Der Fall in Kürze

Der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen hatte von einem Beschäftigten des klagenden Unternehmens eine E-Mail mit dem Betreff „Videoüberwachung am Arbeitsplatz“ erhalten. Darin schilderte er, dass an seinem Arbeitsplatz eine ständige Überwachung mit zahlreichen Kameras erfolgte, ohne dass die Mitarbeiter darüber informiert worden wären.

Eine akustische Überwachung und Aufzeichnung der Daten wollte er nicht ausschließen. Mit dem Hinweis, dass bislang aus Furcht vor Verlust des Arbeitsplatzes von niemandem etwas unternommen worden war und der Bitte, den Hinweis vertraulich zu behandeln, endete die Mitteilung.

Nachdem die Behörde das betreffende Unternehmen aufgefordert hatte, Auskunft zu den beschriebenen Vorgängen zu erteilen, verlangte dieses zunächst Akteneinsicht. Dem Verlangen kam die Aufsichtsbehörde nur teilweise nach. Die übersandten Unterlagen enthielten insbesondere keine Wiedergabe der E-Mail des Informanten. Außerdem war der Name des hinweisgebenden Beschäftigten in den übrigen Unterlagen geschwärzt. Beim Verwaltungsgericht Bremen wurde daraufhin durch das Unternehmen vollumfängliche Akteneinsicht bzw. Preisgabe des Namens des Informanten eingeklagt. Die Aufsichtsbehörde lehnte dies – aus Gründen des Informantenschutzes – ab und beantragte Klageabweisung.

Schutz von Informanten im Interesse des Datenschutzes

Dass mit Kenntniserlangung des Arbeitgebers von der Identität des Informanten negative Konsequenzen verbunden wären, liegt auf der Hand. Der Schutz von Informanten erfolgt aber nicht allein in deren Interesse, sondern auch um dem Datenschutzrecht zur Durchsetzung zu verhelfen. § 4f Abs. 5 S. 2 Bundesdatenschutzgesetz (“BDSG”) sieht beispielsweise vor, dass sich jeder Betroffene an den unternehmenseigenen Datenschutzbeauftragten wenden kann. Gemäß § 4f Abs. 4 BDSG ist dieser dann zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

Mitteilung muss für den Betroffenen risikofrei sein

Die Mitteilung darf für den Betroffenen in jedem Fall nicht mit einem Risiko verbunden sein. Müssten betroffene Beschäftigte etwa um ihren Arbeitsplatz fürchten, wenn sie sich an den Datenschutzbeauftragten oder die Aufsichtsbehörde wenden, blieben Missstände im Verborgenen.

Schutzbedürfnis besteht über die Dauer des Arbeitsverhältnisses hinaus

Besonders betont die Entscheidung, dass ein Schutzbedürfnis auch über die Dauer des Arbeitsverhältnisses hinaus bestehen kann. Selbst dann könne der Arbeitgeber noch Druck ausüben. Daneben droht natürlich gleichzeitig eine Rufschädigung, die sich insbesondere in kleinen Branchen sehr zum Nachteil des Betroffenen auswirken könnte.

Betroffene sind zu unterrichten

Neben der Identität des Informanten waren die Kläger auch daran interessiert, dass Dritte, insbesondere die von der Überwachungsmaßnahme betroffenen Beschäftigten, von der Überwachungsmaßnahme keine Kenntnis erlangen. Diesem Begehren stattzugeben sah sich das Gericht außer Stande, weil dies unvereinbar mit § 38 Abs. 1 S. 6 BDSG sei.

Hiernach ist die Aufsichtsbehörde befugt, bei Feststellung eines Datenschutzrechtsverstoßes, die davon Betroffenen darüber zu unterrichten. Das Gericht teilte die Ansicht der hierüber im Eilverfahren vorab entscheidenden Kammer, dass Verstöße gegen datenschutzrechtliche Bestimmungen vorliegen würden.

Grenze für Schutzbedürftigkeit: strafbares Verhalten

Nur wer wider besseres Wissen und nur um seinem Arbeitgeber zu schaden, Datenschutzrechtsverstöße behauptet, muss grundsätzlich damit rechnen, dass diesem seine Identität mitgeteilt wird. Daneben ist auch der Verrat von Betriebs- und Geschäftsgeheimnissen nach § 17 des Gesetzes gegen den unlauteren Wettbewerb (“UWG”) untersagt.

Entscheidung ist durchaus interessant für Arbeitgeber

Für Arbeitgeber ist die Entscheidung insofern interessant, als sie ausdrücklich auf die unternehmensrelevanten Vorschriften des BDSG hinweist. Angefangen von der Bestellung eines Datenschutzbeauftragten nach § 4f BDSG bis hin zur Meldepflicht für automatisierte Datenverarbeitungen nach §§ 4d, 4e BDSG hat es der Arbeitgeber selbst in der Hand für einen Betriebsablauf zu sorgen, der im Einklang mit dem Datenschutzrecht steht.

Fazit

Die Datenschutz-Aufsichtsbehörden haben die Identität von Informanten zu schützen. Arbeitgeber haben nach der Entscheidung grundsätzlich keinen Anspruch in Erfahrung zu bringen, welcher Beschäftigte sich vertraulich an die Aufsichtsbehörde gewandt hat. Eine Grenze bildet strafrechtlich relevantes Verhalten des Beschäftigten. Um derartige Streitigkeiten und die Konsequenzen aufsichtsrechtlichen Einschreitens zu vermeiden sollten Unternehmen nach Möglichkeit im Vorfeld für eine datenschutzkonforme Unternehmensorganisation sorgen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz, externe Datenschutzbeauftragte
Karola Berger, Jurist (univ.)

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Samstag, 21. August 2010

SPD-Bundestagsfraktion: Schufa: de Maizière muss endlich Datenschutzauditgesetz vorlegen. Mehr…

***

Sonntag, 22. August 2010

Abschied von der Lohnsteuerkarte. Wer als Arbeitnehmer in den kommenden Wochen auf Post von seiner Gemeinde wartet, wird enttäuscht werden. ELStAM soll das ab sofort regeln – doch bei der Umstellung gibt es Schwierigkeiten. Mehr…

***

Montag, 23. August 2010

Acta bleibt geheim. Inhalte sind weiter unbekannt, obwohl der Urheberrechts-Vertrag bald fertig sein soll. Mehr….

***

Dienstag, 24. August 2010

Neuer Personalausweis nicht sicher. Im Sicherheitssystem des neuen Personalausweises gibt es offenbar gravierende Sicherheitsmängel. Das zuständige Ministerium dementiert: „Der Ausweis ist sicher.“ Mehr…

***

Mittwoch, 25. August 2010

Wenn Daten in der Cloud verschwinden. Das Safe-Harbor-Abkommen regelt den Datenaustausch zwischen der EU und den Vereinigten Staaten. Mehr…

***

Donnerstag, 26. August 2010

Ärzteverbände geben der seit langem geplanten Einführung einer elektronischen Gesundheitskarte derzeit keine Chance. Mehr…

***

Freitag, 27. August 2010

Kirsten Heisig, “Das Ende der Geduld – Konsequent gegen jugendliche Gewalttäter”. Zusammenarbeit aller zuständigen Behörden sei ohne Beschränkungen durch einen übertriebenen Datenschutz erforderlich. Mehr…

Autor:
Eckehard Kraska

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Ein ehemaliger Verfassungsrichter hingegen wird in Anspruch genommen mit: Experte hält Verbot durch Verfassungsgericht für möglich.

In dem Folge-Text werden Rahmen-Bedingungen aufgeführt, unter denen Street View als rechtswidrig eingeschätzt werden könnte. Dies unter der Voraussetzung, wonach das Verfassungsgericht sich der Nutzbarmachung von zwischenzeitlich eingetretener technischer Weiterentwicklung entgegenstellen sollte. Denn Street View selber ist nicht neu, wie wir noch sehen werden. Neu ist lediglich die Technik, die (nicht nur) Google einsetzt, sowie all jenes, was mit dem Einsatz neuer Techniken denkbar wäre.

Sämtliche politischen Gruppierungen wollten das Sommerloch nicht einer sich erneut für zuständig haltenden Ministerin Aigner überlassen und reklamierten entweder das vermeintliche Vorliegen eines gesetzwidrigen Verhaltens von Google, oder aber sie beklagten das Fehlen einschlägiger Gesetze, um Google Einhalt gebieten zu können und erwarteten umgehende gesetzgeberische Abhilfe.

Erwartungen, deren schnelle Umsetzung durch Innenminister de Maziere gedämpft werden.

Die Gewährung einer Einspruchsfrist gegen eine Erfassung durch Street-View, sowie die nachträgliche Verlängerung dieser Frist: stellte dies womöglich ein kulantes Entgegenkommen seitens Google dar?

Auch die EU meldete sich mit der forschen Forderung nach Beachtung von EU-Standards, die dann jedoch in anderen, bereits abgefilmten EU-Ländern unbeachtet geblieben sein müssten.

Datenschutz stellt womöglich etwas vollständig anderes als das dar, was sich einige Bürger, Politiker oder Medien darunter vorzustellen scheinen.

Street View gibt es länger, als diese BRD existiert. Vorläufer der aktuellen Street View-Fahrzeuge waren VW-Käfer, auf deren Dach die damals verfügbare Kameratechnologie durch die Städte gefahren wurde, um aus den gewonnenen Bildern dreidimensionale Stadtkarten entwickeln und anschließend vermarkten zu können. Haupteinnahmequelle derer Tätigkeit war und ist bis zum heutigen Tage die Werbung.

Street View, nun mit aktueller Technik, betreibt beispielsweise auch die Stadt Duisburg. Denen geht es ausschließlich um Erfassung, Speicherung und Dokumentation von Gebäuden. Von einer Einspruchsfrist oder einem Angebot der Unkenntlichmachung eigener Gebäude – gar gemäß eines vermeintlichen EU-Datenschutz-Standards – ist im Falle Duisburg nichts bekannt.

In einem Aufsatz las ich: „German Angst“ sei womöglich Triebfeder unserer Skepsis, Deutsche wären mithin Angsthasen. Glaube ich aber nicht. Eher käme ein Defizit von persönlicher Souveränität und Gelassenheit in Betracht. Wobei ich nicht ausschließen will, dass in der Öffentlichkeit Ängste geschürt werden. Politik durch Hysterisierung: derartige Vorgehensweisen zur Erreichung politischer Ziele scheinen bei uns insgesamt zuzunehmen. Wer erinnert sich noch an die Ängste der Deutschen, demnächst ohne Wald auskommen zu müssen.

Dem deutschen Wald geht es gut.

Andere Länder haben offensichtlich ganz andere Probleme. Frankreich beispielsweise versteht sich als Wiege der Aufklärung, und damit als Hüter des Wertes gleicher Rechte für alle Menschen.

Die französische Regierung macht nun geltend, dass dies auch in dem tagtäglichen Umgang der Menschen untereinander zum Ausdruck kommen muss, und erwägt daher ein Verbot der Burka. Diese sei sowohl Instrument als auch Ausdruck von Unterdrückung der Frau.

Wer wollte hier widersprechen.

Eine Burka-Trägerin aus Frankreich widersprach. Sie macht geltend die Burka deswegen zu tragen, weil sie nicht angeschaut werden wolle. Sie wolle sich vor den Blicken anderer schützen.

Die Diskussion in der BRD über ein mögliches Burka-Verbot verläuft etwas anders als in Frankreich. Wir tragen andere Bürden als jene der französischen Revolution.

Wahrscheinlich liegt es nicht an der gewöhnlich schwarzen Färbung einer Burka, warum sich ausgerechnet die CDU gegen ein Burka-Verbot aussprach (Schwarz ist keine Farbe. Ich weiß.) und sich damit die Chance eines weiteren Verbotes durch die Finger flutschen lässt.

Ist hier etwa jener legendäre politische Wille am Werk, unserer Gesellschaft einen Rest von Individualität erhalten zu wollen? Indem man gestatten will, sich vor den Blicken anderer schützen zu können?

Wir Deutsche sind ein trachten-freudiges Volk. Vielleicht sollten wir – als Ausdruck eines durch unser derzeitiges Datenschutz-Verständnis transportiertes Verlangen nach Individualität – die Burka zur Tracht erheben? Die Tracht des Datenschutzes.

Um sich von einer Frauenfeindlichkeit dieser Kleidung glaubwürdig distanzieren zu können, müsste dieses Gewand dann jedoch auch durch den Mann getragen werden. Gleichheit für alle.

Burka für alle, die für sich das Recht reklamieren, ihre Individualität von anderen Blicken unbehelligt und ganz für sich alleine zu beanspruchen.

Womit wir wieder bei Street View wären.

Ich darf der Phantasie des Lesers überlassen, wie man beispielsweise aus einer bei Street View ausgepixelten Immobilie heraustritt und unter einer Burka vor unerwünschten Blicken geschützt sich ins nächste Wirtshaus begeben könnte.

Das ist Datenschutz in Vollendung. Verschmelzung der Kulturen.

Als indirekte Folge von New Technology könnte bei uns gar eine Burka-Industrie entstehen (Arbeitsplätze!) und wir hätten es allen erneut gezeigt, wie wir selbst aus dieser Nummer wieder herauskommen.

Zunächst jedoch müssen wir wohl noch etwas tiefer hineingleiten.

Neue Datenschutzgesetze stehen an, um die bereits geweckten Erwartungen auch bedienen zu können. Aufgeworfene Facebook-Fragen harren ebenfalls noch einer Regelung. Und vielleicht besteht auch noch der Ehrgeiz, sich dabei des in Gang gekommenen Cloud Computing gesetzgeberisch anzunehmen?

Letzteres wäre jedoch mit der Bitte verbunden, wonach sich am besten vorher jemand fände, der erklären mag, was man sich unter Cloud Computing überhaupt vorzustellen habe.

Autor: Eckehard Kraska

Information bei neuen Datenschutz-Artikeln

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Kurz zusammengefasst: was ändert sich?

Fragerecht des Arbeitgebers

“Eine neue Regelung schafft Rechtssicherheit vor allem in Bewerbungsverfahren. Sie stellt klar, welche Fragen in Bezug auf die künftige Tätigkeit zulässig sind. Name, Anschrift, Telefonnummer und E-Mail-Adresse der Kandidaten dürfen beispielsweise erhoben werden. Dies gilt auch für weitere Daten – wenn und soweit sie erforderlich sind, um die Eignung der Bewerber festzustellen.”

Zulässigkeit ärztlicher Untersuchungen

“Der Gesetzentwurf regelt, wann ärztliche Untersuchungen zulässig sind. Der Gesundheitszustand muss zum Zeitpunkt der Arbeitsaufnahme eine wesentliche und entscheidende berufliche Anforderung darstellen. So kann beispielsweise die Flugtauglichkeit eines künftigen Piloten geprüft werden – die von Bäckern grundsätzlich nicht.”

Videoüberwachung

“Der Gesetzentwurf regelt die Videoüberwachung im nichtöffentlichen Bereich. Eine heimliche Videoüberwachung ist unzulässig.”

Einsatz von Ortungssystemen

“Ortungssysteme dürfen grundsätzlich nur dann zum Einsatz kommen, wenn dies aus betrieblichen Gründen erforderlich ist. Das kann zum Beispiel für die Sicherheit der Beschäftigten erforderlich sein oder zur Koordinierung von Einsätzen. Strenge Regeln gelten auch für die Erhebung biometrischer Merkmale, zum Beispiel von Fingerabdrücken.”

Interessen der Arbeitgeber wahren

“Künftig sollen klare Regeln gelten, mit denen die Rechtssicherheit für Arbeitgeber und Arbeitnehmer erhöht wird. Das berechtigte Anliegen der Arbeitgeber, Korruption zu bekämpfen, soll beachtet werden. Auch Kontrollen zur Einhaltung geltender Regeln am Arbeitsplatz sollen möglich sein. Der Gesetzentwurf soll einerseits Mitarbeiter an ihrem Arbeitsplatz vor Bespitzelung schützen. Er soll aber andererseits auch Arbeitgebern verlässliche Grundlagen für die Zusammenarbeit an die Hand geben.”

Den Gesetzesentwurf im vollen Wortlaut können Sie hier einsehen.

Mit einer ersten Lesung im Bundestag ist nach Presseberichten im November zu rechnen.

Lesen Sie hier, was die neue Gesetzeslage im Hinblick auf die Kontrolle betrieblicher Kommunikationsmittel bedeuten würde.

Information bei neuen Datenschutz-Beiträgen

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Hintergrund: Erlaubnis privater Nutzung

Erlaubt der Arbeitgeber seinen Beschäftigten die Nutzung des betrieblichen E-Mail Zugangs zu privaten Zwecken, wird er damit zu einem geschäftsmäßigen Anbieter von Telekommunikationsdienstleistungen. Das Telekommunikationsgesetz („TKG“) richtet sich nicht nur an Telekommunikationskonzerne als „klassische“ Anbieter von Telekommunikationsdienstleistungen, sondern erfasst auch betriebliche Telekommunikationsanlagen. Diese Möglichkeit wurde vom Gesetzgeber bewusst offengelassen, denn der Anbieter muss weder die Absicht haben mit dem Angebot von Telekommunikationsdiensten „Geld zu verdienen“ (Gewinnererzielungsabsicht – § 3 Nr. 10 TKG), noch muss sich das Angebot an die Allgemeinheit richten sondern kann auch gegenüber einer geschlossenen Benutzergruppe (Belegschaft im betrieblichen Kommunikationsnetz) erbracht werden.

Das Problem: Erlaubnis aufgrund Duldung

Der Arbeitgeber muss nach herrschender Meinung aber nicht einmal explizit die private Nutzung erlauben: es reicht aus, wenn er die auch private Nutzung des E-Mail Zugangs duldet und Verstöße nicht rechtzeitig sanktioniert. Das heißt ganz praktisch: nur das tatsächlich kontrollierte und sanktionierte Verbot privater E-Mail Nutzung schützt den Arbeitgeber wirklich davor, als „Anbieter von Telekommunikationsdienstleistungen“ eingeordnet werden zu können.

Rechtsfolge: Arbeitgeber als „Anbieter von Telekommunikationsdienstleistungen“

Folge der Einordnung des Arbeitgebers als „Anbieter von Telekommunikationsdienstleistungen“ und damit der Anwendbarkeit des TKG ist, dass dieser den Verpflichtungen zum Schutz des Fernmeldegeheimnisses gemäß § 88 TKG unterliegt. Verbindungs- und Inhaltsdaten, die bei der betrieblichen E-Mail Kommunikation anfallen, dürfen nur in den im TKG ausdrücklich geregelten Fällen (Entgeltermittlung § 97 TKG; Störung und Missbrauch von Telekommunikationsdiensten § 100 TKG) erhoben und ansonsten nicht überwacht werden. Insbesondere darf nicht auf andere einfachgesetzliche Erlaubnisnormen z.B. des Bundesdatenschutzgesetzes („BDSG“) zurückgegriffen werden.

Das heißt konkret: Einschränkung von Kontrollmöglichkeiten

Das Fernmeldegeheimnis oder Telekommunikationsgeheimnis statuiert ein Verbot des „unbefugten Abhörens, Unterdrückens, Verwertens oder Entstellens, von Fernmelde- Botschaften und ist grundgesetzlich geschützt (Art. 10 Grundgesetz). Legaldefiniert ist das Fernmeldegeheimnis in § 88 Abs. 1 TKG, wonach von diesem „der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war“, geschützt wird.

Das Bundesverfassungsgericht hat sich 2006 in einer Grundsatzentscheidung zum Anwendungsbereich des Fernmeldegeheimnisses geäußert. Danach soll das Fernmeldegeheimnis die Vertraulichkeit der „privaten“ Fernkommunikation gewährleisten, weil die am Kommunikationsvorgang Beteiligten wegen der räumlichen Distanz auf die Hilfe eines Dritten (Telekommunikationsunternehmen) bei der Datenübermittlung angewiesen sind. Geschützt ist neben per Telefon übertragener Kommunikation auch die Datenübertragung per E-Mail. Das Fernmeldegeheimnis schützt nur vor spezifischen Gefahren, die in Zusammenhang mit dem Übertragungsvorgang stehen. Der Schutzbereich reicht daher nur soweit die Nachricht noch nicht beim Empfänger angekommen ist und damit der Übertragungsvorgang abgeschlossen ist. Sobald nämlich die Nachricht im „Machtbereich“ des Empfängers angelangt ist, kann dieser selbst geeignete Schutzmaßnahmen treffen um den Zugriff von Unbefugten zu verhindern. Zudem können per E-Mail empfangene Dateien gar nicht oder nur sehr schwer von selbst erstellten Dateien unterschieden werden.

Konkret für E-Mails: Auslegung des Begriffs „Herrschaftsbereich des Empfängers“

Bei der Versendung von privaten E-Mails am Arbeitsplatz ist fraglich ab welchem Zeitpunkt die Nachricht im Herrschaftsbereich des Empfängers angelangt ist. Kann man davon bereits ausgehen, wenn die Nachricht auf dem Server des Arbeitgebers angelangt ist, weil ja der jeweilige Angestellte ab diesem Zeitpunkt die weitere Verwendung der E-Mail beeinflussen kann oder soll es darauf ankommen ob die Nachricht auf dem individuell genutzten PC des Beschäftigten eingegangen ist?

BVerfG: E-Mail Postfach ist geschützt

In einer Entscheidung aus dem Jahre 2009 hat der Bundesgerichtshof („BGH“) zudem ausgeführt, dass der vom Fernmeldegeheimnis geschützte Telekommunikationsvorgang auch dann als abgeschlossen zu betrachten sei, wenn die betreffende E-Mail beim Webmail Provider gespeichert ist. Der Schutz des Fernmeldegeheimnisses würde dadurch erheblich beschränkt, da die E-Mails zumeist auf zentralen Servern gespeichert sind. Die Server können mitunter sehr weit vom lokalen Netzwerkanschluss des Beschäftigten entfernt sein.

Diesem Ansatz des BGH hat das Bundesverfassungsgericht allerdings in einem Beschluss vom 16. Juni 2009, bei dem es um die Beschlagnahmung von E-Mails durch die Strafverfolgungsbehörden ging, widersprochen und stellte klar:

„Der zugangsgesicherte Kommunikationsinhalt in einem E Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, ist durch das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) geschützt. Der Kommunikationsteilnehmer hat keine technische Möglichkeit, die Weitergabe der E-Mails durch den Provider an Dritte zu verhindern. Dieser technisch bedingte Mangel an Beherrschbarkeit begründet die  besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis, welches  jenen Gefahren für die Vertraulichkeit begegnen will, die sich aus der  Verwendung eines Kommunikationsmediums ergeben, das einem staatlichem Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden.

Dies gilt unabhängig davon, ob eine E-Mail auf dem Mailserver des Providers zwischen- oder endgespeichert ist. Dem Schutz durch Art. 10 Abs. 1 GG steht nicht entgegen, dass während der Zeitspanne, während deren die E-Mails auf dem Mailserver des Providers „ruhen“, ein Telekommunikationsvorgang in einem dynamischen Sinne nicht stattfindet. Art. 10 Abs. 1 GG folgt nicht dem rein technischen Telekommunikationsbegriff des Telekommunikationsgesetzes, sondern knüpft an den Grundrechtsträger und dessen Schutzbedürftigkeit aufgrund der Einschaltung Dritter in den Kommunikationsvorgang an. Die spezifische Gefährdungslage und der Zweck der Freiheitsverbürgung von Art. 10 Abs. 1 GG bestehen auch dann weiter, wenn die E-Mails nach Kenntnisnahme beim Provider gespeichert bleiben. […] Die Auslagerung der E-Mails auf den nicht im Herrschaftsbereich des Nutzers liegenden Mailserver des Providers bedeutet nicht, dass der Nutzer mit dem Zugriff auf diese Daten durch Dritte einverstanden ist (Beschluss vom 16. Juni 2009, 2 BvR 902/06).“

Zwar hatte das Bundesverfassungsgericht vorliegend über einen Fall mit strafprozessualem Einschlag zu entscheiden. Eine ähnliche Gefahrenlage für die (gestattete) private E-Mail Kommunikation des Arbeitnehmers ergibt sich jedoch gleichwohl, sodass die vom Bundesverfassungsgericht aufgestellten Grundsätze ebenfalls gelten müssen.

Teilweise wird nach der Art des eingesetzten E-Mail Systems (POP3- oder IMAP-Verfahren) unterschieden. Bei einer POP3 Anwendung, wo die E-Mails beim Abruf durch den E-Mail Client (MS Outlook, Mozilla Thunderbird, etc.) vom Server im Regelfall automatisch gelöscht und nur lokal gespeichert werden, unterfallen diese E-Mails nach herrschender Meinung nicht mehr dem Schutz des Fernmeldegeheimnisses. Im Gegensatz dazu wird bei Verwendung des IMAP-Protokolls lediglich eine Kopie der auf dem Server gespeicherten Nachricht angefertigt.

IMAP-Postfach: Fernmeldegeheimnis?

Daraus folgt teilweise die – umstrittene – Ansicht, dass per IMAP weiterhin auf dem Server gespeicherte E-Mail ebenfalls nicht mehr dem Fernmeldegeheimnis unterfallen, denn der E-Mail-Empfänger habe sich ja bewusst dazu entschieden die E-Mail im „Machtbereich“ des Arbeitgebers zu belassen anstatt vom Server zu löschen. Dagegen spricht nicht nur, dass ein bloßes passives „zur Kenntnis nehmen“ nicht mit einer aktiven Handlung (E-Mail löschen, verschieben etc.) gleichgesetzt werden kann, sondern auch der mit IMAP verbundene Sicherheitsaspekt. Sinn der grundsätzlich dauerhaften Speicherung der E-Mails auf dem Posteingangsserver ist, dass diese auch im Fall eines Computerabsturzes weiterhin verfügbar sind und zudem die Bearbeitung von E-Mail ggf. nicht auf einen PC Arbeitsplatz beschränkt ist sondern mehrfach abgerufen werden kann. Diese Vorteile dürfen nicht durch ein – aus Sicht des Arbeitnehmers – geringeres Schutzniveau entwertet werden.

Ausblick: neuer Gesetzentwurf zum Beschäftigtendatenschutz sieht Ausnahme vor

In einigen Punkten verspricht nun der Entwurf des Bundesinnenministeriums vom 11. August 2010 zur Schaffung eines “Gesetzes zur Regelung des Beschäftigtendatenschutzes” Abhilfe, der nach verschiedenen Presseberichten noch diese Woche vom Bundeskabinett verabschiedet werden soll (Update: “Beschäftigtendatenschutz: Regierung verabschiedet Gesetzesentwurf“). Danach soll gemäß § 32i Abs. 4 BDSG-E bei Verbot der Privatnutzung (str.) auch bei privaten Daten im E-Mail-Postfach des Beschäftigten der Zugriff durch den Arbeitgeber zulässig sein, wenn der Beschäftigte hiervon weiß und es für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Fazit

Die Reichweite des Fernmeldegeheimnisses ist bei der E-Mail Überwachung durch den Arbeitgeber auch wegen seiner strafrechtlichen Absicherung eine kritische Größe und in jedem Fall zu beachten. Wollen Arbeitgeber die Privatkommunikation über die betriebliche E-Mail-Adresse gestatten, haben diese sich bei der Überwachung in den Grenzen der Erlaubnisnormen des TKG zu bewegen und müssen dadurch auf weitgehende Kontrollen ihrer Beschäftigten verzichten. Klärung einiger offener Fragen verspricht der neue Entwurf des Bundesinnenministeriums zum Beschäftigtendatenschutz: danach sollen Kontrollen insb. des E-Mail-Postfachs künftig grundsätzlich möglich sein, wenn die Privatnutzung untersagt ist (str.), der Beschäftigte hiervon weiß und die Kontrolle für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessor Benjamin Schuetze, LL.M. (VUW)

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Sonntag, 15. August 2010

Blackberry hat der indischen Regierung angeboten, Informationen und Werkzeuge zum Überwachen bereitzustellen. Deutscher Innenminister empfiehlt Bundesregierung und Bundesverwaltung, auf Blackberry zu verzichten. Mehr…

***

Montag, 16. August 2010

„Intelligente Stromzähler“ sind eine Art Überwachungskamera im grundgesetzlich geschützten Wohnbereich, sagen Verbraucherschützer. Mehr…

***

Dienstag, 17. August 2010

Street View: Eingriff in Persönlichkeitsrechte und Datenschutz oder unbedenklicher Service? Mehr…

***

Mittwoch, 18. August 2010

„Datenschutz bei Frühen Hilfen – Praxiswissen kompakt“ wendet sich an Fachkräfte in Geburtskliniken, Arztpraxen, Schwangerschaftsberatungsstellen und kommunalen Ämtern sowie an Hebammen und die Fachkräfte bei freien Trägern der Jugendhilfe. Mehr…

***

Donerstag, 19. August 2010

Dank modernster Elektronik finden brisante Informationen immer leichter den Weg an die Öffentlichkeit. Das ist – von wenigen heiklen Fällen abgesehen – ein enormer Segen für die Gesellschaft. Mehr…

***

Freitag, 20. August 2010

NXP baut in 60 Millionen deutsche Personalausweise Mikrocomputer ein. Mehr…

Autor:
Eckehard Kraska

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Das Erfordernis einer rechtlichen Regelung

Die Qualität privater Satelliten entspricht mittlerweile der von militärisch und nachrichtendienstlich genutzten Satelliten des Staates und stellt damit auch ein potentielles Sicherheitsrisiko dar. Die USA haben bereits die Ausfuhr von Satellitenbauteilen an nationale gesetzliche Regelungen des Importlandes gebunden, die ihren Sicherheitsbedenken hinreichende Garantien geben. Auch der deutsche Gesetzgeber sah daher Handlungsbedarf, die Nutzung von Satelliten-Geodaten einer gesetzlichen Regelung zu unterwerfen.

Das Satellitendatensicherheitsgesetz

Mit dem „Gesetz zum Schutz vor Gefährdung der Sicherheit der Bundesrepublik Deutschland durch das Verbreiten von hochwertigen Erdfernerkundungsdaten“ (kurz Satellitendatensicherheitsgesetz oder SatDSiG) unternimmt der Gesetzgeber den Versuch, sicherheits- und außenpolitische Interessen des Staates einerseits und privatwirtschaftliche und wissenschaftliche Interessen anderseits in Einklang zu bringen.

Privater Betrieb eines Satelliten: Genehmigungsvorbehalt

Das SatDSiG stellt den privaten Betrieb eines hochwertigen Erdfernerkundungssystems vom Gebiet der Bundesrepublik aus gem. §§ 3,1 SatDSiG unter einen Genehmigungsvorbehalt des Staates. Vorab geprüft werden sollen hierbei vor allem die durch den Satelliten gesammelten Daten.

Was sind Satelliten-Geodaten?

§ 2 Abs. 1 Nr. 2 definiert Daten im Sinne des SatDSiG als

„Signale eines Sensors oder mehrerer Sensoren eines Orbital- oder Transportsystems und alle daraus abgeleiteten Produkte, unabhängig vom Grad ihrer Verarbeitung und der Art ihrer Speicherung oder Darstellung.“

Ein solcher Sensor ist nach § 2 Abs. 1 Nr. 5 SatDSiG

„ein Teil eines raumgestützten Erdfernerkundungssystems, das elektromagnetische Wellen aller Spektralbereiche oder gravimetrische Felder aufzeichnet.“

Sind Satelliten-Geodaten auch personenbezogene Daten im Sinne des BDSG?

Ob diese Daten auch personenbezogene Daten sind, richtet sich nach § 3 Abs. 1 Bundesdatenschutzgesetz („BDSG“). Danach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Die Meinung des EuGH und BVerfG zu dieser Frage

Im Grundsatz können Geodaten v.a. Aussagekraft über eine Person bezüglich ihres Aufenthaltes, ihrer Nutzungsbeziehung zur abgebildeten Umwelt oder zum Eigentum haben. Sind Angaben jedoch zu großflächig und somit zu allgemein, könne kein Personenbezug mehr angenommen werden. Die Übermittlung von Art und Umfang der wirtschaftlichen Flächennutzung eines Zielgebiets hat der Europäischen Gerichtshof (EuGH, Urt. v. 14.2.2000, Rs. C-369/98) jedoch als personenbezogene Daten angesehen.

Nach der Rechtsprechung des Bundesverfassungsgerichts (BVerfG, Beschluss vom 2.5.2006, 1 BvR 507/01) könne zudem die Abbildung von Grundstücken aus der Luft einen Eingriff in das allgemeine Persönlichkeitsrecht darstellen, wenn Bereiche des privaten Lebensbereichs gezeigt werden, die von öffentlichen Plätzen nicht einsehbar sind. Entscheidend ist insgesamt ob auf die Identität der betroffenen Personen geschlossen werden kann.

Übermittlung von personenbezogenen Daten

§ 27 SatDSiG ist nach der Systematik des Gesetzes Spezialnorm zu § 15 BDSG, der die Übermittlung von personenbezogenen Daten an öffentliche Stellen regelt. Von dieser Besonderheit abgesehen gilt das dem BDSG zugrunde liegende Verbot mit Erlaubnisvorbehalt einer jeden Verarbeitung von personenbezogenen Daten natürlich auch hier.

Gemäß § 27 SatDSiG wird die jeweils zuständige Behörde ermächtigt, zur Abwehr einer Gefahr für die wesentlichen Sicherheitsinteressen der Bundesrepublik Deutschland oder zur Verhinderung einer Störung des friedlichen Zusammenlebens der Völker oder einer erheblichen Störung der auswärtigen Beziehungen oder zur Verhütung oder Verfolgung von Straftaten personenbezogene Daten, die ihr bei der Erfüllung ihrer Aufgaben bekannt geworden sind, an eine andere Behörde zu übermitteln. Auch eine Übermittlung an den Bundesnachrichtendienst ist möglich, soweit der Zweckbindungsgrundsatz gewahrt wird.

§ 27 Abs. 2 SatDSiG enthält eine weitere Ermächtigungsgrundlage zur Datenübermittlung im Falle von Strafverfahren wegen eines Verstoßes gegen das SatDSiG. Gerichte und Staatsanwaltschaften dürfen hiernach aus denselben bereits zu Absatz 1 erwähnten Gründen an oberste Bundesbehörden personenbezogene Daten übermitteln. Eine Übermittlung ist nur zulässig, wenn das Interesse an der Verwendung der übermittelten personenbezogenen Daten das Interesse des Betroffenen an der Geheimhaltung erheblich überwiegt und der Untersuchungszweck des Strafverfahrens nicht gefährdet werden kann.

Das Verfahren zur Verbreitung von Daten

Soweit Daten verarbeitet werden, sieht das SatDSiG ein zweistufiges Prüfungsverfahren vor, bevor Daten von hochwertigen Erdfernerkundungssystemen erstmals verbreitet werden dürfen.

§ 17 SatDSiG legt dem Datenanbieter zunächst eine Vorabprüfung auf. Dieser hat die Anfrage auf ihre Sensitivität hin zu prüfen. Nach Absatz 2 ist eine Gesamtschau der aus den Daten zu entnehmenden Informationen sowie der antragenden Person vorzunehmen. Insbesondere die Person des Antragenden soll in geeigneter Weise durch den Datenanbieter überprüft werden. Den Datenanbieter ist nach § 18 SatDSiG umfassend zu Dokumentation von Anfragen verpflichtet.

Ziel ist es, die Möglichkeit eines Schadenseintritts für die wesentlichen Sicherheitsinteressen der Bundesrepublik Deutschland, das friedliche Zusammenleben der Völker oder die auswärtigen Beziehungen der Bundesrepublik einschätzen zu können. § 17 Abs. 3 SatDSiG zusammen mit § 2 der vom Bundesministerium für Wirtschaft und Technologie erlassenen Satellitendatensicherheitsverordnung bestimmen, unter welchen Voraussetzungen die Möglichkeit eines Schadenseintritts vorliegt. Zu berücksichtigen sind regelmäßig zu aktualisierende Sicherheitsanforderungen und internationale Verpflichtungen der Bundesrepublik, insbesondere im Zusammenhang mit der NATO.

Schließlich stellt die Verordnung in § 2 Abs. 1 fest, dass Anfragen der Bundesrepublik, die in Fällen höchster Sicherheitsrisiken nach § 21 SatDSiG auch vorrangig zu bedienen wären, nicht als sensitive Anfragen anzusehen sind. Anfragen von deutschen militärischen oder nachrichtendienstlichen Behörden sind grundsätzlich als nicht sensitiv anzusehen.

Zweite Stufe des Verfahrens: Erlaubnisvorbehalt nach § 19 SatDSiG

Die zweite Stufe des Verfahrens zur Verbreitung von Daten findet sich in einem Erlaubnisvorbehalt nach § 19 SatDSiG. Ein Datenanbieter muss jede Verbreitung von Daten hochwertiger Erdfernerkundungssysteme behördlich bestätigen lassen. Die zuständige Behörde muss innerhalb eines Monats entscheiden, ob die bereits erwähnte Möglichkeit eines Schadenseintritts nun auch im konkreten Einzelfall vorliegt.

Fazit zur Anreicherung der Diskussion, durch nationale Gesetzgebung globale Sachverhalte regeln zu wollen:

Der deutsche Gesetzgeber hat den rechtlichen Rahmen für die kommerzielle Verbreitung hochauflösender Satellitendaten geschaffen. Dies schließt datenschutzrechtliche Ermächtigungsgrundlagen im Bereich Sicherheit und Strafprävention und -verfolgung ein. Der Staat behält damit weitreichend die Kontrolle über hochauflösende Satellitendaten. Dazu gehört insbesondere das staatliche Interesse an Informationen über Personen, die Zugang zu sensitiven Daten oder eine entsprechende Anfrage getätigt haben.

Allgemeiner Hinweis: vertiefende Informationen enthält auch die Studie „Geodaten und Datenschutz“ des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) aus dem Jahr 2006.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz, externe Datenschutzbeauftragte
Michael Stolze (Jurist (univ.))

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Zum Hintergrund (vgl. hierzu auch unseren Artikel “Flash-Cookies: Zombies im Datenschutzrecht?“)

Diverse Online-Studien haben herausgefunden, dass insgesamt etwa 30% der Internetbenutzer nach etwa einem Monat ihre Cookies löschen. Das in der Marktanalyse sehr beliebte Webtracking verliert damit an Aussagegehalt. Da Webtracking Programme oftmals auf Cookies aufbauen, können diejenigen User, welche die Cookies löschen, nicht über einen längeren Zeitraum beobachtet werden. Eine technische Neuerung war aus Sicht der Online-Marketing-Provider damit nötig. Ein Feature für den Adobe Flash Player wurde entwickelt, der sog. Flash Cookie.

Flash Cookies können unter anderem so programmiert werden, dass Cookies, die vom Nutzer im Browser gelöscht wurden, beim nächsten Besuch der Webseite wieder aktiviert werden. Diese Praxis wird im Englischen als “re-spawning” (zu Deutsch „wieder erzeugen“) bezeichnet. Die Nutzerverfolgung kann anschließend aufgrund der wieder erzeugten Cookies weitergehen, obwohl der Nutzer diese zuvor ausdrücklich in seinem Browser gelöscht hat.

Der neue Sachverhalt

Offensichtlich ist mit den neuen Flash Cookies aber nicht nur das Benutzerverhalten auf der eigenen Webseite analysiert worden. Wie cnet und VentureBeat aktuell berichten, wird den Webseiten-Betreibern vorgeworfen, mit den speziellen Flash Cookies von Clearspring das Surfverhalten insgesamt ausgewertet zu haben. Mit anderen Worten: die betreffenden Webseiten konnten angeblich nicht nur einsehen, was der Webseiten-Besucher auf Ihrer Webseite anklickte, sondern welche Internetseiten er insgesamt besucht hatte.

Information bei neuen Datenschutz-Beiträgen

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Sonntag, 8. August 2010

Erster Körperscanner-Versuch startet im September. Innenminister de Maizière kündigt Test in Hamburg an. Mehr lesen…

****

Airport scanners, which are used for airline security, have been criticised by travellers for being intrusive and making them feel naked and strip searched. An LA-based company, Flying Pasties, has come up with a solution by providing sticky rubber “pasties” to passengers’ private parts to spare their blushes. Mehr lesen…

***

Montag, 9. August 2010

In Deutschland haben mehrere Politiker die Blossstellung von Sexualstraftätern im Internet angeregt. Gewerkschafter und Datenschützer verweisen dagegen auf die dadurch schwierge Resozialisierung und warnen vor möglicher Lynchjustiz. Mehr…

***

Dienstag, 10. August 2010

Berlin: (hib/KTK/BOB) Der Deutsche Ethikrat plädiert in einer Unterrichtung an den Bundestag (17/2620) dafür, den Datenschutz bei Biodatenbanken verstärkt zu beachten. Mehr…

***

Mittwoch, 11. August 2010

Zahlreiche Smartphone-Anwendungen sammeln sensible Daten und leiten diese weiter – manchmal sogar ohne das Wissen ihrer Programmierer. Mehr…

***

Donnerstag, 12. August 2010

Politiker sollen nicht pixeln, sondern Gesetze machen
Die Pixel-Politiker

KOMMENTAR VON JULIA SEELIGER

…drohte Facebook mit der Löschung ihres Profils. Auch in der Causa Streetview machte Aigner einen auf Aktivistin und warb dafür, gegen Streetview Widerspruch einzulegen. Jetzt haben zahlreiche Politiker angekündigt, ihr Haus verpixeln zu lassen. Heroisch? Nein – polemisch. Mehr…

ebenfalls dazu:

Die lächerliche Angst vorm bösen Blick

Ein Kommentar von Thomas Darnstädt

Google will den Kartendienst Street View nun auch in Deutschland starten. Und schon empören sich die Datenschützer. Doch ihre Aufregung ist nicht mehr als die provinzielle Furcht vor der allgegenwärtigen Öffentlichkeit – und in einer offenen, global vernetzten, kommunikativen Welt nicht zeitgemäß. Mehr…

***

Freitag, den 13. August 2010

Informatiker der University of South Carolina und der Rutgers University nähern sich in einer Studie zur Sicherheit elektronischer Steuerungen in Kraftfahrzeugen dem Thema über den Gesichtspunkt Datenschutz. Über böswillige Eingriffe in die Fahrzeugelektronik moderner PKW lassen sich zahlreiche gefährliche Aktionen vom Deaktivieren der Bremsen während der Fahrt über ein Ausschalten der Zündung bis zu spontanen Vollbremsungen auslösen. Mehr…

***

Samstag, 14. August 2010

Richard Powers, der neunte Mensch, dessen Genom komplett sequenziert wurde. Boston, Harvard Club, August 2008. Ein brisanter Moment. Insbesondere für Richard Powers. „Nach einem halbwegs gesunden Mittagessen“, schreibt er, wird ihm ein Rosenholzkästchen überreicht, in dem ein USB-Stick liegt, auf dem die Daten von sechs Milliarden Basenpaaren gespeichert sind. Unter dem Stick liegt ein verschlossenes Kuvert mit einem Passwort. Nur das Anstecken des Sticks an seinen PC trennt Powers vom vollständigen Wissen um sein Genom. Mehr…

Autor:
Eckehard Kraska

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund: ein Urteil aus England

Bereits im Jahr 2008 wurde ein ähnlich gelagerter Fall in England entschieden: ein Beschäftigter führte seine geschäftlichen Kontakte ausschließlich im Online-Netzwerk LinkedIn und verwies am PC des Arbeitgebers nur auf seine entsprechenden Notizen in dem Online-Netzwerk LinkedIn. Als er später das Unternehmen verließ, fand der Arbeitgeber lediglich diese Verweisungen auf LinkedIn vor. Ein Gericht in England verurteilte den Beschäftigten schließlich zur Herausgabe seines LinkedIn-Accounts an den Arbeitgeber.

Welche datenschutzrechtlichen Probleme können sich bei einem solchen Fall in Deutschland stellen?

Unterstellt man nun, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stellt sich die Frage, ob ein solches Herausgabeverlangen auch datenschutzrechtlich zulässig wäre.

Das Bundesdatenschutzgesetz („BDSG“) ist grundsätzlich anwendbar

Das BDSG wäre nicht anwendbar, wenn die Datenerhebung und -nutzung „ausschließlich für persönliche oder familiäre Tätigkeiten“ erfolgt (§ 1 Abs. 2 Nr. 3 BDSG). Diese Ausnahme greift aus unserer Sicht für den Beschäftigten nicht. Bei der Nutzung einer Plattform wie XING oder LinkedIn werden zumindest auch geschäftliche Interessen verfolgt. Das BDSG ist mithin anwendbar.

Herausgabe des XING-Accounts wäre „Übermittlung“ im Sinne des BDSG

Nach dem System des Datenschutzrechtes wäre eine Übermittlung des XING-Accounts an den Arbeitgeber durch den Beschäftigten grundsätzlich unzulässig, es sei denn „[das BDSG] oder eine andere Rechtsvorschrift [hat] dies erlaubt oder (…) [angeordnet] oder der Betroffene [hat] eingewilligt“ (§ 4 Abs. 1 BDSG). Zunächst einige Ausführungen zum Thema „Einwilligung“.

Das Problem der Einwilligung: an wen richtet sie sich?

Könnte in der Annahme einer Kontaktanfrage bereits die Einwilligung gesehen werden, dass diese Daten später auch an den Arbeitgeber weitergegeben werden dürfen? Schließlich handelt man bei XING oder LinkedIn nie nur in privater Mission, sondern immer auch als Vertreter des Unternehmens, das man in der Kontakt-Plattform angegeben hat (auch wird diese Firmenbezeichnung stets unter dem eigenen Namen angezeigt).

Einwilligungserklärung muss genau betrachtet werden

XING formuliert die Standard-Anfrageerklärung bei einem Kontaktwunsch folgendermaßen: „Sehr geehrte/r (…), ich würde Sie gerne zu meinen Kontakten hinzufügen“. Dabei kann derjenige, dessen Daten hinzugefügt werden sollen, unterscheiden, ob er seine privaten und/oder geschäftlichen Kontaktdaten freigeben will. Genauso kann auch der Anfragende bestimmen, ob er nur private oder nur geschäftliche Kontaktdaten freigibt oder beides. Insgesamt weist vor allem die Formulierung „ich“ darauf hin, dass letztlich nur für eine verantwortliche Stelle Daten erhoben werden sollen.

Damit liegt per se keine Einwilligung der Betroffenen (sprich der XING- bzw. LinkedIn-Kontakte) vor, dass der Beschäftigte die Daten dieser Betroffenen an den Arbeitgeber weitergeben darf.

Rechtsgrundlage für Herausgabeverlangen des Arbeitgebers möglicherweise § 11 BDSG?

Als Rechtsgrundlage für eine Übermittlung könnte im Grundsatz auch § 11 BDSG in Betracht kommen. Wäre der Beschäftigte für die Kundenführung auf XING oder LinkedIn der (streng weisungsgebundene) Auftragsdatenverarbeitungsnehmer des Arbeitgebers, so dürfte der Arbeitgeber nach dieser Vorschrift eine Weisung erteilen, die Kontaktdaten herauszugeben.

Stellt das Verhältnis eine Auftragsdatenverarbeitung dar?

Dann müsste das Verhältnis zwischen Beschäftigtem und Arbeitgeber aber als Auftragsdatenverarbeitung im Sinne von § 11 BDSG zu bewerten sein. Dies ist nach unserer Auffassung indes abzulehnen, da der Beschäftigte grundsätzlich ein eigenes Interesse an den Daten auf XING bzw. LinkedIn hat. Auch wenn die Unternehmenskunden im privaten XING- bzw. LinkedIn-Account geführt werden sollten, läge aus datenschutzrechtlicher Sicht maximal eine so genannte „Mischdatenverarbeitung“ und damit kein Fall des § 11 BDSG vor.

Rechtsgrundlage für die Übermittlung: 28 Abs. 1 S. 1 Nr. 1/2 bzw. 28 Abs. 2 BDSG?

Auch § 28 Abs. 1 S. 1 Nr. 1/2 BDSG scheidet nach unserer Auffassung als datenschutzrechtliche Erlaubnisnorm für eine Übermittlung der Daten aus: weder ist die Herausgabe der Kontaktdaten „erforderlich“ im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG, noch fällt die Interessenabwägung in § 28 Abs. 1 S. 1 Nr. 2 BDSG zu Gunsten der Übermittlung aus, da anzunehmen ist, dass von der Übermittlung betroffene Personen ein überwiegendes Interesse haben dürften, dass eine derartige Übermittlung unterbleibt. Mit den gleichen Argumenten würde im Übrigen auch eine Übermittlung auf Grundlage von § 28 Abs. 2 BDSG ausscheiden.

Fazit

Selbst wenn man unterstellt, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stünde diesem Herausgabeanspruch unserer Ansicht nach das Datenschutzrecht entgegen. Um Rechtsstreitigkeiten zu vermeiden sollten Unternehmen diese Fallkonstellationen nach Möglichkeit im Vorfeld mit den Beschäftigten klären und rechtssichere Lösungskonzepte erarbeiten. Denn mit voranschreitender Digitalisierung wird für die Unternehmen die Frage nach der Nutzung von derartigen Kontaktdaten an Bedeutung gewinnen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz, externe Datenschutzbeauftragte

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Sonntag, 1. August 2010
Das ändert sich ab 1. August 2010. Neuer Monat, neues Glück – das gilt nicht immer. Ab dem 1. August treten einige Neuerungen in Kraft. In Bayern leiden die Raucher, die USA dürfen Bankdaten lesen, in der Pflege gilt der Mindestlohn. Mehr lesen…

Montag, 2. August 2010
Zauberlehrlinge der Datenflut. Die EU gibt den USA Millionen Finanzdaten preis. Bleiben diese so geheim wie 92.000 Afghanistan-Dokumente, die im Internet nachzulesen sind? Mehr lesen…

Dienstag, 3. August 2010
Blackberry: Arabische Staaten wollen den E-Mail-Dienst des Mobilfunkkonzerns abschalten, weil sie nicht mitlesen dürfen. Doch was wie ein Tabubruch klingt, ist nur das letzte Rückzugsgefecht. Denn was beim Blackberry nicht möglich ist, tun praktisch alle westlichen Regierungen bei anderen Geräten wie iPhones und Android-Smartphones schon heute: Sie lesen beim Informationsaustausch via Handy mit. Mehr lesen…

Britische Behörde: Google Street View ist unbedenklich. Die Sammlung von WLAN-Daten durch Googles Kameraautos habe niemandem geschadet, heißt es in einer Stellungnahme. In vielen Ländern wird strafrechtlich gegen Google ermittelt. Mehr lesen…

Mittwoch, 4. August 2010

US-Bürgerrechtler sammeln weiter Argumente gegen Nacktscanner. Nachdem im April die Sicherheitsbehörde Transportation Security Administration (TSA) eingeräumt hatte, entgegen früherer Beteuerungen rund 2000 von Nacktscannern gefertigte Bilder gespeichert zu haben (…). Mehr lesen…

Donnerstag, 5. August 2010

Zehn Regeln des deutschen Knigge-Rats, die auf der Website der Anstandshüter veröffentlicht wurden, sollen künftig der “stilvollen Kontaktpflege durch soziale Medien” auf die Sprünge helfen. Mehr lesen…

Schweiz. Geburtstage, Hochzeiten, Todesfälle: Neuerdings dürfen die Gemeinden solche Zivilstandsnachrichten aus Datenschutzgründen nicht mehr vermelden. Doch dagegen wehren sich die Leute – in Melchnau läuft sogar eine Petition. Mehr lesen…

Freitag, 6. August 2010

Die „Allianz der deutschen Wissenschaftsorganisationen“ hat jüngst „Grundsätze zum Umgang mit Forschungsdaten“ beschlossen. Unter dieser etwas spröden Überschrift verbirgt sich die Tatsache, dass der Aufwand für das Gewinnen von Daten als Grundlage wissenschaftlicher Erkenntnis – beispielsweise in der Soziologie, Medizin, Fernerkundung oder Hochenergiephysik – allein in Deutschland in der Größenordnung von mehreren Milliarden Euro pro Jahr liegt. Mehr lesen…

Samstag, 7. August 2010:

Die AOK bietet im Netz einen Ärztenavigator an – ein Fragebogen, bestehend aus vier Bereichen, Praxis und Personal, Arztkommunikation, Behandlung und Gesamteindruck. Mehr lesen…

Sonntag, 8. August 2010:

Testeinsatz von Körperscannern ab September: In Deutschland sollen in wenigen Wochen erstmals Körperscanner zu Kontrollzwecken an Flughäfen eingesetzt werden. Ende September werde ein Test am Flughafen Hamburg beginnen, kündigte Bundesinnenminister Thomas de Maizière in der Zeitung “Bild am Sonntag” an. (…) Mehr lesen…

Autor:
Eckehard Kraska

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Art. 10 Grundgesetz:
(1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.
(2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffenen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Datenschutz-Beiträgen

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Die Beklagten hatten – so lautet die Klageschrift – Flash Cookies gesetzt, welche die von den Nutzern gelöschten Cookies wiederherstellten. Daraufhin wurde das Verhalten der Nutzer auf den Webseiten getrackt.

Dieser Artikel soll die technischen Hintergründe der Flash Cookies vor dem Hintergrund des deutschen Datenschutzrechts erläutern.

Hintergrund

Diverse Online-Studien haben herausgefunden, dass insgesamt etwa 30% der Internetbenutzer nach etwa einem Monat ihre Cookies löschen. Das in der Marktanalyse sehr beliebte Webtracking verliert damit an Aussagegehalt. Da Webtracking Programme oftmals auf Cookies aufbauen, können diejenigen User, welche die Cookies löschen, nicht über einen längeren Zeitraum beobachtet werden. Eine technische Neuerung war aus Sicht der Online-Marketing-Provider damit nötig. Ein Feature für den Adobe Flash Player wurde entwickelt, der sog. Flash Cookie. Die Wissenschaftler der Universität Berkeley haben herausgefunden, dass mehr als 50 der dort untersuchten Top-Webseiten Flash Cookies verwenden.

Was sind Flash Cookies?

Flash Cookies werden auch Local Shared Objects (LSO), Super-Cookies oder teilweise einfach “Zombie-Cookies” genannt. Die Cookies werden via Flash Plug-in auf zentralen Ordnern des Computers gespeichert und sind nicht über das zentrale Browsermenü zu erreichen.

Was ist das Besondere an Flash Cookies?

Grundsätzlich hat ein Flash Cookie die gleichen Eigenschaften wie ein gewöhnlicher Cookie, hat aber weitergehende Vorteile für den Webseiten-Betreiber: Ein Flash Cookie kann insgesamt 100 kb Informationen speichern, während gewöhnliche Cookies nur bis zu 4 kb speichern können. Über diese erhöhte Komplexität können sie insgesamt stabiler gesetzt werden. Flash Cookies werden nicht in dem gleichen Ordner wie gewöhnliche Cookies abgelegt. Internetbenutzer, die noch nicht über die Existenz der Flash Cookies Bescheid wissen, werden diese dementsprechend kaum löschen, da sich diese nicht einfach über den Browser löschen lassen.

Vorteil der Flash Cookies für Webseiten-Betreiber

Flash Cookies können unter anderem so programmiert werden, dass Cookies, die vom Nutzer im Browser gelöscht wurden, beim nächsten Besuch der Webseite wieder aktiviert werden. Diese Praxis wird im Englischen als “re-spawning” (zu Deutsch „wieder erzeugen“) bezeichnet. Die Nutzerverfolgung kann anschließend aufgrund der wieder erzeugten Cookies weitergehen, obwohl der Nutzer diese zuvor ausdrücklich in seinem Browser gelöscht hat.

Cookies: personenbezogene Daten?

Ob Cookies personenbezogene Daten sind oder solche beinhalten, muss natürlich immer am Einzelfall bestimmt werden. Wenn diese, wie etwa beim Webtracking, eine Identifikationsnummer des Webseitenbesuchers beinhalten, sind diese nach wohl vorherrschender Meinung als personenbezogene Daten anzusehen. Flash Cookies, die gerade über einen längeren Zeitraum die Verfolgung der Nutzer bezwecken, können gerade auch über die längere Aufzeichnung des Verhaltens eines Users personenbezogene Daten im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz („BDSG“) schaffen. Damit sind Cookies in jedem Fall als „potentiell personenbezogene Daten“ zu begreifen und müssen damit unter dem Schutz der datenschutzrechtlichen Vorschriften behandelt werden.

Damit sind die datenschutzrechtlichen Regelungen anwendbar und müssen geprüft werden.

Was stellen sich für datenschutzrechtliche Probleme?

Grundsätzlich ist nach dem System des deutschen Datenschutzrechtes eine Erhebung oder Verarbeitung personenbezogener Daten gestattet, wenn entweder die Einwilligung des Betroffenen vorliegt oder eine Rechtsgrundlage das jeweilige Vorgehen gestattet.

Was fordert die datenschutzrechtliche Einwilligung hinsichtlich Cookies?

Eine Einwilligung im Datenschutzrecht fordert – neben weiteren formalen Voraussetzungen- grundsätzlich die Bereitstellung der nötigen Informationen. Der Träger der personenbezogenen Daten muss schließlich wissen, für was er seine Einwilligung erteilen soll. Vorausgesetzt eine klare Information wird angeboten und die Einwilligung wird auch unter den weiteren Voraussetzungen des § 4a BDSG rechtswirksam erteilt, so ist das Setzen von Flash Cookies grundsätzlich rechtlich wirksam möglich. Die Datenschutzerklärung des verwendenden Unternehmens muss damit angepasst werden. Die Einwilligungserklärung des Nutzers muss den Flash Cookie Gebrauch unbedingt beschreiben. Daneben muss auch eine Widerspruchsmöglichkeit hinsichtlich des Flash Cookies eingeräumt werden.

Rechtsgrundlage für das Setzen von Cookies?

Davon abgesehen kann eine Rechtsgrundlage für das Setzen von Cookies in § 15 Abs. 1 TMG gesehen werden, wenn diese zur Inanspruchnahme von Telemedien notwendig sind. Die sog. „Session Cookies“ können insoweit also durch das Gesetz gerechtfertigt werden. Nach dem Ende der Browser-Session müssen die Cookies jedoch automatisch gelöscht werden. Eine ledigliche Erleichterung des Betriebs einer Internetseite reicht zur Begründung des Erforderlichkeitskriteriums insoweit nicht aus.

Dauerhaft platzierte Cookies sind damit keinesfalls als „notwendig“ im Sinne von § 15 Abs. 1 TMG zu begreifen und insofern nicht unter die Rechtsgrundlage zu subsumieren. Für permanente Cookies muss daher grundsätzlich die Einwilligung des Nutzers eingeholt werden. Dies gilt dann gerade auch für Flash Cookies, da diese eben dauerhaft auf dem Computer gespeichert werden.

Was ändert sich mit der Richtlinie 2009/136/EG?

Zum 15. Mai des nächsten Jahres muss die Richtlinie 2009/136/EG (so genannte „Cookie-Richtlinie“) auch in das deutsche Recht umgesetzt sein. Nach Art. 5 Absatz 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie), welche durch die Cookie-Richtlinie verändert wird, ist das Setzen von Cookies dann grundsätzlich nur noch mit Einwilligung des Betroffenen erlaubt (wir berichteten).

Fazit

Mit dem Setzen von Flash Cookies können sich neben rechtlichen Konsequenzen aus dem Strafrecht auch datenschutzrechtliche Schwierigkeiten stellen. Nach dem deutschen Datenschutzrecht dürfen diese grundsätzlich nur nach einer Einwilligung des Nutzers gesetzt werden. Es ist insbesondere darauf zu achten, dass Webseitenbetreiber ihre Datenschutzerklärungen entsprechend anpassen und wirksame Widerspruchsmöglichkeiten schaffen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz, externe Datenschutzbeauftragte

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Freitag, 23. Juli 2010

Zwei Paradigmenwechsel in vier Wochen beim Thema Netzpolitik. Stefan Herwig analysiert die Netzthesen von Innenminister Thomas de Maizière und hinterfragt kritisch die darauf folgende Reaktion des CCC. Mehr lesen…

Samstag 24. Juli 2010

Schleswig-Holsteins Datenschutz-Chef Thilo Weichert hält die 2011 geplante Volkszählung für überflüssig. Mehr lesen…

Sonntag, 25. Juli 2010

E-Postbrief Probleme: Pannen für den E-Brief der Deutschen Post AG. Mehr lesen…

Montag, 26. Juli 2010

Die “Schon GEZahlt?”-Kampagnen kann die Gebühreneinzugszentrale einstellen, die Umstellung auf die Haushalts- und Firmenabgabe macht die Gebühr zur Zwangsabgabe. Nun fragt man sich langsam, welche Rechtsform die GEZ eigentlich hat und wie der Datenschutz gewährleisten sein soll? Mehr lesen…

Dienstag: 27. Juli 2010

Darf Datenschutz wirklich wichtiger sein als Kinderschutz? Mehr lesen…

Mittwoch, 28. Juli 2010

Politiker und Datenschützer reagieren auf Pläne der Europäischen Union, Bankdaten an US-Terrorfahnder weiterzugeben. Besonders ärgert die Kritiker die Eile, mit der die EU die Regeln durchsetzen will. Mehr lesen…

Die staatenlose Newsorganisation Wikileaks wird sich niemals kontrollieren lassen – auf Journalisten kommen völlig neue Aufgaben zu, sagt der US-amerikanische Journalistik-Professor Jay Rosen. Mehr lesen…

Donnerstag 29.7.2010

Texanischer Anwalt verklagt US-Medienkonzerne wegen “Zombie-Cookies”. Daten wurden ohne Zustimmung und ohne Anonymisierung gesammelt und ausgewertet. Manuell gelöschte Cookies wurden automatisch wiederhergestellt. Mehr lesen…

Wegen fehlender Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung ist Österreich vom Europäischen Gerichtshof verurteilt worden. Mehr lesen…

Freitag 30. Juli 2010:

Eine Datenpanne beschäftigt derzeit die Neuseeländer. Angreifer haben sich Zugang zu den Systemen von “Hell Pizza” verschafft. In ihre Hände fielen die persönlichen Daten von 230.000 Neuseeländern. Die Datensätze enthielten die Namen, Anschriften, E-Mail-Adressen, Telefonnummern, Passwörter und Pizza-Bestellungen. Unter den Betroffenen sind auch eine Reihe von Prominenten. Mehr lesen…

Obama will den Internet-Verkehr der Amerikaner überwachen. Datenschützer sind besorgt. Mehr lesen…

Autor:
Eckehard Kraska

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Anmerkung: Ich selbst nutze Facebook intensiv seit Jahren; es geht mir mit dem Beitrag darum, die Diskussion um Facebook etwas zu versachlichen. Bitte schreiben Sie mir, wenn Sie weitere Verfahren kennen, die Ihrer Meinung nach der Liste hinzugefügt werden sollten oder wenn die von mir beschriebenen Verfahren Ihrer Meinung nach unzutreffend sind.

Analyse anhand der Facebook Stammdaten

Facebook erhält über die (optional) hinterlegten Stammdaten potentiell Informationen über Wohnort, Alter, Kontaktmöglichkeiten, politische und religiöse Ausrichtung, Bildungsstand, besuchte Bildungseinrichtungen, Beziehungsstatus und sexuelle Orientierung.

Analyse anhand des Freundeskreises

Der eigene bei Facebook verlinkte Freundeskreis (und die theoretisch messbare Intensität von Interaktion mit einzelnen Freunden) lässt Rückschlüsse auf das eigene soziale Verhalten (auf der Facebook-Plattform) zu.

Analyse des Freundeskreises nach Kontaktgrad

Auch können durch Überschneidungen von Freundeskreisen unterschiedliche Kontaktgrade im Freundeskreis festgestellt werden (“Freund XYZ ist zugleich Freund überdurchschnittlich vieler Freunde Ihres Freundeskreises im Übrigen; daher ist relativ wahrscheinlich, dass Freund XYZ einen hohen Kontaktgrad zu Ihnen aufweist”).

Auswertung der geschriebenen „Postings“

Facebook kann anhand der verlinkten Postings Informationen darüber gewinnen, welche Themen Sie persönlich besonders interessieren. Dabei lässt sich beispielsweise auch analysieren, welche Webseiten Sie häufiger zur eigenen Meinungsbildung heranziehen.

Auswertung anhand des mutmaßlichen Einwahlortes

Es ließe sich zumindest theoretisch auch der anhand der IP-Adresse grob zuordbare Ort auswerten, von dem aus die Facebook-Seite durch einen Nutzer aufgerufen wird. So könnte sich beispielsweise feststellen lassen, ob ich mein Facebook-Profil gerade in Rom, San Francisco oder Hamburg aufrufe.

Angabe eigener Interessen

Facebook-Nutzer können in ihrem Account andere Facebook-Seiten verlinken, deren Inhalt sie zu ihren persönlichen Interessen zählen (beispielsweise Facebook-Seiten von Sportvereinen, Musikern, politischen Parteien etc.).

Analyse durch Angaben in Facebook-Tools von Drittanbietern

Zahlreiche Drittanbieter stellen Facebook-Tools zur Verfügung, mit denen Sie weitere Angaben zu Ihrer Person hinterlegen können.

Einige Beispiele:

• Es gibt ein Tool, in dem Sie alle Orte hinterlegen können, die Sie einmal bereist haben
• Es gibt ein Tool, mit dem Sie Ihren IQ messen können
• Es gibt ein Tool zur Analyse Ihres optimalen Partners anhand Ihrer persönlichen Vorlieben, Neigungen und Interessen

Analyse anhand der hochgeladenen Fotos

Auf Facebook können Sie Fotos hochladen und mit Angaben zu darauf abgebildeten Personen, Ort und Zeitpunkt versehen. Es gibt zudem mittlerweile Software, die mit relativ hoher Genauigkeit Gesichtserkennung durchführen kann – also automatisiert Personen auf Bildern erkennt.

Funktion „Friend Finder“

Facebook bietet mit der Funktion „Friend Finder“ die Möglichkeit, das eigene Adressbuch (beispielsweise von Googlemail oder Outlook) mit Facebook abzugleichen. Sind die darin hinterlegten Kontakte Mitglieder auf Facebook, werden Sie als potentieller Freund vorgeschlagen.

Diese Funktion bietet die denktheoretische Möglichkeit, dass Facebook nicht nur die Daten jener Nutzer verwendet, die bereits Facebook-Nutzer sind, sondern auch die Daten jener Kontakte speichert, die noch nicht Nutzer von Facebook sind.

Zudem kann über den Vergleich der Adressbücher von verschiedenen Benutzern der Kontaktgrad unter den Nutzern festgestellt werden: so ist die Übereinstimmungen der Adressbücher im engen Freundeskreis in der Regel höher als mit weiter entfernen Bekannten.

Funktion „Freunde einladen“

Über die Funktion „Freunde einladen“ können Facebook-Nutzer Bekannte (unter Angabe von Namen und E-Mail-Adresse) zur Facebook Plattform einladen.

Verlinkung von Personen auf Fotos, die noch nicht Facebook-Nutzer sind

Facebook-Nutzer haben die Möglichkeit, auf Fotos auch Personen zu identifizieren, die noch nicht Nutzer von Facebook sind. Hierbei haben Sie auch die Möglichkeit, die E-Mail-Adresse der betroffenen Person anzugeben, um diese Person (bereits verlinkt mit dem Foto) zur Nutzung von Facebook einzuladen.

Anlegen von „Schattenprofilen“

Es kann sein, dass Facebook „Schattenprofile“ anhand der oben beschriebenen Angaben von Personen anlegt, die noch nicht Nutzer von Facebook sind. So wäre es technisch wie strategisch zumindest nachvollziehbar, wenn Facebook Daten von Nicht-Facebook-Nutzern (bspws. aus Einladungs-E-Mails, Verlinkung auf Fotos, Abgleich von Adressbüchern) „passiv“ im Hintergrund als „Schattenprofil“ speichern würde. Mir sind mehrere Fälle bekannt, wo sich Personen neu bei Facebook anmeldeten und die eigenen personenbezogenen Daten (Fotos, mögliche Freunde aus dem Bekanntenkreis etc.) bereits mit der eigenen E-Mail-Adresse verknüpft waren.

Verwendung des „Like“-Buttons auf Facebook

Mit dem Facebook-internen Like-Button („Gefällt mir“) kann von anderen Facebook-Nutzern hochgeladener Content mit einer eigenen Präferenz versehen werden.

Verwendung des „Like“-Buttons auf Drittseiten

Die in einem gesonderten Beitrag bereits beschriebene Funktion des „Like“ („Gefällt mir“) Knopfes auf Drittseiten eröffnet (auch ohne Klick auf den Knopf bei zugleich eingeloggtem Facebook-Account) meines Erachtens die zumindest technische Möglichkeit, dass das allgemeine Webseiten-Besucherverhalten im Internet dem eigenen Facebook-Account zugeordnet werden kann. Facebook kann mit anderen Worten (meines Erachtens) über den Like-Button verfolgen, welche Webseiten im Internet besucht werden. Zudem können dann bei einem Klick auf den Like-Button noch einzelne Webseiten mit einer benutzerbezogenen Präferenz bewertet werden.

Angaben von Freunden über Freunde

Es gibt diverse Tools von Drittanbietern, mittels derer Sie über andere Freunde ihres Freundeskreises Angaben hinterlassen können. So gibt es beispielsweise Fragetools, mit denen Sie ihre Freunde nach Beliebtheit bewerten oder Angaben über deren vermeintliche sexuelle Orientierung und politische Ausrichtung speichern können.

Unterscheidung von Freunden in Personengruppen

Facebook-Nutzer haben die Möglichkeit, ihre Freunde in Personengruppen (Familie, enge Freunde, Bekannte, Geschäftskontakte etc.) zu untergliedern.

Fazit

Ich möchte nochmal klarstellen, dass es mir nicht darum geht, Facebook in irgendeiner Weise negativ darzustellen oder von der Nutzung von Facebook abzuraten. Ziel des Beitrages ist, eine Versachlichung in der Diskussion dergestalt vorzunehmen, dass überhaupt einmal die Sachlage geklärt wird. Ich persönlich bin der Meinung, dass Facebook ein Faktum ist, welches einem weltweiten Nutzerbedürfnis (seit kurzem mehr als 500 Mio. Nutzer) nachkommt.

Es handelt sich hierbei nach meinem Verständnis um eine völlig neue Qualität der Sammlung und –verknüpfung von sozialen Daten, die gerade auf mittel- und langfristige Sicht völlig neue Auswirkungen auf unser gesellschaftliches Verhalten haben wird (versetzen Sie sich in die Lage eines 8-jährigen Schülers der beginnt, sein gesamtes jugendliches Sozialleben über Facebook zu organisieren). Die Antwort dürfte meines Erachtens nicht in nationaler Regulierung liegen; vielmehr sollten die neuen Schlagworte „Transparenz“ und „Kontrolle über die Nutzung der eigenen Daten durch Dritte“ lauten.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund

Den Kassenärzten und kassenärztlichen Vereinigungen droht Streit mit den Datenschutz-Aufsichtsbehörden. Generell ist es bei den meisten Hausärzten in Deutschland üblich, dass diese die Arztleistungen nicht selbst abrechnen sondern die Patientendaten an die für sie zuständige hausärztliche Vereinigung übermitteln, die im Auftrag der Ärzte die Abrechnungsleistungen erbringen. Hierbei beauftragen die hausärztlichen Vereinigungen häufig Service-Unternehmen.

Entscheidung in Schleswig-Holstein: Untersagungsverfügung mit Zwangsgeldandrohung

Diese Praxis verstößt nach Ansicht der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein gegen geltendes Datenschutzrecht. Die Aufsichtsbehörde hat nun eine Untersagungsverfügung mit Zwangsgeldandrohung erlassen und die sofortige Vollziehung angeordnet, wie in einer aktuellen Pressemitteilung zu lesen ist.

“Damit sind die in der HÄV SH (Anm.: “Hausärzteverband Schleswig-Holstein e. V.”) zusammengeschlossenen Hausärztinnen und Hausärzte nicht berechtigt, Abrechnungsdaten auf dem im Vertrag vorgesehenen elektronischen Weg zu übermitteln”, heißt es in der Meldung.

Zu der Begründung führt die Behörde aus: “An dem Rahmenvertrag, der das Verhältnis zwischen dem HÄV SH, Dienstleistern und den einzelnen Ärztinnen und Ärzten festlegt, sind Letztere überhaupt nicht beteiligt. Darin werden diese gezwungen, auf ihren Praxissystemen Software gemäß den Vorgaben des Hausärzteverbandes zu installieren, womit das Auftragsverhältnis geradezu auf den Kopf gestellt wird. Ihnen wird sogar vertraglich verboten, Kenntnis von wesentlichen Elementen der Software zu nehmen, so dass sie faktisch keine vollständige Kontrolle mehr über die Daten auf ihrem System hätten.

Damit würden sie nicht nur ihre Datenschutzpflichten verletzen, sondern auch ihre ärztliche Schweigepflicht. Ein Auftragsverhältnis ist rechtlich zudem dadurch ausgeschlossen, dass der Hausärzteverband, der ausschließlich im Interesse und nach Weisung der einzelnen Ärzte die Daten verarbeiten sollte, ein eigenes Interesse an diesen Daten hat.”

Übermittlung von Patientendaten an Dienstleister generell fragwürdig

Gerade in dem zuletzt zitierten Satz (“eigenes Interesse der kassenärztlichen Vereinigung an den Daten”) liegt ein weiteres Problem: § 28 Abs. 6 BDSG sieht an sich nur wenige Ausnahmen für die Übermittlung von Patientendaten (so genannte “besondere Arten personenbezogener Daten”) ohne Einwilligung des Patienten vor. Diese Ausnahmen greifen vorliegend aber meines Erachtens nicht ein.

Letztlich dürfte das derzeit praktizierte Abrechnungssystem in Deutschland damit ohne Gesetzesänderungen nur zu halten sein, wenn man auf Einwilligungen der Patienten zurückgreift. Da Einwilligungen aber jederzeit widerruflich sein müssen, bliebe betroffenen Ärzten im Fall der Verweigerung oder des Widerrufs dieser Einwilligung nur die Möglichkeit, die Abrechnung der Arztleistung selbst vorzunehmen.

Fazit

Die Entscheidung der Aufsichtsbehörde in Schleswig-Holstein betrifft rein von der Sachlage her die Kassenärzte in ganz Deutschland. Generell besteht meiner Erfahrung nach gerade im Gesundheitsbereich ein hohes Defizit im Bereich des Datenschutzes. Die Entscheidung der Behörde selbst ist in der Sache völlig zutreffend – das Datenschutzrecht sieht schlicht keine Ausnahmen für diesen Fall vor. Langfristig bleiben zwei Alternativen: a) der Rückgriff auf Einwilligungen der Patienten als Lösungskonzept (mit großen Fragezeichen im Detail), oder b) die Schaffung eines eigenen Patienten-Datenschutzgesetzes, um der besonderen Komplexität und Sachlage des Themas gerecht zu werden.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Was ist der „Düsseldorfer Kreis“?

Der Düsseldorfer Kreis ist der Zusammenschluss der Datenschutz-Aufsichtsbehörden im Unternehmens-Bereich (so genannte „nicht-öffentliche Stellen“). Am 29. April 2010 hat der Düsseldorfer Kreis einen Beschluss hinsichtlich des Datentransfers im Rahmen des Safe-Harbor Abkommens überlassen. Der Düsseldorfer Kreis hat in dem Beschluss unter anderem verschärfte Richtlinien erlassen, die den Unternehmen weitere Pflichten bei Datentransfers an Safe-Harbor zertifizierte US-Unternehmen auferlegen.

Was gilt grundsätzlich beim Export von Daten aus Deutschland heraus?

Gemäß § 4b, c des Bundesdatenschutzgesetzes ist eine Datenübermittlung von deutschen Unternehmen an Unternehmen im Ausland solange unbedenklich, solange sich diese Unternehmen in der Europäischen Union oder im Europäischen Wirtschaftsraum (Norwegen, Island und Liechtenstein) befinden. Sollen die Daten an ein Unternehmen in einem anderen Land übertragen werden, muss gesondert geprüft werden ob die Stelle, welche die Daten erhalten soll, ein angemessenes Datenschutz-Schutzniveau aufweist (hierzu können beispielsweise im Einzelfall so genannte „EU-Standardvertragsklauseln“ oder konzernweite verbindliche Datenschutz-Regeln verwendet werden).

Angemessenes Schutzniveau für manche Länder von EU-Kommission bestimmt

Die EU-Kommission hat für die Länder Kanada, Argentinien, Schweiz, Guernsey und Isle of Man bereits das angemessene Datenschutz-Schutzniveau nach der dortigen Gesetzeslage für das ganze Land bestimmt. Soll in ein anderes Land übertragen werden, dass von der EU-Kommission nicht offiziell anerkannt wurde, muss das angemessene Schutzniveau für den Einzelfall festgestellt werden.

Sonderfall USA

Aufgrund der engen Handelsbeziehungen mit den Vereinigten Staaten wurde seitens der EU eine Sonderlösung bestimmt, obwohl gerade für die USA ein angemessenes Datenschutz-Schutzniveau durch die EU-Kommission nicht festgestellt wurde. Nach dem so genannten „Safe-Harbor-Abkommen“ ist es Unternehmen in den USA möglich, sich bei einer US-Behörde als „Unternehmen mit angemessenem Datenschutzniveau“ zertifizieren zu lassen. Die Unternehmen müssen hierbei dem „Safe-Harbor-Abkommen“ beitreten und sich den darin festgelegten Regeln zum Umgang mit personenbezogenen Daten formal unterwerfen. Der deutsche Datenexporteur darf dann Daten an dieses US-Unternehmen übermitteln (dies natürlich nur, wenn die Übermittlung auch im Übrigen datenschutzrechtlich zulässig ist).

Was galt bisher?

Bisher galt für deutsche Datenexporteure folgende Rechtslage: wenn an ein Unternehmen in den USA, das dem Safe-Harbor-Abkommen beigetreten war, Daten übermittelt werden sollten, war der Datentransfer nach § 4b, c des Bundesdatenschutzgesetzes grundsätzlich gestattet, so dass der deutsche Datenexporteur keine Sanktionen zu befürchten hatte. Durch das Safe Harbor Abkommen konnte ohne die Vereinbarung von EU-Standardvertragsklauseln oder Datenschutz-Unternehmensrichtlinien Daten übertragen werden. Auch für die Unternehmen in den USA war diese Lösung leicht: Dem Safe Harbor Abkommen beizutreten ist nur ein einmaliger Akt, der dann auf alle gewünschten Datenimporte in die USA durch das Unternehmen angewandt werden konnte.

Safe Harbor unter Beschuss

Die zehnjährige Praxis des Safe-Harbor-Abkommens zeigte jedoch aus Sicht der deutschen Datenschutz-Aufsichtsbehörden enorme Datenschutzdefizite. Insbesondere findet praktisch keine Aufsicht oder Kontrolle der Einhaltung der Safe-Harbor Bestimmungen durch die öffentliche Seite statt. Eine Studie hat Ende 2008 größere Defizite aufgedeckt und dokumentiert.

Insbesondere wurde festgestellt, dass viele Unternehmen angeben, Safe Harbor zertifiziert zu sein, ohne tatsächlich beigetreten zu sein. Daneben wurden auch die Mindestbestimmungen des Abkommens weitgehend nicht eingehalten. Auch wurde festgestellt, dass in zehn Jahren nur ein einziger Fall überhaupt von einem Gericht überprüft wurde. Faktisch war damit ein angemessenes Datenschutz-Schutzniveau gerade nicht gewährleistet.

Was ändert sich nun?

Nach dem Beschluss des Düsseldorfer Kreises müssen deutsche Unternehmen, die Daten an US-Unternehmen übermitteln, nun auch Folgendes beachten: Sollen Daten aus Deutschland in die USA exportiert werden, so sind die datenexportierenden Stellen auch dann, wenn das Daten empfangende US-Unternehmen dem Safe Harbor Abkommen beigetreten ist, zu einer aktiven Überprüfung der Einhaltung der datenschutzrechtlichen Mindeststandards verpflichtet.

Der Düsseldorfer Kreis nennt in seinem Beschluss auch, was er unter einer aktiven Überprüfung versteht:

1. Schriftlicher Nachweis über Beitritt zum Abkommen muss vorgelegt werden

Zum einen muss dem deutschen Datenexporteur ein schriftlicher Nachweis über die Tatsache vorgelegt werden, dass dem Safe-Harbor-Abkommen tatsächlich beigetreten wurde. Dieser Nachweis darf nicht älter als sieben Jahre sein und muss die wesentlichen Verpflichtungen des Safe Harbor Abkommens enthalten. Der Erhalt dieser Bescheinigung sollte sorgfältig dokumentiert werden, da die verantwortliche Stelle auf Anforderung der Datenschutzbehörden verpflichtet ist, dieses vorzulegen.

2. Nachweis über Einhaltung der Informationspflichten muss eingeholt werden

Daneben muss der deutsche Datenexporteur sich von dem potentiellen Datenempfänger auch nachweisen lassen, dass dieser seine Informationspflichten gegenüber den Betroffenen wahrnimmt, welche im Safe Harbor Abkommen selbst festgelegt werden.

Informationspflichten nach Safe Harbor

Nach diesen muss das Unternehmen die betroffenen Datensubjekte darüber informieren, zu welchem Zweck Daten erhoben werden, wie diese die Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren können, an welche Kategorien von Dritten die Daten weitergegeben werden und welche Mittel den Privatpersonen zur Verfügung gestellt werden, damit diese die Verwendung und Weitergabe der Daten einschränken können.

Auch der Nachweis, dass dies geschehen ist, muss die verantwortliche Stelle der Aufsichtsbehörde vorlegen können.

3. Verstoß gegen Safe Harbor soll der Aufsichtsbehörde angezeigt werden

Der Düsseldorfer Kreis schlägt daneben vor, einen Verstoß gegen die Safe Harbor Voraussetzungen der Aufsichtsbehörde direkt anzuzeigen. Eine Verpflichtung der Praxis kann sich dem Beschluss jedoch nicht entnehmen lassen.

Bußgelder drohen nun vermehrt auch für den deutschen Datenexporteur

Mit dem Beschluss der Aufsichtsbehörde werden dessen Empfehlungen zu faktischen Voraussetzungen für den Datentransfer in die USA. Bei Verstößen gegen das Bundesdatenschutzgesetz können Bußgelder bis zu 300.000,- Euro drohen, daneben können darüber hinaus gehende Gewinne abgeschöpft und Schadensersatzklagen erhoben werden. Das Haftungsrisiko ist damit relativ hoch.

Empfehlungen für die Praxis

Die oben angegebenen Forderungen des Düsseldorfer Kreises sollten unbedingt beachtet werden. Die Datenschutz-Aufsichtsbehörden auf Länderebene orientieren sich im Regelfall sehr stark an der Meinung des Gremiums.

Datenschutz nicht nur formal sondern auch tatsächlich gewährleisten

Um den sicheren Datenschutzstandard nicht nur formal sondern auch tatsächlich zu gewährleisten empfehlen wir den Unternehmen, noch zusätzlich datenschutzfördernde Maßnahmen zu ergreifen, beispielsweise durch die Vereinbarung von Vertragsstrafen zur Absicherung von Imageverlust durch negative Presseberichterstattung bei „Datenschutzskandalen“ (hierbei lässt sich die exakte Höhe des Schadens häufig schwer nachweisen).

Fazit

Deutsche Unternehmen, die an US-Unternehmen mit Safe Harbor Zertifizierung personenbezogene Daten exportieren, müssen nun die im Artikel beschriebenen erweiterten Regelungen beachten (Schriftlicher Nachweis über Safe Harbor Beitritt, Nachweis über Einhaltung der Informationspflichten, ggfs. Hinweispflichten gegenüber der Aufsichtsbehörde etc.).

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz, externe Datenschutzbeauftragte

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Das BVerfG führt hierzu in Randziffer 8 aus:

“Das Recht auf informationelle Selbstbestimmung ist der Einschränkung im überwiegenden Allgemeininteresse zugänglich. Diese bedarf einer gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenbestimmtheit genügt und verhältnismäßig ist (BVerfGE 65, 1 <43 f.>; stRspr).”

Und weiter in Randziffer 10:

“Die Gerichte haben bei der Auslegung und Anwendung von einfachem Recht den grundgesetzlichen Wertmaßstäben Rechnung zu tragen. Die fachgerichtliche Rechtsprechung unterliegt jedoch nicht der unbeschränkten verfassungsgerichtlichen Nachprüfung (BVerfGE 18, 85 <92 f.>). Eine umfassende Kontrolle der Auslegung und Anwendung des einfachen Rechts findet nicht statt. Das Bundesverfassungsgericht überprüft – abgesehen von Verstößen gegen das Willkürverbot – nur, ob die angefochtenen Entscheidungen Auslegungsfehler enthalten, die auf einer grundsätzlich unrichtigen Anschauung von der Bedeutung des betroffenen Grundrechts, insbesondere vom Umfang seines Schutzbereichs, beruhen (vgl. BVerfGE 18, 85 <92 f., 96>; 85, 248 <257 f.>; 87, 287 <323>). Ein Grundrechtsverstoß, der zur Beanstandung der angegriffenen Entscheidungen führt, liegt vor, wenn übersehen worden ist, dass bei Auslegung und Anwendung der einfachgesetzlichen Vorschriften Grundrechte zu beachten waren, wenn der Schutzbereich der zu beachtenden Grundrechte unrichtig oder unvollkommen bestimmt oder ihr Gewicht unrichtig eingeschätzt worden ist (vgl. BVerfGE 18, 85 <92 f., 96>; 101, 361 <388>; 106, 28 <45>).”

Das OLG Düsseldorf hatte in einer vergleichbaren Angelegenheit hierzu zuletzt ausgeführt:

“Hinsichtlich § 100h Abs. 1 Nr. 1 StPO bestehen bereits Zweifel an der grundsätzlichen Anwendbarkeit der Vorschrift im Bußgeldverfahren. Denn die Gesetzesänderungen durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung vom 21.12.2007 (BGBl I 2007, 3198) sollen nach ihrem Sinn und Zweck in erster Linie der Bekämpfung von schwer ermittelbarer Kriminalität dienen (vgl. BT-Drucksache 16/5846; Grunert DAR 2010, 28, 29).

Nach dem Regelungsgehalt der Vorschrift wird die Anfertigung von bildlichen oder videografischen Aufnahmen zu Zwecken der Observation erfasst, nicht hingegen deren Anfertigung zur Beweissicherung und Auswertung (vgl. KK-Nack, aaO, § 100h StPO Rdnr. 1; Meyer-Goßner/Cierniak, 52. Aufl., § 100h StPO Rdnr. 1 mwN; Grunert, aaO). Zudem muss es sich um eine Straftat von erheblicher Bedeutung handeln (vgl. KK-Nack, aaO, § 100h StPO Rdnr. 6 mwN).

Abgesehen davon kann § 100h Abs. 1 Nr. 1 StPO als potentielle Ermächtigungsgrundlage ebenfalls nur für Videoaufzeichnungen in Betracht kommen, die zeitlich nach dem Vorliegen eines Anfangsverdachts ausgelöst werden. Damit muss die Betroffeneneigenschaft eines Fahrers bereits durch entsprechend konkrete Anhaltspunkte begründet sein. Angesichts der durch die gesetzliche Regelung bereitgestellten Vielzahl von Mitteln ist in diesem Zusammenhang besonders der Verhältnismäßigkeitsgrundsatz zu beachten.”

Dieser Argumentation ist das BVerfG nun ausweislich Randziffer 12 nicht gefolgt:

“Das Oberlandesgericht geht zutreffend davon aus, dass bei einer Bildaufnahme, bei der Fahrer und Kennzeichen identifizierbar sind, ein Eingriff in das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung vorliegt (vgl. BVerfG, Beschluss der 2. Kammer des Zweiten Senats vom 11. August 2009 – 2 BvR 941/08 -, NJW 2009, S. 3293 f.). Als Rechtsgrundlage hat es § 100h Abs. 1 Satz 1 Nr. 1 StPO in Verbindung mit § 46 Abs. 1 OWiG herangezogen und unter Berufung auf den Wortlaut ausgeführt, dass diese Eingriffsbefugnis Bildaufnahmen zur Erforschung des Sachverhalts sowie zu Ermittlungszwecken ermöglicht, ohne auf Observationszwecke beschränkt zu sein (ebenso OLG Rostock, Beschluss vom 1. März 2010 – 2 Ss [OWi] 6/10 I 19/10 -, juris; OLG Stuttgart, Beschluss vom 29. Januar 2010 – 4 Ss 1525/09 -, DAR 2010, S. 148 f.; Seitz, in: Göhler, OWiG, 15. Aufl. 2009, vor § 59, Rn. 143, 145a).

Entgegen der Ansicht des Beschwerdeführers, der mit einer Auffassung in der Rechtsprechung und in der Literatur eine Beschränkung dieser Befugnis auf die Anfertigung von Bildaufnahmen zu Observationszwecken befürwortet (vgl. OLG Düsseldorf, Beschluss vom 9. Februar 2010 – IV-3 RBs 8/10 -, DAR 2010, S. 213 ff.; Meyer-Goßner, StPO, 52. Aufl. 2009, § 100h, Rn. 1; Wolter, in: SK StPO, § 100h Rn. 4 [April 2009]), hat das Oberlandesgericht dadurch den Schutzbereich von Grundrechten nicht verkannt und ihr Gewicht auch nicht unrichtig eingeschätzt. Die Heranziehung dieser Rechtsgrundlage begegnet vielmehr keinen verfassungsrechtlichen Bedenken. Es handelt sich um eine Frage der Anwendung und Auslegung einfachen Rechts, die vom Bundesverfassungsgericht nicht zu überprüfen ist. Ein Verstoß gegen das Willkürverbot, der voraussetzen würde, dass diese Rechtsauffassung unter keinem rechtlichen Aspekt vertretbar wäre (vgl. BVerfG, Beschluss der 2. Kammer des Zweiten Senats vom 11. August 2009 – 2 BvR 941/08 -, NJW 2009, S. 3293 f.), ist nicht ersichtlich.”

Oder vereinfacht in der Pressemitteilung zusammengefasst:

“[§ 100h Abs. 1 Satz 1 Nr. 1 StPO] (…) erlaubt die Anfertigung von Bildaufnahmen ohne Wissen des Betroffenen, wenn die Erforschung des Sachverhalts auf andere Weise weniger Erfolg versprechend oder erschwert wäre. (…) Eine Bildaufnahme, bei der Fahrer und Kennzeichen seines Fahrzeugs identifizierbar sind, stellt zwar einen Eingriff in das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung dar. Der Zweck derartiger Maßnahmen der Verkehrsüberwachung, nämlich die Aufrechterhaltung der Sicherheit des Straßenverkehrs, rechtfertigt jedoch eine Beschränkung der grundrechtlichen Freiheiten. Dabei ist zu berücksichtigen, dass es sich nicht um verdeckte Datenerhebungen handelt, sondern nur Vorgänge auf öffentlichen Straßen aufgezeichnet werden, die für Jedermann wahrnehmbar sind.”

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Was ist der Like-Button von Facebook?

Der so genannte “Like” (oder “Gefällt mir”) Button von Facebook kann von Webseiten-Betreibern auf der eigenen Webseite angebracht werden. Mit einem Klick auf diesen Button können bei Facebook registrierte Nutzer automatisch in Ihrem Facebook-Profil eine Notiz hinterlassen, dass Sie die verlinkten Inhalte des Webseiten-Betreibers gut heißen.

Der eingebundene Facebook Button „kommuniziert“ dabei laufend mit Facebook. So verändert sich beispielsweise die graphische Anzeige des Buttons, wenn ein Webseiten-Besucher zugleich in seinem Facebook-Account eingeloggt ist.

Unklar ist momentan insbesondere noch die Frage, ob der Facebook-Button auch personenbezogene Daten von Webseiten-Besuchern an Facebook übermittelt, die nicht Mitglieder bei Facebook sind.

Weitere Details zu den technischen Hintergründen finden sich hier.

Der Anlass: Hamburger Stadtportal verwendete Like-Button von Facebook

Die Stadt Hamburg hat innerhalb der letzten Wochen einen Like-Button mit Verlinkung zu Facebook auf ihrer Webpräsenz angebracht. Letzte Woche wurde dieser wieder entfernt. Auf dem Blog der Stadt Hamburg wird erläutert, dass momentan ein konstruktiver Dialog mit Facebook bestehe, um eine datenschutzrechtlich einwandfreie Lösung zur Verfügung stellen zu können. Zuvor hatte der Like-Button, wie auf der Webseite diskutiert wird, möglicherweise auch Daten von Nicht-Facebook-Nutzern gesammelt. Daher wurde der Button wieder entfernt – der Schutz der personenbezogenen Daten der Bürger und Bürgerinnen müsse Vorrang vor einer weiteren Vernetzung des Portals haben.

Facebook in der Kritik der Datenschützer

Facebook und die dort gesammelten Datenmengen stehen bereits seit längerem in der Kritik der Datenschützer. Zusätzlich zu den Datenmengen, die User dort freiwillig veröffentlichen, wird über eine ausgeklügelte Cookie- und Tracking-Technik mehr gesammelt, als viele User ahnen. Mit dem Like-Button kann Facebook Daten über die Vorlieben seiner Nutzer nicht nur auf der eigenen Webseite, sondern auch im ganzen Netz sammeln.

Welchen technischen Hintergrund hat der Like-Button von Facebook?

Das Integrieren des Facebook-Like-Buttons ist relativ einfach. Der Webseiten-Betreiber muss zur Anzeige des Facebook-Like-Buttons einen Programmcode von Facebook in seine Webseite einbinden. Klickt ein auf Facebook registrierter Nutzer auf den Like-Button einer Webseite, so wird dies direkt an den Facebook-Server übermittelt. Dort wird es zum Profil des Nutzers gespeichert. Die Information, welche Seiten „ge-like-t“ wurden, wird durch Übergabe der URL übermittelt.

Verarbeitung personenbezogener Daten

Bei den durch den Like-Button auf der Seite des jeweiligen Webseiten-Betreibers erhobenen Daten handelt es sich auch um personenbezogene Daten, da der Nutzer über die Verknüpfung mit seinem Facebook-Account eindeutig identifizierbar ist.

Bundesdatenschutzgesetz: Übermittlung von Daten nur mit Einwilligung oder rechtlicher Grundlage

Da Facebook und der Webseiten-Betreiber unterschiedliche Stellen sind und eine Privilegierung durch die Normen der Auftragsdatenverarbeitung (§ 11 BDSG – hier nur kurz: es fehlt jedenfalls an der Weisungsgebundenheit gegenüber Facebook) an dieser Stelle ausscheidet, liegt in der Eröffnung des Zugriffs eine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes („BDSG“).

Nach dem System des BDSG dürfen personenbezogene Daten nur übermittelt werden, wenn der Nutzer gemäß § 4a BDSG eingewilligt hat, eine Rechtsgrundlage oder eine rechtliche Verpflichtung für die Übermittlung vorliegt. Es ist darauf hinzuweisen, dass eine Übermittlung ohne Einwilligung oder Rechtsgrundlage gemäß § 43 Abs. 2 Nr. 1 BDSG mit einem Bußgeld bis zu 300.000,- Euro belegt werden kann.

Einwilligung scheitert an Praktikabilität

Eine Einwilligung scheidet aus Gründen der Praktikabilität vorliegend aus (der Nutzer müsste sonst insbesondere noch anklicken, dass er einverstanden sei, dass seine Daten erhoben und an Facebook übermittelt werden). Eine Rechtsgrundlage für die Übermittlung kann jedoch möglicherweise in § 15 Abs. 1 TMG gesehen werden. Dieser lautet:

„Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“

Verarbeitung wegen Ermöglichung von Telediensten: rechtmäßig gemäß § 15 Abs. 1 TMG?

Damit kann der Webseiten-Betreiber personenbezogene Daten verarbeiten, um die Inanspruchnahme von Telemedien zu ermöglichen, soweit dies erforderlich ist. Die Verknüpfung auf Facebook über den Like-Button ist ein angebotener Teledienst im Sinne der Vorschrift. Damit der Like-Button benutzt werden kann, müssen die Daten an Facebook übermittelt werden. Dies kann als zwingend im Sinne der Vorschrift bewertet werden, wenn auch die Einbindung nach dem Willen des Telemedienbetreibers freiwillig erfolgt. Insofern kann dies als Rechtsgrundlage herangezogen werden.

Dagegen: Gebot der Datensparsamkeit

Wenn sich nach dem Wortlaut der Vorschrift eine Rechtsgrundlage für die Übermittlung sehen lässt, so muss jedoch nach dem Prinzip der Datensparsamkeit (§ 3a BDSG) daran gezweifelt werden, ob die Auslegung von § 15 Abs. 1 TMG insofern nicht zu weit geht. Denn selbst wenn die Rechtsgrundlage ausreichen mag für Webseiten-Besucher, die den Like-Button drücken und ausdrücklich die Verlinkung vornehmen, so kann dies nicht für die Nutzer gelten, die den Button nicht anklicken (ganz zu schweigen von den Webseiten-Besuchern, die nicht einmal bei Facebook registriert sind). Man kann die Datenerhebung durch Facebook daher durchaus als zu umfangreich verstehen – und insofern ablehnen.

Datenschutzbehörden haben sich bislang nicht geäußert

Die Datenschutzbehörden haben sich noch nicht zu diesem Sachverhalt geäußert, insofern bleibt abzuwarten, welche Auffassung diese vertreten werden.

Webseiten-Betreiber müssen Datenschutzerklärung anpassen

In jedem Fall muss bei Verwendung des Like-Buttons von Facebook die Datenschutzerklärung nach § 13 Abs. 1 TMG der Webseiten-Betreiber angepasst werden.

Inhaltlich muss erklärt werden, dass der Webseiten-Betreiber Facebook den Datenaustausch ermöglicht. Auch wenn der Nutzer den Facebook-Button erkennt, so mag diesem nicht klar sein, dass ein Datenaustausch tatsächlich stattfindet. Insbesondere mag der Einzelne, wenn er die Gefahr erkennt, glauben, dass eine Verknüpfung nur stattfinden kann, wenn er den Like-Button auch anklickt. Diesem ist aber nicht so. Die Verknüpfung findet bereits durch den von Facebook gesetzten Code in die Webseite statt.

Gemäß § 13 TMG muss damit über diese gesamten Umstände hingewiesen werden. Die Datenschutzerklärung muss in verständlicher Form gestaltet werden, sonst drohen Bußgelder nach § 16 TMG. Dieses Bußgeld droht jedem Webseiten-Betreiber, der den Like-Button von Facebook ohne Hinweis in seiner Datenschutzerklärung angebracht hat. Der Webseiten-Betreiber ist insoweit verantwortliche Stelle, auf den die Datenverarbeitung zurückzuführen ist.

Wie sind soziale Netzwerke in europarechtlicher Sicht zu bewerten?

Die Artikel 29 Datenschutzgruppe hat bereits im letzten Jahr in ihrer Meinung 5/2009 die sozialen Netzwerke zu größerer Sicherheit für die User und weniger Datenansammlungen aufgefordert.

Weitere Schritte werden wohl im Mai des nächsten Jahres erreicht sein müssen, wenn die Richtlinie 2009/136/EG („Cookie-Richtlinie“ – wir berichteten) in das deutsche Recht umgesetzt sein muss. Da ab diesem Zeitpunkt mehr mit aktiver Einwilligung in die Cookie-Platzierung gearbeitet werden muss, werden sich zwangsläufig auch für die sozialen Netzwerke sowie für deren Geschäftswege einige Veränderungen ergeben. Davon wäre auch die Verknüpfung über Like-Buttons betroffen.

Fazit

Der Like-Button kann von Webseiten-Betreibern eingesetzt werden, sofern angenommen wird, dass die Übermittlung der Daten an Facebook erforderlich ist, um die Verlinkung zu ermöglichen und insoweit § 15 Abs. 1 TMG als Rechtsgrundlage gewertet wird. In jedem Fall müssen die Datenschutzerklärungen der Webseiten-Betreiber auf den Facebook-Like-Button eingehen. Es ist zudem empfehlenswert, etwaige Stellungnahmen der Aufsichtsbehörden und Gerichtsentscheidungen zu beobachten. Tragen Sie sich hierzu einfach in unseren Newsletter ein.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz, externe Datenschutzbeauftragte

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Datenschutz-Artikeln

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Zum Video…

Über den Referenten Herrn Thorsten Ingeberg

Herr Ingeberg ist Diplom-Jurist (univ.) aus München und verantwortet als freiberuflicher Mitarbeiter des Instituts für IT-Recht IITR den Bereich Schulung, insbesondere die Aus- und Fortbildung von internen Datenschutzbeauftragten. Herr Ingeberg ist derzeit wissenschaftlicher Mitarbeiter von Herrn Professor Dr. Michael Hassemer am Lehrstuhl für Zivilrecht, Wirtschaftsrecht, Geistiges Eigentum an der Technischen Universität Kaiserslautern. Weitere Informationen…

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.

Über den Datenschutz-Codex für Webseitenbetreiber des IITR Gerade bei der elektronischen Datenverarbeitung im Internet gewinnt der Datenschutz für die Kunden von Webseitenbetreibern zunehmend an Bedeutung. Um einen gesetzeskonformen und transparenten Umgang mit personenbezogenen Daten von Kunden zu gewährleisten, können sich Webseitenbetreiber freiwillig dem Datenschutz-Codex des IITR unterwerfen und mit dem Datenschutz-Signet nach außen einen transparenten und gesetzeskonformen Umgang mit Kundendaten dokumentieren. Weitere Informationen zum Codex…

Was erhält der Webseiten-Betreiber?

• Datenschutz-Codex
• Signet
• Handbuch
• Codex-Mail

Weitere Informationen zum Codex…

Über Herrn Axel Gronen

Herr Gronen studierte in Bielefeld und Köln Betriebswirtschaft, Jura und Informatik (jeweils Vordiplom bzw. Examensreife) und begleitet die Internetwirtschaft seit Jahren in verschiedenen Funktionen. Herr Gronen ist Experte rund um eBay, Amazon, Yatego & Co. und publiziert in verschiedenen Medien zu diesem Thema. Vielen bekannt ist er vor allem als Autor der Website www.wortfilter.de, dem mit Abstand größten deutschsprachigen Portal mit Infos, Tools und News rund um eBay, Amazon, Yatego & Co. Mit seinem Newsletter erreicht Herr Gronen mehr als 40.000 Empfänger. Mehr können Sie auf www.wortfilter.de nachlesen…

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular

E-Mail: email@iitr.de

Datenschutz-Newsletter

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Beiträge und aktuelle Entwicklungen im Datenschutzrecht.

So heißt es in einer Rundmail an die registrierten Nutzer: “Es hilft Betroffenen ebenso wie Berufsdatenschützern. In 99 % der Fälle innerhalb eines Tages, fast immer kurz und prägnant und – soweit wir sehen – bisher praktisch fehlerlos. Viele newbies, aber auch alte Hasen, haben sich spontan bedankt – erfreut, das Forum gefunden zu haben.”

In der Rundmail heißt es weiter:

“Wir nehmen jetzt das Datenschutz-WIKI, das von vielen Benutzern gewünscht wird, konkret in Angriff. Das WIKI soll das Fachwissen des Datenschutzes transparent und greifbar machen – ein anspruchsvolles Ziel. Wir werden ihm nur näher kommen, wenn sich viele daran beteiligen. Dazu möchte ich alle aufrufen, die im Forum aktiv sind.”

Das WIKI ist sicherlich eine gute Idee – zumal das Forum von vielen Betroffenen wie “Berufsdatenschützern” genutzt wird. Die Kennzahlen des ersten Jahres:

1.412 Benutzer
6.478 Beiträge
und
1.007 Themen

Diskutieren Sie einfach selbst mit: hier geht es zum Forum…

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular

E-Mail: email@iitr.de

Datenschutz-Newsletter

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Beiträge und aktuelle Entwicklungen im Datenschutzrecht.

Der Bundestag hat das Gesetz über Personalausweise und den elektronischen Identitätsnachweis (kurz Personalausweisgesetz oder PAuswG) sowie zur Änderung weiterer Vorschriften bereits am 18.12.2008 beschlossen. Der Bundesrat hat am 13.2.2009 seine Billigung erteilt, so dass im November 2010 das Gesetz nun in Kraft treten kann.

Was ist der elektronische Personalausweis?

Der elektronische Personalausweis soll über die Zeit den herkömmlichen Personalausweis komplett ersetzen. Beim momentanen Ausweis kann man die Daten optisch ablesen, während die Daten zukünftig in einem Chip gespeichert werden. Daneben werden auch biometrische Informationen gespeichert (digitales Foto sowie – optional – die Fingerabdrücke). Ausweisinhaber können sich dann sowohl bei Behörden wie gleichfalls optional im Internet (durch Verwendung eines speziellen Lesegerätes und Eingabe einer PIN-Nummer) ausweisen. Im Internet wird durch eine Zertifizierung der Website sichergestellt, dass der jeweilige Seiteninhaber auch berechtigt ist, den Inhalt des Ausweises auszulesen.

Welche Vorteile hat der neue Personalausweis damit?

Mit dem neuen Ausweis können sämtliche Authentifizierungsprozesse, wie Log-in, Adressverifikation oder Altersnachweis schneller realisiert werden. Da der Personalausweis ein – von den Herausgebern als höchst fälschungssicher eingestuftes – Sicherheitssystem hat, hilft der Personalausweis dabei grundsätzlich, Internetkriminalität zu bekämpfen.

Eingefügte elektronische Signatur

Wesentlicher Vorteil ist die Einführung einer (optionalen) elektronischen Signatur in den Ausweis. Damit können auch Verträge, die eine eigenhändige Unterschrift erfordern, sicher über das Internet abgeschlossen werden. Bislang war es für den Einzelnen häufig zu teuer und zu umständlich, eine qualifizierte elektronische Signatur zu beantragen. Mit dem elektronischen Personalausweis findet dieses Verfahren nun eine breite Nutzerbasis.

Steigende Missbrauchsmöglichkeiten eingeschlossen

Einer der Hauptkritikpunkte an dem elektronischen Personalausweis ist der Chip, der zur Datenspeicherung verwendet werden soll: dieser basiert auf dem RFID-System und kann kontaktlos ausgelesen werden. Damit lassen sich die RFID-Chips unter Umständen auch von nicht autorisierten Scannern auslesen. Der RFID-Chip wird über ein Funkfeld aktiviert und überträgt im Anschluss die Daten in verschlüsselter Form. Damit hängt die Sicherheit des Verfahrens letztlich am Grad der Übertragungs- und Verschlüsselungstechnologie. Ein Sicherheitsrisiko, das sich nicht vollständig vermeiden lässt. Teilweise wird daher die Verwendung von RFID-Schutzhüllen empfohlen, um nicht unbeabsichtigt ausspioniert werden zu können (Link zu einem Shop mit RFID-Schutzhüllen).

Welches Sicherheitssystem verwendet der elektronische Personalausweis?

Im Unterschied zum elektronischen Reisepass setzt der elektronische Personalausweis auf das so genannte PACE-Protokoll („Password Authenticated Connection Establishment“). PACE setzt einen Schlüssel für die sichere Übertragung von Nachrichten. So können geheime Daten verifiziert werden, eine Übertragung der Daten muss dafür nicht stattfinden.

Dieses Protokoll wurde vom Bundesamt für Sicherheit der Informationstechnik entwickelt und wird derzeit von diversen Organisationen, unter anderem dem Chaos Computer Club, auf Sicherheitslücken getestet.

Was ändert sich gesetzlich?

Von allen Ausweisinhabern darf künftig insbesondere nicht mehr verlangt werden, den Ausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben (§ 1 Abs. 1 S. 3 PAuswG). Dies würde angesichts der auf dem Ausweis gespeicherten Daten ein zu großes Sicherheitsrisiko bedeuten.

Was geschieht mit den Fingerabdrücken?

Fingerabdrücke können auf dem neuen Personalausweis auf freiwilliger Basis gespeichert werden (§ 5 PAuswG). Behörden können diesen dann zum Identifikationsabgleich abrufen. Die ausstellende Behörde muss den Fingerabdruck unmittelbar nach der Ausstellung des Ausweises wieder löschen.

Möglich für Antragssteller: digitale Identifikation

Daneben hat der neue Personalausweis auch die Möglichkeit, eine digitale Identifikation darzustellen (§ 10 PAuswG). Auch diese muss beantragt werden und ist nicht verpflichtend. Durch Kartenleser kann im Internet dann später die Identität (rechtlich) eindeutig festgestellt werden. Abhanden gekommene Ausweise werden auf einer Sperrliste vermerkt. Die Identifikation über das Internet funktioniert über die Verknüpfung von Ausweisnummer mit einer PIN-Nummer und insoweit grundlegend wie beim EC-Karten-System.

Ratsam: Authentifizierung nur über gesicherte Netzwerke

Den Ausweisinhaber trifft eine gesetzliche Pflicht, „zumutbare Maßnahmen“ zu treffen, dass Dritte keine Kenntnis von der Geheimnummer erhalten (§ 27 PAuswG). Dies meint insbesondere die Eingabe bzw. den Zugang zu den gespeicherten Daten nur über gesicherte Netzwerke und Computer zu veranlassen. Insofern müssen vom Anwender auch Antivirenprogramme und Firewalls eingesetzt werden, um letztlich ein Ausspionieren der Daten zu erschweren.

Genaue Regelung des Zugriffs

Die Zugriffs-, Verwendung- und Speicherungsmöglichkeiten durch öffentliche Stellen hinsichtlich der Daten des elektronischen Personalausweises werden in § 15 ff. PAuswG genau geregelt. So dürfen beispielsweise nicht-öffentliche Stellen (also Unternehmen) nur auf Daten zugreifen, die im Geschäftsverkehr regelmäßig verlangt werden (wie Geburtsdatum, Adresse u.ä.). Sämtliche Übertragungsvorgänge sollen nur nach PIN-Eingabe und unter Kontrolle des Betroffenen stattfinden können.

Welche Probleme können sich im Übrigen stellen?

Es bleibt abzuwarten, wem Fehler im Sicherheits- oder Authentifizierungsprozess letztlich zugerechnet werden. Wird eine gestohlene digitale Identität verwendet, so drohen hohe wirtschaftliche Schäden.

Automatisierter Zugriff durch öffentliche Stellen

Heftig umstritten ist auch folgende Passage in § 15 Abs. 1 PAuswG (die insoweit dem Bundesdatenschutzgesetz („BDSG“) gemäß § 1 Abs. 3 BDSG vorgeht):

Zur Identitätsfeststellung berechtigte Behörden dürfen den Ausweis nicht zum automatisierten Abruf personenbezogener Daten verwenden. Abweichend von Satz 1 dürfen Polizeibehörden und -diensstellen des Bundes und der Länder, die Behörden der Zollverwaltung sowie die Steuerfahndungsstellen der Länder den Ausweis im Rahmen ihrer Aufgaben und Befugnisse zum automatisierten Abruf personenbezogener Daten verwenden, die zu folgenden Zwecken im polizeilichen Fahndungsbestand gespeichert sind:

1. Grenzkontrolle
2. Fahndung oder Aufenthaltsfeststellung zum Zweck der Strafverfolgung, Strafvollstreckung oder der Abwehr von Gefahren für die öffentliche Sicherheit oder
3. der zollamtlichen Überwachung im Rahmen der polizeilichen Beobachtung.

Über Abrufe, die zu keiner Feststellung geführt haben, dürfen, vorbehaltlich gesetzlicher Regelungen, die gemäß Absatz 2 erlassen werden, keine personenbezogenen Aufzeichnungen gefertigt werden.

Mehr Informationen

Über mögliche rechtliche Folgen und die gesetzlichen Grundlagen diskutiert auch Herr Jens Ferner in seinem Blog. Daneben können Sie sich auch auf der Informationsseite des Bundesministeriums des Innern über den elektronischen Personalausweis informieren.

Was kostet der neue Personalausweis?

Der neue Personalausweis wird teurer: statt bisher 8,- Euro wird die Erstellung für Personen über 24 Jahren künftig 28,80 Euro kosten.

Fazit

Letztlich wird die Praxis zeigen, inwieweit die durch die Einführung des Ausweises angestrebten Veränderungen sich auch durchsetzen lassen und in der Praxis bewähren (Stichwort „elektronische Signatur“). In jedem Fall werden künftig in digitaler Form personenbezogene Daten auf den Ausweisen gespeichert, die im Zweifelsfall ausgelesen werden können – ob man dies möchte oder nicht.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz, externe Datenschutzbeauftragte

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Datenschutz-Artikeln

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Zitierung aus der Pressemitteilung des OLG Frankfurt am Main:

“Rechtliche Erwägungen des Oberlandesgerichts

Der für die Berufung zuständige 13. Zivilsenat des Oberlandesgerichts mit Sitz in Darmstadt wies die Berufung nunmehr zurück. Zur Begründung führte er im Wesentlichen aus, es sei kein Rechtsgrund ersichtlich, nach dem die Telekom verpflichtet sei, die IP-Adressen sofort nach Beendigung der Internetverbindung zu löschen.

So habe das Bundesverfassungsgericht in einschlägigen Urteilen nicht einmal ansatzweise die Rechtmäßigkeit von Datenspeicherungen durch Dienstanbieter im Zusammenhang mit dem Telekommunikationsverkehr in Zweifel gezogen.

Nach den derzeitigen technischen Gegebenheiten sei davon auszugehen, dass der Telekom bei einer Löschung der IP-Adressen “sofort” nach Beendigung der Internetverbindung eine Abrechnung mit ihren Kunden gar nicht möglich sei. Bei den IP-Adressen handele es sich daher um für die “Berechnung des Entgelts erforderliche Daten” im Sinne des Telekommunikationsgesetzes (TKG). Dass die Telekom aktuell über bessere technische Möglichkeiten verfüge, habe der Kläger nicht darlegen können.

Es komme hinzu, dass es der Telekom bei einer sofortigen Löschung der IP-Adressen derzeit praktisch unmöglich wäre, einen relevanten Teil von Störungen und Fehlern an Telekommunikationsanlagen zu erkennen, einzugrenzen und zu beseitigen.

Unter diesen Voraussetzungen könne der Kläger allenfalls die “unverzügliche” Löschung verlangen, worunter nicht die “sofortige” Löschung zu verstehen sei, sondern eine solche “ohne schuldhaftes Zögern”. Dass es der Telekom möglich sei, die IP-Adressen schneller als nach Ablauf von sieben Tagen zu löschen, ohne dass dies ihre Abrechnung mit ihren Kunden und die Störungserkennung beeinträchtige, habe der im vorliegenden Zivilprozess darlegungs- und beweispflichtige Kläger nicht vortragen können.

Bedeutung der Entscheidung

Der Entscheidung dürfte nur bis zur Neuregelung der Pflicht der Telekommunikationsdienste zur Speicherung und Bereithaltung von Verkehrsdaten für die Verfolgung von Straftaten und zur Abwehr von erheblichen Gefahren für die öffentliche Sicherheit Bedeutung zukommen. Das Bundesverfassungsgericht hatte die zum 1.1.2008 in Kraft getretenen Regelungen §§ 113 a, 113 b TKG, die eine sechsmonatige Speicherung der Daten vorsah, am 2.3.2010 für verfassungswidrig erklärt. Sobald der Gesetzgeber die für verfassungswidrig erklärten Regelungen durch eine Neuregelung zur Speicherung ersetzt, dürfte auch die Telekom eine entsprechende Verpflichtung treffen und wäre ein Anspruch des Internetnutzers auf vorzeitige Löschung damit obsolet.”

Einordnung der Entscheidung

Die Entscheidung ist unter anderem auch für die Frage relevant, ob es sich bei IP-Adressen um personenbezogene Daten handelt oder nicht. Würden diese sofort zu löschen sein stünde das Merkmal der “Personenbeziehbarkeit” durchaus in Frage (vgl. hierzu auch unsereArtikel “Aktuelle Diskussion zur Frage, ob IP-Adressen personenbezogene Daten im Sinne des BDSG sind” und “Google Analytics erfüllt zentrale Forderung der Datenschutz-Aufsichtsbehörden“).

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular

E-Mail: email@iitr.de

Datenschutz-Newsletter

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Beiträge und aktuelle Entwicklungen im Datenschutzrecht.

Zum Video…

Über den Referenten Herrn Thorsten Ingeberg

Herr Ingeberg ist Diplom-Jurist (univ.) aus München und verantwortet als freiberuflicher Mitarbeiter des Instituts für IT-Recht IITR den Bereich Schulung, insbesondere die Aus- und Fortbildung von internen Datenschutzbeauftragten. Herr Ingeberg ist derzeit wissenschaftlicher Mitarbeiter von Herrn Professor Dr. Michael Hassemer am Lehrstuhl für Zivilrecht, Wirtschaftsrecht, Geistiges Eigentum an der Technischen Universität Kaiserslautern. Weitere Informationen…

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.