV-Media-Shop

Informationen dazu hier

• In NJW 35/2009 berichten Gola/Klug über die Entwicklungen im Datenschutzrecht vom Juli 2008 bis Juli 2009. Wie immer eine sehr knappe, aber recht umfassende Übersicht, die hilft, den Überblick zu behalten.
• In NJW 37/2009 sind zwei Aufsätze zu finden: Einmal zu den Datenschutznovellen und dann zum “neuen” Arbeitnehmerdatenschutzrecht im BDSG.

Der Aufsatz von Roßnagel in NJW 37/2009 zu den Novellen des Datenschutzrechts gibt einen sehr ausführlichen Überblick über die Novellen (die ich hier kurz vorgestellt habe) und trifft das ernüchternde Fazit, dass sie bestenfalls als kleiner Schritt zu bewerten sind.

Hinweis: Die beiden NJW-Hefte kann man im Beck-Onlineshop bestellen, die einzelnen Hefte sind nicht so teuer und auch wenn man den Rest vielleicht nicht braucht, lohnt sich das Geld dennoch. Wie gesagt: Für Datenschutz-Praktiker, nicht für Laien.

Sowohl inhaltlich als auch systematisch ist der Ordner durchdacht und überzeugend; Anfänger finden einen guten und gelungenen Einstieg, wobei sie durchaus “an die Hand” genommen werden – fortgeschrittene Nutzer dagegen können ihn als grundsolides Nachschlagewerk nutzen.

Ich denke, gerade Anfänger werden dankbar sein – speziell mit Blick auf die Datenschutzbeauftragten in Betrieben, die quasi jungfräulich in ihr Amt gehoben werden: Das Buch bietet im Abschnitt “Arbeitsplatz” eine recht innovative Art, die Inhalte aufzubereiten. Hier werden die wichtigsten Themen strukturiert mit kurzen Erläuterungen dargestellt – wobei jeweils Hinweise auf die Abschnitte des Ordners beigefügt sind, in denen man sich dann einlesen kann.

So wird man direkt zu Beginn quasi an der Hand durch das Thema geführt und erfährt schrittweise, was zu tun ist. Speziell das Kapitel “Die ersten 100 Tage”, das zudem als Checkliste genutzt werden kann, wird garantiert eine gute Hilfe sein.

Ansonsten kann man sich auf die verständliche Struktur des Ordners verlassen: Er ist in 5 Bereiche aufgeteilt, die selbsterklärend sind:

1. Praxis (“warum”, “was”, “wer”, “wie”)
2. Recht (Einführung in die Struktur des Datenschutrechtes)
3. Sicherheit (Darstellung des Thema IT-Sicherheit)
4. Lexikon (Nachschlagewerk)
5. Arbeitshilfen (BDSG sowie Zusammenfassung der CDROM auf der sich die Inhalte befinden)

Innerhalb dieser findet man die entsprechenden Themen – wobei sich das an den Anfang gefügte umfassende Stichwortverzeichnis auszahlt, wenn man nur zu einzelnen Themen etwas heraussuchen möchte.

Dem Ordner ist eine CDROM beigefügt, die als Ergänzung dient – spätestens, wenn man auf die Arbeitshilfen zurückgreifen möchte. Die CDROM bietet eine Fülle von Arbeitshilfen, so u.a. Vorlagen für Betriebsvereinbarungen, diverse Checklisten und Verträge sowie Handlungsanweisungen und Schulungsunterlagen.

Als Zielgruppe werden Betriebe und Behörden genannt – den Spagat schafft der Ordner auch problemlos und durchaus überzeugend. Ebenso wie man inhaltlich einerseits Praxis und rechtliche Fragen präsentiert, dazu auch auch theoretische Basics, die sicherlich mitunter auch schwierig zu verstehen sind, aber für die tägliche Praxis unabdingbar.

Insgesamt gibt es dazu schon nicht viel mehr zu sagen: Für betriebliche Datenschutzbeauftragte ist es jedenfalls ein umfassendes Arbeitshandbuch, dass Unternehmen ihren Datenschutzbeauftragten auf jeden Fall gönnen sollten. Von mir daher nun auch die offizielle Empfehlung, nachdem ich es schon seit längerer Zeit durchweg per Mail empfohlen habe.

Inhaltliche Anregungen

Ich weiss, das Autoren gerne inhaltliche Anregungen zu ihren Werken haben – ich möchte es an der Stelle nicht übertreiben und einige Kleinigkeiten anmerken:

• Da sich das Werk auch an Behörden richtet, wäre eine detaillierte Auseinandersetzung mit den Landesdatenschutzgesetzen schön – auch wenn sehr viel Arbeit. Zwar bietet das Werk schon eine Auseinandersetzung (vor allem im Kapitel 1.12 sehr gut aufbereitet) aber ich würde mir für jedes Bundesland eine kurze Darstellung der wichtigsten Fragen (speziell zum Thema Kameraüberwachung durch Behörden) wünschen.
• Ich bin überrascht, wie praxisnah das Werk auch mit Blick auf die Software geschrieben ist – so findet eben nicht nur PGP, sondern auch GPG mit Thunderbird/Enigmail erwähnung. Doch inzwischen gibt es weitere kleine Programme, speziell Truecrypt, die erwähnt werden müssten.
• Das Thema “Backup-Strategie” mit praktischer Umsetzung sollte in ein eigenes ausführliches Kapitel
• Die Ausrichtung auf KMU sollte verstärkt werden, speziell mit Blick auf tägliche Praxis und Kostenfaktoren
• Das Rechtsberatungsgesetz (Kapitel 1.4) gibt es nicht mehr, das Kapitel muss also aktualisiert werden
• Ein eigenes Kapitel zu Datenschutz bei Rechtsanwälten und Ärzten wäre sehr schön

Daten zum Werk

Prof. Dr. Gerhard Kongehl (Herausgeber)
Datenschutz-Management
Haufe Verlag
ISBN 9783809217053

Sein Fazit ist, dass man zwar insgesamt viele Hüllen fallen lassen muss, von einem allwissenden Staat aber (noch) nicht die Rede sein kann, wobei nach seiner Einschätzung die bisherigen Befugnisse im Großen und Ganzen angemessen sind und sich nur in Detailfragen Streits anbieten.

Der Aufsatz ist lesenswert für jeden, der einen ersten Einstieg in das Thema sucht. Der Preis von 3 Euro für die Einzelausgabe dürfte zu verkaften sein.

Download: Infoblatt Kamerauberwachung

Wer Google beobachtet, dem kann schwindelig werden: Das Unternehmen ist wirtschaftlich erfolgreich, gilt als einer der besten Arbeitgeber der Welt, das Wachstum ist ungebremst.
Doch was ist wirklich dran am Google-Mythos? Es tauchen auch Bedenken auf. Wird Google zu mächtig? Ist es schon zu mächtig? Kann man Googles Credo „Don´t do evil“ trauen? Welche Bedrohungen können entstehen, wenn Google die enormen Datenmengen missbraucht, die dem Unternehmen zur Verfügung stehen? Der Journalist Gerald Reischl hat sich mit diesen und anderen Fragen auseinandergesetzt.

Ich persönlich finde die Webseite zum Buch sehr schön, zumal der Autor auf den ersten Blick eben nicht nur “anfeindet”, sondern in der Tat einfach nur kritisch hinterfragt. Die Webseite ist zu finden unter: http://www.googlefalle.com/.

Dazu von der Webseite zum Buch:

»Die Google-Falle« hat ein anderes Ziel: Sie soll zur Bewusstseinsbildung beitragen und aufzeigen, in welchem Zwiespalt Internet-Nutzer leben, welche Versäumnisse Europa gemacht hat und worauf wir achten sollten, wenn wir das Internet für unsereZwecke nutzen wollen. Es wird anhand von Fakten bewiesen, dass Google seit Jahren schon der eifrigste Datensammler der Welt ist, dass es zahlreiche Patente auf Methoden gibt, mit denen die Internet-Nutzer verfolgt, analysiert und kategorisiert werden. Dass Versprechen, keine Daten auszuwerten und sie nach 18 Monatenzu löschen, nur Lippenbekenntnisse sind und warum man Informationen und Daten über die Nutzer braucht, um auch in Zukunft erfolgreich sein zu können. In der “Google-Falle” steht aber auch, welche Pläne Google für die Zukunft hat; warum es ins Handy- und Telekom-Geschäft einsteigen will und wie es den kompletten Werbemarkt – vom Internet über Zeitungen bis hin zum TV– dominieren will. Und wenn Google an Projekten arbeitet, die sich mit Medizin, Genforschung und Genanalyse beschäftigen, sollte uns das zu denken geben und Angst machen. Google ist schon längst keine bloße Suchmaschine mehr. Es ist eine der wertvollsten Firmen derWelt, die es einem ausgeklügelten PR-Konzept und der großen Masse an begeisterten Internet-Nutzern zu verdanken hat, dass deren Chefs zu den reichsten Geschäftsleuten der Welt gehören. Auf Kosten des Datenschutzes.

Ich werde es später rezensieren, sobald mir ein Exemplar vorliegt.

Download: SEO Workshop

Da das Thema scheinbar bis heute brisant ist und meine damaligen Ausführungen bis heute nichts an Akutalität verloren zu haben scheinen, stelle ich den Guide hier kostenlos zum Download: PHP Security Guide

Anleitung: Spam-Mails filtern