Posting auf privater Facebook-Pinnwand

In seinem Beschluss vom 29.02.2012 (Az. 12 C 12.264) hatte es klären müssen, ob ein Arbeitgeber wegen eines Postings auf der privaten Facebook-Pinnwand kündigen darf.

In dem vorgelegen Fall war die Arbeitnehmerin von ihrem Arbeitgeber als Sicherheitsmitarbeiterin in der Filiale eines Kunden „X“ – einem Mobilfunkunternehmen– eingesetzt worden. Sie postete auf ihrer privaten Facebook-Pinnwand:

„Boah kotzen die mich an von X, da sperren sie mir einfach das Handy, obwohl man schon bezahlt hat. Und dann behaupten die es wären keine Zahlungen da. Solche Penner. Naja ab nächsten Monat habe ich einen neuen Anbieter“

Ein Facebook-„Freund“ leitete die Bemerkung X weiter, der sich beim Arbeitgeber beschwerte. Dieser wollte eine fristlose Kündigung aussprechen, da die Arbeitnehmerin die Aussage öffentlich über Facebook verbreitet habe.

Keine „vertrauliche Kommunikation“ bei Facebook-Postings?

Das Verwaltungsgericht Ansbach wertete die Bemerkungen als geschäftsschädigend und ehrverletzend und vertrat die Auffassung, dass es keinen Unterschied mache, ob ein Posting über den öffentlichen oder den privaten Bereich erfolge, denn auch im letzteren Fall habe der Benutzer mit einer „Veröffentlichung“ zu rechnen und könne nicht von einer „vertraulichen Kommunikation“ im Sinne der Rechtsprechung der Arbeitsgerichte ausgehen.

Der VGH widersprach dieser Einschätzung. Sollten die Bemerkungen der Arbeitgeberin als diffamierend und ehrverletzend einzuordnen sein, wäre es sehr wohl von Bedeutung, ob es sich um eine vertrauliche Kommunikation mit ihren Internetfreunden gehandelt hat oder nicht. Der Arbeitnehmer dürfe nämlich in vertraulichen Gesprächen – sei es mit Arbeitskollegen oder Freuden- darauf vertrauen, dass seine Äußerungen nicht nach außen getragen werden. Er müsse weder damit rechnen, dass der Betriebsfrieden gestört, noch das das Vertrauensverhältnis zum Arbeitgeber belastet wird. Werden vertraulichen Äußerungen des Arbeitnehmers zur Kündigung verwertet, stelle dies nach der Rechtsprechung des Bundesarbeitsgerichts eine Verletzung des allgemeinen Persönlichkeitsrechts (Art. 2 I i.V.m. Art. 1 I GG) dar, dessen Schutzbereiche vertrauliche Äußerungen erfasse.

Weiterhin Zurückhaltung angebracht

Trotz dieser Einschätzung sollten Arbeitnehmer nach wie Vorsicht und Zurückhaltung im Umgang mit Facebook walten lassen. Es ist fraglich, ob sich die Arbeitsgerichte dieser Einschätzung anschließen werden. Ob eine „vertrauliche Kommunikation“ vorliegt, kann nämlich durchaus bezweifelt werden, wenn der Nutzer über mehrere Hundert Facebook-”Freunde” verfügt.

Dass Sicherheitsbedenken dabei auf der Strecke bleiben ist bekanntlich ein Dauerthema. Jetzt bekommt die Kritik sogar Rückenwind von ganz oben. Das Fraunhofer Institut für Sichere Informationstechnologie (SIT) hat eine umfangreiche Studie zur Sicherheit von verschiedenen Cloud-Anbietern veröffentlicht.

Die großen Anbieter wurden getestet

In der fast 150 Seiten umfassenden englischsprachigen Studie werden viele der bekannten Anbieter einzeln untersucht. Dabei wurden sowohl die technischen Voraussetzungen, als auch die rechtlichen Rahmenbedingungen sowie die Benutzerführung berücksichtigt. Mit dabei sind:

• CloudMe
• CrashPLan
• Dropbox
• MOzy
• Teamdrive
• Ubuntu One
• Wuala

Zusammenfassend heisst es zu allen Anbietern:

“none of the examined cloud storage providers meets all mandatory security requirements.”

Verschiedene Aspekte werden kritisiert

Bei einigen Anbietern wird bereits das Anmeldeverfahren kritisiert, bei dem eine Verifizierung des Nutzers ausbleibt. Außerdem rügen die Tester die mangelhafte Verschlüsselung bei der Datenübermittlung. Andere Dienste verlangen keine kundenseitige Verschlüsselung. Dies bedeutet, dass die Inhalte beim Anbieter selbst nicht individuell verschlüsselt aufbewahrt werden.

Außerdem wird darauf hingewiesen, dass im Falle einer Nutzung durch mehrere Teilnehmer die Verfahren häufig technisch noch nicht ausgereift sind, so dass die geteilten Daten beispielsweise sogar durch einfache Suchmaschinen gefunden werden können.

Rechtliche Bewertung

Neben der technischen Mängeluntersuchung enthält die Studie auch Ausführungen zur rechtlichen Bewertung der Dienste.

Dabei spielt – wie berichtet – die Übertragung der Daten in die USA eine wesentliche Rolle. Insoweit kommen die Autoren zu dem Schluss, dass

“Currently, using a purely Europe-based company to store data seems to be the only way to guarantee an adequate level of privacy protection.”

Fazit

Die umfangreiche Studie belegt in einer sorgfältigen wissenschaftlichen Ausarbeitung, welche Risiken mit der Cloud-Nutzung (noch) einhergehen. So groß die Verlockung auch ist, sollten sich Unternehmen und Privatpersonen gut überlegen, welche Daten sie dort ablegen und welchem Anbieter sie ihr vertrauen schenken. US-Amerikanische Anbieter sollten dabei nicht die erste Wahl sein.

Und eines steht jetzt schon fest: Die Mitarbeiter des Fraunhofer Instituts werden sich hüten, auch nur einen dieser Dienste zu nutzen.

Geringe Strafe angedroht

Wie die Süddeutsche Zeitung in ihrer Onlineausgabe berichtet, hat Reinhard Priebe, ein Mitarbeiter der zuständigen EU-Kommissarin Malmström, der Bundesregierung nur relativ geringe Strafzahlungen angedroht, falls Deutschland sich auch weiter weigert, die Richtlinie umzusetzen.

In einer Sitzung des Innenausschusses des Bundestages hat Priebe jetzt ausgeführt, dass die EU-Kommission zwar ein Vertragsverletzungsverfahren gegen Deutschland einleiten werde, eine pauschale Strafe werde dabei jedoch nicht gefordert. Eine solche pauschale Strafe würde auch die Nicht-Umsetzung in der Vergangenheit berücksichtigen und dürfte wohl nicht unter 30 Millionen Euro liegen.

Statt dieser Maßnahme wird die EU jedoch nur ein sogenanntes Zwangsgeld beantragen, das erst ab dem Urteil im Vertragsverletzungsverfahren fällig wird und daher im Ergebnis deutlich geringer ausfallen wird. Das gegen Schweden verhängte Zwangsgeld betrug beispielsweise „nur“ rund 40.000 Euro pro Tag. Wenn die Umsetzung nach dem Urteil zügig erfolgt, dürfte der Betrag also sehr überschaubar sein.

Wohl keine Umsetzung vor der Bundestagswahl

Die Süddeutsche Zeitung folgert daraus, dass die Richtlinie in dieser Legislaturperiode nicht mehr umgesetzt wird. Ganz von der Hand zu weisen ist diese Schlussfolgerung nicht, auch wenn von Seiten der Bundesregierung bereits fleißig dementiert wird.

Das Verfahren gegen Deutschland wird wohl kaum noch in 2012 abgeschlossen werden. Im September 2013 ist jedoch bereits Bundestagswahl und 2013 wird demnach ein Wahlkampfjahr. Wenn man die verhärteten Positionen im Kampf zwischen FDP-geführtem Justizministerium und CDU-geführtem Innenministerium in diesen Tagen verfolgt, kann man sich kaum vorstellen, dass eine der Parteien im Wahlkampf plötzlich kompromissbereit wird und die eigene Position aufgibt.

Und der Druck durch das angedrohte Zwangsgeld ist so gering, dass das mit Sicherheit kein entscheidender Faktor in den Überlegungen sein wird.

Überhaupt keine Vorratsdatenspeicherung in Deutschland?

Was bedeutet das jetzt für die Einführung einer Vorratsdatenspeicherung in Deutschland? Im Extremfall könnte es bedeuten, dass die Vorratsdatenspeicherung in Deutschland überhaupt nicht eingeführt wird.

Die EU will die Richtlinie selbst noch einmal auf den Prüfstand stellen, das Ergebnis ist offen. Nach der Bundestagswahl könnten sich die Mehrheitsverhältnisse in Deutschland und der Einfluss auf die EU durchaus dahingehend geändert haben, dass größere Änderungen an der Richtlinie vorgenommen werden und zumindest in der heutigen Form keine Vorratsdatenspeicherung mehr eingeführt wird.

Daneben ist auch noch völlig offen, ob die Richtlinie überhaupt Bestand hat. Irland möchte von der EU-Gerichtsbarkeit prüfen lassen, ob die Richtlinie rechtmäßig ist oder gegen höherrangiges Recht verstößt.

Fazit

Es wird viel spekuliert in diesen Tagen, wie die Zukunft der Vorratsdatenspeicherung aussehen könnte. Die aktuellen Neuigkeiten aus Brüssel werden auf jeden Fall nicht dazu beitragen, dass in Kürze eine Entscheidung fällt. Die Geschichte der Vorratsdatenspeicherung ist noch lange nicht zu Ende.

Dieser hatte gegen das österreichische Medienunternehmen eDate Advertising geklagt, um eine Unterlassung hinsichtlich der Online-Berichterstattung auf der Internetseite rainbow.at zu erreichen.

Er machte geltend, dass die dauerhafte Abrufbarkeit seines Vor- und Nachnamens in den Online-Archiven sein Persönlichkeitsrecht verletzen würde.

Ein alter Hut – BGH urteilte schon 2009

Bereits seit Jahren beschäftigen Klagen der Sedlmayr-Mörder deutsche und ausländische Gerichte. In den Verfahren ging es – wie im aktuellen Urteil – stets um die Namensnennung in Online-Medien.

So stellte der BGH erstmals im Jahr 2009 fest, dass dieser bedeutende Fall deutscher Kriminalgeschichte es rechtfertigen würde, dass die Namen der Täter im Internet veröffentlicht seien (Urteil vom 15.12.2009, Az. VI ZR 227/08). In den folgenden Jahren scheiterten die beiden Mörder vor dem BGH u.a. mit Klagen gegen den Spiegel, die Süddeutsche Zeitung und die Frankfurter Allgemeine Zeitung.

Diesmal musste auch der EuGH ran

Da der aktuelle Fall jedoch europarechtliche Fragen hinsichtlich der gerichtlichen Zuständigkeit aufwarf, war das Verfahren zunächst ausgesetzt und zur Klärung dem Europäischen Gerichtshof (EuGH) vorgelegt worden.

Daraufhin erklärte der EuGH im Oktober 2011 (Urteil vom 25.10.2011, Az. C-509/09 und C-161/19), dass in derartigen Fällen auch die Möglichkeit bestehe die Gerichte des EU-Staates anzurufen, in dem der Kläger seinen Wohnsitz habe. Über die Zuständigkeit des BGH war somit entschieden.

Was macht das Urteil interessant?

Obwohl die mediale Berichterstattung sich in den letzten Tagen fast ausnahmslos auf die Debatte Persönlichkeitsrecht versus Presse- und Meinungsfreiheit stürzte, ist dies das eigentliche Interessante im Rahmen des neuen BGH-Urteils.

Der EuGH äußerte sich u.a. zu der vorgelegten Frage, wie die Wendung „Ort, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ in Art. 5 Nr. 3 der Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 im Fall der Geltendmachung einer Persönlichkeitsrechtsverletzung durch Inhalte einer Website auszulegen ist.

Bisher war es bereits ständige Praxis, dass das örtlich zuständige Gericht an dem Ort angerufen werden konnte, wo sich der Wohnsitz oder der Ort der Niederlassung des Beklagten befindet („Ort des ursächlichen Geschehens“). Ebenso konnte die Zuständigkeit des Gerichts eines Mitgliedstaates gewählt werden, in dem die Veröffentlichung verbreitet und das Ansehen des Betroffenen beeinträchtigt wurde („Ort der Verwirklichung des Schadenserfolges“).

Neue Praxis für “andere Medien und Kommunikationsmittel”

Durch das neue EuGH-Votum wurde diese Praxis nicht geändert, sondern erweitert.

Dabei unterstrich der Europäische Gerichtshof in seinem Urteil, dass Unterlassungs- und Schadensersatzansprüche in Zukunft von der betroffenen Person bei den Gerichten eines jeden EU-Mitgliedstaates erhoben werden können, in dem sich der Mittelpunkt ihrer Interessen befindet – unabhängig vom Wohnsitz des Beklagten und vom Verbreitungsort des konkreten Mittels, mit dem die mögliche Persönlichkeitsrechtsverletzung begangen wird.

Dies sei laut EuGH nunmehr möglich, da die bisherige Praxis auf „andere Medien und Kommunikationsmittel“ übertragen werden könne, jedoch mit einigen technikbedingten Schwierigkeiten zu kämpfen habe und daher entsprechend anzupassen sei.

Im Urteil heißt es u.a. dazu:

„Das Internet schränkt also den Nutzen des Verbreitungskriteriums ein, da die Reichweite der Verbreitung im Internet veröffentlichter Inhalte grundsätzlich weltumspannend ist. Auch ist es nicht immer technisch möglich, diese Verbreitung sicher und zuverlässig für einen konkreten Mitgliedstaat zu quantifizieren (…).“

Stärkung der Bürgerrechte

Da die Auswirkungen eines im Internet veröffentlichten Inhalts auf die Persönlichkeitsrechte einer Person laut EuGH-Urteil am Besten von dem Gericht des Ortes beurteilt werden können, wo das mutmaßliche Opfer den Mittelpunkt seiner Interessen hat, entspräche die Zuweisung der Zuständigkeit an dieses Gericht dem Ziel einer geordneten Rechtspflege.

In unserer modernen „Online-Welt“ bedeutet dieses Votum eine erfreuliche Stärkung der Rechte der Bürger, die sich gegen Internetinhalte zur Wehr setzen möchten. Da es sich heutzutage bei den streitgegenständlichen Medien in der Regel nicht mehr um herkömmliche Presseartikel handelt, war es angezeigt, die gerichtlichen Zuständigkeiten in Bezug auf das allgegenwärtige Medium Internet praktikabel zu halten.

Zulässigkeit der Datenerhebung

Bei der Bereitstellung von Dienstfahrzeugen durch den Arbeitgeber geht es diesen allerdings sehr wohl etwas an, ob der Arbeitnehmer im Besitz einer gültigen Fahrerlaubnis ist. Denn der Arbeitgeber sollte sich nicht stillschweigend darauf verlassen, dass Mitarbeiter sich gesetzkonform verhalten und sollte daher die Führerscheine seiner Mitarbeiter kontrollieren.

Die Zulässigkeit der Datenverarbeitung im Rahmen der Führerscheinkontrolle ergibt sich aus der Strafbarkeit des Arbeitgebers als Halter bei fehlender Fahrerlaubnis des Fahrers nach § 21 I Nr. 2 StVG; außerdem darf die Haftpflichtversicherung die Leistung bei einem Unfall verweigern, so dass der Arbeitgeber damit rechnen muss, selbst für den Schaden aufkommen zu müssen. Aus diesem Grund sollten Führerscheinüberprüfungen in jedem Fall durchgeführt werden.

Nur bei Gebrauch von Dienstwagen

Das Kontrollrecht des Arbeitgebers besteht dann, wenn Dienstwagen – egal ob personalisiert oder aus einem Fahrzeugpool – zur Verfügung gestellt werden. In diesen Fällen ist der Arbeitgeber Halter des Fahrzeuges und aus diesem Grund auch zur beschriebenen Kontrolle verpflichtet.

Geht es allerdings um Privatwagen der Arbeitnehmer, so haften diese bei etwaigen Verstößen selbst (als Halter). Dennoch kann sich auch hier eine Haftung des Arbeitgebers ergeben, nämlich dann, wenn er Kenntnis davon erlangt, dass ein Fahrer eines betrieblich eingesetzten Privat-PKW keinen Führerschein mehr besitzt. Um sich in solchen Fällen nicht der Beihilfe schuldig zu machen, darf der Arbeitgeber den betroffenen Fahrer in keinem Fall zur Nutzung seines Privatfahrzeugs auffordern oder diese veranlassen.

Durchführung von Führerscheinkontrollen

Der Arbeitgeber hat also das Recht und auch gewissermaßen die Pflicht, die Führerscheine seiner Arbeitnehmer zu kontrollieren, die ein Dienstwagen nutzen.

Eine Kopie der Führerscheine darf und sollte daher angefertigt werden. Außerdem sollte der Arbeitgeber eine Verpflichtungserklärung unterzeichnen, dass er den Verlust der Fahrerlaubnis unverzüglich beim Arbeitgeber anzuzeigen hat.

Die tatsächliche Kontrolle kann entweder durch den Arbeitgeber selbst oder durch entsprechende Dienstleister durchgeführt werden. Sollten letztere eingesetzt werden, ist zu beachten, dass ein Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG notwendig sein kann.

Umfang der Kontrolle

Fakt ist, dass allein die Kontrolle einer Kopie des Führerscheins nicht ausreicht. Der Arbeitgeber muss sich das Original vorlegen lassen. Außerdem muss auch auf die eingetragenen Klassen und etwaige Fahrerlaubnisbeschränkungen geachtet werden.

Allerdings gibt es keine konkreten Vorgaben, wie oft die Kontrolle durchgeführt werden sollte. Aufgrund bisheriger Rechtsprechung sollte aber von ein bis zwei Kontrollen pro Jahr ausgegangen werden.

Zugriffsbeschränkungen

Außerdem sind Zugriffsbeschränkungen zu beachten. Das bedeutet, dass auf die Dokumentation der Führerscheinkontrolle und die Kopien nicht jeder Mitarbeiter zugreifen können darf. Nur die Mitarbeiter, die die Informationen diesbezüglich benötigen, sollten die Daten auch einsehen können. Dazu gehört etwa der Fuhrparkleiter.

Jemand, der sich mit der Vergabe von Berechtigen auskennen sollte, ist Ihr Datenschutzbeauftragter. Gut also, wenn Sie einen haben…

Viele sprechen in diesem Zusammenhang von einem Totalverbot von Cookies. Aber ist die Richtlinie wirklich direkt anwendbar?

Direkte Anwendbarkeit der Cookie-Richtlinie

Für den kundigen Leser erscheint es zunächst einmal merkwürdig, dass eine EU-Richtlinie in einem Mitgliedsstaat direkte Anwendung finden soll, üblicherweise werden nämlich nur EU-Verordnungen (z.B. die EU-Datenschutzverordnung) direkt und unmittelbar angewendet.

Eine EU-Richtlinie erfordert zunächst eine gesetzliche Umsetzung in das nationale Recht, um Wirkung zu entfalten. Für diese Umsetzung wird den Mitgliedsstaaten eine Frist gesetzt, die im Fall der Cookie-Richtlinie am 25.05.2011 abgelaufen ist.

Die Situation in Deutschland

Bei der Cookie-Richtlinie hat Deutschland (wie so oft) die Regelungen nicht oder zumindest nicht rechtzeitig in deutsches Recht umgesetzt. Für diesen Fall sieht das EU-Recht vor, dass eine Richtlinie unter bestimmten Voraussetzungen direkt anwendbar ist.

Diese Voraussetzungen sind jedoch in den Details höchst umstritten, so dass man keinesfalls von einer eindeutigen Rechtslage sprechen kann.

Alles noch offen

Die Bundesregierung hat in den Details weiteren Klärungsbedarf gesehen und die Richtlinie deshalb noch nicht umgesetzt. Offen ist zum Beispiel, wie eine Einwilligung in die Cookie-Setzung aussehen soll.

Die Vorschläge reichen von einer sogenannten Opt-Out-Lösung mit einer Widerspruchsmöglichkeit bis hin zu Pop-Ups und vorgeschalteten Info-Seiten. Auch das “Do not Track”-Verfahren ist hier im Gespräch. Die in den einzelnen Ländern bereits geschaffenen Regelungen unterscheiden sich in diesem Punkt teilweise deutlich.

Eher keine unmittelbare Anwendung

Es erschließt sich daher also nicht direkt, warum Herr Schaar die Richtlinie für hinreichend bestimmt und detailliert hält. Nur in diesem Fall kommt nämlich überhaupt eine unmittelbare Anwendbarkeit in Betracht.

Daneben besteht das große Problem der sogenannten horizontalen Direktwirkung, nach der eine Richtlinie keine unmittelbare Verpflichtung für einen Einzelnen entwickeln darf. Auch hier sind die Details sehr umstritten, von Rechtssicherheit keine Spur.

Vieles spricht im Moment gegen eine unmittelbare Anwendbarkeit der Cookie-Richtlinie, Maßnahmen der Aufsichtsbehörden gegen Webseiten-Betreiber sind daher zurzeit eher nicht zu erwarten.

Auswirkungen für Webseiten-Betreiber

Man kann nur hoffen, dass der Bundesdatenschutzbeauftragte einfach die Gelegenheit genutzt hat, dass Thema mal wieder ins Blickfeld zu bringen und eine Umsetzung in deutsches Recht voran zu treiben. Konkrete Maßnahmen von Webseitenbetreiber sind zurzeit jedenfalls noch nicht notwendig.

Sehr schnell spielen dann wirtschaftliche oder politische Interessen die Hauptrolle, so dass man das Gefühl hat, die Argumente gehen vom gewünschten Ergebnis aus und nicht nach der Sach- und Rechtslage.

Überblick im Bezug auf das Datenschutzrecht

Die erste Abgrenzung sollte man bei der Anwendbarkeit von Datenschutzrecht im Verhältnis zu anderen Rechtsgebieten wie Urheberrecht oder Strafrecht ziehen.

Beginnt man beim Datenschutzrecht, lautet die erste Frage daher, ob IP-Adressen personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG sind. Hierfür ist erforderlich, dass durch das Datum (Einzelangabe über persönliche oder sachliche Verhältnisse) eine natürliche Person bestimmt oder bestimmbar werden kann. In diesem Blog ist darüber schon berichtet worden.

In Rechtsprechung und Literatur haben sich im Zusammenhang mit dynamischen IP-Adressen im Wesentlichen zwei Ansätze gebildet, der absolute und der relative Personenbezug.

• Die Verfechter des absoluten Personenbezugs argumentieren, dass hinter jeder IP-Adresse ein Anschlussinhaber steht, der damit identifiziert werden kann, auch wenn hierfür die Mitwirkung des Internet Service Providers (ISP) erforderlich ist. Die Tatsache, dass nicht jeder Anschlussinhaber eine natürliche Person ist, ist dabei nicht relevant, ausreichend sei es, wenn auch nur bei einem Teil der Bezug zu Menschen hergestellt werden kann.
• Der relative Personenbezug geht von den faktischen Möglichkeiten Desjenigen aus, der die IP-Adresse zur Kenntnis nimmt, erhebt, verarbeitet oder nutzt. Hier ist bei vielen Beteiligten (z.B. dem durchschnittlichen Webseitenbetreiber) mit eigenen Mitteln – also ohne Aufklärung durch den ISP – in der Regel kein Personenbezug herzustellen.

Konsequenzen für Behandlung von IP-Adressen

Der Blog Internet-Law hat sich vor knapp einem Jahr ausführlich mit der Thematik auseinandergesetzt und brachte des weiteren zur Auslegung die Europäische Datenschutzrichtlinie ins Spiel. Europarechtlich sei relativ deutlich zum Ausdruck gebracht worden, dass es nicht nur auf die Möglichkeiten der speichernden Stelle ankommt, sondern es genügt, wenn ein Dritter (also z.B. der ISP) den Personenbezug herstellen kann.

Das Argument wird nicht von der Hand zu weisen sein – zumal diesem Ansatz des absoluten Personenbezugs auch die meisten Aufsichtsbehörden folgen (und die wären es, die im Zweifelsfall Bußgelder verhängen würden). Die pragmatische Umsetzung der letzten Jahre bestand folgerichtig auch darin, den Personenbezug anzunehmen und die IP-Adressen entsprechend dem Datenschutzrecht zu behandeln – z.B. wie auf dieser Website, auf der Sie gerade sind, vor einer möglichen Auswertung zu anonymisieren.

Urteil zu Filesharing und IP-Adressen

Beim Urheberrecht ist es dagegen eigentlich egal, ob die IP-Adresse personenbezogen ist oder nicht. Wichtig ist hier vielmehr, ob eine konkrete Person identifiziert werden kann.

In diesem Zusammenhang hat jetzt ein New-Yorker Richter geurteilt, dass dass zur Belangung von Nutzern von BitTorrent und anderer Tauschbörsen die IP-Adresse nicht ausreiche:

Der Richter ist der Auffassung, dass es heikel sei, die für einen Internetzugang bezahlende Person mit jener Person gleichzusetzen, die die IP-Adresse des Zugangs für einen illegalen Download verwendet hat. Die starke Verbreitung von drahtlosen Netzwerken, über die mehrere Personen mit derselben IP-Adresse ins Netz gelangen, stütze sein Argument. Richter Brown empfiehlt daher anderen Richtern seinem Beispiel zu folgen.

Ganz übertragbar auf unsere Verhältnisse ist das Urteil aber nicht. Wer sein W-Lan bei Einrichtung nicht nach dem Stand der Technik gegen unerlaubte Mitnutzung absichert, haftet laut dem Bundesgerichtshof (I ZR 121/08) unter Umständen für über den Anschluss begangene Urheberrechtsverletzungen, insoweit war die Ausgangslage etwas verschieden.

Auch dieses Urteil trägt als weiteres Puzzlestück zur Rechtsfindung bei. Sinnvoll ist auf jeden Fall eine gesetzliche Nachbesserung – vielleicht auch im Rahmen der EU-Datenschutzrichtlinie?

Europäischer Datenschutz seit 1985

Die Europäische Datenschutzkonvention ist ein völkerrechtlicher Vertrag, der die längere, aber offizielle Bezeichnung „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108)“ trägt.

Nachdem Deutschland diesen Vertrag im Sommer 1985 ratifiziert hatte, konnte die Konvention zum 01. Oktober 1985 in Frankreich, Schweden, Spanien und Norwegen sowie Deutschland in Kraft treten. Mittlerweile gehören insgesamt 38 Staaten zum Kreis der Vertragsparteien.

Gemeinsamer Datenschutzstandard

Durch das Übereinkommen einigten sich die Vertragsstaaten auf einen gemeinsamen Datenschutzstandard für personenbezogene Daten, die durch automatisierte Verfahren verarbeitet werden. Diese „europäischen“ Datenschutzprinzipien waren damit verbindlich und in innerstaatliches Recht umzusetzen.

Bereits im Jahr 2001 erfolgte eine Ergänzung der Datenschutzkonvention durch ein Zusatzprotokoll, um auf datenschutzrechtlicher Ebene mit den technologischen und gesellschaftlichen Entwicklungen mithalten zu können.

Reformbedarf – Generalüberholung eines Stücks Datenschutzgeschichte

Nach mehr als 30 Jahren erscheint die Datenschutzkonvention von 1985 nicht mehr zeitgemäß und bedarf einer „Generalüberholung“. Die Liste der geplanten Änderungen ist lang. Die Änderungen sollen in der Praxis wichtige Fortschritte aus datenschutzrechtlicher Sicht bringen.

Die wichtigsten Änderungen sehen folgendes vor:

• Einbeziehung genetischer und biometrischer Daten
• Erweiterung des Begriffs „Datenverarbeitung“ auch auf Daten, die nicht durch automatisierte Verfahren verarbeitet werden
• Einführung der Begriffe „Empfänger“ und „Dienstleister“, um eine Abgrenzung zum Begriff „Auftraggeber“ eindeutig vornehmen zu können
• mehr Kontrolle der Nutzer über ihre Daten (z.B. durch erweiterte Auskunftsansprüche)
• umfangreichere Transparenzpflichten für Staaten und Unternehmen
• strengere Durchsetzung der Datenschutzstandards in den Vertragsstaaten
• umfassendere Mitteilungspflichten bei technischen Pannen (wie z.B. Datenverlust)

Theorie und Praxis

Hoffentlich wird die Theorie dann auch wirksam in der Praxis umgesetzt. Es wäre jedenfalls wünschenswert, wenn die Europäische Datenschutzkonvention in Zukunft nicht der Moderne hinterherhinkt, sondern zum Ideengeber für einen besseren – eventuell weltweiten – Datenschutzstandard würde.

Das bewusste oder unbewusste Unterlassen von Dokumentation aber auch die durchgängige Dokumentation der falschen Prozesse kann schwerwiegende Folgen haben…

Der Begriff der Dokumentation

Laut Wikipedia ist unter Dokumentation die Nutzbarmachung von Informationen zur weiteren Verwendung zu verstehen. Dabei kann grundsätzlich zwischen Prozess- und Produktdokumentation unterschieden werden. Die Prozessdokumentation umfasst alle Dokumente, die im Rahmen der Prozessgestaltung erstellt werden. Sie dient unter anderem als Informationsbasis für prozessinterne und -externe Kommunikation, Prozesskoordination und -verbesserung oder der Einhaltung von Compliance-Anforderungen. Die Produktdokumentation beschreibt hingegen das Produkt selbst.

Der Dokumentationsinhalt hängt maßgeblich davon ab, welchem Zweck die Dokumentation dient und wer ihr Adressat sein soll. Adressaten können sowohl Geschäftsführer, Endnutzer einer Software als auch Administratoren oder Entwickler sein. Dementsprechend richtet sich auch der Zweck der Dokumentation nach deren Adressat aus. So haben die Adressaten auch unterschiedliche Bedürfnisse, die wiederum verschiedene Dokumente verlangen.

Sinnhaftigkeit von Dokumentationen

Gegner der Dokumentation begründen ihre Meinung daher oft damit, dass Dokumentation zu viel Zeit koste, die wiederum an anderer Stelle fehle und gleichzeitig noch Kosten mit sich bringe. Ist eine Dokumentation nicht einfach und leicht verständlich, könne diese eher zu Missverständnissen führen als zu einer klaren Information.

Andererseits kann sich Notwendigkeit von Dokumentation hingegen daraus begründen, dass sie kommunikationsunterstützend wirkt und dadurch Wissen weitergegeben und so erhalten werden kann. Darüber hinaus werde so die Historie eines Projektes festgehalten, was wiederum Nachweise für zeitliche Verzögerungen oder Änderungen bieten kann. Schließlich bringt die Dokumentation auch wesentliche Erleichterung in der Wartung mit sich und führt grundsätzlich zu einer effizienteren Weiterentwicklung und besseren Zusammenarbeit.

Notwendigkeit von Dokumentationen

Auch wenn es keine gesetzlichen Verpflichtungen zur Dokumentation gibt, so kann sie vor allem im Bereich von Haftungsfragen eine enorme Rolle spielen. So kann sich auch die Geschäftsführung eines Unternehmens durch eine Dokumentation vor Haftungsrisiken schützen. Denn diese hat nach einigen Gesetzen Verpflichtungen nachzukommen, die sie nur durch bestehende Dokumentationen erfüllen kann:

Zu nennen wären an dieser Stelle etwa das Kontroll- und Transparenzgesetz (KonTraG), das die Geschäftsleitung dazu verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren (Artikel 1 Nr. 9 KonTraG i.V.m. § 91 Abs. 2 AktG). Auch gemäß § 91 AktG sind Unternehmen dazu verpflichtet, Risikomanagement zu betreiben. Geschäftsführungsmitglieder, welche diese Pflicht verletzen, können sich gegenüber der Gesellschaft im Rahmen ihrer vertraglichen Verpflichtung schadensersatzpflichtig machen (§ 280 Abs. 1 S. 1 i.V.m. § 611 BGB), wobei das Verschulden (= Vorsatz und Fahrlässigkeit gemäß § 276 Abs. 1 BGB) im Falle einer Pflichtverletzung gesetzlich vermutet wird (§ 280 Abs. 1 S. 2 BGB), der Schadensersatzpflichtige sich also demzufolge entlasten muss. Für bestimmte Gesellschaftsformen ist die Geschäftsführerhaftung explizit normiert (§ 93 Abs. 2 AktG, § 43 Abs. 2 GmbHG). Dieses Haftungsrisiko führt dazu, dass ein gewisses Interesse der Geschäftsführung daran besteht, Dokumentationen durchzuführen.

Doch auch internationale Gesetze sehen indirekt bestimmte Regelungen zur Dokumentation vor. Dazu zählen etwa der Sarbanes-Oxley-Act (SOX) oder auf europäischer Ebene die Richtlinie 2006/43/EG, die so genannte Richtlinie zu „Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen“.

Spätestens aber bei vertraglichen Verpflichtungen zum Nachweis bestimmter Dokumentationen oder für den Erhalt von Zertifizierungen, kann man der Pflicht, Dokumente zu erstellen oder vorzuhalten, nicht mehr entgehen. Vor allem im Bereich der ISO 9001, der ISO 27001 oder bei der Erteilung eines Gütesiegels durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) für IT-Produkte werden bestimmte Dokumentationen gefordert.

Fazit

In vertraglichen Leistungsbeziehungen oder zur Erlangung von Zertifizierungen werden Dokumentationen bereits schon vorausgesetzt. Doch auch zu unternehmenseigenen Zwecken ist zu einer sinnvollen und brauchbaren Dokumentation zu raten. Gründe hierfür sind sowohl haftungsrechtliche Aspekte als auch praktische Aspekte wie etwa Nachvollziehbarkeit. Dabei sollte beachtet werden, dass nicht jeder Vorgang oder Prozess dokumentiert werden muss. Dokumente müssen aktuell gehalten werden (können) und lesbar sein – sowohl was den Umfang als auch die tatsächliche Sprache betrifft.

Jetzt scheint sich der Druck aus Europa aber wohl auf die amerikanischen Verhältnisse auszuwirken – denn die großen amerikanischen Technologiefirmen beratschlagen zur Zeit Details eines neuen „Privacy Systems“, genannt „Do Not Track“, wie npr.org berichtet.

Datenschutzrechtlicher Druck aus Europa

„Do not Track“ soll es den Nutzern ermöglichen, ihre persönlichen Daten bei dem Besuch bestimmter Webseiten zu schützen. Grund für den plötzlichen Aktionismus der Amerikaner soll tatsächlich Europa sein – die Technologiefirmen sehen sich angeblich einem erheblichen Druck ausgesetzt, was die Umsetzung datenschutzrechtlicher Regelungen angeht.

Kein Tracking soll der Standard sein

So war Anlass für die Diskussionen ein Besuch des Leiters der niederländischen Datenschutzbehörde, Jacob Kohnstamm im Silicon Valley. Dieser ließ keinen Zweifel daran, dass gegen die „tech giants“ auch rechtliche Schritte eingeleitet werden, sollten sie sich nicht an bestimmte rechtliche Vorgaben halten.

Nutzer sollen nicht nur die Möglichkeit haben, die Erhebung und das Speichern von Daten auf der Webseite zu blockieren, sondern dies sollte die Standardeinstellung sein – zumindest auf europäischen Browsern.

Web-Analysetools auf dem Prüfstand

In Deutschland ruft gerade der Einsatz von Web-Analysetools wie Google Analytics Datenschützer immer häufiger auf den Plan. Dabei gibt es hier Möglichkeiten, auch Google Analytics datenschutzkonform einzusetzen.

Innovationen ausgebremst durch Datenschutz?

Trotzdem: begeistert sind die amerikanischen Unternehmen über die Entwicklung durch den europäischen Einfluss nicht. Ganz im Gegenteil: auch in Washington möchte man ungern damit in Verbindung gebracht werden, die Innovationen des Internet-Zeitalters durch so etwas „unmodernes“ wie Datenschutz zu unterbinden.

Deshalb wollen die Amerikaner auch immer häufiger mitreden – zum Beispiel bei der neuen EU-Datenschutzverordnung.

EU-Verordnung wird Veränderungen bringen

Die von Viviane Reding im Januar vorgestellte EU-Datenschutz-Verordnung wird in jedem Fall Veränderungen bringen. Auch, wenn es bis jetzt nur ein Entwurf ist und die weitere Lobby-Arbeit noch abzuwarten ist, wird die Verordnung auch Auswirkungen auf die Vereinigten Staaten haben – denn wenn dort die europäischen Regeln gebrochen werden, kann dies erhebliche Konsequenzen für die “Verletzer” haben.

Und wenn Europa der Vorreiter in Sachen Datenschutz und digitale Welt wird, könnte dies für die amerikanischen Firmen sehr wohl bedeuten, dass sie ihre vorherrschende Stellung in der digitalen Wirtschaft möglicherweise nicht aufrecht erhalten können.

Insofern kann “mehr Datenschutz” auch “mehr Wirtschaftsmacht” bedeuten – es bleibt abzuwarten, ob sich dies zunächst im Bereich Tracking bewahrheiten wird…