Datenschutzbeauftragter INFO

Das Verwaltungsgericht Bremen hatte über den Schutz von Informanten bei Mitteilungen von Datenschutzverstößen an Aufsichtsbehörden zu entscheiden. Dem Gericht zufolge kann ein Informantenschutz nur dann keinen Bestand haben, wenn ein berechtigtes Interesse des von der Mitteilung Betroffenen besteht.

Dem Urteil ging das Verlangen der Kläger voraus, vollständige Einsicht in eine von der Landesbeauftragten für Datenschutz und Informationsfreiheit geführte Akte zu einem Datenschutzkontrollverfahren im Hinblick auf eine der Klägerinnen erhalten zu wollen und der Aufsichtsbehörde zu verbieten, Dritten Informationen jeglicher Art über dieses Verfahren zu erteilen.

Da die Aufsichtsbehörde grundsätzlich gehalten sei, die ihr gegenüber gemachten Angaben vertraulich zu behandeln und damit auch keine Namen preiszugeben, bedürfe es ganz besonderer Umstände, um dagegen berechtigte Interessen ins Feld zu führen.

Solche besonderen Umstände, welche eine Identitätsoffenlegung eines Informanten rechtfertigen könnten, lägen beispielsweise vor, wenn der Informant wider besseren Wissens den Vorwurf von Datenschutzverstößen erhebt, wenn seine Eingabe strafbare Beleidigungen, üble Nachreden oder eine falsche Anschuldigung enthält. Dementsprechend bestünde bei Verleumdungen ein berechtigtes Interesse des dadurch Betroffenen an der Auskunft über die Identität des Informanten.

Dies alles lag in dem vom Verwaltungsgericht entschiedenen Fall aber nicht vor. Die Angaben des Informanten waren sachlich und enthielten keine strafbaren Inhalte. Der Informant hatte der Aufsichtsbehörde lediglich mitgeteilt, dass auf dem Werksgelände zahlreiche Kameras angebracht worden seien und somit von einer ständigen Überwachung ausgegangen werden müsse. Daher war die Identität des Informanten im vorliegenden Fall zu schützen.

Ungesicherte USB-Anschlüsse entwickeln sich für Unternehmen zu einem immer größeren Sicherheitsrisiko. Zu diesem Ergebnis kommt eine Studie des IT-Sicherheitsunternehmens Panda Security, wonach heute bereits jeder vierte Wurm einen USB-Port als Einfalltor in den PC nutzt.

Für viele Unternehmen gehören in der heutigen Zeit USB-Sticks und externe Festplatten zur normalen Arbeitsausstattung. Das damit verbundene Risiko wird jedoch oft unterschätzt. Denn durch die Nutzung externer Datenträger können Viren, Trojaner, Würmer, Mal- und Spyware unentdeckt auf lokale Rechner oder gar Firmennetzwerke gelangen – ganz wie früher, zu Zeiten der guten alten Diskette.

Die Virenprogrammierer machen es sich zu Nutzen, dass Windows beim Anschluss von externen Datenträgern an einen USB-Port auf die Datei Autorun.inf zugreift, wodurch Daten bzw. Anwendungen auf  den USB-Sticks vollautomatisch ausgeführt werden. Die Würmer sind so programmiert, dass sie die Autorun.inf Datei manipulieren, um Schädlingsprogramme auszuführen und zu verbreiten.

Besonders heikel ist, dass durch diese Art der Infizierung keinerlei Firewalls überwunden werden müssen. So verwundert es nicht, dass sich USB-Ports als perfektes Einfalltor für Würmer und Trojaner erweisen, um an sensible Daten zu gelangen und diese auszulesen bzw. zu verändern oder zu löschen. Diese Erfahrung musste selbst das Pentagon machen: So hat der stellvertretenden US-Verteidigungsminister William Lynn letzte Woche einräumen müssen, dass es 2008 über einen USB-Port eines Militär Notebooks zum bisher schlimmsten Einbruch in die Computer-Systeme des US-Verteidigungsministeriums gekommen ist.

Auch Windows scheint dieses Problem erkannt zu haben und im neuen Windows 7 die Autorunfunktion für USB-Ports standardmäßig deaktiviert. Dennoch ist im Umgang mit extrenen Datenträgern stets Vorsicht geboten.

Nach neuesten Meldungen sieht die Bundeskanzlerin Angela Merkel keine Notwendigkeit für eine umfassende gesetzliche Regelung zum Datenschutz im Internet.

Nach Auffassung der Bundeskanzlerin liege es grundsätzlich an den Nutzern selbst, was sie im Internet von sich preisgäben, insoweit sei Selbstverantwortung gefragt, allerdings müsse der Staat dort eingreifen, wo der Einzelne den Schutz seiner Privatsphäre nicht selbst herstellen könne.

Fraglich dürfte sein, ob dieser Auffassung kategorisch zuzustimmen ist. Richtig ist sicherlich, dass jeden Internetnutzer auch eine Selbstverantwortung hinsichtlich des Umgangs mit seinen eigenen Daten trifft. Wer sein umfassendes Profil in soziale Netzwerke einstellt, der darf sich beispielsweise nicht wundern, wenn Arbeitgeber dieses veröffentlichte Profil am Ende nutzen um sich ein umfassendes Bild von potentiellen Bewerbern zu machen. Genau dies will die Regierung in ihrer Gesetzesvorlage zum Arbeitnehmerdatenschutz aber nunmehr verhindern. Denn nach der neuen Gesetzesvorlage zum Arbeitnehmerdatenschutz soll dies nur noch bei konkret hierzu bestimmten Netzwerken zulässig sein (z.B. XING), obwohl es sich auch bei den übrigen sozialen Netzwerken (facebook, studiVZ & Co) zumindest teilweise um öffentliche, d.h. jedermann zugängliche Quellen handelt und die Daten vom Betroffen selbst zugänglich gemacht wurden. Abgesehen davon, dass sich diese Regelung als völlig praxisfremd erweist, kommt die Selbstverantwortung Erwachsener in diesem Zusammenhang jedenfalls nicht zur Geltung.

Die Frage nach Selbstverantwortung lässt sich aber auch anders herum stellen. Soll dieses Postulat ernsthaft auch für Minderjährige gelten, welche beispielsweise im Rahmen speziell auf Sie zugeschnittener Netzwerke (z.B. SchülerVZ) ihre Daten freigiebig preisgeben ohne die weitreichenden Risiken von Datenweitergaben tatsächlich zu überblicken? Was ist mit Daten, die anlässlich der Nutzung eines Online-Shops vom Betreiber anhand des vorgefertigten Bestellformulars abgefragt werden ohne sich auf die Bestellung selbst zu beziehen (sog. Inhaltsdaten wie z.B. Alter, Geschlecht etc.) – darf das Unternehmen diese Informationen später für gezielte Werbung einsetzen? Oder soll die E-Mail oder Internetnutzung von Beschäftigten überwacht werden dürfen, obwohl der Arbeitgeber die private Mitbenutzung nicht geregelt hat und zumindest duldet?

In allen vorgenannten Fällen ist es der Betroffene, welchem zwar eine Selbstverantwortung obliegt, welcher aber letztlich die praktischen oder rechtlichen Konsequenzen einer Datenpreisgabe oder Internetnutzung nicht überblickt. Das Internet verändert sich stetig und wird immer komplexer, was vor allem für das Recht im Zeitalter des Web 2.0 gilt. Das pauschale Ablehnen gesetzlicher Regelungen ist daher ebenso fehl am Platz wie die Implementierung gesetzlicher Regelungen ohne praktischen Sinngehalt. Tatsächlich gefragt sind dagegen Regelungen mit Augenmaß, diese sind aber unter Umständen nicht ganz so publikumswirksam.

Bereits zum 01.09.2009 trat die BDSG Novelle II in Kraft. Heute (31.08.2010) endet die in § 47 BDSG geschaffene Übergangsregelung für die Verarbeitung und Nutzung von sog. Altdaten (also Daten, die vor dem 01. September 2009 erhobenen wurden) für Zwecke der Markt- oder Meinungsforschung.

In der Praxis bedeutet dies, dass ab morgen (01.09.2010) auch für diese Datenbestände § 28 BDSG ausschließlich in der aktuellen Fassung und mit den jeweiligen Voraussetzungen und Ausnahmen Anwendung findet und in diesem Bereich keine Privilegierung von Altdaten mehr besteht. Die ebenfalls in § 47 BDSG getroffene Übergangsregelung zur Verarbeitung und Nutzung von „Altdaten“ zu Werbezwecken endet am 31.12.2010.

Nachdem das Social-Network-Portal Facebook in den letzten Monaten mit diversen Datenschutzpannen sowie dem Lokalisierungsdienst Facebook Places in der Kritik stand, geht zum 15. September ein New Yorker Stundententeam mit dem Open-Source-Projekt Diaspora (griechisch für Verstreutheit), einer interessanten Alternative zu den bestehenden sozialen Netzwerken an den Start.

Im Gegensatz zu den bekannten kommerziellen Angeboten wird Diaspora -was der Name bereits erahnen lässt- nicht von einem zentralen Server aus gehostet. Vielmehr wird die Verbindung zwischen den einzelnen Nutzern im Rahmen eines Peer-to-Peer Netzwerkes direkt erfolgen. Denn die eingegebenen Daten werden nach Installation der Software auf dem eigenen Rechner gespeichert und die Freigabe einzelner Daten erfolgt jeweils für jeden Kontakt individuell. Hierdurch kann man als Nutzer die Weitergabe eigener Daten selbst steuern – Diaspora erhält hingegen keinerlei Einsicht in die durch die Nutzer eingetragenen Daten. Dies führt zu einem erhöhten Datenschutzniveau. Darüber hinaus teilte Diaspora im eigenen Blog mit, dass zum Start des Projektes auch der gesamte Programmcode veröffentlicht werden soll.

Es ist zu begrüßen, dass mit Diaspora endlich ein soziales Netzwerk verfügbar sein wird, bei dem der Nutzer über die Weitergabe seiner Daten selbst entscheiden kann und keine zentralen „Datensammelserver“ zwischengeschaltet sind. Ob sich der neue Dienst, bei dem der Nutzer Herr seiner Daten bleibt, durchsetzen und als Alternative zu Facebook und Co. etablieren kann, bleibt jedoch abzuwarten.

Nach Werder Bremen und  der Haspa hat es nun auch die Drogerie-Kette Schlecker erwischt: Etwa 150.000 Datensätze von Online-Kunden waren im Internet einsehbar, darunter Name, Adresse, Geschlecht und das Kunden-Profil sowie über 7 Millionen E-Mail-Adressen von Newsletter-Kunden.

Das Leck sei nicht bei Schlecker selbst, sondern bei einem externen Dienstleister eingetreten. Außerdem betonte Schlecker, dass die Sicherheitslücke bereits vom Dienstleister geschlossen worden sei und das Unternehmen die Kunden umfassend informieren wolle. Den Betroffenen hilft dies letztendlich wenig. Es bleibt nur zu hoffen, dass die vielen Datenpannen der vergangenen Monate letzlich zu einer höheren Sensibilität und damit auch zu einem höheren Datenschutz führen.

Die Forderungen nach einem Arbeitnehmerdatenschutzgesetz scheinen nun gehört worden zu sein, denn am 25.08.2010 wurde endlich ein Entwurf hierzu durch das Kabinett beschlossen.

Doch trotz aller Freude, dass der erste Schritt nun getan ist, werden wieder kritische Stimmen zum Entwurf laut. Das Gesetz komme vor allem den Arbeitgebern entgegen und ermögliche zudem zu leicht anlasslose Datenabgleiche. Vor allem die Videoüberwachung steht in der Kritik: die einen meinen, es seien zwingend Nachbesserungen notwendig, da andernfalls eine ausdrückliche Rechtsgrundlage für das Ausspionieren im Arbeitsverhältnis bestehe. Die Arbeitgeberseite sieht dies indes anders, wie fr-online.de berichtet:

„Die Korruptions- und Kriminalitätsbekämpfung darf nicht erschwert werden. Wenn es einen konkreten Verdacht einer Straftat gebe, müsse es möglich sein, diesen gezielt per Video zu überprüfen (…), als gleich den Staatsanwalt zu holen.“

Es scheint also, als ob das letzte Wort zum Thema Arbeitnehmerdatenschutz noch nicht gesprochen wurde und Änderungswünsche beider Seiten am bisherigen Entwurf sicher sind…

Es wurde bereits viel über den elektronischen Personalausweis diskutiert, der ab dem 01. November im Scheckkartenformat eingeführt werden soll. Die Bundesregierung verspricht, dass dieser sicherer als der bisherige Personalausweis sei und Bürgern die sichere Abwicklung von Geschäften im Internet ermöglichen werde. Doch bereits vor der Einführung zeigen sich erhebliche Sicherheitslücken.

Zur Identifizierung im Internet benötigt man neben einer sechsstelligen PIN, die man von der Ausweisbehörde erhält auch ein Lesegerät, dass später in drei Varianten (Basis, Standard, Komfort) zu erwerben ist. Mehr als eine Million der Basisgeräte werden in sogenannten IT-Sicherheitskits Anfang November kostenlos verteilt. Und genau hier setzt die Kritik von Datenschützern und IT-Experten an, denn

„die einfachen Lesegeräte, die kostenlos verteilt werden, haben keine eigene Tastatur“, so Constanze Kurz vom Chaos Computer Club in der Frankfurter Rundschau. Zur Identifizierung müsse man die PIN über die PC-Tastatur eingeben. „So können Betrüger sie mit Spionage-Software mitlesen. Das schaffen schon Informatikstudenten höherer Semester.“

Über die PIN kann in einem solchen Fall auf auch personenbezogene Daten wie Anschrift oder Geburtsdatum sowie besonders sensible biometrische Daten (z.B. den Fingerabdruck) zugegriffen und vom Ausweis ausgelesen werden.

Bei Kartenlesegeräten mit integrierter Tastatur zur Eingabe der PIN besteht dieses Problem indes nicht. Wieso die Bundesregierung trotz vorliegender Alternativen, massenhaft unsichere Geräte verteilt, ist nicht nachzuvollziehen. Hier werden personenbezogene Daten aus Kostengründen einem Risiko ausgesetzt, das problemlos vermieden werden kann. Denn bei hochwertigeren Geräten mit eigener Tastatur kann die PIN nicht durch sogenannte „Trojaner“ ausgelesen werden.

Selbst der Bundesbeauftragte für den Datenschutz ist skeptisch und rät laut open-report.de zur Vorsicht:

„Die Basis-Lesegeräte scheinen mir ungeeignet für sicherheitssensible Daten.“

Auf den Einsatz der Basisgeräte solle verzichtet werden und alternativ auf sicherere Lesegeräte mit eigener Tastatur zurückgegriffen werden. Das Bundesinnenministerium sieht dennoch keinen Handlungsbedarf, da die Technik eine der sichersten sei, die derzeit verfügbar sei. Der Bürger könne sich ausreichend gegen Spionagesoftware schützen und so das Risiko minimieren. Darüber hinaus reiche die PIN nur in Verbindung mit dem Ausweis zur Identifizierung.

Zu diesen Sicherheitsdefiziten kommt ein weiteres Problem hinzu: Beim Einsatz der Basisgeräte muss der Betroffene bei einem Missbrauch den Beweis dafür erbringen, dass der eigene Computer ausreichend geschützt ist und etwa eine Überweisung nicht getätigt oder ein Auktionsangebot nicht abgegeben wurde – unabhängig davon ob man technischer Laie ist oder nicht.

Die kostenlose Verteilung von Basisgeräten zeigt, dass für die Bundesregierung finanzielle Aspekte wichtiger zu sein scheinen als die Gewährleistung eines angemessenen Datenschutzniveaus… zumindest bis zum nächsten Datenschutzskandal…

Die private Nutzung dienstlicher Kommunikationsmittel wirft in Rechtsprechung und  Praxis immer wieder neue Fragen und Probleme auf. Trotz unterschiedlicher Rechtsauffassungen der Gerichte wurde bislang die Meinung vertreten, dass eine klare Regelung der Privatnutzung der Weisheit letzter Schluss sei und dem Arbeitgeber sowohl bestimmte Kontrollen (zur Sicherstellung eines ordnungsgemäßen Betriebes) als auch arbeitsrechtliche Konsequenzen ermögliche.

Dieser gängigen Praxis scheint nun ein Urteil des Landesarbeitsgerichtes Rheinland-Pfalz ein jähes Ende bereitet zu haben. Dem Streit lag der Umstand zugrunde, dass der klagende Arbeitnehmer das Internet entgegen eines ausdrücklichen schriftlichen Verbotes auch für private Zwecke genutzt hatte. Der Arbeitgeber hatte daraufhin die ordentliche Kündigung ausgesprochen, ohne den Arbeitnehmer vorher abzumahnen.

Das Gericht gab dem Arbeitnehmer Recht und führte zu seiner Entscheidung aus, dass

„nach der Rechtsprechung des Bundesarbeitsgerichts (Urteil vom 27. April 2006 – 2 AZR 386/05) das Abstellen allein auf die Missachtung des Verbots der privaten Internetnutzung als Pflichtverletzung zu kurz greife; es müsse zu weitergehenden Pflichtverletzungen kommen, wie ein unbefugter Download, die Verursachung zusätzlicher Kosten und Verletzungen der Arbeitspflicht. Die Beklagte verweise nur pauschal auf die Verletzung der Arbeitspflicht, wobei noch umstritten sei, ob (mit einer Ausnahme (…)) die übrigen Zugriffe nicht sogar dienstlich erfolgt seien. Im Übrigen sei während der Pausenzeiten eine Arbeitspflichtverletzung nicht möglich. (…)Es fehle wegen des im Kündigungsrecht geltenden Verhältnismäßigkeitsgrundsatzes an einer Abmahnung, die vorliegend auch nicht entbehrlich sei, da keine exzessiven Nutzung habe festgestellt werden können.“

Das Gericht lässt die Kündigung damit vor allem an der fehlenden Abmahnung scheitern.

Dieses Urteil zeigt einmal mehr, dass nicht irgendwelche Regelungen zur privaten Nutzung dienstlicher Kommunikationsmittel getroffen werden können, sondern diese sowohl die datenschutz- als auch die arbeitsrechtliche Seite abdecken müssen. Es bleibt ferner nur zu hoffen, dass der kürzlich verabschiedete Gesetzesentwurf zum Arbeitnehmerdatenschutz künftig solche Fragestellungen auch für die Praxis eindeutig regeln wird…

Wieder ist eine Steuersünder–Datei im Umlauf und wieder wurde sie einem Bundesland via E-Mail angeboten . Der baden-württembergischen Finanzminister hat erneut die Qual der Wahl, denn immerhin soll die angebotene Datei Daten von 250 Unternehmen mit Steuerhinterziehungen von bis zu 800 Millionen Euro enthalten.

Bereits Anfang des Jahres wurden dem Bund, Nordrhein-Westfalen, Baden-Württemberg und später auch Niedersachen Steuersünder-Dateien zum Kauf angeboten. Bis auf Baden-Württemberg nahmen alle das Kaufangebot an. Sogar der Bund kaufte nach monatelanger Diskussion eine solche Steuersünder-CD an, da er sich Mehreinnahmen in zweistelliger Millionenhöhe versprach. Bei erwarteten Einnahmen in dieser Größenordnung erscheint der Kaufpreis von 185.000 Euro verkraftbar.

Eine einheitliche Linie im Umgang mit angebotenen Steuersünder-Dateien besteht indes nicht. Denn entgegen der Auffassung in den übrigen Bundesländern, ist man in Stuttgart der Ansicht,

„dass wir den Ankauf rechtlich nicht für vertretbar halten.“

Das Anbieten von Steuer-CDs dürfe sich nicht zum Volkssport entwickeln. Dennoch stehe das baden-württembergische Finanzministerium mittlerweile mit dem Informanten in Kontakt. Er sei bereit einen Testkunden zu liefern, Geldforderungen habe er jedoch noch nicht gestellt. Der Finanzminister hält sich jedoch auch eine Hintertür offen, denn es werde geprüft,

„ob es legal verfügbare Daten sind, die für Steuerermittlungen verwendet werden können(…)“.

Der Umgang mit angebotenen Steuersünder-CDs ist heftig umstritten und wird teilweise als rechtliche Grauzone, teilweise sogar als rechtswidrig angesehen.

Bis es eine eindeutige Regelung für diese Fälle gibt, wird der Handel mit Steuersünder-Dateien weiter florieren und sich zumindest vorerst als äußerst lukratives Geschäftsfeld etablieren…