Datenschutzbeauftragter INFO

Wirksames Management von Softwarelizenzen im Unternehmen dient der Kosteneffizienz und hilft Unterlassungs- und Schadensersatzansprüche zu vermeiden. Obwohl beim Lizenzmanagement Daten direkt beim und über den Mitarbeiter verarbeitet werden, klammert man datenschutzrechtliche Fragen in der Praxis aber oft aus.

Lizenzmanagement als Compliance-Aufgabe

Das Management von Lizenzen ist eine der Kernaufgaben der IT Compliance.

Denn die Nutzung von Software ohne entsprechende Nutzungsbefugnis ist grundsätzlich strafbar. Zusätzlich, und in der Praxis relevanter, drohen dem Unternehmen Abmahnungen, Nachzahlungen und Schadensersatz. Das gilt sowohl bei Übernutzung eigentlich berechtigt genutzter Software im Unternehmen (etwa durch mehr Arbeitsplätze als vertraglich eingeräumt) als auch bei Nutzung von Software ohne jegliche Lizenz.

Sorgfaltspflicht nicht abwälzbar

Im Rahmen der allgemeinen Compliance haben Unternehmen dafür Sorge zu tragen, dass ihre Mitarbeiter keine derartigen Urheberrechtsverstöße begehen. Zwar haftet primär der jeweilige Nutzer als „Täter“, daneben aber auch das Unternehmen selbst.

Die Verantwortung hier auf den Mitarbeiter zu schieben, geht aber wegen § 99 UrhG nicht:

Ist in einem Unternehmen von einem Arbeitnehmer oder Beauftragten ein nach diesem Gesetz geschütztes Recht widerrechtlich verletzt worden, hat der Verletzte die Ansprüche aus § 97 Abs. 1 und § 98 auch gegen den Inhaber des Unternehmens.

Installation bereits ausreichend

Das OLG Karlsruhe (Az.: 6 U 180/06) sah bereits in der bloßen Installation eine unerlaubte Vervielfältigung einer Software.

“Ob und in welchem Umfang diese in der Folge genutzt wird, ist unerheblich”.

Die Höhe der nachzuzahlenden Lizenzgebühren bestimme sich allein danach, welchen Preis die Beklagten hätten zahlen müssen, wenn sie die auf den Computern installierte Software legal erworben hätten. Zudem erging hier neben der zivilrechtlichen Urteil auch ein strafrechtliches Verfahren gegen den Geschäftsführer wegen strafbaren Urheberrechtsverstoßes gemäß §106 UrhG.

Unnötige Kosten bei Überlizenzierung

Zudem entstehen bei Überlizenzierung, d.h. Lizenzierung tatsächlich nicht (mehr) benötigter bzw. genutzter Software unnötige Lizenzkosten, die je nach Art der Software schnell erhebliche Summen ausmachen können.

Art der Kontrolle

Wie die erforderliche Lizenzkontrolle umgesetzt wird, steht dem Unternehmen frei und hängt in der Praxis meist von der Komplexität des Unternehmens und der Zahl der eingesetzten Software ab. Häufig lassen sich Softwarehersteller vertraglich das Recht einräumen, beim Unternehmen Audits zur Kontrolle der Lizenzen durchführen zu lassen – entweder selbst oder durch Wirtschaftsprüfer.

Mitarbeiter-Datenschutz

Werden hierzu Screening-Software oder Client Management Systeme eingesetzt, die automatisch Arbeitsplatzrechner und Laufwerksordner der Mitarbeiter hinsichtlich nutzungsabhängiger Lizenzen und etwaig unzulässig installierter Software untersuchen, stellen sich datenschutzrechtliche Fragen, die in der Praxis oft vernachlässigt werden.

Eingriffsgrundlage für das Lizenzmanagement

Es stehen hier die berechtigten Interessen der Mitarbeiter gegen ausufernde Kontrollen neben denen des Unternehmens sich gegen Ansprüche Dritter (Rechteinhaber) zu schützen und die ITK Systeme vor Fremdsoftware und die damit verbundenen Risiken zu schützen.

Insofern ist die Frage akademisch, ob man die Berechtigung des Unternehmens hier unter §32 BDSG (“zur Durchführung des Beschäftigungsverhältnisses”) fasst oder unter die „Auffangnorm“ des §28 I Nr. 2 BDSG fasst. Denn letztlich wird eine Interessensabwägung regelmäßig zum Ergebnis gelangen, dass Interessen der Mitarbeiter nicht höherrangig als die des Unternehmens einzuschätzen sind.

Datenschutzkonforme Ausgestaltung

Zu beachten ist aber, dass das Verfahren selbst datenschutzkonform ausgestaltet ist. Dies bedeutet etwa, dass

• die erhobenen Mitarbeiterdaten grundsätzlich nur zu dem Zweck genutzt werden dürfen, zu dem sie erhoben worden sind,
• die Daten, soweit sie nicht mehr erforderlich gelöscht werden,
• die Kontrolle möglichst pseudonymisiert erfolgen sollte und
• das Lizenzmanagement nicht in eine Dauerüberwachung der Mitarbeiter ausartet.

Vorabkontrolle

Zudem sollte das Screening im Rahmen des Lizenzmanagements Verfahren als „Verfahren automatisierter Datenverarbeitung“ durch den Datenschutzbeauftragten im Wege einer Vorabkontrolle gem. §4d BDSG förmlich aufgenommen werden um sicherzugehen, dass die Rechte der betroffenen Mitarbeiter gewahrt sind.

Kontrolle der Mitarbeiter

Anders fällt die Bewertung aber aus, wenn alleiniges Ziel die Überwachung oder eine Verhaltens und Leistungskontrolle der Mitarbeiter durch Massenscreenings bezweckt ist. Denn unter dem Vorwand des Lizenzmanagements könnte theoretisch das Nutzungsverhalten der Mitarbeiter gezielt ausgewertet werden.

Eine dauerhafte Totalüberwachung der Mitarbeiter dürfte hier regelmäßig unverhältnismäßig und damit unzulässig sein. Analog zu § 32 I 2 BDSG bzw. der Rechtsprechung des BAG zur heimlichen Videoüberwachung (vgl. BAG Urteil vom 21.6.2012, 2 AZR 153/11), müssten zumindest folgenden Voraussetzungen gegeben sein:

• es besteht der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers
• es sind weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft, und das Screening stellt damit praktisch das einzige verbleibende Mittel dar und
• ist insgesamt nicht unverhältnismäßig.

Diese Kriterien hat das BAG dahingehend ergänzt, dass der Verdacht sich gegen einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern richten muss. Auch darf der Verdacht keine allgemeine Mutmaßung darstellen, es könnten Straftaten begangen werden. Er muss sich jedoch nicht notwendig nur gegen einen einzelnen, bestimmten Arbeitnehmer richten. Im Hinblick auf die Möglichkeit einer weiteren Einschränkung des Kreises der Verdächtigen müssen weniger einschneidende Mittel zuvor ausgeschöpft worden sein.

Beteiligung des Betriebsrates

Zu beachten ist, dass das Verfahren als solches wohl nach § 87 Nr. 6 BetrVG mitbestimmungspflichtig ist. Dies gilt unproblematisch immer, wenn eine Leistungskontrolle bezweckt ist. Aber auch denn, wenn primär „nur“ das Lizenzmanagement zur Abwehr von Ansprüchen Dritter bezweckt ist, hat der Betriebsrat mitzubestimmen.

Zwar spricht das Gesetz davon, dass die Einführung und Anwendung von technischen Einrichtungen mitbestimmungspflichtig sind, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Allerdings lässt das Bundesarbeitsgericht für die Anwendbarkeit des §87 Nr. 6 BetrVG genügen, dass das Verfahren eine “objektiv eigenständige Überwachungswirkung” hat.

Wenn aber Daten auf Laufwerksordner der Mitarbeiter über die verwendete Software erhoben, ausgewertet und ggf. die Software nach Art der Datei anschließend gelöscht wird, so muss wohl von einer Eignung des Verfahrens zur „Überwachung des Mitarbeiterverhaltens“ ausgegangen werden.

Lizenzmanagement und BYOD

Ist die Nutzung der ITK Systeme auf den betrieblichen Umfang beschränkt, lässt sich eine Lizenzmanagement datenschutzrechtlich relativ sauber umsetzen.

Schwieriger wird die Umsetzung allerdings dann, wenn den Mitarbeitern die Privatnutzung erlaubt oder dies geduldet ist. Denn hier greift der Scan der Laufwerksordner/Rechner möglicherweise auch in ausschließlich privat genutzte Bereiche und damit in grundrechtlich geschützte Bereiche der Mitarbeiter (vgl. instruktiv zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, BVerfG vom 27. Februar 2008, - 1 BvR 370/07 -, - 1 BvR 595/07 -).

In diesem Fall ist unbedingt eine klare Regelung im Rahmen einer Individualvereinbarung sowie Betriebsvereinbarung erforderlich, die Umfang und Art des Screening sorgfältig regeln. Der Mitarbeiter muss aufgeklärt werden, welcher Art der Scan seiner Ordner sein kann damit er sein Verhalten danach ausrichten kann, welche Daten er privat speichert.

Die Probleme potenzieren sich bei der Thematik BYOD, bei denen die Arbeitsmittel ja grundsätzlich ohnehin privat genutzt sind. Eine wirksame Kontrolle unter tatsächlicher Berücksichtigung der datenschutzrechtliche Belange der Mitarbeiter ist hier in der Praxis kaum möglich. Auch Zugriffsrechte der Lizenzgeber sind in diesem Fall kaum umsetzbar. Vorausssetzung ist hier in jedem Fall eine klare Trennung zwischen den dienstlichen und den privat genutzten Bereichen.

Fazit

Lizenzmanagement als Schutz gegen Ansprüche Dritter und Schutz gegen unberechtigte genutzte Software berechtigen Unternehmen zu weitreichender Kontrolle der Arbeitsplatzrechner und Laufwerkordner der Mitarbeiter. Allerdings ist das Verfahren datenschutzkonform auszugestalten.

Aus Datenschutzsicht sind hier aber zu beachten:

• Die Verarbeitung der Daten ist an den Zweck der Erhebung gebunden.
• Nur die erforderlichen Daten sind zu erheben und zu verarbeiten.
• Die Daten sind, soweit nicht mehr erforderlich zu löschen.
• Der Datenschutzbeauftragte ist zu beteiligen.
• Das Verfahren unterliegt einer Vorabkontrolle.
• Der Betriebsrat ist zu beteiligen.
• Etwaige Betriebsvereinbarungen zur Privatnutzung der ITK Systeme sind anzupassen.

Der Heise-Verlag hat herausgefunden, dass Microsofts Kommunikationsdienst Skype die von den Usern verschickten Nachrichten analysiert und auf enthaltene https-Links überprüft. Enthält eine Nachricht einen solchen Link, so wird dieser kurz darauf von einer Microsoft-IP-Adresse aus aufgerufen.

Der damit verfolgte Zweck bleibt bis jetzt noch im Dunkeln.

Skype verfolgt nur https-Links

Neben der an sich schon bedenklichen Tatsache, dass der Anbieter eines Dienstes die versendeten Nachrichten mitliest, erscheint es extrem merkwürdig, dass nur verschlüsselte Links (https) und eben keine „normalen“ http-Links verfolgt werden.

In den https-Links sind oftmals Sitzungsdaten oder interne Datenfreigaben enthalten und ganz offenbar besteht hieran ein besonderes Interesse des Redmonder Weltkonzerns.

Skype verweist auf seine Datenschutzrichtlinien

Zur Begründung für dieses Vorgehen verweist Skype auf seine Datenschutzrichtlinien, denen jeder Nutzer vor Nutzung des Dienstes zustimmen muss:

“Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.”

Aber diese dürftige Begründung ist nicht schlüssig. Üblicherweise werden solche Schad-Links nicht über eine https-Verbindung sondern über eine gewöhnliche http-Verbindung aufgerufen. Und auch die automatische Anfrage des Dienstes ist in der verwendeten Form (Head-Requests) nicht tauglich, um gefährliche Links zu identifizieren.

Was macht Skype mit den Daten?

Was der Dienst mit den gewonnenen Daten macht, wird natürlich nicht näher erläutert. Und selbst das Spekulieren fällt schwer, denn eine sinnvolle Nutzung, die sich für den Dienstanbieter auch finanziell auszahlt, ist zurzeit nicht in Sicht.

Fazit

Wieder einmal bleibt ein diffuses Angstgefühl zurück und wieder einmal erzeugt die verwendete Datenschutzerklärung keine Transparenz.

Natürlich erfordern kostenlose Dienste eine Finanzierung durch (in der Regel) Werbung, aber man wüsste dann doch gerne, was genau mit den versendeten Informationen geschieht.

Nachrichten per SMS verschicken ist fast schon so altmodisch wie der Versand per Brieftaube. Sogar WhatsApp ist schon wieder veraltet. Die Kids in Kalifornien „snapchatten“ heute. Das Besondere: Alle versendeten Texte und Bilder sind für den Empfänger nur vorrübergehend sichtbar und werden anschließend gelöscht.

„Es liegt ein Wert im Vergänglichen“

So beschreibt die Snapchat, Inc. die Philosophie hinter der App für Smartphones. Nachdem der Empfänger einer Text-, Bild- oder Videodatei sich die Nachricht angesehen hat, verschwindet sie innerhalb von 10 Sekunden. Der Server, über den alle „Snapchats“ geleitet werden, versendet einen Befehl, durch den sich die Nachricht selbst zerstört. Laut den Datenschutzhinweisen auf der Snapchat-Homepage wird die Nachricht auch auf dem Server gelöscht.

Damit hebt sich „Snapchat“ von allen übrigen Messaging-Services deutlich ab, denn was und wie viel gespeichert wird, steht mehr oder weniger im freien Ermessen der herkömmlichen Anbieter.

Die App gibt es seit eineinhalb Jahren. Bereits im ersten Jahr wurden eine Milliarde „Snapchts“ verschickt. Mittlerweile werden nach eigenen Angaben 150 Millionen Fotos täglich hochgeladen und verschickt.

Wie sicher ist „Snapchat“?

Vor kurzem ist „Snapchat“ ins Gerede gekommen, weil es einem US-amerikanischen Sicherheitsunternehmen gelungen ist, die gelöschten Daten auf einem Android-Gerät wiederherzustellen. Wie der „Guardian“ meldet, benötigt man dafür mindestens einen Tag Zugriff auf das Gerät. Für das Auslesen berechnet das Unternehmen zwischen 300 und 500 US$.

Dieser Aufwand ist eigentlich gar nicht nötig. Der Empfänger kann zum Beispiel einfach einen Screenshot machen, wobei der Absender in diesem Fall immerhin benachrichtigt wird. Darüber hinaus ist es aber nicht ausgeschlossen, auf die versendete Datei direkt zuzugreifen, um den Löschungsmechanismus zu umgehen, wie die Snapshoot, Inc. selbst einräumt.

Gegentrend zum Netz, das nichts vergisst

Auch wenn die App kein Datenschutz-Gütesiegel verdient, haben die Kids in Kalifornien nicht ganz zu Unrecht ein besseres Gefühl, wenn sie die Schnappschüsse von der letzten Party per Snapchat an ihre Freunde schicken, statt die Fotos auf Facebook zu posten. Denn bei Facebook und anderen sozialen Netzwerken wird alles gespeichert, ohne Haltbarkeitsdatum.

Das Unbehagen an der Sammelwut von Facebook, Google & Co. scheint einen Trend ausgelöst zu haben, wie etwa der „Spiegel“ berichtet. Je mehr Nutzer „Snapchat“ findet, desto eher werden die Großen zum Umdenken gezwungen sein. Das wäre ein Erfolg, der mahnenden Apellen von Datenschützern bislang noch nicht beschieden war.

Gewalt, Vandalismus und Missbrauch sind Themen, die auch vor Schulen keinen Halt machen. Eine Möglichkeit diesen Problemen entgegenzutreten, sehen Schulen und Schulträger in der Einführung von Videoüberwachung. So überwachten in 2011 bereits 49 Schulen allein in Hamburg ihre Schulen mit Kameras.

Abschreckende Wirkung

Viele dieser Schulen vermelden die erfolgreiche abschreckende Wirkung der Videoüberwachung und belegen dies durch sinkende Zahlen von Zwischenfällen. Warum gibt es dann keine Videoüberwachung an allen Schulen?

Ich sehe was, was du nicht siehst

Durch die installierten Kameras besteht die Möglichkeit, alle Schüler, Lehrer und sonstiges Personal an Schulen zu beobachten. Im Blickfeld der Kamera wird jeder Schritt erfasst, denn durch die Videoüberwachung können nicht automatisch nur „Verdächtige“ aufgenommen werden.

Massiver Eingriff in Grundrechte

Schüler und Lehrer können den Kameras nicht ausweichen. Eine Videoüberwachung stellt aber einen massiven Eingriff in die Grundrechte des Betroffenen dar. Der Betroffene hat keine Kontrolle darüber, wem gegenüber seine personenbezogenen Daten preisgegeben werden und wie diese verwendet werden. Auch das Recht am eigenen Bild wird durch Videoaufnahmen beeinträchtigt.

Beeinträchtigung der Entwicklung

Gerade bei Schülern ist zu berücksichtigen, dass sie sich noch in der Entwicklungsphase befinden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen stellte fest, dass sich eine Videoüberwachung

“grundsätzlich nicht mit dem Auftrag der Schulen, die Entwicklung der Schüler zu selbstbestimmten mündigen Persönlichkeiten zu fördern,“

vereinbaren lässt. Es besteht die Gefahr, dass die Entwicklung der Schüler nachhaltig durch die Angst vor Überwachung beeinträchtigt wird.

Keine Überwachung während der Schulzeit

Von einer Überwachung während der Schulzeiten in den Klassenräumen, auf den Gängen oder auf dem Schulhof sollte daher grundsätzlich abgesehen werden. Eine Aufnahme außerhalb der Schulzeiten könnte unter Umständen gerechtfertigt sein.

Problematisch sind allerdings auch installierte und abgeschaltete Videokameras. So kann auch durch Videokameraattrappen die Angst der Betroffenen vor einer möglichen Überwachung diese in ihren Verhalten einschränken. Vor Installation einer Videoüberwachungsanlage ist daher genau zu prüfen, ob ausnahmsweise eine Videoüberwachung erlaubt ist.

Zutrittskontrolle durch Videogegensprechanlage

Eine datenschutzrechtlich weniger bedenklich Alternative stellt die Zutrittskontrolle durch Videogegensprechanlage dar. Deren Einführung an Berliner Schulen beschlossen wurde. Zukünftig sollen die Eingangstüren der Schulen generell verschlossen werden. Eintritt während der Unterrichtszeit sollen nur Personen bekommen,  die zuvor geklingelt haben. Die Schulsekretärinnen sollen dann per Videobildschirm entscheiden, ob Einlass gewährt wird oder nicht.

Kasernierung der Schüler

Der Nutzen einer Videosprechanlage verglichen mit Kosten und Aufwand ist sehr fraglich. Solche Anlagen sind nicht günstig. In Berlin werden die Kosten auf 800.000 € geschätzt. Darüber hinaus muss für die Bedienung der Anlage Arbeitszeit eingeplant werden. Eventuell muss sogar eine neue Stelle hierfür geschaffen werden.

Neben diesen finanziellen Aspekten ist aber auch die Praktikabilität fraglich. Die meisten Schulen sind nicht über einen zentralen Eingang zu betreten. Es gibt zahlreiche Eingangstüren. Teilweise erstrecken sich Schulen über mehrere getrennte Gebäuden. Wie sollen alle Eingänge überwacht werden? Eine Lösung wäre ein hoher Zaun um die Schulen und eine zentrale Pforte. Die Frage ist jedoch, ob man eine Kasernierung der Schüler will. Sicherheit würde dies vor Einflüssen von Außen bringen, aber Probleme wie Mobbing, Gewalt und Vandalismus sind in den meisten Fällen in den Schulen hausgemacht.

Schon mehrfach haben wir uns im Rahmen dieses Blogs mit dem Thema der Beschäftigtenüberwachung durch den Einsatz von GPS-Systemen befasst. Von den datenschutzrechtlichen Risiken, die der Einsatz einer solchen Technik als Bestandteil einer modernen Telematik-Lösung mit sich bringt, sind nach wie vor hauptsächlich Mitarbeiter der hart umkämpften Logistikbranche betroffen.

Überwachung des Fahrverhaltens der Mitarbeiter

Der Reiz von Telematik-Lösungen in diesem Bereich ist nicht von der Hand zu weisen. Mittlerweile ermöglichen sie schließlich nicht mehr nur die lückenlose Erfassung von Standort und Route. Es ist vielmehr möglich, technische Angaben, z.B. zum Betriebszustand des Motors, zu Drehzahlbereichen und dem Bremsverhalten zu erheben und zu verarbeiten. Dadurch, dass diese Daten zentral koordiniert und ausgewertet werden können, wird es möglich, ein engmaschiges Bild über das Fahrverhalten des Mitarbeiters zu zeichnen.

Datenverwendung nicht per se unzulässig

Die Erhebung und Nutzung solcher Daten durch Logistikunternehmen ist nicht per se unzulässig. Arbeitgeber haben durchaus ein berechtigtes Interesse daran, den Einsatz ihrer Fahrzeugflotte wirtschaftlich zu optimieren, Informationen zum Zwecke der Unfallverhütung zu gewinnen und die Fahrzeuge vor Diebstahl zu schützen. Wie so oft sind aber auch hier der Umfang der Datenerhebung (Grundsätze Datenvermeidung und Datensparsamkeit) und der Zweck der Nutzung der erhobenen Daten (Zweckbindungsgrundsatz) maßgebliche Parameter zur Beurteilung der Zulässigkeit des Einsatzes solcher Systeme.

Telematik-Lösung im Einzelfall sinnvoll und erforderlich?

Die Frage, ob der Einsatz einer Telematik-Lösung im Flottenmanagement zulässig ist, kann womöglich dahingestellt bleiben, wenn zunächst geklärt wird, ob ein solches System für das jeweilige Unternehmen überhaupt sinnvoll und erforderlich ist. Nachfragen bei Kunden im Rahmen unserer Beratungspraxis haben in zahlreichen Fällen gezeigt, dass Ziele, die Unternehmen durch den Einsatz von Telematik erreichen wollen, sich ebenso durch einfachere Maßnahmen technischer und organisatorischer Art erreichen lassen, die deutlich datensparsamer sind.

Datensparsamere technische und organisatorische Maßnahmen

Der kürzlich veröffentlichte 21. Datenschutz- und Informationsfreiheitsbericht des nordrhein-westfälischen Datenschutzbeauftragten zeigt konkrete Beispiele für solche Maßnahmen auf, mithilfe derer sich Ziele wie Unfallverhütung, Kraftstoffeinsparung und das Abstellen unerwünschter Verhaltensweisen ebenso erreichen lassen, wie z.B.

• anstelle einer permanenten Aufzeichnung des Motorenlaufs im Stand den Einbau einer handelsüblichen elektronischen Motorabschaltung zur Kraftstoffeinsparung
• um zu vermeiden, dass Beschäftigte während der Fahrt die Eingabeterminals für die ausgelieferten Waren bedienen, den Einsatz von elektronischen Dateneingabesperren
• um sicherzustellen, dass Auslieferungsfahrten nur mit angelegtem Sicherheitsgurt durchgeführt werden oder kontrolliert werden soll, ob vor Fahrtantritt die Luke zwischen Fahrerbereich und Laderaum geschlossen ist, anstelle elektronischer Aufzeichnungen, alternative technische Lösungen.

Das Landgericht Berlin hat mit Urteil vom 30.04.2013 insgesamt 8 Klauseln der Datenschutzerklärung von Apple für unwirksam erklärt.

Es hat Apple untersagt diese Klauseln oder inhaltsgleiche Bestimmungen in die Verträge mit Verbrauchern, die ihren gewöhnlichen Aufenthalt in Deutschland haben, einzubeziehen.

Deutsches Datenschutzrecht für Apple

Das LG Berlin hält deutsches Recht für anwendbar. Es stützt die Anwendbarkeit dabei auf Art. 6 Abs.1 ROM I-VO. Die Verordnung gilt für vertragliche Schuldverhältnisse, die eine Verbindung zum Recht verschiedener Staaten aufweisen. Danach ist bei einem Verbraucher-Unternehmerverhältnis das Recht des Staates anwendbar, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat und der Unternehmer seine berufliche oder gewerbliche Tätigkeit in diesem Staat ausübt. Da Apple offensichtlich in Deutschland gewerblich tätig ist, ist diese Schlussfolgerung zunächst richtig und führt zum deutschen Datenschutzrecht.

Irisches Datenschutzrecht für Facebook

Das VG und das OVG Schleswig-Holstein haben jedoch im Streit um das anwendbare Recht bei Facebook entschieden, dass deutsches Datenschutzrecht gerade nicht anwendbar sei. Es fehle an einer verantwortlichen Stelle von Facebook in Deutschland.

Nach Aussage von Apple gäbe es, auch für Apple keine Niederlassung in Deutschland. Deshalb gelte für sie ebenfalls kein deutsches Datenschutzrecht.

Jedoch existiert wie auch bei Facebook eine Niederlassung in Irland. Hier sind mehrere tausend Mitarbeiter beschäftigt. Auch in Luxemburg befindet sich eine zentrale Niederlassung.

Wieso die unterschiedlichen Auffassungen?

Nun stellt sich die Frage, wie es zu so unterschiedlichen Auffassungen kommen kann.

Das OVG stellte auf § 1 Abs. 5 S.1 BDSG ab. Danach findet das BDSG keine Anwendung, wenn sich die verantwortliche Stelle, die personenbezogene Daten im Inland verwendet in einem Mitgliedstaat der EU oder in einem Vertragsstaat des EWR befindet, es sei denn dies erfolgt durch eine Niederlassung im Inland.

Das LG Berlin hat sich jedoch mit § 1 Abs.5 S.1 BDSG erst gar nicht auseinander gesetzt. Anscheinend hat es die Regelungen über Eingriffsnormen in Art. 9 ROM I-VO übersehen.

Danach gilt der oben erwähnte Art. 6 ROM I-VO nicht, wenn es sich bei der nationalen Norm (§ 1 Abs. 5 BDSG) um eine Eingriffsnorm handelt. Während das LG Berlin hierzu schwieg, führte das VG Schleswig in seinem Beschluss vom 14.02.2013 (Seite 4) aus, dass es sich bei den öffentlich-rechtlichen Datenschutzregelungen des BDSG um solche Eingriffsnormen handelt.

Erst dadurch kam es zu der Prüfung des § 1 Abs.5 BDSG und zu einer Auseinandersetzung mit der Niederlassungsproblematik.

Erst an diesem Punkt wäre das Urteil richtig spannend geworden. Es wäre interessant gewesen, zu erfahren, wie das Gericht die zahlreichen Apple Stores (Niederlassungen) in Deutschland bewertet. Immerhin geben auch dort die Kunden Ihre Daten bei dem Kauf neuer iDevices und Ratenzahlungsvereinbarungen zur weiteren Verarbeitung preis.

“Skandal!” steht oft in den Überschriften, wenn es um Meldungen zu einem erneuten Verstoß gegen den Datenschutz geht. Viele mögen dies nicht mehr hören, manche haben den Datenschutz im Zeitalter des Internets schon gänzlich aufgegeben (Stichwort “post privacy”).

Tenor der Datenschutzkritiker: Heute stellen die Leute sowieso alles bei Facebook ins Netz, Datenschutz ist ein längst verblichenes Thema der Generation “Volkszählungsurteil”.

Datenschutz darf nicht bevormunden

Wer sich hier angesprochen fühlt, dem sei insoweit zuzustimmen, dass Datenschutz nicht zu einer Bevormundung des einzelnen Bürgers führen darf. Wer sein Leben im Netz ausbreiten möchte, soll dies auch weiterhin gerne tun. Letztendlich ist Facebook eine moderne Form der Kommunikation und jeder soll selbst entscheiden, wie viel er sich mit anderen austauschen möchte.

In den USA wird alles mitgeschnitten

An die Wichtigkeit eines funktionierenden Datenschutzes wird man jedoch dann erinnert, wenn man von immer neuen staatlichen Überwachungsmaßnahmen der Telekommunikation liest.

Kürzlich berichtete der Guardian darüber, dass in den USA jede Form der Kommunikation mitgeschnitten wird: Telefonate, E-Mails, Online-Chats. Ans Licht kam dies durch einen ehemaligen FBI-Mitarbeiter, der hier über die Auffindung eines Telefonats eines der Boston-Attentäter berichtet:

Überwachung auch in Deutschland

Die Aufzeichnung sämtlicher Telekommunikation geht in den USA auf das Calea-Gesetz zurück, das den Ermittlungsbehörden seit 1994 einen entsprechenden Zugang sichert.

Es sollte aber nicht nur mit dem Finger auf die USA gezeigt werden: Der deutsche Gesetzgeber möchte den Ermittlungsbehörden in Zukunft erleichtern, auf Bestandsdaten der Telekommunikationsanbieter zuzugreifen. Dies geht zumindest in dieselbe Richtung, auch wenn damit noch keine automatisierte Abfrage ermöglicht wird und die Überwachung noch nicht mit den Befugnissen des FBI verglichen werden kann.

Datenschutz von gestern?

Zurück zur Ausgangsfrage: Bei Betrachtung der Zunahme der staatlichen Überwachung könnte man tatsächlich zu dem Ergebnis kommen, dass Datenschutz von gestern ist – aufgrund immer stärkeren Einschränkungen durch den Gesetzgeber.

Aber: Die Relevanz des Datenschutzes war nie größer als heute.

Die Tatsache, dass Mobile Devices wie z.B. Smartphones nicht unbedingt zur Unternehmenssicherheit beitragen, ist allseits bekannt.

Ein kleines Trostpflaster war bisher allerdings der Umstand, dass beispielsweise Apple seine Apps einer Vorkontrolle unterzieht, um das Einschleusen von schadhaften Apps in den Appstore zu vermeiden und Virenscanner namenhafter Hersteller für Android-Systeme vorhanden sind.

Android Virenscanner leicht umgehbar

Virenscanner vermitteln zumindest die Illusion von Sicherheit. Man muss nun allerdings kein Prophet sein um zu wissen, dass bei komplexen, individuellen und zielgerichteten bzw. maßgeschneiderten Attacken Virenscanner in der Regel wirkungslos sind.

Wie heise-security berichtet, lassen sich Android-Virenscanner aber auch so leicht umgehen. Ausreichend sei zum Teil bereits die Änderung der Paketnamen in den Metadaten, das Entpacken und anschließendes erneutes Erstellen der Installationspakete oder das Verschlüsseln von Teilen der App.

Auch namenhafte Anti-Virensoftware betroffen

Auch bekannte Hersteller von Anti-Virensoftware sind keine Garantie für einen guten Schutz. Alle der untersuchten Anti-Virenlösungen ließen sich irgendwie austricksen. Betroffen hiervon sind Hersteller wie AVG, Dr. Web, ESET, ESTSoft, Kaspersky, Lookout, Symantec, Trend Micro, Webroot und Zoner. Durchaus bekannte Gesichter also.

Stetige Besserung

Immerhin etwas Positives gibt es jedoch zu berichten: So soll sich die Erkennungsrate bei Virenmanipulationen von 57 Prozent!!! (im Jahr 2012) auf immerhin 84 Prozent verbessert haben.

Mobil Device Management ist nach wie vor mit erheblichen Risiken für die IT-Sicherheit behaftet, aber Besserung scheint in Sicht.

Der Bundesrat hat heute den umstrittenen Gesetzesentwurf zur Neuregelung des TKG im Bereich der Bestandsdatenauskunft nicht gestoppt. Die letzten Hoffnungen der Datenschützer, Netzgemeinde und der Grünen lagen bei ihm. Nun gelangt der Gesetzesentwurf aber nicht in den Vermittlungsausschuss, wo er hätte eventuell noch geändert werden können.

Auskunft zur Identitätsermittlung

Mit der Neuregelung zur Bestandsdatenauskunft wird es bestimmten staatlichen Stellen erheblich erleichtert, die Identität eines Internet- oder Handynutzers in Erfahrung zu bringen.

Zu den Bestandsdaten gehören Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden, § 3 Nr. 3 TKG. Damit sind u.a. Name, Adresse, Geburtsdatum, Gerätenummern, einer Person erfasst, die sich hinter einer IP-Adresse oder Handynummer befindet.

Auch bei Ordnungswidrigkeiten

Diese Daten können nach dem jetzt durchgewunkenen Gesetzesentwurf sogar wegen Ordnungswidrigkeiten (OWI) beim Provider erfragt werden. Eine Beschränkung auf bestimmte OWI ist nicht vorhanden. Hierrunter fallen beispielsweise OWI im Verkehrsrecht, wie das Falschparken, aber auch der Verstoß gegen die Impressumspflicht, die nach § 16 TMG Abs.2 Nr.1 TMG ebenfalls eine bußgeldbewerte Ordnungswidrigkeit darstellt. Wie ein ordnungsgemäßes Impressum auszusehen hat haben wir bereits in unserem Blog kurz beschrieben.

Übermittlung von PIN/PUK und Passwort

Eine Neuregelung in § 113 Abs.1 Satz 2 TKG-E sieht zudem die Übermittlung von Zugangsdaten vor. Hierrunter dürften z.B. PIN und PUK eines Handys bzw. der SIM-Karte oder E-Mail Passwörter fallen. Allerdings ist hierfür ein richterlicher Beschluss nötig. Daneben wurden mit der Gesetzesänderung die Pflichten zur Benachrichtigung der Betroffenen ausgeweitet.

Wie Heise zutreffend berichtet, wäre auch die De-Mail von der Passwortabfrage grundsätzlich betroffen, wenn man den Dienst als Telekommunikationsdienst einstuft. Der als sichere Kommunikation angepriesene Service verliert damit leider erheblich an Vertrauen.

Verfassungsbeschwerde?

Der nächste Schritt wird wohl wieder eine Verfassungsbeschwerde sein. So berichtete die Zeit im März schon, dass Patrick Breyer (Piraten) ankündigte, auch gegen die Neuregelung vor das Bundesverfassungsgericht zu ziehen.

Die Kritik um Facebook reißt nicht ab. Doch wo andere nur motzen, hat einer der Datenkrake den Kampf angesagt: Max Schrems, ein Jura-Student aus Österreich, hat sich an Facebook gewendet und wollte Auskunft. Nämlich darüber, welche Daten Facebook während seiner Mitgliedschaft über ihn gesammelt hatte. Dass dabei auch Daten auftauchten, die er längst gelöscht hatte, machte ihn stutzig. Andererseits waren Informationen vorhanden, die sich Facebook errechnet haben musste, andere Daten wiederum fehlten.

Max Schrems erstattete 22 Anzeigen gegen Facebook und gründete die Initiative „Europe vs. Facebook“.

Das Video

Folgender, wirklich sehenswerter, Vortrag des 8. Internationalen For..Net-Symposiums der Universität Passau zeigt wie alles begann, Hintergründe der Initiative und was man vielleicht doch lieber über Facebook wissen sollte:

Spende!

Sollte es zu einem Verfahren gegen Facebook vor Gericht kommen, benötigt die Initiative Unterstützung. Unter diesem Link kann gespendet werden, damit der Kampf für „ernsthaften“, nämlich durchsetzbaren Datenschutz weitergehen kann!