Datenschutzbeauftragter INFO

Mit der Einführung der sog. Zwei-Faktor-Authentifizierung bei Twitter vor zwei Tagen, hat dieses Thema wieder etwas an Aufmerksamkeit gewonnen, so auch unsere.

Die Zwei-Faktor-Authentifizierung ist eine Methode der Authentifizierung, die neben dem herkömmlichen Passwort einen weiteren Code verlangt. Dieser Code wird einmalig automatisch generiert. Der Nutzer bekommt dann per E-Mail, SMS oder App den Code mitgeteilt und gibt ihn zusätzlich zum Passwort selbst ein.

Mehr Sicherheit

Der Vorteil liegt auf der Hand. Ein potentieller Hacker müsste zunächst das Passwort knacken und darüber hinaus Zugang zu dem Handy oder E-Mail-Account haben.

Diese Sicherheit besteht allerdings nicht, wenn das Handy geklaut wird und der Hacker sich darüber anmeldet. Dann bekäme er den Code direkt aufs Smartphone oder nutzt einfach selbst die App.

Unglücklich wäre auch ein zu schwaches Passwort für den E-Mail-Account, dessen sich der Hacker dann bemächtigen könnte. Um dies zu vermeiden sei noch einmal an unseren Beitrag zu einem sicheren Passwort erinnert.

Die wichtigsten Anbieter

Viele Diensteanbieter bieten bereits eine Zwei-Faktor-Authentifizierung an. Die gängigsten seien daher kurz aufgelistet.

Twitter

In seinem Blog erklärt Twitter, wie das Feature aktiviert wird und reagiert mit der Einführung auf die zahlreichen Hackerangriffe der  Vergangenheit.

Google

Google plant wieder einmal Großes. Eine Authentifizierung soll zukünftig ganz ohne Eingabe von Passwörtern möglich sein (z.B. mit NFC). Dies dürfte all diejenigen freuen, die gerne mal ihr Passwort vergessen. Dann heißt es aber: Handy nicht verlieren! Zur “Sicherheit” am besten die Ortungsdienste aktivieren. Dann besteht jedoch wieder die Gefahr von Bewegungsprofilen; ein Dilemma. Bis dahin findet sich hier die Anleitung zur Aktivierung der derzeitigen Methode.

Dropbox

Daneben existiert die Zwei-Faktor-Authentifizierung bereits bei Dropbox.
Dabei bietet Dropbox sogar die komfortable Möglichkeit einen Rechner als vertrauenswürdig zu kennzeichnen. Somit muss der zusätzliche Code nicht jedesmal eingegeben werden. Kommt ein Hackerangriff von einem anderen Rechner, würde dieser jedoch zur Eingabe eines Codes aufgefordert, der ihm dann fehlt. Eine Anleitung zur Einrichtung findet sich direkt auf den Seiten von Dropbox

Microsoft

Wie Chip.de berichtet bietet seit April diesen Jahres auch Microsoft diese zusätzliche Sicherheitsstufe an.

Facebook

Und ja, auch Facebook ermöglicht eine Zwei-Faktor-Authentifizierung. Man möchte ja in Sachen Datenschutz nicht hinterherhinken. Dies dürfte in Anbetracht der zahlreichen Datenschutzverstöße nur ein sehr kleiner Trost sein. Zuzugeben ist allerdings, das Facebook dies bereits seit Mai 2011 anbietet; ein „Vorreiter“ im Datenschutz . Der Weg zur Aktivierung führt über “Einstellungen”–> “Kontoeinstellungen” –> “Sicherheit” –> “Anmeldebstätigungen”. Voila!

Banken beanspruchen für sich durchaus das Recht, etwas Besonderes zu sein. So wird sich immer wieder gerne auf das Bankgeheimnis berufen, obwohl ein solchen – zumindest hierzulande – nicht wirklich besteht.

So verwundert es nicht, dass auch das Thema Datenschutz bei Banken nicht immer wirklich ernst genommen wird – ob nun von Behörden oder sogar durch die Banken selbst…

Besonderheiten für Banken

Unbestritten ist, dass Banken an der einen oder anderen Stelle etwas mehr dürfen als andere Unternehmen. So kann etwa das Erstellen von Personalausweiskopien nach dem Geldwäschegesetz und der Abgabenordnung zur Identifizierung von Geschäftspartnern gerechtfertigt sein.

Und auch im Bereich der Videoüberwachung dürfte grundsätzlich bei Banken ein legitimer Zweck vorliegen, bestimmte Bereiche mittels Videoüberwachung abzusichern. Fraglich ist allerdings, ob dies eine generelle Ausnahme für Videoüberwachung bei Geldautomaten gegenüber den sonstigen Regeln schafft.

Liebe Banken: Auch für Euch gilt das Datenschutzrecht!

Auch wenn selbst nach Ansicht der Aufsichtsbehörden (so etwa Weichert 2001 zu § 6b BDSG) grundsätzlich bei der Überwachung von Geldautomaten ein Sicherheitsinteresse bestehen dürfte, welches eine Videoüberwachung rechtfertigt, so sind hierbei dennoch Grundsätze des Datenschutzes einzuhalten. Und diese Grundsätze gelten auch für Banken.

Voraussetzungen der Videoüberwachung

Unabhängig davon, ob es sich um eine private Bank oder um eine Landesbank handelt und dementsprechend entweder das Bundesdatenschutzgesetz oder das entsprechende Datenschutzgesetz des jeweiligen Landes Anwendung findet, so sind die Regelungen der Videoüberwachung doch recht ähnlich (vgl. etwa  § 6b BDSG oder § 30 HmbDSG). Zumindest werden insbesondere

• ein legitimer Zweck,
• kein Überwiegen schutzwürdiger Interessen der Betroffenen sowie
• eine Hinweispflicht auf die Videoüberwachung

verlangt.

Im Rahmen der Hinweispflicht ist die Videoüberwachung und –aufzeichnung sowie die verantwortliche Stelle erkennbar zu machen.

Videoüberwachung an Geldautomaten

Doch gerade dieser Hinweis auf die Videoüberwachung fehlt fast immer an Geldautomaten. Dies hat bereits der Bundesbeauftragte für Datenschutz in seinem 19. Tätigkeitsbericht 2002 festgestellt ( S. 29) und gleichzeitig die Bedeutung der Kennzeichnung besonders betont (S. 36). Ein Grund, warum gerade für Geldautomaten eine Ausnahme von dieser Hinweispflicht gelten soll, ist ebenfalls nicht ersichtlich.

Eine bloße Vermutung, jeder Nutze wisse, dass Geldautomaten per se Videoüberwacht seien, schließt die Hinweispflicht nicht aus. Geändert hat sich allerdings trotzdem nicht – Hinweisschilder an Geldautomaten, die auf die eingesetzte Videoüberwachung hinweisen, fehlen immer noch.

Fazit

Obwohl sich sogar die Politik ständig mit dem Thema „Videoüberwachung“ zu beschäftigen scheint, sollte das Bestreben vor allem dahin gehen, die bereits eingesetzten Überwachungsanlagen rechtskonform zu gestalten statt immer mehr Überwachungskameras zu fordern.

Und auch die Aufsichtsbehörden möchte man an dieser Stelle eigentlich gerne fragen, ob der Einsatz rechtskonformer Videoüberwachung weniger wichtig ist als Facebook…

Was die Spieler-Gemeinde begeistert, bereitet Datenschützern Albträume:

Die neue Spielekonsole Xbox One von Microsoft bietet alle technischen Möglichkeiten, um das Verhalten von Fernsehzuschauern lückenlos zu überwachen.

„Die Konsole, die auch Spiele kann“

So beschreibt die „Zeit“ die Xbox One, denn sie ist nicht als reine Spielekonsole konzipiert, sondern als Universalsystem für das Wohnzimmer. Geht es nach den Entwicklern von Microsoft, schaltete man nur noch ein Gerät an, das alles kann: Die Nutzer können Videospielen laden, fernsehen, im Netz surfen oder über Skype mit Freunden einen Videochat starten.

Die Xbox One kann sowohl mit Gesten als auch mit Sprachbefehlen gesteuert werden. So können zum Beispiel Fernsehkanäle durch Sprechen des Sendernamens gewechselt werden, und zum Hauptbildschirm lässt sich mit einer Geste zurückkehren, bei der die geballten Fäuste zusammengeführt werden.

Hochleistungskamera „Kinect“ serienmäßig

Die Gesten werden von einer Kamera namens „Kinect“ erkannt, die zur Grundausstattung gehört. Dank einer Weitwinkel-Optik kann die Kamera bereits im Abstand von einem Meter einen Menschen in voller Größe erkennen. Einen Überblick über das Leistungsspektrum der Kamera bietet der „Guardian“:

Die Kamera ist nicht nur in der Lage, einzelne Nutzer zu individualisieren, sondern erfasst auch deren Gesichtsausdruck: “traurig/fröhlich/neutral”, aufmerksam (“ja/nein”), spricht (“ja/nein”), linkes/rechtes Auge (“offen/geschlossen”), Mund (“offen/geschlossen”), etc. Sogar der Puls kann gemessen werden, weil die Kamera die Blutzirkulation im Gesicht aufnimmt.

Ungeahnte Möglichkeiten für Marktforschung

Die Gesichtserkennung der Konsole laufe auf dem Gerät selbst und nicht in der Datenwolke, versicherte ein Microsoft-Entwickler Anfang Mai auf Nachfrage. Trotzdem ist geplant, die Aufnahmen für die Marktforschung auszuwerten, wie der “Spiegel” berichtet. Technisch ist es möglich, die Reaktion der Zuschauer auf jeden Werbespot und jede Filmsequenz aufzuzeichnen.

Phil Spencer, Leiter der Microsoft-Studios für Spielentwicklung, äußerte laut “Spiegel” dazu: “Worauf reagieren die Zuschauer? Wen mögen Sie? Welche Handlungsstränge sollte man ausbauen?” Das, sagt Spencer,

ist der Schlüssel zu unserer Vorstellung der Evolution des Fernsehens: Die Grenzen zwischen dem Zuschauer und dem Schöpfer werden niedergerissen.

Es würden aber noch ganz andere Grenzen niedergerissen, vor allem solche des Datenschutzes. Deshalb darf man gespannt sein, ob Microsoft bei der Auslieferung Ende 2013 auf Vorgaben des deutschen Datenschutzrechts Rücksicht nimmt.

Anfang 2014 könnte die Zahl der Brillenträger drastisch steigen. Dies hofft zumindest Google, denn dann startet der Verkauf der Datenbrille Google Glass. Dem Träger der Brillen werden Informationen aus dem Internet ins Sichtfeld eingeblendet. Die Navigation erfolgt durch Sprachsteuerung und Kopfbewegung.

Fiktion wird Wirklichkeit

Eine Technik, mit der das Publikum von Action und Science Fiction Filmen bisher im Kino begeistert wurde, soll endlich Einzug in die Realität erhalten. Die Brille mit 4G Netzwerk, GPS Sensor und eingebauter Kamera ermöglicht es dem Träger – wie einst Arnold Schwarzenegger als Terminator – seine Umwelt zu erfassen. Interessante Ort und Freunde in der Umgebung werden umgehend in das Sichtfeld des Trägers eingeblendet. Augmented Reality oder auch erweiterte Realität wird diese Verschmelzung von Realität und Netzwelt genannt.

Weltweite Proteste

Natürlich bietet auch Google Glass Funktionen wie Fotografieren, Filmen und Tonaufzeichnung, die mittlerweile zum Standard bei Smartphones gehören. Doch gerade die Möglichkeit der heimlichen Aufnahmen, die Speicherung dieser Daten auf Servern von Google verbunden mit der Marktmacht Googles sorgen für Proteste gegen die Einführung.

Überraschend kritisch stehen US-Behörden der Einführung gegenüber. Einzelne US-Bundesstaaten prüfen bereits Gesetzesänderung zum Schutz der Privatsphäre der Bürger vor Google Glass. Zudem wurde ein Fragenkatalog an Google von US-Abgeordneten gesandt, indem Google Stellungnahme bezüglich präventiven Schutz der Privatsphäre Stellung beziehen soll.

Kneipenverbot

Nicht nur Politiker und Datenschützer laufen Sturm. In England gründeten Kritiker bereits ein Bündnis „Stop the Cyborgs“ und in einigen amerikanischen Kneipen haben Barbesitzer bereits ein Verbot der Datenbrillen verhängt.

Datenschutz im Alltag

Die Protestwellen zeigen, dass die Bevölkerung mittlerweile viel sensibler mit dem Thema Datenschutz umgeht. Datenschutz ist nicht mehr ein Thema der ewig Gestrigen, sondern ein Thema, das in der Allgemeinheit angekommen ist. Zu Recht stehen viele der Einführung von Google Glass sehr skeptisch gegenüber.

Vorsicht ist besser…

Bei aller Begeisterung für die technischen Spielerein und die neuen ungeahnten Möglichkeit muss beachtet werden, dass sich sowohl Träger als auch Dritte keine Kontrolle mehr darüber haben, wer welche Daten bekommt. Google behält es sich schon jetzt in der Datenschutzerklärung vor, die Daten aus unterschiedlichen Diensten zu einem Nutzerprofil zusammenzuführen. Gerade deshalb ist es wichtig schon vor dem Start über den Schutz des Einzelner und seiner Daten nachzudenken.

Wirksames Management von Softwarelizenzen im Unternehmen dient der Kosteneffizienz und hilft Unterlassungs- und Schadensersatzansprüche zu vermeiden. Obwohl beim Lizenzmanagement Daten direkt beim und über den Mitarbeiter verarbeitet werden, klammert man datenschutzrechtliche Fragen in der Praxis aber oft aus.

Lizenzmanagement als Compliance-Aufgabe

Das Management von Lizenzen ist eine der Kernaufgaben der IT Compliance.

Denn die Nutzung von Software ohne entsprechende Nutzungsbefugnis ist grundsätzlich strafbar. Zusätzlich, und in der Praxis relevanter, drohen dem Unternehmen Abmahnungen, Nachzahlungen und Schadensersatz. Das gilt sowohl bei Übernutzung eigentlich berechtigt genutzter Software im Unternehmen (etwa durch mehr Arbeitsplätze als vertraglich eingeräumt) als auch bei Nutzung von Software ohne jegliche Lizenz.

Sorgfaltspflicht nicht abwälzbar

Im Rahmen der allgemeinen Compliance haben Unternehmen dafür Sorge zu tragen, dass ihre Mitarbeiter keine derartigen Urheberrechtsverstöße begehen. Zwar haftet primär der jeweilige Nutzer als „Täter“, daneben aber auch das Unternehmen selbst.

Die Verantwortung hier auf den Mitarbeiter zu schieben, geht aber wegen § 99 UrhG nicht:

Ist in einem Unternehmen von einem Arbeitnehmer oder Beauftragten ein nach diesem Gesetz geschütztes Recht widerrechtlich verletzt worden, hat der Verletzte die Ansprüche aus § 97 Abs. 1 und § 98 auch gegen den Inhaber des Unternehmens.

Installation bereits ausreichend

Das OLG Karlsruhe (Az.: 6 U 180/06) sah bereits in der bloßen Installation eine unerlaubte Vervielfältigung einer Software.

“Ob und in welchem Umfang diese in der Folge genutzt wird, ist unerheblich”.

Die Höhe der nachzuzahlenden Lizenzgebühren bestimme sich allein danach, welchen Preis die Beklagten hätten zahlen müssen, wenn sie die auf den Computern installierte Software legal erworben hätten. Zudem erging hier neben der zivilrechtlichen Urteil auch ein strafrechtliches Verfahren gegen den Geschäftsführer wegen strafbaren Urheberrechtsverstoßes gemäß §106 UrhG.

Unnötige Kosten bei Überlizenzierung

Zudem entstehen bei Überlizenzierung, d.h. Lizenzierung tatsächlich nicht (mehr) benötigter bzw. genutzter Software unnötige Lizenzkosten, die je nach Art der Software schnell erhebliche Summen ausmachen können.

Art der Kontrolle

Wie die erforderliche Lizenzkontrolle umgesetzt wird, steht dem Unternehmen frei und hängt in der Praxis meist von der Komplexität des Unternehmens und der Zahl der eingesetzten Software ab. Häufig lassen sich Softwarehersteller vertraglich das Recht einräumen, beim Unternehmen Audits zur Kontrolle der Lizenzen durchführen zu lassen – entweder selbst oder durch Wirtschaftsprüfer.

Mitarbeiter-Datenschutz

Werden hierzu Screening-Software oder Client Management Systeme eingesetzt, die automatisch Arbeitsplatzrechner und Laufwerksordner der Mitarbeiter hinsichtlich nutzungsabhängiger Lizenzen und etwaig unzulässig installierter Software untersuchen, stellen sich datenschutzrechtliche Fragen, die in der Praxis oft vernachlässigt werden.

Eingriffsgrundlage für das Lizenzmanagement

Es stehen hier die berechtigten Interessen der Mitarbeiter gegen ausufernde Kontrollen neben denen des Unternehmens sich gegen Ansprüche Dritter (Rechteinhaber) zu schützen und die ITK Systeme vor Fremdsoftware und die damit verbundenen Risiken zu schützen.

Insofern ist die Frage akademisch, ob man die Berechtigung des Unternehmens hier unter §32 BDSG (“zur Durchführung des Beschäftigungsverhältnisses”) fasst oder unter die „Auffangnorm“ des §28 I Nr. 2 BDSG fasst. Denn letztlich wird eine Interessensabwägung regelmäßig zum Ergebnis gelangen, dass Interessen der Mitarbeiter nicht höherrangig als die des Unternehmens einzuschätzen sind.

Datenschutzkonforme Ausgestaltung

Zu beachten ist aber, dass das Verfahren selbst datenschutzkonform ausgestaltet ist. Dies bedeutet etwa, dass

• die erhobenen Mitarbeiterdaten grundsätzlich nur zu dem Zweck genutzt werden dürfen, zu dem sie erhoben worden sind,
• die Daten, soweit sie nicht mehr erforderlich gelöscht werden,
• die Kontrolle möglichst pseudonymisiert erfolgen sollte und
• das Lizenzmanagement nicht in eine Dauerüberwachung der Mitarbeiter ausartet.

Vorabkontrolle

Zudem sollte das Screening im Rahmen des Lizenzmanagements Verfahren als „Verfahren automatisierter Datenverarbeitung“ durch den Datenschutzbeauftragten im Wege einer Vorabkontrolle gem. §4d BDSG förmlich aufgenommen werden um sicherzugehen, dass die Rechte der betroffenen Mitarbeiter gewahrt sind.

Kontrolle der Mitarbeiter

Anders fällt die Bewertung aber aus, wenn alleiniges Ziel die Überwachung oder eine Verhaltens und Leistungskontrolle der Mitarbeiter durch Massenscreenings bezweckt ist. Denn unter dem Vorwand des Lizenzmanagements könnte theoretisch das Nutzungsverhalten der Mitarbeiter gezielt ausgewertet werden.

Eine dauerhafte Totalüberwachung der Mitarbeiter dürfte hier regelmäßig unverhältnismäßig und damit unzulässig sein. Analog zu § 32 I 2 BDSG bzw. der Rechtsprechung des BAG zur heimlichen Videoüberwachung (vgl. BAG Urteil vom 21.6.2012, 2 AZR 153/11), müssten zumindest folgenden Voraussetzungen gegeben sein:

• es besteht der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers
• es sind weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft, und das Screening stellt damit praktisch das einzige verbleibende Mittel dar und
• ist insgesamt nicht unverhältnismäßig.

Diese Kriterien hat das BAG dahingehend ergänzt, dass der Verdacht sich gegen einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern richten muss. Auch darf der Verdacht keine allgemeine Mutmaßung darstellen, es könnten Straftaten begangen werden. Er muss sich jedoch nicht notwendig nur gegen einen einzelnen, bestimmten Arbeitnehmer richten. Im Hinblick auf die Möglichkeit einer weiteren Einschränkung des Kreises der Verdächtigen müssen weniger einschneidende Mittel zuvor ausgeschöpft worden sein.

Beteiligung des Betriebsrates

Zu beachten ist, dass das Verfahren als solches wohl nach § 87 Nr. 6 BetrVG mitbestimmungspflichtig ist. Dies gilt unproblematisch immer, wenn eine Leistungskontrolle bezweckt ist. Aber auch denn, wenn primär „nur“ das Lizenzmanagement zur Abwehr von Ansprüchen Dritter bezweckt ist, hat der Betriebsrat mitzubestimmen.

Zwar spricht das Gesetz davon, dass die Einführung und Anwendung von technischen Einrichtungen mitbestimmungspflichtig sind, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Allerdings lässt das Bundesarbeitsgericht für die Anwendbarkeit des §87 Nr. 6 BetrVG genügen, dass das Verfahren eine “objektiv eigenständige Überwachungswirkung” hat.

Wenn aber Daten auf Laufwerksordner der Mitarbeiter über die verwendete Software erhoben, ausgewertet und ggf. die Software nach Art der Datei anschließend gelöscht wird, so muss wohl von einer Eignung des Verfahrens zur „Überwachung des Mitarbeiterverhaltens“ ausgegangen werden.

Lizenzmanagement und BYOD

Ist die Nutzung der ITK Systeme auf den betrieblichen Umfang beschränkt, lässt sich eine Lizenzmanagement datenschutzrechtlich relativ sauber umsetzen.

Schwieriger wird die Umsetzung allerdings dann, wenn den Mitarbeitern die Privatnutzung erlaubt oder dies geduldet ist. Denn hier greift der Scan der Laufwerksordner/Rechner möglicherweise auch in ausschließlich privat genutzte Bereiche und damit in grundrechtlich geschützte Bereiche der Mitarbeiter (vgl. instruktiv zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, BVerfG vom 27. Februar 2008, - 1 BvR 370/07 -, - 1 BvR 595/07 -).

In diesem Fall ist unbedingt eine klare Regelung im Rahmen einer Individualvereinbarung sowie Betriebsvereinbarung erforderlich, die Umfang und Art des Screening sorgfältig regeln. Der Mitarbeiter muss aufgeklärt werden, welcher Art der Scan seiner Ordner sein kann damit er sein Verhalten danach ausrichten kann, welche Daten er privat speichert.

Die Probleme potenzieren sich bei der Thematik BYOD, bei denen die Arbeitsmittel ja grundsätzlich ohnehin privat genutzt sind. Eine wirksame Kontrolle unter tatsächlicher Berücksichtigung der datenschutzrechtliche Belange der Mitarbeiter ist hier in der Praxis kaum möglich. Auch Zugriffsrechte der Lizenzgeber sind in diesem Fall kaum umsetzbar. Vorausssetzung ist hier in jedem Fall eine klare Trennung zwischen den dienstlichen und den privat genutzten Bereichen.

Fazit

Lizenzmanagement als Schutz gegen Ansprüche Dritter und Schutz gegen unberechtigte genutzte Software berechtigen Unternehmen zu weitreichender Kontrolle der Arbeitsplatzrechner und Laufwerkordner der Mitarbeiter. Allerdings ist das Verfahren datenschutzkonform auszugestalten.

Aus Datenschutzsicht sind hier aber zu beachten:

• Die Verarbeitung der Daten ist an den Zweck der Erhebung gebunden.
• Nur die erforderlichen Daten sind zu erheben und zu verarbeiten.
• Die Daten sind, soweit nicht mehr erforderlich zu löschen.
• Der Datenschutzbeauftragte ist zu beteiligen.
• Das Verfahren unterliegt einer Vorabkontrolle.
• Der Betriebsrat ist zu beteiligen.
• Etwaige Betriebsvereinbarungen zur Privatnutzung der ITK Systeme sind anzupassen.

Der Heise-Verlag hat herausgefunden, dass Microsofts Kommunikationsdienst Skype die von den Usern verschickten Nachrichten analysiert und auf enthaltene https-Links überprüft. Enthält eine Nachricht einen solchen Link, so wird dieser kurz darauf von einer Microsoft-IP-Adresse aus aufgerufen.

Der damit verfolgte Zweck bleibt bis jetzt noch im Dunkeln.

Skype verfolgt nur https-Links

Neben der an sich schon bedenklichen Tatsache, dass der Anbieter eines Dienstes die versendeten Nachrichten mitliest, erscheint es extrem merkwürdig, dass nur verschlüsselte Links (https) und eben keine „normalen“ http-Links verfolgt werden.

In den https-Links sind oftmals Sitzungsdaten oder interne Datenfreigaben enthalten und ganz offenbar besteht hieran ein besonderes Interesse des Redmonder Weltkonzerns.

Skype verweist auf seine Datenschutzrichtlinien

Zur Begründung für dieses Vorgehen verweist Skype auf seine Datenschutzrichtlinien, denen jeder Nutzer vor Nutzung des Dienstes zustimmen muss:

“Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.”

Aber diese dürftige Begründung ist nicht schlüssig. Üblicherweise werden solche Schad-Links nicht über eine https-Verbindung sondern über eine gewöhnliche http-Verbindung aufgerufen. Und auch die automatische Anfrage des Dienstes ist in der verwendeten Form (Head-Requests) nicht tauglich, um gefährliche Links zu identifizieren.

Was macht Skype mit den Daten?

Was der Dienst mit den gewonnenen Daten macht, wird natürlich nicht näher erläutert. Und selbst das Spekulieren fällt schwer, denn eine sinnvolle Nutzung, die sich für den Dienstanbieter auch finanziell auszahlt, ist zurzeit nicht in Sicht.

Fazit

Wieder einmal bleibt ein diffuses Angstgefühl zurück und wieder einmal erzeugt die verwendete Datenschutzerklärung keine Transparenz.

Natürlich erfordern kostenlose Dienste eine Finanzierung durch (in der Regel) Werbung, aber man wüsste dann doch gerne, was genau mit den versendeten Informationen geschieht.

Nachrichten per SMS verschicken ist fast schon so altmodisch wie der Versand per Brieftaube. Sogar WhatsApp ist schon wieder veraltet. Die Kids in Kalifornien „snapchatten“ heute. Das Besondere: Alle versendeten Texte und Bilder sind für den Empfänger nur vorrübergehend sichtbar und werden anschließend gelöscht.

„Es liegt ein Wert im Vergänglichen“

So beschreibt die Snapchat, Inc. die Philosophie hinter der App für Smartphones. Nachdem der Empfänger einer Text-, Bild- oder Videodatei sich die Nachricht angesehen hat, verschwindet sie innerhalb von 10 Sekunden. Der Server, über den alle „Snapchats“ geleitet werden, versendet einen Befehl, durch den sich die Nachricht selbst zerstört. Laut den Datenschutzhinweisen auf der Snapchat-Homepage wird die Nachricht auch auf dem Server gelöscht.

Damit hebt sich „Snapchat“ von allen übrigen Messaging-Services deutlich ab, denn was und wie viel gespeichert wird, steht mehr oder weniger im freien Ermessen der herkömmlichen Anbieter.

Die App gibt es seit eineinhalb Jahren. Bereits im ersten Jahr wurden eine Milliarde „Snapchts“ verschickt. Mittlerweile werden nach eigenen Angaben 150 Millionen Fotos täglich hochgeladen und verschickt.

Wie sicher ist „Snapchat“?

Vor kurzem ist „Snapchat“ ins Gerede gekommen, weil es einem US-amerikanischen Sicherheitsunternehmen gelungen ist, die gelöschten Daten auf einem Android-Gerät wiederherzustellen. Wie der „Guardian“ meldet, benötigt man dafür mindestens einen Tag Zugriff auf das Gerät. Für das Auslesen berechnet das Unternehmen zwischen 300 und 500 US$.

Dieser Aufwand ist eigentlich gar nicht nötig. Der Empfänger kann zum Beispiel einfach einen Screenshot machen, wobei der Absender in diesem Fall immerhin benachrichtigt wird. Darüber hinaus ist es aber nicht ausgeschlossen, auf die versendete Datei direkt zuzugreifen, um den Löschungsmechanismus zu umgehen, wie die Snapshoot, Inc. selbst einräumt.

Gegentrend zum Netz, das nichts vergisst

Auch wenn die App kein Datenschutz-Gütesiegel verdient, haben die Kids in Kalifornien nicht ganz zu Unrecht ein besseres Gefühl, wenn sie die Schnappschüsse von der letzten Party per Snapchat an ihre Freunde schicken, statt die Fotos auf Facebook zu posten. Denn bei Facebook und anderen sozialen Netzwerken wird alles gespeichert, ohne Haltbarkeitsdatum.

Das Unbehagen an der Sammelwut von Facebook, Google & Co. scheint einen Trend ausgelöst zu haben, wie etwa der „Spiegel“ berichtet. Je mehr Nutzer „Snapchat“ findet, desto eher werden die Großen zum Umdenken gezwungen sein. Das wäre ein Erfolg, der mahnenden Apellen von Datenschützern bislang noch nicht beschieden war.

Gewalt, Vandalismus und Missbrauch sind Themen, die auch vor Schulen keinen Halt machen. Eine Möglichkeit diesen Problemen entgegenzutreten, sehen Schulen und Schulträger in der Einführung von Videoüberwachung. So überwachten in 2011 bereits 49 Schulen allein in Hamburg ihre Schulen mit Kameras.

Abschreckende Wirkung

Viele dieser Schulen vermelden die erfolgreiche abschreckende Wirkung der Videoüberwachung und belegen dies durch sinkende Zahlen von Zwischenfällen. Warum gibt es dann keine Videoüberwachung an allen Schulen?

Ich sehe was, was du nicht siehst

Durch die installierten Kameras besteht die Möglichkeit, alle Schüler, Lehrer und sonstiges Personal an Schulen zu beobachten. Im Blickfeld der Kamera wird jeder Schritt erfasst, denn durch die Videoüberwachung können nicht automatisch nur „Verdächtige“ aufgenommen werden.

Massiver Eingriff in Grundrechte

Schüler und Lehrer können den Kameras nicht ausweichen. Eine Videoüberwachung stellt aber einen massiven Eingriff in die Grundrechte des Betroffenen dar. Der Betroffene hat keine Kontrolle darüber, wem gegenüber seine personenbezogenen Daten preisgegeben werden und wie diese verwendet werden. Auch das Recht am eigenen Bild wird durch Videoaufnahmen beeinträchtigt.

Beeinträchtigung der Entwicklung

Gerade bei Schülern ist zu berücksichtigen, dass sie sich noch in der Entwicklungsphase befinden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen stellte fest, dass sich eine Videoüberwachung

“grundsätzlich nicht mit dem Auftrag der Schulen, die Entwicklung der Schüler zu selbstbestimmten mündigen Persönlichkeiten zu fördern,“

vereinbaren lässt. Es besteht die Gefahr, dass die Entwicklung der Schüler nachhaltig durch die Angst vor Überwachung beeinträchtigt wird.

Keine Überwachung während der Schulzeit

Von einer Überwachung während der Schulzeiten in den Klassenräumen, auf den Gängen oder auf dem Schulhof sollte daher grundsätzlich abgesehen werden. Eine Aufnahme außerhalb der Schulzeiten könnte unter Umständen gerechtfertigt sein.

Problematisch sind allerdings auch installierte und abgeschaltete Videokameras. So kann auch durch Videokameraattrappen die Angst der Betroffenen vor einer möglichen Überwachung diese in ihren Verhalten einschränken. Vor Installation einer Videoüberwachungsanlage ist daher genau zu prüfen, ob ausnahmsweise eine Videoüberwachung erlaubt ist.

Zutrittskontrolle durch Videogegensprechanlage

Eine datenschutzrechtlich weniger bedenklich Alternative stellt die Zutrittskontrolle durch Videogegensprechanlage dar. Deren Einführung an Berliner Schulen beschlossen wurde. Zukünftig sollen die Eingangstüren der Schulen generell verschlossen werden. Eintritt während der Unterrichtszeit sollen nur Personen bekommen,  die zuvor geklingelt haben. Die Schulsekretärinnen sollen dann per Videobildschirm entscheiden, ob Einlass gewährt wird oder nicht.

Kasernierung der Schüler

Der Nutzen einer Videosprechanlage verglichen mit Kosten und Aufwand ist sehr fraglich. Solche Anlagen sind nicht günstig. In Berlin werden die Kosten auf 800.000 € geschätzt. Darüber hinaus muss für die Bedienung der Anlage Arbeitszeit eingeplant werden. Eventuell muss sogar eine neue Stelle hierfür geschaffen werden.

Neben diesen finanziellen Aspekten ist aber auch die Praktikabilität fraglich. Die meisten Schulen sind nicht über einen zentralen Eingang zu betreten. Es gibt zahlreiche Eingangstüren. Teilweise erstrecken sich Schulen über mehrere getrennte Gebäuden. Wie sollen alle Eingänge überwacht werden? Eine Lösung wäre ein hoher Zaun um die Schulen und eine zentrale Pforte. Die Frage ist jedoch, ob man eine Kasernierung der Schüler will. Sicherheit würde dies vor Einflüssen von Außen bringen, aber Probleme wie Mobbing, Gewalt und Vandalismus sind in den meisten Fällen in den Schulen hausgemacht.

Schon mehrfach haben wir uns im Rahmen dieses Blogs mit dem Thema der Beschäftigtenüberwachung durch den Einsatz von GPS-Systemen befasst. Von den datenschutzrechtlichen Risiken, die der Einsatz einer solchen Technik als Bestandteil einer modernen Telematik-Lösung mit sich bringt, sind nach wie vor hauptsächlich Mitarbeiter der hart umkämpften Logistikbranche betroffen.

Überwachung des Fahrverhaltens der Mitarbeiter

Der Reiz von Telematik-Lösungen in diesem Bereich ist nicht von der Hand zu weisen. Mittlerweile ermöglichen sie schließlich nicht mehr nur die lückenlose Erfassung von Standort und Route. Es ist vielmehr möglich, technische Angaben, z.B. zum Betriebszustand des Motors, zu Drehzahlbereichen und dem Bremsverhalten zu erheben und zu verarbeiten. Dadurch, dass diese Daten zentral koordiniert und ausgewertet werden können, wird es möglich, ein engmaschiges Bild über das Fahrverhalten des Mitarbeiters zu zeichnen.

Datenverwendung nicht per se unzulässig

Die Erhebung und Nutzung solcher Daten durch Logistikunternehmen ist nicht per se unzulässig. Arbeitgeber haben durchaus ein berechtigtes Interesse daran, den Einsatz ihrer Fahrzeugflotte wirtschaftlich zu optimieren, Informationen zum Zwecke der Unfallverhütung zu gewinnen und die Fahrzeuge vor Diebstahl zu schützen. Wie so oft sind aber auch hier der Umfang der Datenerhebung (Grundsätze Datenvermeidung und Datensparsamkeit) und der Zweck der Nutzung der erhobenen Daten (Zweckbindungsgrundsatz) maßgebliche Parameter zur Beurteilung der Zulässigkeit des Einsatzes solcher Systeme.

Telematik-Lösung im Einzelfall sinnvoll und erforderlich?

Die Frage, ob der Einsatz einer Telematik-Lösung im Flottenmanagement zulässig ist, kann womöglich dahingestellt bleiben, wenn zunächst geklärt wird, ob ein solches System für das jeweilige Unternehmen überhaupt sinnvoll und erforderlich ist. Nachfragen bei Kunden im Rahmen unserer Beratungspraxis haben in zahlreichen Fällen gezeigt, dass Ziele, die Unternehmen durch den Einsatz von Telematik erreichen wollen, sich ebenso durch einfachere Maßnahmen technischer und organisatorischer Art erreichen lassen, die deutlich datensparsamer sind.

Datensparsamere technische und organisatorische Maßnahmen

Der kürzlich veröffentlichte 21. Datenschutz- und Informationsfreiheitsbericht des nordrhein-westfälischen Datenschutzbeauftragten zeigt konkrete Beispiele für solche Maßnahmen auf, mithilfe derer sich Ziele wie Unfallverhütung, Kraftstoffeinsparung und das Abstellen unerwünschter Verhaltensweisen ebenso erreichen lassen, wie z.B.

• anstelle einer permanenten Aufzeichnung des Motorenlaufs im Stand den Einbau einer handelsüblichen elektronischen Motorabschaltung zur Kraftstoffeinsparung
• um zu vermeiden, dass Beschäftigte während der Fahrt die Eingabeterminals für die ausgelieferten Waren bedienen, den Einsatz von elektronischen Dateneingabesperren
• um sicherzustellen, dass Auslieferungsfahrten nur mit angelegtem Sicherheitsgurt durchgeführt werden oder kontrolliert werden soll, ob vor Fahrtantritt die Luke zwischen Fahrerbereich und Laderaum geschlossen ist, anstelle elektronischer Aufzeichnungen, alternative technische Lösungen.

Das Landgericht Berlin hat mit Urteil vom 30.04.2013 insgesamt 8 Klauseln der Datenschutzerklärung von Apple für unwirksam erklärt.

Es hat Apple untersagt diese Klauseln oder inhaltsgleiche Bestimmungen in die Verträge mit Verbrauchern, die ihren gewöhnlichen Aufenthalt in Deutschland haben, einzubeziehen.

Deutsches Datenschutzrecht für Apple

Das LG Berlin hält deutsches Recht für anwendbar. Es stützt die Anwendbarkeit dabei auf Art. 6 Abs.1 ROM I-VO. Die Verordnung gilt für vertragliche Schuldverhältnisse, die eine Verbindung zum Recht verschiedener Staaten aufweisen. Danach ist bei einem Verbraucher-Unternehmerverhältnis das Recht des Staates anwendbar, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat und der Unternehmer seine berufliche oder gewerbliche Tätigkeit in diesem Staat ausübt. Da Apple offensichtlich in Deutschland gewerblich tätig ist, ist diese Schlussfolgerung zunächst richtig und führt zum deutschen Datenschutzrecht.

Irisches Datenschutzrecht für Facebook

Das VG und das OVG Schleswig-Holstein haben jedoch im Streit um das anwendbare Recht bei Facebook entschieden, dass deutsches Datenschutzrecht gerade nicht anwendbar sei. Es fehle an einer verantwortlichen Stelle von Facebook in Deutschland.

Nach Aussage von Apple gäbe es, auch für Apple keine Niederlassung in Deutschland. Deshalb gelte für sie ebenfalls kein deutsches Datenschutzrecht.

Jedoch existiert wie auch bei Facebook eine Niederlassung in Irland. Hier sind mehrere tausend Mitarbeiter beschäftigt. Auch in Luxemburg befindet sich eine zentrale Niederlassung.

Wieso die unterschiedlichen Auffassungen?

Nun stellt sich die Frage, wie es zu so unterschiedlichen Auffassungen kommen kann.

Das OVG stellte auf § 1 Abs. 5 S.1 BDSG ab. Danach findet das BDSG keine Anwendung, wenn sich die verantwortliche Stelle, die personenbezogene Daten im Inland verwendet in einem Mitgliedstaat der EU oder in einem Vertragsstaat des EWR befindet, es sei denn dies erfolgt durch eine Niederlassung im Inland.

Das LG Berlin hat sich jedoch mit § 1 Abs.5 S.1 BDSG erst gar nicht auseinander gesetzt. Anscheinend hat es die Regelungen über Eingriffsnormen in Art. 9 ROM I-VO übersehen.

Danach gilt der oben erwähnte Art. 6 ROM I-VO nicht, wenn es sich bei der nationalen Norm (§ 1 Abs. 5 BDSG) um eine Eingriffsnorm handelt. Während das LG Berlin hierzu schwieg, führte das VG Schleswig in seinem Beschluss vom 14.02.2013 (Seite 4) aus, dass es sich bei den öffentlich-rechtlichen Datenschutzregelungen des BDSG um solche Eingriffsnormen handelt.

Erst dadurch kam es zu der Prüfung des § 1 Abs.5 BDSG und zu einer Auseinandersetzung mit der Niederlassungsproblematik.

Erst an diesem Punkt wäre das Urteil richtig spannend geworden. Es wäre interessant gewesen, zu erfahren, wie das Gericht die zahlreichen Apple Stores (Niederlassungen) in Deutschland bewertet. Immerhin geben auch dort die Kunden Ihre Daten bei dem Kauf neuer iDevices und Ratenzahlungsvereinbarungen zur weiteren Verarbeitung preis.