Wie schrecklich langweilig wären doch diese Welt und juristische Weblogs ohne die Firma Google. An guten Tagen wirft Google interessante juristische Fragen einfach deshalb auf, weil man dort ständig an der vordersten Front der technischen und gesellschaftlichen Entwicklung operiert – und damit natürlich auch rechtlich immer wieder neue und noch nicht gerichtlich entschiedene oder sonst ausdiskutierte Fragen generiert.

Und dann, naja, machen auch die guten (nicht ironisch gemeint) Leute bei Google ab und an schlicht Fehler. Wie etwa den, bei Gelegenheit der ohnehin rechtlich wie gesellschaftlich schon brisanten Abbildung des gesamten Landes gleich noch private WLANs nicht nur zu erfassen, sondern aus diesen gleich noch Daten – Teile von Emails, besuchten Webseiten etc – abzugreifen und zu speichern.

Das ist natürlich ebenso illegal wie dämlich und dürfte der Reputation des Unternehmens nachhaltig Schaden zufügen. Gleichzeitig sind die Erklärungen für diese Panne eher verwirrend – da ist davon die Rede, dass ein Versehen vorläge, vielleicht sei ein experimentelles Programm an einer Stelle verwendet worden, an der man es nicht hätte verwenden sollen. Oder so ähnlich. Jedenfalls zweifelt man ein wenig an der sonst so unstrittigen Kompetenz des Unternehmens.

Sei’s drum: jedenfalls möchte Google die erhobenen Daten nunmehr umgehend löschen und Vorkehrungen treffen, dass solche Pannen in Zukunft nicht mehr vorkommen. Das ist rein rechtlich natürlich sinnvoll und notwendig. Aber interessant ist doch für den Betroffenen in diesem Moment auch, welche Daten da eigentlich erfasst wurden. Wollen Sie das nicht auch wissen? [Weiterlesen »]

Tags: Auskunftsanspruch, Google, WLAN

Das Gesetz zur Änderung datenschutzrechtlicher Vorschriften ist teilweise bereits am 1. September 2009 in Kraft getreten und wird im Übrigen am 1. April 2010 in Kraft treten. Darin wurde eine Grundsatzregelung für die Behandlung von Arbeitnehmerdaten in § 32 Bundesdatenschutzgesetz (BDSG) aufgenommen.

Hiernach dürfen personenbezogene Daten zum Zwecke der Einstellung eines Beschäftigten nur dann erhoben, verarbeitet und genutzt werden, wenn dies für die Einstellung erforderlich ist. Während eines Beschäftigungsverhältnisses ist dies nur dann zulässig, wenn die Daten für die Durchführung oder die Beendigung des Arbeitsverhältnisses erforderlich sind. Außerdem ist die Datenerhebung auch für Zwecke der Aufdeckung einer Straftat zulässig, wenn der Verdacht besteht, dass die Straftat im Beschäftigungsverhältnis begangen wurde und die Daten zur Aufdeckung der Straftat erforderlich sind.
Eine ausführliche Regelung des Arbeitnehmerdatenschutzes soll in der nächsten Legislaturperiode folgen.

In diesem Zusammenhang wird auch das am 1. Januar 2010 gestartete Datenerfassungsprojekt “ELENA” (Elektronischer Entgeltnachweis) stark kritisiert und wird wohl entschärft werden müssen. Derzeit müssen nun alle Arbeitgeber an eine zentrale Speicherstelle der Deutschen Rentenversicherung in Würzburg alle einkommensrelevanten Informationen über ihre Beschäftigten übermitteln. Ziel dieses Datenpools soll sein, dass ab 2012 zunächst der Bezug von Sozialleistungen wie Arbeitslosen-, Wohn- und Elterngeld zügiger und ohne einer Papierbescheinigung des Arbeitgebers abgewickelt werden müssen. Allerdings müssen nach den aktuellen Plänen neben den Daten zu der Höhe des Arbeitsentgeltes auch Informationen über Fehlzeiten (Krankheit, Streik usw.), Fehlverhalten oder Abmahnungen ebenfalls gemeldet werden. Damit die für die Sozialleistungen zuständigen Stellen ab 2012 die Daten abrufen können, benötigt der Sozialleistungsempfänger dann jedoch eine qualifizierte elektronische Signaturkarte, mit der er seine Daten bei der zentralen Speicherstelle anfordern kann.

Ein weiterer für die Einhaltung der Compliance wichtiger Bereich ist der Datenschutz. Der Datenschutz betrifft insbesondere den Schutz personenbezogener Daten. Der Datenschutz ist im Grundgesetz als Staatsziel definiert. Bei Nichteinhaltung der Bestimmungen über den Datenschutz drohen dem Unternehmen erhebliche Haftungsrisiken, sowohl in zivilrechtlicher wie auch in strafrechtlicher Hinsicht. Das Datenschutzrecht verpflichtet den Unternehmer, die Einhaltung der Datenschutzbestimmungen regelmäßig durch Bestellung eines Datenschutzbeauftragten und interne Maßnahmen sicherzustellen:

Nach § 4f des Bundesdatenschutzgesetzes (kurz “BDSG”) haben öffentliche und nicht-öffentliche Stellen (jedes Unternehmen der freien Wirtschaft ist eine solche nicht-öffentliche Stelle), die personenbezogene Daten automatisiert verarbeiten (das trifft in der Regel auf jedes Unternehmen zu, in dem Kommunikationsmittel wie Telefone, Computer, dienstliche Mobilfunkgeräte etc. verwendet werden), einen Datenschutzbeauftragten schriftlich zu bestellen. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht nur für solche nicht-öffentlichen Stellen nicht, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ein Datenschutzbeauftragter ist auch dann zu bestellen, wenn personenbezogene Daten zwar nicht automatisiert verarbeitet werden, aber auf andere Weise erhoben, verarbeitet oder genutzt werden, sofern damit in der Regel mindestens 20 Personen beschäftigt sind.

Die Nichtbestellung eines Datenschutzbeauftragten stellt eine Ordnungswidrigkeit dar, die mit einem Bußgeld von bis zu 25.000,00 Euro geahndet werden kann.

Der Datenschutzbeauftragte muss für die Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen sorgen und die ordnungsgemäße Verwendung der Datenverarbeitungsprogramme überwachen. Er muss weiter die Mitarbeiter des Unternehmens, die mit der Verarbeitung personenbezogener Daten betraut sind, schulen.

Daneben ist der Unternehmer gemäß § 4g Abs. 2 BDSG auch verpflichtet, ein so genanntes Verfahrensverzeichnis aufzustellen, das bestimmte gesetzlich vorgeschriebene Angaben zu enthalten hat und in dem auch die zugriffsberechtigten Personen zu nennen sind. Dieses Verfahrensverzeichnis ist dem Datenschutzbeauftragten zur Verfügung zu stellen. Jeder Dritte kann Einsicht in dieses Verzeichnis verlangen.

Das Verfahrensverzeichnis hat folgende Angaben gemäß § 4e BDSG zu enthalten:

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,

3. Anschrift der verantwortlichen Stelle,

4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,

5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,

7. Regelfristen für die Löschung der Daten,

8. eine geplante Datenübermittlung in Drittstaaten,

9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die getroffenen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung ausreichend und angemessen sind.

Soweit die automatisierte Datenverarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen verbunden ist, z.B. etwa weil besonders sensible Daten verarbeitet und ausgewertet werden sollen, muss der Datenschutzbeauftragte eine Vorabkontrolle durchführen, also eine Prüfung vor Beginn der Verarbeitung vornehmen.

Wenn Sie sich ein wenig im Internet bewegen oder einfach ab und an eine Online-Publikation oder ein Blog lesen, dann haben Sie vermutlich schon vom Fall Viacom gegen Google i.S. YouTube gehört.

Kurz gefasst geht es darum: Viacom, ein Medienunternehmen, ist der Ansicht, dass auf YouTube regelmäßig (meint hier: in hunderttausenden Fällen) Rechte der Viacom oder derer Beteiligungen verletzt werden. Im einfachsten Fall ist das ein illegal mitgeschnittener MTV-Clip, den ein enthusiastischer Fan der betreffenden Band im Überschwang der Gefühlte auf YouTube hochgeladen hat, um den Rest der Welt von Qualität und Güte der Band zu überzeugen.

YouTube gehört bekanntermaßen seit einiger Zeit Google, und seit das so ist – und YouTube damit eine im pekuniären Sinn leistungsfähig ist – häufen sich die Urheberrechtsprozesse, in denen auch und gerade Schadenersatz verlangt wird. Um den zu berechnen braucht man als Kläger aber erst einmal genaue Daten zu Anzahl und Ausmaß der Verletzungen. Dazu ist also nicht nur interessant, dass ein bestimmter rechtsverletzender Inhalt auf einer Seite zu finden ist, sondern etwa auch, wie oft er angesehen wurde. Das weiß natürlich der Kläger nicht, sondern – bestenfalls – der Beklagte. Also beantragt man im Prozess einfach, das Gericht möge dem Beklagten doch bitte aufgeben, solche Daten zur Verfügung zu stellen.

Ein solcher Antrag der Viacom hatte vorliegend Erfolg. Auf Anweisung des New Yorker Gerichts, vor dem verhandelt wird, muss Google eine ganze Reihe von Daten herausgeben. Darunter – wenn man den Presseberichten glauben darf – auch YouTube-Nutzernamen und IP-Adressen, so dass eine Identifizierung einzelner Nutzer YouTubes möglich wäre. Der Stern schreibt dazu: [Weiterlesen »]

Das Berliner Verwaltungformular Nr. I C 228 – „Erklärung zum Einbürgerungsantrag“ sorgt nach jahrelanger unbeanstandeter Verwendung in der deutschen und internationalen Presse für einige Furore. Das liegt weniger am Inhalt als an der Formulierung des Papiers. Denn neben vielen weiteren Angaben und Einwilligungen erklärt der Antragsteller dort auch seine „Einwilligung zur Verarbeitung personenbezogenen Daten besonderer Kategorien, hier zur rassischen und ethnischen Herkunft.“ Das kann man, wenn man die Berliner Regierung ärgern will, als Nazi-Vokabular verstehen; im dritten Reich herrschte ja unbestritten eine sehr ernste Form von Rassenwahn.

Der Spiegel jedenfalls hält die Formulierung für „anrüchig“, vielleicht ja sogar zu Recht. Der (grüne) Abgeordnete Özcan Mutlu bemerkt zum Thema:

„Ich will dem Senat keinen Rassismus vorwerfen, aber ich finde es unglaublich, dass offenbar niemand diese Formulierungen in einem amtlichen Formular bemerkt hat“.

Ich bin der festen Überzeugung, dass diese Formulierung im Formular ganz absichtlich steht, und nach der geltenden Gesetzeslage völlig zu recht. Denn der Passus nimmt schlicht das Bundesdatenschutzgesetz ernst. Dort wird definiert, was personenbezogene Daten ganz allgemein sind, aber auch, was sog. „besondere Arten personenbezogener Daten sind“. Nämlich Daten, die ganz besonders sensibel sind: [Weiterlesen »]

Tags: Diskriminierung

Sicher haben Sie davon gelesen, dass die Video-Überwachungskameras des Berliner Pergamon-Museums nicht nur selbige Einrichtung und deren Vorplatz, sondern nebenbei auch noch das Wohnzimmer der Frau Dr. Merkel, bekannt als Bundeskanzlerin dieses, unseres Landes überwachen. Das ist eine Geschichte, die nicht nur pikant ist, weil mit der Bundeskanzlerin natürlich eine besonders prominente Person betroffen ist, sondern auch, weil ähnliche Vorkommnisse – eben weniger prominent – wohl in jeder Stadt jeden Tag vorkommen. Die Videoüberwachung öffentlicher Räume, eigentlich als Lösung für die Problematik der Verfolgung von Gewaltkriminalität gedacht, ist inzwischen selbst zum Problem geworden.

Dabei ist die gesetzliche Regelung – die es, wir sind in Deutschland, natürlich gibt – eigentlich eindeutig und sinnvoll:

§ 6b BDSG - Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen

(1) Die Beobachtung öffentlich zugänglicher Räume (das meint allgemein „Bereiche“ es muss kein überdachter „Raum“ vorliegen, d.A.) mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie
1. zur Aufgabenerfüllung öffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

[Weiterlesen »]

Tags: Überwachung

Praktisch jedes Unternehmen hat heutzutage eine Internetseite. Wie bei jedem Informations- und Werbemittel sind bei deren Betrieb rechtliche Vorschriften zu beachten. Dass eine Webseite in aller Regel ein Impressum benötigt und dass der Betreiber Obacht geben sollte, auf welche Fremdinhalte er verlinkt, ist dabei durchaus bekannt.

Ein wenig in Vergessenheit gerät häufig aber der Datenschutz. Jede Webseite, die einen Teledienst darstellt, unterliegt hier besonderen Transparenz- und Aufklärungspflichten gegenüber dem Nutzer. Verstöße können mit Ordnungsgeldern i.H. von bis zu 50.000 Euro geahndet werden.

Wann aber wird eine Webseite zum Teledienst? In § 2 Abs. 2 des Teledienstegesetzes heißt es hierzu:

(2) Teledienste (…) sind insbesondere
1. Angebote im Bereich der Individualkommunikation (zum Beispiel Telebanking, Datenaustausch),
2. Angebote zur Information oder Kommunikation, soweit nicht die redaktionelle Gestaltung zur Meinungsbildung für die Allgemeinheit im Vordergrund steht (Datendienste, zum Beispiel Verkehrs-, Wetter-, Umwelt- und Börsendaten, Verbreitung von Informationen über Waren und Dienstleistungsangebote),
(…)
5. Angebote von Waren und Dienstleistungen in elektronisch abrufbaren Datenbanken mit interaktivem Zugriff und unmittelbarer Bestellmöglichkeit.

Teledienste sind damit alle gängigen Unternehmenspräsentationen im Internet, aber auch Shops, Foren oder ähnliche Gestaltungen.
[Weiterlesen »]

Tags: Webseiten

Ein wirklich schönes Beispiel dafür, wie trotz formaljuristisch wohl korrekter Handhabung der Datenschutzgesetze deren eigentlicher Zweck konterkariert werden kann, zeigt sich auf focus.de. In einer Art Hütchenspiel („wo liegen meine Daten?“) wird der Nutzer von Online-Versicherungsvergleichen an einen Dienstleister im Versicherungs- und Geldanlage-Bereich geleitet. Meist dürfte der Nutzer das nicht bemerken. Möglich macht’s das Internet, eine undurchsichtige Seite und die geschickte Verknüpfung von Eigen- und Fremdinhalten.

Das Ganze funktioniert so:

Es gibt Berufsgruppen, mit denen trete ich ungern in Kontakt, und wenn sie mit mir in Kontakt treten ist das in aller Regel auch unangenehm. Dazu zählen natürlich Anwälte, vor allem aber auch Versicherungsleute, ob jetzt Makler, Vertreter, Vermittler, Dienstleister. Deren Geschäft, der Verkauf von Versicherungen, bringt es mit sich, dass man unangenehm an die eigene Sterblichkeit erinnert wird, an die Gefahr von Verletzungen, Schäden und Berufsunfähigkeit. Außerdem sind die Verkaufsmethoden bekannt penetrant und wenn’s drauf ankommt, hat man sowieso die falsche Versicherung.

So ein Dienstleister im Versicherungs- und Finanzbereich ist etwa das Unternehmen ino24 AG. Auf deren Webseite kann man, so der Text der Seite, verschiedene Versicherungsgesellschaften online vergleichen. Aber wenn man das tut, dann ahnt man – und zwar zu Recht, wie die AGB und Datenschutzbestimmungen des Unternehmens zeigen – dass man demnächst wohl viel Post oder Telefonate erhält. Das Unternehmen vermittelt (Punkt 5.1. der AGB) keine Versicherungen, gibt aber Anfragen an die Leistungsträger (Banken, Vermittler, Versicherungen etc.) weiter. Insbesondere muss für den Vergleich personenbezogene Daten eingeben: Alter, Beruf, Email. Und da ich mich für den Vergleich vieler Versicherungen als „privat“ ausweisen muss, wird hierzu im Rahmen einer Registrierung auch noch meine Telefonnummer abgefragt.

Daneben gibt es bekannte Onlineportale, die beim Internetnutzer einen gewissen Vertrauensbonus genießen. Dazu dürfte unzweifelhaft auch die Seite focus.de gehören. Die bieten neben Nachrichten jede Menge Mehrwert und Schnickschnack. Unter anderem auch, wer denkt es, Versicherungsvergleiche.
[Weiterlesen »]

Tags: Frechheit

Wenn man im Datenschutz beratend tätig ist, dann spürt man immer wieder die Unsicherheit von international aufgestellten oder in Konzernen eingebundenen Unternehmen bei Datenübermittlungen in die Vereinigten Staaten. Die zählen ja zu den “unsicheren Drittländern”, in denen nach Ansicht der EU-Kommision kein angemessenes Datenschutzniveau gewährleistet ist. Übermittlungen personenbezogener Daten sind daher nur in Ausnahmefällen zulässig.

Es müssen ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorgewiesen werden, insbesondere in Form von Vertragsklauseln oder verbindlichen Unternehmensregelungen, etwa einem Code of Coduct. Oder – das ist die US-Alternative – das empfangende Unternehmen unterwirft sich der Safe Harbor Regelung, wie das viele namhafte Unternehmen bereits getan haben. Da alle diese Maßnahmen bestimmte Klagerechte Betroffener und Einsichtsrechte von Aufsichtsbehörden mit sich bringen sind sie – nicht ganz zu Unrecht – nicht sonderlich beliebt.
[Weiterlesen »]

Teil 3 des Beitrages widmet sich der Frage, was - überlicksartig - die Aufgaben des betrieblichen Datenschutzbeauftragten sind.

Ganz allgemein hat der betriebliche Datenschutzbeauftragte auf die Einhaltung des Bundesdatenschutzgesetzes sowie weiterer Vorschriften über den Datenschutz hinzuwirken, § 4g BDSG.

Das Gesetz enthält nun ein Reihe von ganz konkreten, aber eben auch sehr viele allgemeine, grundsätzliche Pflichten. Die Tätigkeit als betrieblicher Datenschutzbeauftragter umfasst daher einen weiten Pflichtenkreis. Klar abgrenzbar und mit überschaubarem Aufwand zu erledigen ist etwa die Verpflichtung der mit Datenverarbeitung beauftragen Mitarbeiter auf das Datengeheimnis, § 5 BDSG. Sehr viel umfassender ist ganz allgemein die Schaffung von Transparenz in der Datenverarbeitung des Betriebes und die Durchsetzung des Grundsatzes der Datensparsamkeit. Im einzelnen ergeben sich aus dem Gesetz folgende Pflichten für den Datenschutzbeauftragten:

[Weiterlesen »]

Tags: BDSB