Facebook “Custom Audiences from your Website”

Mittwoch, 23. April 2014, 17:21 Uhr

Über Facebooks „Custom Audiences“ haben wir bereits berichtet. Dabei ging es um werbetreibende Unternehmen, die aus ihren Kundendateien benutzerdefinierte Zielgruppen zusammenstellen und bei Facebook zum Abgleich hochladen.

Eine benutzerdefinierte Zielgruppe kann aber auch aus Besuchern der Homepage des Unternehmens gebildet werden. Diese spezielle Funktion namens „Custom Audiences from your Website“ dient vor allem dem Retargeting und Conversion Tracking, was ganz eigene Fragen aufwirft.

Wer ist eigentlich verantwortlich?

Mithilfe des Zählpixels Facebook Tag API erhebt Facebook auf der Website des werbetreibenden Unternehmens Daten über die Besucher der Website. Diese Daten werden mit den Profilen von Facebook-Mitgliedern abgeglichen. Im Account eines Mitglieds, das die Website besucht hat, erscheint dann Werbung, die genau auf die Unterseiten der Website abgestimmt ist, die es sich angeschaut hat.

Welche Daten Facebook auf der Website erhebt und welche Facebook-Mitglieder Werbung erhalten, erfährt das werbetreibende Unternehmen nicht einmal. Trotzdem muss man davon ausgehen, dass es als Betreiber der Website für den Schutz der erhobenen Daten verantwortlich ist. Verantwortliche Stelle ist gemäß § 3 Abs. 7 Bundesdatenschutzgesetz jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

Facebook wird im Auftrag des Website-Betreibers tätig, denn die erhobenen Daten werden genutzt, um dessen Werbung auf den Pinnwänden der Facebook-Mitglieder einzublenden. Durch den Vertrag mit Facebook hat das werbetreibende Unternehmen die Möglichkeit, die Verarbeitung der Nutzerdaten zu beeinflussen. Auch das spricht für eine Auftragsdatenverarbeitung, wobei die Einzelheiten unter den Experten umstritten sind.

Das werbetreibende Unternehmen ist als Website-Betreiber auch Diensteanbieter im Sinne des Telemediengesetzes, sodass es alle Pflichten aus diesem Gesetz trifft.

Widerspruch muss möglich sein!

Insbesondere weist § 15 Abs. 3 TMG Diensteanbietern eine datenschutzrechtliche Verantwortung für das Erstellen von Nutzungsprofilen zu. Danach darf der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.

Zunächst stellt sich die Frage, ob diese Vorschrift überhaupt anwendbar ist. Nur dann würde es  ausreichen, dem Website-Besucher eine Möglichkeit zum Widerspruch („Opt Out“) einzuräumen; anderenfalls müsste er vor der Erstellung des Nutzungsprofils einwilligen („Opt In“).

§ 15 Abs. 3 TMG regelt zunächst nur den Fall, dass der Betreiber einer Website selbst eine Reichweitenanalyse vornimmt und das werbetreibende Unternehmen erstellt die Nutzerprofile nicht selbst, sondern Facebook durch den Zählpixel auf der Unternehmens-Website. Doch handelt Facebook dabei im Auftrag, sodass der Betreiber der Website für die Reichweitenanalyse verantwortlich ist.

Insofern unterscheidet sich die Konstellation von den sogenannten Social Plugins (Facebooks „Like Button“, Twitter, LinkedIn), Youtube-Videos und vielen anderen Inhalten Dritter, die als iFrames in eine Website eingebunden werden. Dabei wird auch das Nutzerverhalten auf den jeweiligen Websites analysiert, allerdings können deren Betreiber keinen Einfluss auf die Erhebung der Nutzerdaten nehmen.

Da § 15 Abs. 3 TMG anwendbar ist, reicht die Möglichkeit des Widerspruchs aus. Positiv ist hervorzuheben, dass Facebook die technischen Voraussetzungen für einen Widerspruch geschaffen hat. Dadurch können werbetreibende Unternehmen es einem Website-Besucher ermöglichen, der Erfassung seines Nutzungsprofils zu widersprechen. Ein Cookie kann auf dem Browser des widersprechenden Nutzers gesetzt werden, der das weitere Tracking verhindert.

Betreiber von Websites müssen die Besucher in der Datenschutzerklärung auf ihr Widerspruchsrecht hinweisen, § 15 Abs. 3 S. 2 TMG. Facebook bietet sogar eine Möglichkeit, Nutzer von der Werbung in ihrem Facebook-Account auf die Datenschutzerklärung des Partnerunternehmens weiterzuleiten.

Nutzerprofil nur unter Pseudonym!

Wie Profile von Website-Besuchern angelegt werden dürfen, ist ebenfalls in § 15 Abs. 3 TMG geregelt. Im Wesentlichen gibt es neben der Widerspruchsmöglichkeit zwei weitere Voraussetzungen:

  1. Die über das Nutzungsverhalten erhobenen Daten dürfen nur mit einer Kennung (Pseudonym) versehen werden und
  2. niemals mit Daten zusammen geführt werden, mit denen der Nutzer als Person identifiziert werden kann.

Nutzerprofile sind unter einem Pseudonym zu erstellen, d.h. die Nutzerdaten dürfen nur mit einer Kennung versehen werden, die nicht ohne Weiteres Rückschlüsse auf die Identität des Nutzers erlaubt. Pseudonymisieren i.S.v. § 3 Abs. 6a BDSG ist das Ersetzen von Identifikationsmerkmalen durch Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Soweit ein Zählpixel dem Rechner des Users über ein Cookie nur eine Kennung zuweist, damit der Rechner wiedererkannt wird, ist diese Voraussetzung erfüllt.

Problematisch bei Werbung auf sozialen Netzwerken ist allerdings das Zusammenführungsverbot nach §§ 15 Abs. 3 S. 3 i. V. m. 13 Abs. 4 Nr. 6 TMG. Facebook muss ausschließen, dass  die zur Erstellung der Nutzungsprofile verwendeten Pseudonyme mit identifizierbaren Angaben zu den Nutzern verbunden werden.

Diese Vorgabe dürfte für soziale Netzwerke, bei denen bereits der tatsächliche Name des Nutzers meist schon auf seiner Profilseite sichtbar ist, schwierig umzusetzen sein. Dem Facebook-Nutzer die Werbung einzublenden, die genau darauf abgestimmt ist, welche Unterseiten er sich auf der Homepage des werbetreibenden Unternehmens angeschaut hat, setzt im Grunde voraus, dass sein Nutzungsverhalten mit seinem Facebook-Profil zusammengeführt wird. Der Verstoß gegen § 15 Abs. 3 S. 3 TMG könnte nur durch eine vorherige Einwilligung des Nutzers aufgefangen werden.

Es ist zwar durchaus denkbar, dass soziale Netzwerke die Zusammenführung der Daten verhindern, etwa durch interne „Chinese Walls“ oder entsprechende Anonymisierungssoftware. Im Prinzip können solche Werbemaßnahmen und eine entsprechende Profilbildung gesetzeskonform umgesetzt werden.

Facebook nennt keine technischen Details

Facebook behauptet auch, dass die Informationen, die man durch „Custom Audiences from your Website“ über das Surfverhalten der eigenen Mitglieder erlangt, nicht in die Interessenprofile der Mitglieder einfließen. Wie eine Zusammenführung der Nutzungsdaten und der Facebook-Profile verhindert wird, obwohl jedes einzelne Mitglied gezielt verhaltensbasierte Werbung erhält, wird von Facebook allerdings nicht offenbart.

Zudem kann durch Zählpixel bei jedem Mitglied nachverfolgt werden, ob die Einblendung der Werbung zu einem Abschluss geführt hat (Conversion Tracking). Der bloße Verweis auf Hashing als sicheren Weg des Datenaustausches reicht nicht aus, um die Vereinbarkeit des Verfahrens mit den Anforderungen des Datenschutzrechts beurteilen zu können.

Ob Facebooks „Custom Audiences from your Website“ datenschutzkonform eingesetzt werden kann, lässt sich daher nicht abschließend beurteilen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Videoüberwachung: Schmerzensgeld nach heimlicher „Krankenkontrolle“ des Arbeitgebers

Dienstag, 22. April 2014, 18:11 Uhr

Die Rechtsprechung zur heimlichen Videoüberwachung im Rahmen des Beschäftigungsverhältnisses ist um ein Urteil reicher geworden. Das Landesarbeitsgericht Hamm (Urteil v. 11.07.2013 – 11 Sa 312/13) hat einer Klägerin im Berufungsrechtszug ein Schmerzensgeld in Höhe von 1000€ zugesprochen, nachdem ihr Arbeitgeber sie durch einen Privatdetektiv einer „Krankenkontrolle“ unterzogen hat, die die krank gemeldete Mitarbeiterin des Betruges überführen und ihre Kündigung rechtfertigen sollte.

Welcher Sachverhalt lag dem Urteil zugrunde?

Die Klägerin, die als Sekretärin bei ihrem Arbeitgeber angestellt war, meldete sich aufgrund verschiedener nacheinander aufgetretener Erkrankungen – zuletzt eines Bandscheibenvorfalls – für einen Zeitraum von ca. zwei Monaten krank und konnte für ihren Abwesenheitszeitraum entsprechende Arbeitsunfähigkeitsbescheinigungen vorlegen.

Ihr Arbeitgeber entschloss sich, eine Detektei zu beauftragen und die Mitarbeiterin observieren zu lassen. In dieser Zeit fertigte die Detektei heimlich mehrere Videosequenzen an, die die Mitarbeiterin beim Hantieren mit Wäsche im Waschsalon zeigen. Auf Grundlage der so entstandenen Bilder kündigte der Arbeitgeber ihr. Das Arbeitsgericht Münster hatte bereits rechtskräftig entschieden, dass das Arbeitsverhältnis nicht wirksam gekündigt worden sei.

Straftat im Rahmen des Beschäftigungsverhältnisses begangen?

Zur Aufdeckung von Straftaten darf nach § 32 Abs. 1 S. 2 BDSG eine Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten erfolgen, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffenen im Beschäftigungsverhältnis Straftaten begangen hat.

Ein Arbeitnehmer, der eine krankheitsbedingte Arbeitsunfähigkeit vortäuscht und sich so die Entgeltfortzahlung im Krankheitsfall sichert, kann den Straftatbestand des Betrugs nach § 263 StGB verwirklichen. Im hier vorliegenden Fall konnte der Arbeitgeber den Beweiswert der Arbeitsunfähigkeitsbescheinigungen  jedoch nicht erschüttern.

Wann gibt es Schmerzensgeld?

Wie das LAG Hamm urteilte, haben die Videoaufnahmen die Klägerin rechtswidrig und schwerwiegend in ihrem allgemeinen Persönlichkeitsrecht verletzt. Zu den rechtlichen Voraussetzungen der heimlichen Videoüberwachung haben wir bereits berichtet.

Bei einer Verletzung  des allgemeinen Persönlichkeitsrechts kann der Betroffene eine Geldentschädigung für immaterielle Schäden beanspruchen, wenn es sich um eine schwerwiegende Verletzung handelt und die Beeinträchtigung nach Art der Verletzung nicht auf andere Weise – etwa Genugtuung durch Unterlassen, Gegendarstellung oder Widerruf – befriedigend ausgeglichen werden kann. Das war hier nicht der Fall.

Wonach richtet sich die Höhe des Schmerzensgeldes?

Bemessungsfaktoren für die Höhe des Schmerzensgeldes sind insbesondere die Genugtuung des Opfers, der Präventionsgedanke und die Intensität der Persönlichkeitsrechtsverletzung.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

TrueCrypt: Keine Backdoor, nur Bugs

Donnerstag, 17. April 2014, 14:07 Uhr

Wie auf heise.de berichtet, wurde die erste Phase der Überprüfung des Quellcodes von TrueCrypt nunmehr beendet. Die Überprüfung habe ergeben, dass der Code keine vorsätzlich eingebauten Hintertüren enthält, allerdings nicht den gängigen Standards zur Programmierung sicherheitsrelevanter Software genüge.

TrueCrypt, was ist das?

TrueCrypt ist eine Software zur Verschlüsselung von Festplatten und Wechseldatenträgern. Es bietet die Algorithmen AES, Twofish und Serpent, welche nicht nur separat, sondern auch miteinander verbunden verwendet werden können.

Was wurde überprüft?

Die erste Phase der Überprüfung durch das gemeinnützige Open Crypto Audit Project (OCAP) befasste sich mit verschiedenen Themen, es wurde u.a. der Quellcode der letzten freigegebenen TrueCrypt-Version 7.1a analysiert sowie Tests am Windows-Bootloader und des Windows-Kerneltreibers durchgeführt. Ziel war u.a. die Prüfung des Programms auf etwaig eingebaute Hintertüren und sicherheitsrelevante Fehler im Allgemeinen. Im Rahmen des Audits wurden sowohl die erhältlichen Binärdateien als auch selbst kompilierte getestet.

Dem Bericht der beiden Prüfer zufolge zeigten sich elf Sicherheitslücken, von denen vier als mittelschwer, vier als geringfügig und drei als eher theoretisch eingestuft wurden. Der Code enthalte aber keine vorsätzlich eingebaute Hintertür.

Der TrueCrypt-Quellcode wurde insoweit kritisiert, dass er schlecht kommentiert sei, unsichere und überholte Funktionen sowie inkonsistente Datentypen wie Variablen verwende. Weiterhin wurde kritisiert, dass veraltete Werkzeuge zum Kompilieren der Windows-Version eingesetzt würden.

Als gravierendste Sicherheitslücke wurde die Verschlüsselung der Volume Header gesehen, welche die Password-Based Key Derivation Function 2 (PBKDF2-Funktion) verwendet, um aus dem Passwort für das Volume den Schlüssel für die verschlüsselten Daten abzuleiten. TrueCrypt nutze hierzu allerdings, je nach Anwendungsgebiet, nur 1000 oder 2000 Durchgänge, was die Verschlüsselung anfälliger für Brute-Force-Angriffe mache.

Welche Risiken bestehen?

Die gefundenen Programmfehler, sog. Bugs, seien laut den Prüfern zwar nicht kritisch, ermöglichten aber ggf. die Entschlüsselung von Daten. Durch die Schwächen bei der Generierung des Schlüssels für die Daten seien selbst mittelmäßig komplexe Passwörter nicht sicher und erlaubten es einem Angreifer, unter Umständen das verschlüsselte Volume zu knacken.

Was wird in der zweiten Phase geprüft?

Gegenstand der zweiten Phase der Prüfung soll speziell die Kryptografie von TrueCrypt sein.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Facebook kennt bald auch Deine Finanzen

Mittwoch, 16. April 2014, 18:14 Uhr

Kann man demnächst statt per Lastschrift oder Kreditkarte auch per Facebook bezahlen? Gibt es sogar bald eine Facebook-Währung? Das weltweit größte soziale Netzwerk hat bei der irischen Zentralbank eine Zulassung als Finanzdienstleister beantragt. Als “e-money institution” könnte es seinen Nutzern ermöglichen, über den Rechner zu Hause oder mit mobilen Geräten Geld zu überweisen, und zwar nicht in Dollar oder Euro, sondern als E-Geld. Facebook würde auf breiter Front angreifen, denn die Dienstleistung umfasst den Geldtransfer in Konkurrenz etwa zu Western Union und Bezahldienste wie PayPal.

„Versuch in sehr kleinem Maßstab“

Die Prüfung soll zwar schon in den kommenden Wochen abgeschlossen werden, aber zunächst will man den Ball flach halten: “Wir arbeiten an einem Versuch in sehr kleinem Maßstab“, sagte ein Unternehmenssprecher laut Süddeutscher Zeitung. Ansonsten lässt Facebook wenig nach außen dringen.

Für die Zurückhaltung gibt es einen guten Grund: Die virtuelle Währung Facebook Credits war nicht erfolgreich und wurde im vergangenen Jahr eingestellt, und das Mobile-Commerce-Angebot Facebooks Gifts ist bei Verbrauchern bisher nur auf wenig Resonanz gestoßen”, zitiert CNET eine Expertin.

Besonders in Märkten wie Indien, wo Facebook vergangene Woche die Grenze von 100 Millionen Anwendern geknackt hat, soll der Bezahldienst dennoch eine große Rolle spielen. Das gilt auch für andere Schwellenländer, in denen Bankenwesen und Zahlungssysteme noch nicht so etabliert sind wie in Europa und den USA. Dort sind Zahlungen im Rahmen von Apps übrigens bei Facebook schon üblich. Im vergangenen Jahr wurden so über 2 Milliarden Dollar für Spiele umgesetzt.

Der Guardian meldet, dass das soziale Netzwerk an diesem Umsatz mit 30 Prozent beteiligt ist. Auch über die Spiele hinaus könnte es Marktplatz für Online-Shops werden und E-Commerce-Aktivitäten befeuern, an denen es wie Paypal oder eine klassische Kreditkartenfirma beim Zahlungseinsatz verdient.

Knackpunkt Datensicherheit

In Zeiten der Bankenkrise hat zwar das Image altehrwürdiger Geldhäuser gelitten. Aber würde man einem sozialen Netzwerk zutrauen, Überweisungen zuverlässig und seriös auszuführen? CNET verweist auf eine Studie, wonach das nötige Vertrauen unter den Verbrauchern noch nicht besteht.

Zumindest müsste Facebook bei den Sicherheitsmaßnahmen nachlegen. Es arbeitet z.B. mit OpenSSL, sodass es von der Sicherheitslücke „Heartbleed“ betroffen ist  – wie auf der Website mashable.com nachzulesen ist – und Kontodaten nach heutigem Stand ohne weiteres abfließen könnten.

Knackpunkt Datenschutz

Wenn Kontodaten abhandenkommen und sich der Kreis der Betroffenen nicht genau eingrenzen lässt, muss nach § 42a Bundesdatenschutzgesetz auf den Vorgang und seine möglichen Folgen in zwei bundesweit erscheinenden Tageszeitungen hingewiesen werden, in Anzeigen von mindestens einer halbe Seite. Ob sich Facebook an solche Vorgaben halten würde, steht auf einem anderen Blatt.

Eine andere wichtige Forderung des Datenschutzes wäre die strikte Trennung der Zahlungsdaten von den übrigen Daten im Facebook-Profil der Nutzer. Aber ist es nicht zu verlockend, deren Zahlungsverhalten zu analysieren, etwa um den Zusammenhang zwischen Werbung und Kaufabschlüssen zu ermitteln („Conversion Tracking“)?

Im Ergebnis würde eine weitere Schranke fallen: Hatte das soziale Netzwerk schon bislang Zutritt zum „Wohnzimmer“ seiner Nutzer, wo sie sich mit Freunden über ihre Vorlieben austauschten, wird es künftig wohl auch einen Blick ins Portemonnaie seiner Nutzer werfen.

Wen das als Facebook-Nutzer kalt lässt, dem sei mit auf den Weg gegeben, dass die technischen Voraussetzungen für den Bezahldienst in nicht allzu ferner Zukunft dafür eingesetzt werden könnten, die Nutzer für alle möglichen Inhalte oder Angebote zur Kasse zu bitten oder sogar einen Mitgliedsbeitrag zu erheben.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Arbeitsgericht Stuttgart: Aushebelung des Datenschutzes für Schwerbehinderte?

Dienstag, 15. April 2014, 16:07 Uhr

Heute Morgen bin ich über einen aktuellen Bericht auf heise online gestolpert dessen Überschrift mich ins Grübeln brachte. Heise titelte: „Keine Entschädigung bei verschwiegener Schwerbehinderung“ und löste damit eine kontroverse Diskussion innerhalb der Leserschaft im Kommentarbereich aus.

Offene Fragen

Mir als Jurist und passioniertem Datenschützer gingen bei dieser Überschrift gleich mehrere Gedanken durch den Kopf:

  • Haben wir nicht einmal gelernt, dass die generelle Frage nach einer Schwerbehinderung durch den Arbeitgeber regelmäßig eine unzulässige Frage ist?
  • Steht es nicht grundsätzlich jedem frei, seinen Gesundheitszustand offen zu legen?
  • Wie kann ein Gericht eine Informationspflicht scheinbar hintenherum einführen, die es doch gerade nicht gibt, und einem Betroffenen einen Rechtsanspruch unter Hinweis auf ein rechtlich korrektes Verhalten verwehren?
  • Ist letzteres, wie der Titel suggeriert, in diesem Fall überhaupt geschehen?
  • Muss jetzt jeder Schwerbehinderte schon in seinen Bewerbungsunterlagen seine Schwerbehinderung angeben?

Wie diversen Kommentaren auf heise online zu entnehmen ist, stellten sich viele Leser die gleichen Fragen. Dieses Urteil verlangt, insbesondere da die Schwerbehinderung als sog. besonderes personenbezogenes Datum i.S.d. § 3 Abs. 9 BDSG gilt, nach einer Auseinandersetzung und möglicherweise auch Klarstellung.

Der Fall

Um die Diskussion nachvollziehen zu können, lohnt es sich, sich zunächst mit dem Urteil des Arbeitsgerichts Stuttgart eingehender zu befassen:

Das Arbeitsgericht Stuttgart hatte sich in seinem Urteil vom 29.01.2014 (Az.: 11 Ca 6438/13) mit der Frage zu befassen, ob einem abgelehnten Bewerber gemäß §§ 81 Abs. 2 SGB IX (10. Buch des Sozialgesetzbuches), 15 Abs. 2 AGG (Allgemeines Gleichbehandlungsgesetz) ein Entschädigungsanspruch wegen Benachteiligung aufgrund einer Schwerbehinderung gegen den potentiellen Arbeitgeber zusteht.

Der Sachverhalt

Der schwerbehinderte Kläger hatte sich bei der Beklagten auf eine Stellenausschreibung beworben und in seiner Bewerbung nach Auffassung der Beklagten nicht ausdrücklich auf die bestehende Schwerbehinderung hingewiesen. Er hatte lediglich im Lebenslauf als Zusatz zu einem Zeitraum der Arbeitsunfähigkeit den Hinweis aufgenommen „Schwerbehinderung“ und zusätzlich nach seinen Angaben die Anlagen mit „Lebenslauf mit Behinderung“ bezeichnet. Letzteres wurde allerdings von der Beklagten bestritten. Weitere ausdrückliche Erklärungen oder Nachweise zu einer bestehenden Schwerbehinderung, insbesondere im Anschreiben, gab der Kläger nicht ab.

Der Kläger wurde durch die Beklagte nicht zu einem Vorstellungsgespräch eingeladen. Hierauf machte er einen Anspruch auf Schadenersatz in Höhe von 3 Bruttomonatsgehältern geltend und begründete diesen damit, dass er von der Beklagten nur aufgrund seiner bestehenden Schwerbehinderung nicht eingeladen worden sei.

Die Ablehnung

Das Arbeitsgericht erkannte zwar an, dass in der ausgebliebenen Einladung zu einem Vorstellungsgespräch zwar eine Benachteiligung liege, lehnte einen Anspruch auf Schadenersatz unter Verweis auf die fehlende Kausalität zwischen der Benachteiligung und der bestehenden Schwerbehinderung ab.

Rechtlicher Rahmen

Nach der herrschenden Rechtsprechung und juristischen Fachliteratur gilt: Eine bestehende Schwerbehinderung muss nur dann mitgeteilt werden, wenn diese Auswirkungen auf die berufliche Leistungspflicht hat. Ein Bewerber hat grundsätzlich das Recht, diese zu verschweigen.

Nach §§ 81 Abs. 2 SGB IX, 15 Abs. 2 AGG steht einem Beschäftigten (hierzu gehören ausdrücklich auch Bewerber) gegen den Arbeitgeber ein Anspruch auf Schadenersatz zu, wenn er wegen eines in § 1 AGG enthaltenen Merkmales, hier die Schwerbehinderung, benachteiligt wird.

Nach ständiger Rechtsprechung des Bundesarbeitsgerichts liegt ein Nachteil im Rahmen einer Auswahlentscheidung, insbesondere bei Einstellung oder Beförderung, bereits dann vor, wenn der Beschäftigte nicht in die Auswahl einbezogen, sondern vorab ausgeschieden wird. Die Benachteiligung liegt in der Versagung einer Chance.

§ 15 Abs. 2 AGG erfordert weiterhin, dass die Benachteiligung gerade auf der Berücksichtigung des unzulässigen Merkmales beruht, d.h. gerade die hier im Raum stehende Schwerbehinderung des Klägers muss auch der Grund für die Nichtberücksichtigung gewesen sein (vgl.: § 2 Abs. 1 Ziff. 1 AGG „wegen“). Dies ist die sog. Kausalität.

Normalerweise hat im deutschen Zivilrecht jede Partei die Umstände darzulegen und zu beweisen, die für sie von Vorteil, also anspruchsbegründend sind. Gem. § 22 AGG kann eine Benachteiligung in diesem Sinne allerdings schon angenommen werden, bzw. die Kausalität wird vermutet, wenn der Bewerber Indizien vorträgt, die seine Benachteiligung vermuten lassen. In diesem Falle greift eine sog. Beweislastumkehr und der Arbeitgeber hat seinerseits die Pflicht, die vermutete Benachteiligung zu widerlegen.

Die Entscheidung des Gerichtes

Nach der Auffassung des Arbeitsgerichtes Stuttgart bedarf es für die Annahme der Beweislastumkehr allerdings einer ausreichenden Darstellung darüber, dass der Arbeitgeber den Grund, auf den der Bewerber seine Benachteiligung stützen will, auch tatsächlich kennt, oder hätte kennen können. Dies wurde im vorliegenden Fall vom Gericht abgelehnt.

Hierzu führt das Gericht aus:

“Es obliegt deshalb dem abgelehnten Bewerber, die Kenntnis bzw. Möglichkeit hierzu darzulegen. […]Aus dem Bewerbungsschreiben selbst ergibt sich kein Hinweis auf das Vorliegen einer Schwerbehinderung.[…] Es genügt nicht, dass ein Hinweis so beschaffen ist, dass der Leser der Bewerbung objektiv die Möglichkeit hat, die Schwerbehinderung zur Kenntnis zu nehmen.[…] Mit der Zielsetzung der §§ 81 ff. SGB IX einerseits und der §§ 15, 7, 3, 1 AGG andererseits ist es nicht zu vereinbaren, dass ein Bewerber lediglich versteckte Hinweise auf eine Schwerbehinderung gibt. […]“

Und die Folgen?

Über das Ergebnis und die Begründung des Gerichtes, eine ausreichende Kenntnisnahmemöglichkeit des Arbeitgebers habe nicht vorgelegen, kann sicherlich diskutiert werden. Dies ist wie immer Auslegungsfrage. Wichtiger für die datenschutzrechtliche Praxis ist jedoch, hat dieses Urteil nun Folgen für den Schwerbehindertendatenschutz?

Schweigerecht ausgehebelt?

Hat das Gericht mit dieser Entscheidung das Schweigerecht generell ausgehebelt?

Nein!

Auch weiterhin gilt, dass eine Schwerbehinderung nicht generell offengelegt werden muss und der Arbeitgeber danach nicht grundlos fragen darf.

Generelle Offenbarungspflicht?

Hat das Gericht damit eine generelle Offenbarungspflicht begründet?

Nein!

Das Arbeitsgericht Stuttgart hat vielmehr einen seit langem bekannten und akzeptierten Grundsatz gestärkt, dass derjenige, der aus einem Umstand Vorteile ziehen will, muss diesen auch offenlegen. Das ist nicht neu und findet sich zum Beispiel auch im Bereich der Urlaubsgewährung. So haben Schwerbehinderte i.S.d. § 81 SGB IX gem. § 125 SGB IX 5 Tage zusätzlichen Urlaub. Hierzu bedarf es allerdings der Offenbarung gegenüber dem Arbeitgeber.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

OpenSSL Heartbleed-Bug: Sicherheitslücke mit weitreichenden Folgen

Montag, 14. April 2014, 18:21 Uhr

Eine Panne mit weitreichenden Folgen und vielen Fragen. Als vor wenigen Tagen erstmals über den schweren Programmierfehler bei OpenSSL berichtet wurde, war die Verunsicherung über die Wirksamkeit der Datenverschlüsselung groß.

Das Ausmaß dieses Bugs wird deutlich, wenn man sich die große Menge an Meldungen vor Augen führt, die zu diesem Thema veröffentlicht worden sind.

Was war passiert?

Die Entwickler der weitverbreiteten Verschlüsselungsbibliothek OpenSSL haben ein Update (Version 1.0.1g) veröffentlicht und damit eine Lücke geschlossen. Diese ermöglicht es Angreifern, Schlüssel, Passwörter und weitere geheime Daten abzugreifen.

Angesiedelt ist dieser Bug in der sog. Heartbeat-Funktion (Herzschlag), welche anhand von Statusinformationen überprüft, ob der jeweilige Kommunikationspartner noch aktiv ist. Mangels Überprüfung eines Speicherzugriffs ist es Angreifern hierdurch möglich, unbemerkt Daten bei der Gegenstelle auszulesen und hierdurch z.B. Zertifikatsschlüssel, Authentifizierungsdaten oder auch verschlüsselte Inhalte abzuschöpfen.

Wer ist betroffen?

Grundsätzlich sind sämtliche Betreiber betroffen, die verschlüsselte Dienste anbieten. Insbesondere betrifft dies VPN-, Mail-, Server-Anbieter und viele weitere Dienste, die die OpenSSL-Bibliothek verwenden. Die Problematik betrifft jedoch nicht nur größere, sondern auch private Dienste (z.B. Router, selbst aufgesetzte Server, etc.), sofern für die Verschlüsselung die OpenSSL-Bibliothek zum Einsatz kommt.

Das Ausmaß der betroffenen Anbieter ist nicht zu unterschätzen! Um sich einen Überblick einiger Betroffener zu verschaffen, lohnt ein Blick auf die Mashable-Website, wobei der Fokus dort auf us-amerikanischen Anbietern liegt.

Aufgrund der Tragweite dieses kritischen Problems stellt sich die Frage, wie es um die Sicherheit von Diensten steht, die hochsensible Daten über das Internet austauschen. Die Gematik z. B. bietet hier mit der Telematik-Lösung für die Gesundheitskarte ein mögliches Einfallstor für Angreifer, um an Gesundheitsdaten zahlreicher Patienten zu gelangen. Die Unternehmenssprecherin der Gematik, Heike Fischer, erklärte  gegenüber heise online, dass die Gesundheits-Telematik nicht vom Heartbleed-Bug betroffen sei, da keiner der geplanten Dienste bereits am Netz sei. Darüber hinaus seien Anbieter entsprechender Lösungen von der Gematik um Stellungnahmen in Bezug auf den Einsatz der betroffenen SSL-Bibliotheken gebeten worden. Auch wenn bei der Gesundheits-Telematik mangels praktischen Einsatzes hierüber keine akute Gefahr für Gesundheitsdaten besteht, so zeigt dies doch, wie schwerwiegend solche Szenarien für die Sicherheit derart sensibler Daten ist.

Was ist zu tun?

Viele Dienste sind betroffen und die Anbieter arbeiten mit Hochdruck dabei das Leck durch eine aktualisierte Bibliothek zu schließen oder haben diese bereits geschlossen.

Aber auch für den Nutzer besteht Handlungsbedarf, denn keiner weiß wirklich genau, wie lang und durch wen, die Lücke in der Vergangenheit bereits ausgenutzt worden ist, um vermeintlich sichere Kommunikationsdaten in Erfahrung zu bringen. Nutzer betreffender Dienste, wie Mail-, Server- oder auch Bankdienste usw. sollten sämtliche Passwörter ändern, nachdem die betreffenden Anbieter die Lücke geschlossen haben. Sind Sie sich nicht sicher, ob auch Ihr Anbieter betroffen ist, sollten Sie ihn kontaktieren und um Auskunft bitten.

Wie geht es weiter?

Das enorme Ausmaß dieser Lücke in der OpenSSL-Bibliothek zeigt, wie gravierend und umfassend die Folgen sein können. Um solche sicherheitsrelevanten Projekte wie OpenSSL stemmen zu können, bedarf es ausreichender fachlicher Kompetenz und daher auch finanzielle Unterstützung, damit entsprechende Leistung eingekauft werden kann. Wie heise berichtet, bittet das Projekt nun um finanzielle Unterstützung. Wie üblich bei OpenSource-Projekten, läuft die Entwicklung (Diskussion, Verbesserung) über öffentliche Mailing-Listen ab. Gemein ist diesen, dass sie über zu wenig Festpersonal verfügen, was überwiegend auf geringe und schwankende Finanzmittel zurückzuführen ist. Das große Medienecho hat sicherlich dazu beigetragen, dass innerhalb kurzer Zeit bereits 9.000 Dollar an Spenden eingesammelt werden konnten.

Gerade bei solchen Projekten, die für einen nahezu flächendeckenden Einsatz sicherheitsrelevanter Infrastruktur gedacht sind, wäre es wünschenswert, wenn dort mehr festes Personal beschäftigt wäre. Nur ausreichende Kapazitäten können einen guten Entwicklungsprozess mit ordentlichen Vorabtest gewährleisten, wodurch solche Fehler, wie hier geschehen, ggf. hätten vermieden werden können. Damit einher geht aber auch, dass die Unterstützung durch die Nutznießer letztlich auch angemessen ist, um Personalbedarf und Entwicklung abzusichern.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Veröffentlichung einer nichtanonymisierten Gerichtsentscheidung

Freitag, 11. April 2014, 13:25 Uhr

Mit Beschluss vom 03.03.2014 hat das Bundesverfassungsgericht (BVerfG) im Verfahren 1 BvR 1128/13 entschieden, die Verfassungsbeschwerde eines Arztes gegen berufsgerichtliche Entscheidungen, insbesondere gegen die Erkennung auf eine nichtanonymisierte Veröffentlichung eines rechtskräftigen Urteils nicht anzunehmen.

Was war der Hintergrund?

Ein niedergelassener Facharzt für innere Medizin in einer Gemeinschaftspraxis sah sich in einem berufsrechtlichen Verfahren dem Vorwurf der zuständigen Ärztekammer ausgesetzt, gegenüber Privatpatienten Rechnungen erstellt zu haben, welche mit den Vorschriften der Gebührenordnung für Ärzte (GOÄ) nicht im Einklang standen, daher unangemessen waren und somit gegen das geltende Berufsrecht verstießen. Auf Antrag der Ärztekammer wurde schließlich ein berufsgerichtliches Verfahren eröffnet.

Wie haben die Berufsgerichte entschieden?

Erstinstanzlich sowie in der Berufung entschieden die Berufsgerichte unter anderem, dass auf die nichtanonymisierte Veröffentlichung der Entscheidung, wie sie § 60 Abs. 3 HeilBerG NRW gestattet, im Ärzteblatt zu erkennen gewesen sei, weil es sich um ein besonders schwer wiegendes Berufsvergehen gehandelt habe, mit dem in systematischer Weise ein den Vorschriften der Gebührenordnung widersprechendes Abrechnungssystem verfolgt worden sei. Diesem Verhalten sei eine hohe Schadensneigung zu Lasten  der Vermögensinteressen betroffener Patienten bzw. der Allgemeinheit in Form der Krankenkassenträger, Beihilfeträger etc. zugekommen. Die Maßnahme diente nach Auffassung der Berufsgerichte zur individuellen Disziplinierung.

Das Berufungsgericht sah die Veröffentlichung im Rahmen der Interessenabwägung mit Blick auf eine mögliche Prangerwirkung im Ergebnis dennoch als verhältnismäßig an, da es keinen schutzwürdigen Grund sah, eine wahre Tatsache aus der Sozialsphäre im konkreten Fall zu untersagen.

Der Arzt legte gegen die berufsgerichtlichen Entscheidungen Verfassungsbeschwerde ein und beantragte mit Blick auf die nichtanonymisierte Urteilsveröffentlichung den Erlass einer einstweiligen Anordnung. Er sah sich u.a. in seinem allgemeinen Persönlichkeitsrecht, abgeleitet aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, verletzt. Die Verfassungsbeschwerde wurde nicht zur Entscheidung angenommen.

Wie lautet die Begründung des Bundesverfassungsgerichts?

Nach Ansicht des BVerfG setzte die Veröffentlichung der berufsgerichtlichen Verurteilung unter voller Namensnennung den Arzt in der Öffentlichkeit herab und betreffe seine soziale Stellung in negativer Weise, so dass die Veröffentlichung eine rechtfertigungsbedürftige Beeinträchtigung des allgemeinen Persönlichkeitsrechts darstelle.

Das allgemeine Persönlichkeitsrecht unterliege jedoch der Schrankenregelung des Art. 2 Abs. 1 GG und könne durch Gesetz unter Beachtung des Grundsatzes der Verhältnismäßigkeit beschränkt werden. Diese einschränkende Regelung müsse jedoch zum Schutz eines gewichtigen Gemeinschaftsguts geeignet und erforderlich sein und der Schutzzweck hinreichend schwer wiegen, um die Grundrechtseinschränkung zu rechtfertigen. § 60 Abs. 3 HeilBerG NRW erfülle nach Auffassung des Gerichts diese Anforderungen.

Die nichtanonymisierte Veröffentlichung finde nach Ansicht des BVerfG ihre Rechtfertigung im berechtigten Interesse an einer Information der Allgemeinheit, insbesondere der Gemeinschaft der Versicherten. Neben dieser informationellen und generalpräventiven Wirkung diene die Veröffentlichung auch der weiteren Sanktionierung eines individuellen Fehlverhaltens, das auch die Gefahr einer höheren Kostenlast für die Gemeinschaft der Versicherten in sich trage.

Die Verhältnismäßigkeit sah das BVerfG dadurch gewahrt, dass die Veröffentlichung nur in einem berufsrechtlichen Medium und einmalig erfolgte. Keine Bedenken hatte das BVerfG zudem dagegen, dass die Veröffentlichung auch im Internet zu finden sein wird, da dies nicht den begrenzten und eindeutigen Bezug zur berufsrechtlichen Verfehlung verändere.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Schule 2.0: Elektronisches Klassenbuch und SMS gegen Schulschwänzen

Donnerstag, 10. April 2014, 15:02 Uhr

Die Zeiten, in denen in Schulen ein traditionelles papiernes Klassenbuch geführt wurde, scheinen sich allmählich dem Ende zu neigen. Immer mehr Schulen bekunden Interesse an einer zeitgemäßen, elektronischen Variante des Klassenbuchs.

Allein in Berlin laufen derzeit zehn Pilotprojekte, bei denen der Nutzen elektronischer Klassenbücher für die Durchsetzung der Schulpflicht erprobt werden soll.

Vereinfachte Dokumentation und Auswertung möglich

Es gibt bereits eine Reihe von Anbietern webbasierter Lösungen, die eine detaillierte Dokumentation und Verwaltung von Fehlzeiten und unterrichtsbezogener Informationen anbieten. Nachdem in einem ersten Schritt Informationen wie Namen, Geburtsdaten und Geschlechter der Schüler gespeichert werden, ist es möglich, Anwesenheitslisten zu generieren, Fehlzeiten, Verspätungen und Beurlaubungen von Schülern auszuwerten sowie Entschuldigungen zu dokumentieren.

Schulschwänzer-SMS an Schüler und Eltern

In Berlin ist insbesondere geplant, Schüler per SMS in den Unterricht zu locken. Wird festgestellt, dass der Schüler unentschuldigt fehlt, kann aus dem elektronischen Klassenbuch direkt eine SMS an den Schüler verschickt werden – in der Hoffnung dass dieser doch noch aufläuft. Bei minderjährigen Schülern werden die Erziehungsberechtigten zusätzlich kontaktiert. Für die SMS wird ein Standardtext verwendet, der an einer Berliner Schule wie folgt lautet:

“Lieber Schüler, liebe Schülerin, erstens wir haben gemerkt, dass du nicht da bist, zweitens wir fänden es schön, wenn du da wärst und drittens, mach dich auf die Socken.”

Rechtliche Vorgaben in Landesverordnungen

In entsprechenden Verordnungen existieren auf Länderebene konkrete Vorgaben zu Daten, die in Klassenbüchern dokumentiert werden dürfen (in Berlin z.B. § 5 Abs. 1 SchulDatenVO). Sofern der Umfang der Datenverarbeitung im elektronischen Klassenbuch über die in den Verordnungen für traditionelle Klassenbücher abschließend definierten Datenkataloge hinausgeht, bedarf es einer schriftlichen Einwilligung der Betroffenen (Schüler, Erzeihungsberechtigte, Lehrer, Ausbilder).

Berücksichtigung von Datensicherheitsaspekten

Bevor sich eine Schule entscheidet, das traditionelle Klassenbuch gegen ein elektronisches zu ersetzen, ist neben dem u.U. bestehenden Erfordernis entsprechender Einwilligungserklärungen zu beachten, dass mit Dienstleistern – unter Berücksichtigung der erforderlichen Datensicherheitsaspekte – Vereinbarungen zur Auftragsdatenverarbeitung zu schließen sind.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Datenschutz bei Social Plugins / Buttons von Facebook, Twitter, Xing, LinkedIn, Google+

Mittwoch, 9. April 2014, 17:43 Uhr

Facebook, Twitter, Google+, LinkedIn und auch Xing bieten Webseitenbetreibern an, Social Plugins auf ihren Webseiten einzubinden. Durch diese Social Plugins wird das Teilen von Inhalten auf den sozialen Plattformen erleichtert.

Werden Inhalte durch Nutzer auf Facebook, Twitter oder Co. gepostet, werden hierdurch mehr potentielle Kunden erreicht. Dies klingt verführerisch, aber es gibt ein datenschutzrechtliches Problem.

Wo ist das Problem?

Social Plugins werden als iFrames in einer Webseite eingebunden. iFrames ermöglichen es, Webinhalte von einer anderen (externen) Webseite in die aufgerufene Webseite einzubinden. Diese Technik wird vielfach auch für das Einbinden von Werbeanzeigen auf Webseiten genutzt.

Der Nutzer ruft z.B. die Seite www.intersoft-consulting.de auf. In einem iFrame könnte dann gleichzeitig der Inhalt der Webseite www.beispiel.xy geladen werden, ohne dass dies von dem Nutzer initiert bzw. bemerkt wird. Um die Inhalte des iFrames Beispiel.xy zu laden, wird eine Verbindung zu dem Server der fremden Webseite Beispiel.xy hergestellt. Hierbei werden die Daten des Nutzers von dem fremden Server erfasst. Um eine Webseite aufzurufen ist u.a. die Übertragung eines personenbezogenen Datums, der IP-Adresse notwendig. Dies bedeutet, dass der Betreiber der Seite Beispiel.xy bei jedem Aufruf der Seite www.intersoft-consulting.de ebenfalls Informationen über den Besucher erhält.

Aufsichtsbehörden vertreten die Ansicht, dass die Einbindung von Social Plugins eine Datenweitergabe von Verkehrs- und Inhaltsdaten darstellt und durch den Betreiber der Social Media Plattform eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse erfolgt.

Die übermittelten personenbezogenen Daten sind zwar grundsätzlich zum Aufruf der Inhalte erforderlich. Ein Problem entsteht allerdings, sobald die Daten zu einem Nutzerprofil bei den Drittanbietern zusammengeführt werden. Dieser Zweck ist unmittelbar von keiner datenschutzrechtlichen Erlaubnisnorm gedeckt, wird aber von der Mehrzahl der Sozialen Netzwerke durchgeführt. Die Übermittlung der Besucher-Daten zu diesem Zweck ist daher unzulässig. Unzulässige Übermittlung von personenbezogenen Daten stellen Ordnungswidrigkeiten gemäß § 43 BDSG dar. Der Webseitenbetreiber als verantwortliche Stelle riskiert damit ein Bußgeld von bis zu 300.000 €.

Welche Lösungen gibt es?

Eine simple Lösung ist der Verzicht auf Social Plugins. Wer sich den sozialen Medien verwehrt, zieht im Wettbewerb jedoch schnell den Kürzeren.

Abhilfe hat heise mit der „Zwei-Klick-Lösung“ geschaffen. Die Social Plugins beginnen erst nach der Aktivierung der Schaltflächen durch den Nutzer mit der Datenübertragung. Der Nutzer wird sobald er über die Schaltfläche mit dem Mauszeiger fährt über die Datenweitergabe informiert.

Wie funktioniert es?

Anleitungen zur Einbindung der 2-Klick-Lösung für Facebook, Google+ und Twitter finden Sie bei heise. Mit der Erweiterung der Illusions-Schmiede GmbH können Sie die 2-Klick-Lösung auch für LinkedIn und Xing einsetzen. Für WordPress gibt es ein Plugin, das die Einbindung der 2-Klick-Lösung für Facebook, Twitter, Flattr, Xing, Pinterest, t3n, LinkedIn und Google+ auf einem Blog ermöglicht.

Zusätzlich ist die Anpassung der Datenschutzerklärung notwendig, in der auf den Einsatz von Facebook & Co hinzuweisen ist.

Restrisiko bleibt

Die 2-Klick-Lösung ist unter Datenschützern nicht unumstritten. Für eine wirksame Einwilligung des Nutzers ist die Information über Art, Umfang und Zweck der Datenverarbeitung notwendig. Hierfür ist der eingeblendete Hinweis – ohne weitere Kenntnisse über technische Abläufe beim Aufruf einer Webseite – nicht ausreichend. Streng genommen liegt somit keine wirksame Einwilligung des Nutzers vor. Die Datenübermittlung ist immer noch unzulässig. Das Risiko eines aufsichtsbehördlichen Vorgehens wird allerdings minimiert, da Webseiten ohne die 2-Klick-Lösung eine größere Gefahr für personenbezogenen Daten darstellen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

EuGH: Richtlinie zur Vorratsdatenspeicherung ungültig

Dienstag, 8. April 2014, 17:56 Uhr
Kategorie: News, Urteil

Der Europäische Gerichtshof (EuGH) hat die Vorratsdatenspeicherungs-Richtlinie (RL 2006/24/EG des Europäischen Parlamentes und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglich elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG) mit heutigem Urteil für ungültig erklärt und damit zu einer deutlichen Stärkung des Datenschutzes beigetragen.

Mit der Rechtsprechung des EuGH ändern sich auch die Rahmenbedingungen für eine entsprechende nationale Gesetzgebung.

Vorratsdatenspeicherung

Im Visier der Datenschützer steht die so genannte Vorratsdatenspeicherung vor allem deshalb, weil verdachts- und anlasslos Telekommunikationsdaten gespeichert werden und damit jeder Bürger zu einem potentiell Verdächtigen wird – entgegen der geltenden Unschuldsvermutung. Die Thematik Vorratsdatenspeicherung beschäftigt daher seit Jahren Rechtsprechung und Politik.

Die nationalen Regelungen in §§ 113a, 113b TKG a.F. wurden im Jahr 2010 durch das Bundesverfassungsgericht (BVerfG) gekippt. Seither fehlt es hier in Deutschland an gesetzlichen Vorgaben zur Vorratsdatenspeicherung, auch an einem entsprechenden Gesetzesentwurf. Die mangelnde Umsetzung der Vorratsdatenspeicherungs-Richtlinie hatte zu einem Vertragsverletzungsverfahren gegen Deutschland geführt.

Das Urteil des EuGH

Die streitige Richtlinie sieht eine Speicherung von Verkehrsdaten von jedenfalls 6 bis zu 24 Monaten vor. Auf Ersuchen des irischen High Court und des österreichischen Verfassungsgerichtshofes hatte der EuGH die Gültigkeit der Richtlinie überprüft, insbesondere im Licht von zwei durch die Charta der Grundrechte der Europäischen Union gewährleisteten Grundrechte: des Grundrechtes auf Achtung des Privatlebens sowie des Grundrechts auf Schutz personenbezogener Daten.

Mit dem heutigen Urteil hat der EuGH die Richtlinie für ungültig erklärt. Die Richtlinie beinhaltet der Pressemitteilung des EuGH zu Folge

einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das Notwendige beschränkt.

Nationale Auswirkungen

Das Urteil macht die Pläne der Regierung in Sachen Vorratsdatenspeicherung hinfällig. Durch das Urteil sei eine neue Situation entstanden, da es keine Richtlinie mehr gebe, die gemäß Koalitionsvertrag umgesetzt werden müsse, so Justizminister Heiko Maas. Damit sehe sich Deutschland auch keinen Vertragsstrafen mehr ausgesetzt:

Deshalb gibt es auch keinen Grund, jetzt schnell ein neues Gesetz vorzulegen.

äußerte sich der SPD-Politiker. Das weitere Verfahren sei also offen und müsse in der Koalition beraten werden.

Auch Innenminister Thomas de Maizière sieht die veränderte Situation. Anders als Maas drängte er jedoch auf eine

rasche, kluge, verfassungsgemäße und mehrheitsfähige Einigung

unter Berücksichtigung der Maßstäbe des EuGH und des BVerfG.

Urprünglich hatten Maas und de Maizière angekündigt, direkt nach dem Urteil einen Gesetzentwurf vorzulegen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren