Veröffentlicht am Kategorien Praxis - Für Betroffene, RechtTags , , ,

Anspruchsgrundlagen im Datenschutz: Kein Lotto spielen!

Zunehmend stelle ich fest, dass das Thema Datenschutz auch Rechtsanwälte beschäftigt: Man möchte eine Auskunft haben, will die Weitergabe von Daten unterbinden etc. Das Problem ist, dass „Datenschutz“ nicht nur „Bundesdatenschutzgesetz“ ist. Es gibt eine Vielzahl von Anspruchsgrundlagen ud vielleicht auch gerade wegen der aktuellen Hysterie wird da einiges durcheinander gebracht.

Ich möchte dazu nur kurz was sagen, ganz speziell wegen der vielen Rechtsanwälte, die sich momentan zunehmend bei mir melden und Hilfe suchen – aber immer erst nachdem schon irgendwas schief gelaufen ist:

  1. Das Bundesdatenschutzgesetz ist sicherlich immer als erster gedanklicher Ansatz gut. Aber es gibt eine Fülle von Ausnahmen, die sogar grossteils eine Existenzberechtigung haben: Gegenüber Privatpersonen etwa hilft das BDSG herzlich wenig weiter. Ebenso wenn die betroffenen Daten nicht „organisiert“ bereit gehalten werden. Gegenüber Behörden sind die Landesdatenschutzgesetze lex specialis.
  2. Weiterhin ist immer an das TMG zu denken. Jedenfalls wo Daten im Rahmen von Webseiten verarbeitet werden ist es m.E. schon grob fahrlässig, nicht ausdrücklich das TMG durchzuprüfen.
  3. Wenn BDSG/TMG nicht greifen verbleibt ein altes Recht, das zunehmend in Vergessenheit gerät: Das allgemeine Persönlichkeitsrecht. Ganz besonders gegenüber Privatpersonen aber auch wenn Daten nur im Einzelfall (also nicht organisiert, so dass der Begriff der „Datei“ im Sinne der §§3, 27 BDSG nicht vorliegt) erhoben werden.

Für mich ist beispielsweise das Scheitern der Spickmich-Klagen darauf zurückzuführen, dass vornehmlich auf das APR abegstellt wird – dabei ist das BDSG sehr viel sinnvoller anzuwenden, sofern man die Gesamtnoten als personenbezogenes Datum versteht bzw. verstehen will.

Wie bisher freue ich mich, wenn sich Rechtsanwälte bei mir mit allgemeinen Fragen/Hinweisen melden und man sich locker & unverbindlich austauscht, das Angebot halte ich auch aufrecht so gut es geht. Wichtig ist, und auch das scheint zunehmend in Vergessenheit zu geraten: Nicht einfach irgendwas machen, kein Lotto bei den Anspruchsgrundlagen spielen. Nur weil es um Daten geht gleich mal mit Normen des BDSG um sich zu schlagen führt (jedenfalls in dem mir vorliegenden Beschreibungen) zunehmend zu einer „Klatsche“. Und das muss nicht sein.

Veröffentlicht am Kategorien Kommentar, RechtLeave a comment

Crash-Kurs für Politiker zum „Strafrahmen“ des BDSG

Bekanntlich habe ich momentan nur wenig Zeit, dennoch nehme ich mir 5 Minuten um den hier mitlesenden Politikern kurz dringende Nachhilfe zu geben. So lese ich auf der Webseite von „Wobo“ Bosbach:

Wir haben ja Strafvorschriften. Was nützt es aber, wenn der vorhandene Strafrahmen nicht ausgeschöpft wird? Wir haben im Bundesdatenschutzgesetz eine Höchststrafe bei bestimmten Verstößen bis zu 250 000 Euro. Mir ist kein Fall bekannt, … in dem dieser Rahmen jemals ausgeschöpft wurde.“ Nach seinen Informationen würden meist Bußgelder zwischen 300 und 500 Euro verhängt.

Dann wollen wir mal aufklären: Die 250.000 Euro sind keine Höchststrafe, sondern das maximale Bussgeld, §43 III BDSG. Ich halte kurz fest: Ordnungswidrigkeit ist nicht gleich Straftat, liebe Politiker. Kleine Eselsbrücke: Falschparken = Ordnungswidrigkeit. Das ist nämlich der Stand, den unsere Daten im Rahmen des §§28, 29 BDSG zur Zeit im Sanktionssystem haben: Wer sich z.B. nicht an den §28 V 2 BDSG hält, dem wird (auch bei höherem Bussgeldrahmen) der gleiche Unrechtsvorwurf gemacht wie einem Falschparker. Schön merken bitte.

Der Strafrahmen ist festgelegt im §44 BDSG und hier gibt es vor allem zu erkennen, dass es ein Antragsdelikt ist und kein Offizialdelikt. Zwar können, glücklicherweise, auch die Aufsichtsbehörden und der Bundesdatenschutzbeauftragte einen entsprechenden Antrag stellen, doch auch die müssen erstmal Kenntnis erlangen.

Weiterhin sind nur die in §43 II BDSG enthaltenen Verstösse, unter Umständen, mit Strafe bedroht. Verstösse gegen die §§28, 29 BDSG sind nach aktuellem Gesetzesstand wenn, dann nur Ordnungswidrigkeiten (vom Verstoß gegen §28 V 1 BDSG abgesehen).

Ebenfalls festzuhalten ist, dass nur Verstösse nach §43 II BDSG mit dem maximalen Ordnungsgeld bis zu 250.000 Euro geahndet werden können – die besonders Praxisrelevanten Verstösse des §43 I BDSG haben ein maximales Bußgeld von 25.000 Euro.

Nach den letzten Tagen werden wir nun erleben, dass sich zunehmend Politiker als „Besonnen“ etablieren wollen, indem sie (v)erklären, dass BDSG würde rechtlich einen ausreichenden Rahmen bieten, um unsere Daten zu schützen. Auch dies ist ein üblicher Automatismus, der in jeder Politiker-Diskussion zu bemerken ist – normalerweise dann, wenn man mit einem Aufschrei nicht mehr auffallen kann (weil es zu viele bereits tun), kommt dann die Kehrtwende.
Bosbach ist hier ein erstes Beispiel, insbesondere ein mahnendes, da seine Aussagen nicht nur im Widerspruch zur gefühlten Praxis stehen, sondern auch noch im Widerspruch zum Text des Gesetzes. Dabei muss ich hier aber lobend festhaltend, dass selbst er erkennen muss, dass eine Weitergabe wenn, dann nur bei ausdrücklicher vorheriger Zustimmung erlaubt sein sollte.

Aber, lieber „Wobo“, ich muss hierzu noch was los werden:

Zunächst müsse aber jeder Bürger und jede Bürgerin genau prüfen, welche persönlichen Daten sie zu welchen Zwecken preisgäben. „Dann unterliegen diese Daten ja den einschlägigen rechtlichen Bestimmungen.“

Ja, und diese Bestimmungen habt ihr Politiker zu verantworten. Deswegen werden meine Daten, die ich als Kunde meinem Vertragspartner gebe, ja auch gerne im Rahmen des §28 III Nr.3 BDSG an Dritte zum Zwecke der Werbung weitergegeben. Dabei hat man als Kunde häufig keine Wahl, weil man sonst am Vertragsabschluss scheitern wird. Nicht ich muss prüfen – ihr müsst verhindern dass der bestehende faktische Zwang der Wirtschaft weiterhin besteht.

Veröffentlicht am Kategorien Praxis - Für Betroffene, Recht2 Comments

Mythos: 6 Wochen Zeit zur Zurückweisung von Lastschriften

Momentan wird wieder ein alter Mythos gepflegt: Der Bankkunde hat nur 6 Wochen Zeit um einer Lastschrift zurück zu weisen. Mein Tipp: Zur Bank gehen bei älteren Abbuchung und nachfragen wie die das handhaben, meine Bank etwa macht bis zu 6 Monaten gar keinen Stress wenn man darauf hinweist, dass ohne EInzugsermächtigung abgebucht wurde. Hintergrund ist u.a. eine BGH-Entscheidung (XI ZR 258/ 99) die deutlich festhält, dass Lastschriften vom Kontoinhaber genehmigt werden müssen und es grundsätzlich keine Fristen für die Zurückweisung unberechtigter Lastschriften gibt.

Zwar gibt es inzwischen, entsprechend der BGH Entscheidung, ausdrückliche Regelungen in den AGB hinsichtlich der Rückabwicklung von Lastschriften und der stillschweigenden Genehmigung von Abbuchungen, soweit mir bekannt betrifft das aber nur Lastschriften, bei denen eine EInzugsermächtigung überhaupt vorlag (typischer Streit: „Ich habe zwar unterschrieben, aber der hat zu viel abgebucht“).
Wenn jemand ohne Einzugsermächtigung abgebucht hat und man dies definitiv weiss, ist die 6 Wochen Frist meines Wissens somit auch von den gängigen AGB nicht erfasst. Daher: Wer beim Kontrollieren über etwas stolpert was schon länger her ist, sollte dennoch mit seiner Bank/Sparkasse sprechen und nicht sofort aufgeben.

Mythos: 6 Wochen Zeit zur Zurückweisung von Lastschriften weiterlesen

Veröffentlicht am Kategorien Kommentar, Recht2 Comments

Vorsicht bei Disclaimern

Ich habe 2003 davor gewarnt, damals auf netz-id.de. Ich habe 2006 davor gewarnt und 2007 nochmals: Disclaimer können sehr wohl eine Bedeutung haben. Während gerade Juristen ständig schreiben,d ass Disclaier rechtlich unbedeutend sind, tippe ich mir seid Jahren die Finger wund um zu erklären, wie falsch das ist.

Natürlich braucht es für einen Vertrag zwei Willenserklärungen. Aber es gibt dennoch einseitige Willenserklärungen, die Rechtskraft entfalten. Beim lawblog liest man nun vom wohl ersten Urteil, in dem ein Disclaimer mit einer solchen Erklärung für Ärger und eine Niederlage vor Gericht gesorgt hat, hier zu finden.

Ich hoffe, dass sich die Erkenntnis und die Erinnerung an das 1. Semester bei den Juristen wieder durchsetzt und man aufhört, Disclaimer pauschal zu verurteilen. So belanglos wie man immer meint, sind sie nicht – jedenfalls bei einseitigen Willenserklärungen, die rechtliche Wirkungen nach sich ziehen.

Veröffentlicht am Kategorien Kommentar, Recht17 Comments

Und es ist doch wie Mikado…

Gerade auf Telepolis gelesen:

„Bei Operation Mikado war nicht einmal klar, dass überhaupt eine schwere Straftat begangen worden war. Hier wurde also noch stärker vermutet und angenommen als im Fall des Holzklotzwerfers, bei dem wenigstens klar war, dass am Ende der Kette eine schwere Straftat steht.“

Nun, ich sehe es doch so, dass die Ermittlungen im Holzklotz-Fall mit Mikado (und somit mit der von mir entwickelten Begrifflichkeit der „personenbezogenen Datenfahndung“) gleichzusetzen sind.

Denn auch bei Mikado war es keine Frage, dass eine Straftat (Verbreitung kinderpornographischer Werke, jedenfalls des Anbieters seinerzeit) im Raum stand. So wie bei dem Holzklotz Fall ist für mich die Straftat kein Problem, es war aber reine Vermutung, dass überhaupt irgendein Deutscher, geschweige denn ein deutscher Kreditkarteninhaber, hier in irgendeiner Form mitgewirkt hat.

Beim Holzklotz-Fall, so wie bei Mikado, steht am Anfang eine Vermutung: Die Annahme, dass ein zu ermittelnder Täter zu einer Straftat existiert und etwas getan hat, das „Spuren hinterlässt“, auf das die Ermittlungsbehörden Zugriff nehmen können. Da man aber keine konkreten Anhaltspunkte, sondern gerade nur vage Vermutungen hat, bleibt es nur, auf die Gesamtheit aller Spuren dieser Art zuzugreifen und hierzu einen „Filter“ einzusetzen – sei es

  • In der Funkzellen X zwischen Uhrzeit A und B eingloggt, oder
  • Mit Kreditkarte die Summe X zwischen dem Datum A und B an Empfänger C überwiesen

Zugegriffen wird dabei in beiden Fällen erstmal auf eine Vielzahl Unverdächtiger, wobei der Verdachtsmoment im Moment des passenden Filters erzeugt wird. Das ist die „personenbezogene Datenfahndung“ in Reinform, ob sie nun bei Mikado oder beim Holzklotz-Fall angewendet wurde.

Persönliche Anmerkung: Ich finde es Geschmacklos, ein Foto des Holzklotzes in dortigen Artikel zu präsentieren. Es hat keine Relevanz zum Artikel und wirkt einfach nur reißerisch.

Und es ist doch wie Mikado… weiterlesen

Veröffentlicht am Kategorien Kommentar, News, Recht2 Comments

NJW: Zu einfach gemacht

In der aktuellen NJW 31/2008 findet man ab Seite 2219 einen Beitrag „Arbeitnehmerüberwachung mit Kamera?“ in dem man es sich m.E. zwischendurch etwas zu einfach gemacht hat. Zwei kurze Anmerkungen:

  1. Unter I 1 wird unter Bezug auf das Teledienstegesetz und Teledienstedatenschutzgesetz geschrieben, dass diese regelmässig nichts mit der Videoüberwachung zu tun haben. Ist ein bisschen peinlich, denn beide Gesetze gibt es nicht mehr, heute ist das Telemediengesetz einschlägig. Und das ist durchaus auf Videoüberwachung anwendbar, es kommt darauf an, wie man es handhabt: Gar nicht selten ist z.B. der Fall, dass entweder eine WebCam zum Einsatz kommt, oder letztlich über ein Netzwerk die Signale zu einem Server übertragen und dort gespeichert werden. Dies ist ein Anwendungsfall des TMG – und nicht ohne Grund, wenn man an die Gefahren durch (un)befugtes Eindringen in den Server denkt, auf dem die Daten gespeichert sind.
  2. Die 5 Zeilen zum §201a StGB finde ich auch ein bisschen kurz gegriffen. Dass z.B. aufgrund des weiten Wohnungsbegriffs im Rahmen des §201a StGB auch Betriebsstätten darunter fallen können, fehlt mir in der Aussage. Und bei dem Hinweis: „Ferner müsste ein höchstpersönlicher Lebensbereich betroffen sein, was beim Arbeitsplatz zu verneinen ist“ ist anzumerken, dass das natürlich ein bisschen zu platt ist – es gibt etwa Arbeitsplätze, bei denen man ohne nähere Betrachtung zu der Erkenntnis kommt, dass das so nicht sein kann, zu denken ist an Feuerwehrleute, die teilweise mehrere Tage am Stück in der Wache verbringen und dort dann auch leben. Ebenfalls ist an Aufenthaltsbereiche und Toiletten (sowie die unmittelbaren Bereiche vor der Toilette!) zu denken. Dies nur als kurze Beispiele und Mahnung, den §201a StGB ein wenig mehr Achtung entgegen zu bringen.

Im Fazit bleibe ich bei meiner Einstellung, dass man gerade als Jurist das Thema mit sehr viel mehr Liebe zum Detail angehen muss. So ist es erschreckend, dass schon wieder vergessen wird, zwischen Beobachtung und Aufzeichnung zu unterscheiden, eine sträfliche Missachtung des BVerfG und der rechtlichen Lage. Der Verweis auf das TDDSG und TDG ist nicht zu entschuldigen, zumal der Beitrag offensichtlich jüngerer Natur ist, immerhin wird auf das Urteil des BVerfG aus dem Februar 2008 verwiesen. Ich bin schockiert, dass dieser Fehler niemandem aufgefallen ist bis zur Drucklegung.

Ich verweise an der Stelle nochmals auf meinen Kommentar „Kameras sind nicht böse„, sowie meine erste Antwort auf einen Leserbrief von Patrick Breyer in der NJW, meine angekündigte Replik steht aber noch aus, da mir leider momentan die Zeit davon gelaufen ist 🙁 Ich denke, P. Breyer wird nach diesem Beitrag ebenfalls rotieren und wahrscheinlich selber noch was (an die NJW?) schreiben, ich hoffe es jedenfalls.

Veröffentlicht am Kategorien Kommentar, Recht9 Comments

Lügen nicht mehr erlaubt dank dem BGH?

Bei dem Urteil des BGH, eben von mir hier Infos eingestellt, ergibt sich zwischen den Zeilen ein Problem. Man lese den Absatz zur Angabe des Geburtsdatums nochmal in Ruhe:

Die Angabe des Geburtsdatums dient der Zweckbestimmung des Vertrags des Beklagten mit dem Verbraucher (§ 28 Abs. 1 Satz 1 Nr. 1 Alt. 1 BDSG).*** Schon angesichts der Vielzahl der Teilnehmer am Payback-Programm gehört eine praktikable und gleichzeitig sichere Methode der Identifizierung der Programmteilnehmer zu den Vertragszwecken. Die Angabe des vollständigen Geburtsdatums ist bei einem Bonusprogramm, welches nach den Feststellungen des Berufungsgerichts rund dreißig Millionen Teilnehmer hat, zur Vermeidung von Identitätsverwechslungen in besonderer Weise geeignet.

Datenschützer sagen schon länger, dass man Daten wie ein Geburtsdatum bei einem Vertrag nicht wahrheitsgemäß angeben muss – wenn die daten nicht gebraucht werden, so etwa Dr. Thilo Weichert in der Welt:

Es ist übrigens auch zulässig, Fantasieangaben zu machen, wenn die Informationen für den Vertragsabschluss nicht unbedingt gebraucht werden.

Das Problem ist nur, siehe oben, dass der BGH sagt, Rabattkarten brauchen das Geburtsdatum zur Identifikation. Man sollte sich also hüten, bei PayBack & Co. ein falsches Datum anzugeben. Und wer dies bereits getan hat, sollte nochmals drüber nachdenken. Mit der Argumentation des BGH jedenfalls lässt sich nicht mehr klar differenzieren, wann überhaupt noch Daten überflüssig sind – die Rabattkarten-Herausgeber verfügen ja u.a. auch noch über die Anschrift der Verbraucher. Wirklich viel Platz für „überflüssiges“ verbleibt da, dank dem BGH, nun nicht mehr.

Veröffentlicht am Kategorien Recht7 Comments

Der Datenschutzbeauftragte – ein Rechtsdienstleister?

Bereits seit längerem fällt mir auf, dass als Datenschutzbeauftragte so genannte „IT-Consultants“ oder „erfahrene EDVler“ auftreten, die vor allem mit „langjähriger Erfahrung“ punkten möchten. Ich finde das soweit OK, zumal die mir bekannten Seminare der Szene alle recht Praxisnah sind und ein praktischer Datenschützer ist ein echter Gewinn für jedes Unternehmen.
Dennoch handelt es sich um keine (ausgebildeten) Juristen, was sicherlich kein Weltuntergang ist – gäbe es nicht das Rechtsdienstleistungsgesetz (hier als PDF). Zu Zeiten des Rechtsberatungsgesetzes fand ich die Lage zu kritisch, um es überhaupt anzusprechen, jetzt aber (wo sich in der Tat Möglichkeiten bieten), möchte ich es öffentlich problematisieren: Wie sieht es denn aus, wenn ein (zumindest externer) Datenschutzbeauftragter bestellt wird?

Möchte man den §5 RDG anwenden? Ich sehe das Problem, dass die konkrete Rechtsdienstleistung bei einem aktiven DSB alles andere als nur „Nebenleistung“ ist, vielmehr ist es m.E. Hauptleistung. Der §6 RDG wird regelmässig an der Unentgeltlichkeit scheitern, abgesehen davon, dass er zur konkreten Tätigkeit wieder eines Juristen bedarf (Absatz 2). Die §7-8 RDG werden im Regelfall ebenfalls nicht vorliegen, so dass nur die Registrierung nach §12 RDG i.V.m. der Verordnung zum RDG (PDF) verbleibt.

Auf die Schnelle – der Artikel ist jetzt quasi mit der „heissen Nadel“ gestrickt – würde ich sagen, man sollte entweder Rechtsanwalt sein, oder sich zumindest registrieren lassen. Wie sieht das die Leserschaft? Bitte nicht politisch motiviert für eine weite Auslegung des §5 RDG plädieren, sondern fundiert argumentieren.

Einige Argumente vorab: Das Argument für eine restriktive Auslegung wäre etwa, dass Datenschutz mehr als nur die technische Analyse ist und sicherlich auch viel mehr, als das reine Abarbeiten von Handbüchern oder Lesen von Kommentaren. Andererseits wäre vielen Juristen die technische Seite schon wieder zu viel und ein bezahlbarer Datenschutz, geschweige denn eine FIrmeninterne Lösung, wäre gar nicht möglich, was nicht im Sinne des §4f BDSG ist, der ja gerade eigene Merkmale mit „Sachkunde“ und „Zuverlässigkeit“ setzt. Das RDG nutzt ja dabei nicht nur ebenfalls diese Kriterien, sondern geht auf den Datenschutzbeauftragten gar nicht ein, was für eine losgelöste Betrachtung sprechen könnte. Oder will man die Tätigkeit des Datenschutzbeauftragten gar nicht als Rechtsdienstleistung inordnen und so das RDG ganz aushebeln? (Fände ich kritisch, da die Tätigkeit für mich eine klare Rechtsdienstleistung ist – man denke an die Anfragen Betroffener und die konkrete Anwendung von Rechtsnomen, die im Einzelfall erfolgt).