Datenschutzbeauftragter INFO

Wer sich anonym im Internet bewegen möchte, kann auf sog. Anonymisierungsdienste zurückgreifen. Zu den bekanntesten Anonymisierern zählt das Netzwerk “Tor”, dessen Bezeichnung die Abkürzung für “The Onion Routing” sein soll. Die Nutzung von “Tor” setzt die Installation einer kleinen Software voraus, die kurz gesagt Folgendes veranlasst:

So funktioniert “Tor”

Wenn der Nutzer über seinen Internetzugang beispielsweise eine Webseite aufrufen möchte, wird die Zieladresse nicht direkt angesteuert. Die Anfrage wird zunächst über drei zufällig ausgewählte Server des “Tor”-Netzwerks nacheinander umgeleitet.

Die Übertragungswege durch das Tor-Netzwerk sind jeweils verschlüsselt und jeder beteiligte Server auf dem Verbindungsweg kennt nur seinen Vorgängen und Nachfolger. Auf diese Weise kann beim Aufruf der Webseite ohne Weiteres nicht mehr festgestellt werden, von welcher Adresse die Anfrage ursprünglich gesendet worden ist, weil nur die IP-Adresse des letzten Tor-Servers (“exit node”) offenkundig wird.

Einsatz von “Tor” rechtlich zulässig

Da das Gesetz nicht vorschreibt, sich identifizierbar im Internet zu bewegen, ist die Nutzung eines solchen Anonymisierungsdienstes für sich betrachtet auch rechtlich nicht zu beanstanden. Ein Gegenbeispiel findet sich beispielsweise bei der Kennzeichen-Pflicht für Kraftfahrzeuge im Straßenverkehr. Das gilt natürlich nur für die Nutzung von “Tor” selbst; sonst rechtswidriges Verhalten (z.B. ein Urheberrechtsverstoß) bleibt natürlich rechtswidrig.

Anonymität als Grundprinzip des freien Internets

Laut Bundesjustizministerin Sabine Leutheusser-Schnarrenberger soll das Recht auf Anonymität im Internet auch in Zukunft auf jeden Fall gewahrt werden. In ihrer Rede auf dem  7. For..Net-Symposium in Passau erhob sie die Anonymität zum “Grundprinzip des freien Internets” und betonte:

Man sollte „Nicht der Angst folgen, sondern dem Mut!“; dies war eine der Kernaussagen unseres Bundespräsidenten in seiner Antrittsrede. Mut heißt hier, für ein Mehr an Freiheit durch das Internet auch mit gelegentlichen anonymen Entgleisungen leben können.

“Tor” auch auf dem iPhone oder iPad nutzen

Seit letzter Woche ist der “Onion Browser” von Tor auch für das iPhone und das iPad verfügbar. Wer ihn nutzen möchte, um auch auf dem iPhone/iPad anonym zu surfen, muss sich allerdings auf längere Ladezeiten einlassen.

Mehrere nicht ordnungsgemäß entsorgte Router der Wüstenrot & Württembergische AG haben dafür gesorgt, dass das Firmennetz des Konzerns den neuen Besitzern praktisch offen stand. Zum Glück für das Unternehmen gerieten die Geräte nicht in falsche Hände, die Sicherheitslücke war enorm.

Sichere Entsorgung oder Extra-Gewinn?

In vielen Unternehmen wird ausgemusterte Hardeware nicht fachgerecht und sicher entsorgt, sondern an Zwischenhändler oder über eBay verkauft. Dort findet man nicht nur Router und Firewalls, sondern auch mobile Endgeräte wie Handys oder Notebooks aus Unternehmensbesitz.

Bei diesen Geräten ist den meisten Verantwortlichen zumindest klar, dass vorhandene Daten gelöscht werden müssen. Anders sieht es meist bei den Festplatten der Multifunktionskopierer aus. Hier wissen nur die wenigsten IT-Mitarbeiter, dass überhaupt Daten dauerhaft gespeichert werden.

Aktueller Fall: Sicherheit zum Schleuderpreis

Nach dem Kauf einiger Router mit umfangreichem Leistungsangebot, unter anderem Firewall- und VPN-Funktionen, stellte der Käufer fest, dass die Software der Geräte nicht auf die Standard-Konfiguration zurück gesetzt war und auch ein Einloggen nicht möglich war. Wie die Zeitschrift iX berichtet, war es aufgrund einer Fehlkonfiguration sogar möglich, den VPN-Zugang zum Firmennetz nutzen und das Passwort auszulesen:

„Der VPN-Zugang hätte sich dafür missbrauchen lassen, nach unsicheren Systemen im Intranet zu suchen, die interne Daten preisgeben oder auf denen sich Hintertüren oder Schadprogramme installieren lassen.“

Nach Aussage des Unternehmens waren die Geräte nach einem Upgrade an den Lieferanten zurück gegangen. Wie sie am Ende bei eBay landeten, konnte bislang nicht geklärt werden. Beachtlich ist allerdings die Relation von Gefahr und Gewinn: Für nur 19,99 Euro stand dem Käufer das ganze Unternehmensnetzwerk offen.

Versteckte Gefahren in Multifunktionsgeräten

Dass es ein Fehler war, in diesem Fall die Geräte nicht auf die Standardkonfiguration zurück zu setzen, leuchtet jedem ein. Auch dass personenbezogene Daten und wichtige Betriebsgeheimnisse vor einem Verkauf von Festplatten oder Notebooks gelöscht werden sollten, ist in den Unternehmen bekannt.

Neben diesen offensichtlichen Gefahren lauert jedoch in den allgegenwärtigen Multifunktionsgeräten noch eine versteckte Gefahr. Um mehrere Kopien anfertigen zu können oder die immer komplexeren Druckaufträge abzuarbeiten, verfügen moderne Kopierer über einen großen internen Speicher.

Oftmals werden die dort gespeicherten Daten nicht nach einem Kopier- oder Druckauftrag gelöscht, sondern die Festplatte wird erst dann überschrieben, wenn kein Speicher mehr zur Verfügung steht. Bis dahin lassen sich die Daten mit einfachen Mitteln auslesen. Geht das Gerät nach Ende des üblichen Leasingvertrages zurück an den IT-Dienstleister, ist das Datenleck vorprogrammiert.

Verschlüsselung und sicheres Löschen gegen Aufpreis

Einige Hersteller dieser Geräte sind inzwischen dazu übergegangen, die gespeicherten Daten zu verschlüsseln. Welche Verschlüsselung verwendet wird und ob der jeweilige Hersteller dieses Verfahren anbietet, sollte vor der Nutzung geklärt werden.

Für die endgültige Löschung der Daten bieten viele Hersteller kostenpflichtige Softwarepakete an, so dass die Daten sicher entsorgt werden können. Voraussetzung ist jedoch, dass die Existenz des internen Speichers in der IT-Abteilung des Unternehmens überhaupt bekannt ist.

Empfehlungen für Multifunktionsgeräte

• Während des Betriebes sicher stellen, dass die Daten verschlüsselt gespeichert werden.
• Bereits im Leasingvertrag vereinbaren, dass die Festplatte des Gerätes zum Ablauf der Vertragslaufzeit im Unternehmen verbleibt.
• Die nicht mehr benötigte Festplatte zur sicheren Entsorgung an einen vertrauenswürdigen Dienstleister übergeben.

Unternehmen sammeln Daten ihrer Kunden. Manchmal werden diese Informationen standardmäßig erhoben und gespeichert, ohne dass sich überhaupt jemand über den Zweck Gedanken gemacht hat.

Der Wert der Daten wurde zwar irgendwie erkannt, aber wie eine vernünftige Nutzung dann aussehen soll, war vor fünf Jahren eben noch keinem Marketingmitarbeiter im Unternehmen so richtig klar.

Viele Unternehmen hocken daher auf kostbaren Kundendaten und zerbrechen sich heute den Kopf darüber, ob sie diese zu Werbezwecken überhaupt nutzen dürfen oder wie zukünftig im Unternehmen Daten gesammelt werden, um sich möglichst viele Nutzungsmöglichkeiten offen zu halten.

Altdaten

Bei sogenannten Altdaten ist zu beachten, dass die Betroffenen häufig bei der Erhebung der Daten nicht über den Zweck informiert wurden. Regelmäßig stand dieser ja auch noch gar nicht fest. Diese Hürde lässt sich unter Umständen noch nehmen, wenn man eine nachträgliche Zweckänderung im Einzelfall für zulässig erachten kann. Die Verarbeitung und Nutzung für Werbezwecke setzt außerdem voraus, dass die Betroffenen über ihr Widerrufsrecht informiert wurden. Teilweise setzt das Gesetz sogar voraus, dass dies bereits bei Begründung des Rechtsverhältnisses hätte geschehen müssen. Dafür ist es in der Regel jetzt zu spät, so dass eine Nutzung der Daten schon schwieriger wird.

Wer sich beeilt kann hier jedoch noch eine Übergangsfrist mitnehmen. Bis zum 31.08.2012 können Daten, die vor dem 01.09.2009 erhoben und gespeichert worden sind für Werbezwecke genutzt werden – für diese Daten reicht es aus, dass der Betroffene erst bei der Werbeansprache über sein Widerrufsrecht informiert werden muss.

Für die Nutzung jüngerer Daten sollte im Einzelfall juristische Beratung eingeholt werden, um keine datenschutzrechlichen oder wettbewerbsrechtlichen Verstöße zu risikieren.

Neue Datenerhebungen

Wer seine Datenerhebungsprozesse ab jetzt rechts und -marketinggerecht umstellen will, der sollte einige Grundsätze beachten.

Werden die Daten beim Betroffenen selbst erhoben, beispielsweise beim Kauf eines Produktes, dann sollte dieser über den Zweck einer möglichen Werbeverwendung informiert werden. Um auf Nummer sicher zu gehen, sollte sich dieser Zweckinformation eine weitere Information über ein Widerrufsrecht bezüglich der Werbung anschließen. Auch wenn dies nicht in jedem Fall rechtlich bereits zu diesem Zeitpunkt erforderlich ist, bietet sich dieser Schritt jedoch aus praktischen Gründen durchaus an. Darüber hinaus ist eine schriftliche Information aus Beweisgründen zu empfehlen.

Voraussetzungen variieren je nach Werbeansprache

Ob sich das Unternehmen bei Erhebung der Daten zusätzlich ein schriftliche Einwilligung des Kunden unterschreiben lassen sollte, hängt davon ab, in welcher Weise die spätere Werbung erfolgen soll. Für Telefonanrufe und E-Mails muss aus wettbewerbsrechtlichen Gründen grundsätzlich eine Einwilligung vorliegen. Im Internet wird hier mindestens eine Double-Opt-In Lösung verlangt – im klassischen Einzelhandeln ist die Unterschrift unumgänglich.

Bei E-Mails gibt es noch eine Ausnahme: Wenn die Daten bei Verkauf einer eigenen Ware oder Dienstleitung erhoben wurden, die Werbung für eine ähnliche Ware oder Dienstleistung verschickt wird und der Kunde trotz Belehrung nicht widersprochen hat, ist eine Einwilligung nicht notwenig. Dabei ist allerdings Vorsicht geboten, denn aus wettbewerbsrechtlicher Sicht ist der Begriff der ähnlichen Waren eher eng zu verstehen. Wer eine Waschmaschine verkauft, kann die dabei erhobenen Daten beispielsweise nicht für Werbung für Fernseher verwenden.

Wer Postwerbung plant, hat es etwas leichter. Denn eine Einwilligung ist aus wettbewerbsrechtlicher Sicht nicht erforderlich. Die Werbung per Post wird vom Gesetzgeber als weniger störend empfunden.

Fazit:

Ob alte oder neue Daten. Werbung lässt sich rechtskonform gestalten, wenn man weiß worauf zu achten ist. Die genannten Grundzüge ersetzen aber keine Beratung im Einzelfall. Dies gilt vor allem, wenn es zusätzlich um die Zusammenführung und Auswertung der Kundendaten geht…

Noch immer ist es in der Praxis üblich, dass ein Mitarbeiter bei seiner Einstellung in einem neuen Unternehmen einen Fragebogen über seiner Person ausfüllen muss.

In diesem Beitrag wird es darum gehen, welche Fragen dürfen im Rahmen eines firmeninternen Personalbogens gestellt werden und welche nicht.

Fragerecht des Arbeitgebers

Das Fragerecht des Arbeitgebers ist durch die Rechtsprechung auf einen Bereich „zulässiger Fragen“ eingeschränkt worden. Dabei werden der Inhalt und der Umfang der Auskunftspflicht maßgeblich von der Art der Tätigkeit und den Einwirkungsmöglichkeiten des Arbeitnehmers bestimmt.

Der Arbeitgeber muss also ein berechtigtes, billigenswertes und schutzwürdiges Interesse an der Beantwortung seiner Fragen haben. Dies sollte nur dann der Fall sein, wenn die Datenerhebung durch den Arbeitgeber für das Beschäftigungsverhältnis erforderlich ist. Dieses Interesse muss weiter objektiv so stark sein, dass dahinter das Interesse des Arbeitnehmers am Schutz seines Persönlichkeitsrechts zurücktreten muss.

Geburtsort und Staatsangehörigkeit

Die Angabe des Geburtsortes des Mitarbeiters enthält keine Aussage über eine fachliche Eignung und ist deswegen grundsätzlich unzulässig.

Die Frage nach der Staatsangehörigkeit kann im Hinblick auf das AGG problematisch sein, da die ethnische Herkunft nach § 1 AGG ein Diskriminierungsmerkmal ist.

Um aber zu wissen, ob ein Bewerber bzw. Mitarbeiter eine EU-Arbeitserlaubnis braucht (um ggf. das Antrags-Verfahren bei der Behörde schon im Vorfeld einzuleiten), muss entweder die Frage nach der Staatsangehörigkeit oder dann nach einer EU-Arbeitserlaubnis gestellt werden dürfen.

Sinnvoller scheint es, die Frage nach einer EU-Arbeitserlaubnis zu stellen. Damit wird zum einen ein Konflikt mit dem AGG vermieden und zum anderen festgestellt, ob der Mitarbeiter eine Arbeitserlaubnis für die Ausübung der Tätigkeit bedarf. Dies ist grundsätzlich nur in den Fällen erforderlich, wenn der Mitarbeiter nicht aus einem EU-Mitgliedstaat kommt (bis 31.12.2013 gilt dies auch für neue EU-Mitgliedstaaten Bulgarien und Rumänien). Eine Frage nach der Staatsangehörigkeit erübrigt sich.

Kinder

Die Angaben über die Kinder haben für die Personalverwaltung insoweit eine Bedeutung, wenn sie zur Berechnung von Leistungen des Arbeitgebers (z.B. Familienzuschlag) oder bei Auswahlentscheidungen für eine Versetzung bzw. für die soziale Auswahl nach § 1 Abs. 3 KSchG benötigt wird.

Geschlecht

Grundsätzlich hat das Geschlecht des Mitarbeiters für die Beschäftigung keine Bedeutung. Andererseits kann das Geschlecht aber wichtig sein, um Maßnahmen zur Förderung der Frau im Arbeitsleben durchführen zu können.

Frage über den Leistungsbezug vom Arbeitsamt

Die Angabe, ob der Angestellte in den letzten 12 Monaten Leistungen vom Arbeitsamt oder Sozialamt bezogen hat, darf auf die Ausübung der Tätigkeit keinen Bezug nehmen. Der Arbeitgeber ist nur berechtigt zu fragen, ob der Arbeitnehmer zusätzliche Tätigkeiten neben der Haupttätigkeit ausübt.

Schwerbehinderung

Wenn sich die Behinderung auf die Ausübung der Tätigkeit am Arbeitsplatz auswirkt, soll diese Frage zulässig sein.

Bisheriger Gehalt und Gehalt einer Nebenbeschäftigung

Zulässig ist die Frage nach der bisherigen Verdiensthöhe nur dann, wenn das zuletzt bezogene Gehalt für die Besetzung der Stelle relevant ist bzw. weil es Hinweise auf die Qualifikation des Bewerbers zulässt oder der Bewerber dieses von sich aus thematisiert.

Die Frage nach einer Nebenbeschäftigung ist zulässig, jedoch nicht die Frage nach dem Entgelt. Für den Arbeitgeber ist es nicht erforderlich zu wissen, welche weitere Einkommen der Arbeitnehmer hat. Für ihn ist nur von Bedeutung, dass er Arbeitnehmer in der Lage ist, seine Tätigkeit ordnungsgemäß und ungestört auszuüben.

Krankheiten

Der Arbeitgeber kann ein Interesse daran haben, schwere Krankheiten und Gesundheitsschädigungen des Mitarbeiters zu kennen, wenn diese geeignet sind, seine Arbeitsleistung wesentlich zu beeinträchtigen.

Die Frage nach einer HIV-Infizierung darf nur dann gestellt werden, wenn auf dem Arbeitsplatz eine Ansteckungsgefahr für Dritten besteht. Dies ist z.B. bei den Ärzten und Krankenschwerestern der Fall.

Das allgemeinen Gleichbehandlungsgesetz (AGG) ist in den vergangenen Jahren bereits als Grundlage für gerichtliche Auseinandersetzungen herangezogen worden. Wer sich im Bewerbungsprozess diskrimiert fühlt, kann nach dem AGG (umgesetzt wurden mehrere europäische Richtlinien) klagen.

Ausgangslage

Das Urteil des Europäischen Gerichtshofes vom 19. April hatte den Sachverhalt zugrunde, dass eine Ingenieurin russischer Herkunft, die sich im Alter von 45 Jahren auf eine Stelle als Softwareentwicklerin beworben hatte, nicht zu einem Vorstellungsgespräch eingeladen wurde. Als die Stellenanzeige nach der Absage noch ein zweites Mal erschien, forderte sie Schadensersatz, weil sie wegen ihres Geschlechts, ihres Alters und ihrer ethnischen Herkunft benachteiligt worden sei.

Außerdem verlangte sie die Vorlage der Bewerbungsunterlagen des eingestellten Konkurrenten, um ihre vermeintlich bessere Qualifikation nachweisen zu können. In den ersten beiden Instanzen hatte die Frau verloren; das nunmehr angerufene Bundesarbeitsgericht legte dem EuGH dann die Frage (…)  vor, ob der Arbeitgeber darüber Auskunft erteilen muss.

Ergebnis

Im Ergebnis kommt das Gericht dazu, im Regelfall die Auskunftsverplichtung zu verneinen – also ob der Arbeitgeber am Ende des Einstellungsverfahren einen anderen Bewerber eingestellt hat und auf Grundlage welcher Kriterien.

Im zu entscheidenden Fall hatte der Arbeitgeber aber jedwede Auskunft verweigert. Hierin sah das Gericht einen möglichen Anhaltspunkt, der im Rahmen des Nachweises von Tatsachen, die das Vorliegen einer unmittelbaren oder mittelbaren Diskriminierung vermuten lassen, heranzuziehen ist. Die EU-Richter werteten es überdies als Verdachtsmoment, dass die Bewerberin nicht zum Vorstellungsgespräch eingeladen worden war, obwohl sie die geforderte Qualifikation erfülle.

Ausblick

Der Fall ist an das BAG zurückverwiesen worden, dessen Entscheidung also noch aussteht. Dennoch hat das Urteil für die Unternehmen erste Konsequenzen, denn eine neutrale, nichtssagende Absage könnte als “zu wenig Information” ausgelegt werden, was dann zu einer Umkehrung der Beweislast führen könnte.

Das Urteil ist aus Datenschutzsicht durchaus relevant, denn die personenbezogenen Daten des Konkurrenz-Bewerbers sind natürlich geschützt und dürfen nicht an Dritte herausgegeben werden. Wie die Unternehmen das Urteil umsetzen sollen, bleibt alsweilen offen.

Es wird viel über Plug-Ins, Buttons & Icons geredet - über Chancen fürs Marketing und Risiken für den Datenschutz. Aber was steckt eigentlich hinter den externen Inhalten bekannter Internetunternehmen, die per iframe auf vielen Webseiten eingebunden werden? Wir versuchen einmal einen Blick hinter die Kulissen zu werfen.

Zauberwort: I(nline)frame

Das Einbinden fremden Contents kann über sogenannte Inlineframes (iframe) realisiert werden. Dabei handelt es sich grundsätzlich um Gestaltungsmittel für Websites auf HTML Basis. Einfach gesprochen lassen sich über iframes auf einer bestimmten Website kleine Fenster anzeigen, in denen eine ganz andere Website angezeigt wird.

Man könnte laienhaft sagen, es wird ein eigener Internetbrowser auf einer Website eingebaut, den der Besucher selbst nicht steuern kann, sondern der vom Betreiber der besuchten Website seine Befehle bekommt. Dort können Werbung, Bilder oder Symbole angezeigt werden, ohne dass dem Websitebesucher klar wird, dass er eigentlich gerade mehrere Websites parallel anschaut. Die überwiegende Anzahl von Seiten mit Social Media PlugIns arbeitet so. Beim Besuch von Websiten mit Facebook, Google+ und Twitter PlugIns sieht der Besucher also immer ein Zusammenspiel von mehreren Websites. Dies gilt auch bei der Einbindung von Videos über Youtube.

Der Vollständigkeit halber sei darauf hingewiesen, dass Facebook neben der iframe-Version mittlerweile auch eine XFBML-Version anbietet, die etwas anders arbeitet. Viele Seite binden jedoch den like-Button noch über einen iframe ein.

Was kann der iframe?

Die Nutzung eines iframes bringt einige Vorteile mit sich. Externe Inhalte können die eigene Webseite bereichern. Außerdem braucht der Websiteanbieter unter anderem weniger Speicherplatz für eigene Inhalte und die Seite kann schneller laden, ohne dass auf den Frame gewartet werden muss.

Aus datenschutzrechtlicher Sicht ist allerdings entscheidend, ob die eingebundene kleine fremde Seite in der Lage ist, Informationen zu sammeln und weiterzugeben.

Technisch gesehen ist dies möglich: Daten, die beim Besuch einer Website mit einem Inlineframe an die Quelle des Frameinhaltes weitergegeben werden können, sind zum Beispiel die IP-Adresse des Websitebesuchers, die URL der Zielseite oder die Uhrzeit. So hat beispielsweise Facebook eingeräumt, dass selbst bei Nutzern, die noch nie die Seite www.facebook.com angesteuert haben, die IP-Adresse bei Besuch einer mit dem like-Button geframten Seite übertragen wird.

Cookies auslesen

Darüber hinaus können über den in einem Inlineframe abgebildeten Inhalt hinaus auch die Informationen eines bereits zuvor gesetzten Cookies ausgelesen werden.

Hat ein User also beispielsweise www.youtube.com besucht und wurde dort auf seinem Rechner ein Cookie gesetzt – dies ist regelmäßig der Fall -, dann kann YouTube bei Besuch einer Website, die Youtube-Inhalte über einen iframe einbettet, die Informationen des Cookies abrufen.

Wichtig zu wissen ist dabei, dass es dazu nicht des Abspielen des Videos per Klick bedarf. Alleine die im iframe laufende “Website” ist in der Lage den Cookie auszulesen.

Fazit

Die iframe-Technik ermöglicht es Daten über den Nutzer relativ einfach einzusammeln. Ob mit Cookie oder ohne Cookie – je nach technischer Versiertheit des Programmierers können ähnlich viele Daten erhoben und verwendet werden, wie dies bei Besuch einer Website möglich ist.

Das Problem ist wie immer, ob es sich dabei um personenbezogenen Daten handelt, wer die Daten bekommt und was damit passiert. Dies steht allerdings auf einem anderen Blatt…

Das Thema Vorratsdatenspeicherung ist dieser Tage in zweierlei Hinsicht thematisiert worden: Zum einen aufgrund eines Urteils des EuGH, der zur Richtlinie über die Vorratsdatenspeicherung hinsichtlich der Durchsetzung von Urheberrechten Stellung genommen hat. Zum anderen endet diesen Donnerstag die von der EU-Kommision gesetzte Frist für die Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung.

Das Urteil des EuGH: Vorratsdatenspeicherung gegen Filesharing?

Wie Netzpolitik.org berichtet, hat der EuGH am 19.04.2012 über die Frage geurteilt, ob es in der Richtlinie über die Vorratsdatenspeicherung eine Vorschrift gibt, die die Nutzung der Daten für die Identifizierung mutmaßlicher Urheberrechtsverletzer ausschließt – vorausgesetzt, es liegen klare Beweise vor und die Maßnahme ist verhältnismäßig.

Bisherige Praktiken fragwürdig

Gerade bei der Verhältnismäßigkeit setzt der EuGH in seinem Urteil an: Die Nutzung der gespeicherten Daten wird nämlich explizit nur für Einzelfälle erlaubt, bei denen die Nutzung dazu geeignet sein muss, die Untersuchung der Urheberrechtsverletzung zu erleichtern. Und dass dies gerade in Deutschland nicht immer so praktiziert wurde, sieht man schon daran, dass Provider eine erheblich Anzahl von IP-Adressen herausgeben müssen. Da ist es schon fraglich, ob die Verhältnismäßigkeit zuvor geprüft wurde…

Grundrechte müssen beachtet werden

Der EuGH sagt demnach: Vorratsdatenspeicherung ja, aber nur unter bestimmten Umständen. Zudem stellt der EuGH heraus, dass es essentiell wichtig ist, dass eine etwaige Regelung eines Mitgliedstaates zur Nutzung von Daten zur Identifizierung mutmaßlicher Urheberrechtsverletzer – dessen Einführung der EuGH zwar generell erlaubt – im Einklang mit den Grundrechten der Bürger steht.

Frist für Deutschland: nur noch wenige Tage…

Und auch auf anderer Ebene ist die Vorratsdatenspeicherung aktuell: Am Donnerstag dieser Woche endet die von der EU-Kommission Deutschland gesetzte Frist – wenn bis dahin nichts geschieht, drohen Deutschland Strafzahlungen.

Wie der focus berichtet, will Angela Merkel noch in dieser Woche eine Neuregelung vorlegen. Angeblich wolle man zunächst auf eine Regelung zur Vorratsdatenspeicherung verzichten. Denn in kaum einem anderen Thema ist sich die Koalition so uneinig wie bei der Vorratsdatenspeicherung: Innenminister Friedrich (CSU) ist ein Befürworter, Justizministerin Leutheusser-Schnarrenberger (FDP) will nur bei konkreten Anlässen eine Speicherung zulassen. Und eine Einigung ist nicht absehbar…

Fazit: Viele Fragen, wenig Antworten

Das Thema Vorratsdatenspeicherung bleibt ein schwieriges: Immer noch stehen die Argumente von denjenigen, die die Speicherung für die Bekämpfung von Straftaten als erforderlich ansehen, gegen diejenigen, die damit einen erheblichen Eingriff in Grundrechte sehen. Insofern wird in Deutschland auch seit Jahren kein Konsens erzielt.

Auch das Urteil des EuGH lässt vieles offen: Denn die Verhältnismäßigkeit der Vorratsdatenspeicherung an sich ist immer noch nicht geklärt…

Bereits mehrfach haben wir in unserem Blog über unerwünschte Telefonanrufe von zumeist zwielichtigen Unternehmen wie Datenschutzzentrale oder Datenlöschzentrale berichtet. Einen Kommentar unseres Lesers „satireorakel“ zum Artikel „Achtung, Achtung, hier spricht die Datenschutzzentrale!“ haben wir zum Anlass genommen, uns noch einmal vertieft mit den Abwehrmöglichkeiten gegen dubiose Abzocke-Anrufe zu befassen.

Keine Chance gegen ungebetene Anrufe?

Vielfach kapitulieren Verbraucher vor der Macht der unerkannten Telefonterroristen. Die Firmen verschleiern ihre Identität, wechseln in kurzen Abständen die angezeigten Rufnummern und verstecken sich hinter Briefkastenfirmen in fernen Ländern.

Ist man also machtlos? Lässt sich dem Treiben nicht irgendwie Einhalt gebieten?

Vorbeugung ist der beste Weg

In aller Regel wird man kontaktiert, weil die Betrüger auf irgendeinem Weg an die Verbraucherdaten gekommen sind. Gewinnspiele sind ein heißer Kandidat für die Adressgenerierung. Wer also immer und überall seinen Namen, seine Anschrift und seine Telefonnummer für die vage Aussicht auf einen Gewinn angibt, muss sich nicht wundern, wenn er Ziel der Telefon-Mafia wird.

„frank-geht-ran.de“

Eine gute Alternative stellen Dienste wie „frank-geht-ran.de“ dar, die kostenlos eine Rufnummer anbieten, die dem Werbe-Anrufer per Bandansage antwortet. Diese Rufnummer kann man immer angeben, wenn in einem Formular eine Rufnummer abgefragt wird. „Frank“ antwortet freundlich aber bestimmt auf jeden Anruf und nimmt dem Verbraucher so die nervigen Werbeanrufe ab.

Die Robinsonliste

Hilfe kann auch ein vorbeugender Eintrag in die Robinsonliste bieten. In der Robinsonliste werden Daten von Verbrauchern gesammelt, die generell keine Werbung erhalten möchten. Zumindest seriöse Unternehmen gleichen ihre Werbelisten vor der Marketingaktion mit dieser Liste ab.

Wenn das Kind in den Brunnen gefallen ist…

Erhält man bereits unerwünschte Anrufe, gibt es trotzdem einige Wege, um die Anrufzahl zu reduzieren.

Sperrung der Anrufer

Viele Telefonanlagen und Router bieten die Möglichkeit, bestimmte Rufnummern zu sperren und die eingehenden Anrufe nicht durchzustellen. Auch viele Telefon-Provider bieten Sperrmöglichkeiten an.

Eine interessante Möglichkeit, vor allem für ältere Menschen, stellt das „Sicherheitspaket Plus“ der Telekom dar, bei denen z.B. über eine Whitelist nur noch bekannte Rufnummern durchgestellt werden.

Für Mobilfunkanschlüsse bietet sich eine Software wie „Call Blocker“ an, die ungebetene Anrufer automatisch abweist.

Bei den häufig wechselnden Nummern der Anrufer helfen dieses Mittel allerdings nur begrenzt. Auch setzen sie voraus, dass tatsächlich die richtige Rufnummer angezeigt wird, was nicht immer der Fall ist.

Bundesnetzagentur und Verbraucherzentralen

Verstöße mit Rufnummern kann man auch über die Internetseite der Bundesnetzagentur melden, hier finden sich Formulare für verschiedene Bereiche. Auch ein Hinweis an die Verbraucherzentralen kann weiterhelfen.

• Bundesnetzagentur verfolgt Rufnummernmissbrauch und unerlaubte Telefonwerbung

Auf die harte Tour

Wenn das alles nicht hilft, bleibt nur noch die radikale Variante. Unser Leser „satireorakel“ schlägt hierfür unter anderem folgendes Vorgehen vor:

 „Es ist ebenso sehr wirkungsvoll, wenn man mit den Telefonterroristen einige Zeit ganz leise spricht und wenn sie dann den Kopfhörer lauter gedreht haben, mit einer Trillerpfeife das Gespräch weiter zu führen.”

Und als Tipp für die Umsetzung:

„Es sollte aber eine Triller-Pfeife mit Trillerkügelchen sein, weil der Effekt im Telefon technisch bedingt stärker wirkt.“

Ob man wirklich zu solchen Mitteln greifen muss, sei mal dahingestellt.

Vielleicht sollte man besser auf den Rat der Verbraucherzentralen hören und jedes Gespräch bereits direkt zu Beginn durch Auflegen beenden. Auch die Kriminalpolizei rät, sich auf gar kein Gespräch einzulassen und auf keinen Fall freundlich in eine Argumentation einzusteigen.

Fazit

Datenvermeidung ist wieder einmal das Stichwort: Wer so wenig wie möglich von seinen persönlichen Daten offenbart, vergrößert seine Chance, nicht von Werbeanrufen belästigt zu werden.

Das so genannte Fluggastdaten-Abkommen steht schon seit einiger Zeit im Fokus der europäischen Datenschützer. Auch wir berichteten hierüber mehrfach.

Das EU-Parlament hat sich jetzt mit recht deutlicher Mehrheit für das umstrittene Abkommen zum Transfer von Flugpassagierdaten ausgesprochen. Wie unter anderem golem meldet, stimmten 406 Abgeordnete für das Abkommen, 226 votierten dagegen und 33 enthielten sich.

Verdachts- und anlasslose Datenspeicherung

Fluggesellschaften werden durch das Abkommen verpflichtet, etliche Angaben über Passagiere an Behörden weiterzugeben. Zu den erfassten Daten gehören unter anderem der Name, Anschrift, Telefonnummer, E-Mail-Adresse, Kreditkartennummer, aber auch Serviceleistungen an Board oder Buchungen für Hotels und Mietwagen. Die Daten werden vorsorglich zum Zwecke der Terrorismusbekämpfung erhoben und vorgehalten. In starke Kritik geraten ist das Abkommen außerdem wegen der Dauer der Aufbewahrung der Daten. Erst nach Ablauf von ganzen 15 Jahren müssen die Daten anonymisiert werden.

… die Kritiker

Hierin sehen Gegner des Abkommens einen erheblichen Eingriff in die Grundrechte der betroffenen Passagiere. So etwa die Initiative NoPNR, die sich zur Abstimmung wie folgt äußert:

Mit der Entscheidung werden Bürgerrechte mit Füßen getreten. Das Fluggastdatenabkommen mit den USA widerspricht der Charta der Grundrechte sowie der Europäischen Menschrechtskonvention und dennoch hat sich das Parlament für die Überwachungsmaßnahme entschieden.

… die Befürworter

Befürworter bringen dagegen das Argument der Rechtssicherheit und -klarheit vor. So der CSU-Abgeordnete Manfred Weber in diesem Zusammenhang:

Wenn jemand in die Vereinigten Staaten reist, dann werden die Daten übermittelt. Und die EU-Kommission hat künftig das Recht, in Amerika nachzuschauen, was sie mit unseren Daten machen und ob sie auch die Spielregeln, die wir vereinbart haben, einhalten.

Datenschutz vs. Sicherheit

Immerhin: Den Befürwortern ist zuzugestehen, dass die durch das Abkommen festgelegten Befugnisse datenschutzrechtlich gesehen für mehr Transparenz sorgen. Die Abstimmungsentscheidung zeigt aber im Ergebnis deutlich: Die Belange der Sicherheit und der Terrorismusbekämpfung haben sich in diesem Fall klar gegenüber denen des Datenschutzes durchgesetzt. Doch wo wird hier künftig in ähnlich gelagerten Sachverhalten die Grenze zu ziehen sein? Dies sollte kritisch beobachtet werden.

Es gibt Auszeichnungen, über die man sich freut und dann gibt es Auszeichnungen, die eigentlich gar keine sind und die man im Zweifelsfall besser auch gar nicht erst haben möchte.

Was in Hollywood der Golden Raspberry Award (goldene Himbeere) als Negativauszeichnung für Schauspieler ist, ist in Deutschland auf dem Gebiet des Datenschutzes, in Anlehnung an George Orwells Roman, der Big Brother Award.

Glückwunsch!

So oder so ähnlich muss es auch der Firma Bofrost am Ende der letzten Woche ergangenen sein, welche nicht nur Himbeeren im Produktsortiment, sondern jetzt auch den beliebten Datenschutzpreis verliehen bekommen hat. Da sagen wir doch glatt: Glückwunsch!

Doch kam diese Auszeichnung auch nicht von ungefähr, denn augenscheinlich hatte sich die Firma Bofrost auch ganz gehörig angestrengt. Ob dies allerdings mit der begehrten Preisverleihung zusammenhing, ist unklar. Grund hierfür war, dass der Arbeitgeber versuchte, Dateien des Betriebsrats, die er bereits eingesehen hatte, auszuwerten und zu verwerten.

Auf der Suche nach Verfehlungen

Hintergrund dieses Versuchs war der Vorwurf des Arbeitgebers, dass ein Betriebsratsmitglied diese Datei erstellt, verfasst und damit einen Arbeitszeitbetrug begangen habe, da er sich als nicht freigestelltes Betriebsratsmitglied für die fragliche Zeit nicht ausgestempelt habe. Letztlich versuchte der Arbeitgeber sein Ansinnen vor dem Arbeitsgericht durchzusetzen und bekam eine eindeutige Absage erteilt (ArbG Wesel, Beschluss vom 19.09.2011, Az.: 5 BV 14/11).

Das Spannende daran: Unklar war, wie der Arbeitgeber überhaupt an die Daten gelangt war. Die Stimmung zwischen den Betriebsparteien war im Hause Bofrost also vermutlich ungefähr so frostig wie das eigene Produktsortiment.

Nicht überraschend daher der Versuch des Arbeitgebers, sein Ansinnen in der nächsten Instanz zu verwirklichen. Aber auch der Betriebsrat versuchte nun herauszufinden, wie der Arbeitgeber überhaupt an seine Daten gelangt war und beantragte Einsicht in Protokolldateien für Zugriffe auf das Betriebsratslaufwerk. Beide Begehren wurden jedoch vom Landesarbeitsgericht abgelehnt (Landesarbeitsgericht Düsseldorf, Beschlüsse vom 07.03.2012 Az.: 4 TaBV 87/11 und 11/12).

Der Antrag des Betriebsrats wurde mit der Begründung abgelehnt, dass dem Betriebsrat seinerseits das Rechtsschutzinteresse fehle, um vom Arbeitgeber die Protokolldateien zu verlangen. Der Betriebsrat wisse vielmehr, dass es bei seinem Laufwerk eine „undichte Stelle“ gebe. Es obliege daher dem Betriebsrat, in eigener Verantwortung eine solche zu schließen.

Die Verschlüsselung der entsprechenden Betriebsratslaufwerke wäre daher eine Möglichkeit zum Eigenschutz gewesen.

Auskunft, Auskunft, Auskunft!

Diese Argumentation dürfte im Hinblick auf den Betriebsrat zumindest nicht ganz falsch sein, ist es doch Aufgabe des Betriebsrats,  das allgemeine Persönlichkeitsrecht zu schützen (§ 75 Abs. 2 BetrVG) und darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze (also auch das Datenschutzrecht) beachtet werden (§ 80 Abs. 1 Nr. 1 BetrVG). Da auch Betriebsräte Teil der Belegschaft sind, gilt dies natürlich auch zu eigenen Gunsten.

Anders dürfte die Rechtslage allerdings aussehen, wenn der Betriebsrat ein Auskunftsverlangen nicht kollektiv in seiner Eigenschaft als Betriebsrat, sondern als individuell Betroffener i.S.d. BDSG geltend gemacht hätte. Denn gem. § 34 BDSG hat die verantwortliche Stelle

… dem Betroffenen auf Verlangen Auskunft zu erteilen über

1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
3. den Zweck der Speicherung.

Eine Falschauskunft kann mit einem Bußgeld von bis zu 50.000,- EUR geahndet werden (§ 43 Abs. 1 Nr. 8a i.V.m Abs. 3 BDSG).

Ohne Betriebsvereinbarung geht (fast) nix

Der Einsatz technischer Überwachungsmaßnahmen bedarf zudem ohnehin zwingend einer Zustimmung des Betriebsrats (§ 87 Abs. 1 Nr. 6 BetrVG). Nach der vom Bundesarbeitsgericht aufgestellten Theorie der Wirksamkeitsvoraussetzung ist die tatsächlich durchgeführte Mitbestimmung  Wirksamkeitsvoraussetzung für Maßnahmen zum Nachteil des Arbeitnehmers (siehe z.B. BAG, Urteil vom 17.5.2011, Az.: 9 AZR 201/10).

Maßnahmen zum Nachteil der Arbeitnehmer sind danach solche, die bereits bestehende Rechtspositionen der Arbeitnehmer (hierzu gehört auch das Recht auf informationelle Selbstbestimmung) beeinträchtigen. Das bedeutet, dass entsprechende Eingriffe ohne Vorliegen einer zwingenden schriftlichen Betriebsvereinbarung letztlich auch datenschutzrechtlich unzulässig sind und auch nicht durch individuelle Gestaltungen (z.B. Einwilligungen) zu Lasten von Arbeitnehmern umgangen werden können.

Arbeitnehmerdatenschutz

Zudem ist zu bedenken, dass § 32 Abs. 1 Satz 2 BDSG die Erhebung, Verarbeitung und Nutzung von Mitarbeiterdaten zu Strafverfolgungszwecken ohnehin nur unter bestimmten Voraussetzungen zulässt.

Liegen diese Voraussetzungen nicht vor und werden trotzdem entsprechende Daten verwendet, so begeht der Arbeitgeber eine Ordnungswidrigkeit, welche mit einem Bußgeld von bis zu 300.000,- EUR geahndet werden kann (§ 43 Abs. 2 Nr. 2 i.V.m Abs. 3 BDSG).

Ohnehin sind Mitglieder des Betriebsrats von ihrer beruflichen Tätigkeit ohne Minderung des Arbeitsentgelts zu befreien, wenn und soweit es nach Umfang und Art des Betriebs zur ordnungsgemäßen Durchführung ihrer Aufgaben erforderlich ist (§ 37 Abs. 2 BetrVG).

Auch wenn er sich also zur Wahrnehmung seiner Betriebsratstätigkeit ausgestempelt hätte, so hätte der Arbeitgeber den Betriebsrat daher bezahlen müssen. Insoweit hätte der Betriebsrat lediglich Ort und voraussichtliche Dauer der beabsichtigten Betriebsratstätigkeit darlegen müssen (BAG, Urteil vom 5.03.1995, Az.: 7 AZR 643/94), weshalb ein Arbeitszeitbetrug mangels Vermögensschaden ohnehin eher fraglich erscheint.

Daher verwundert es letztlich nicht, dass beide Seiten das Urteil des Landesarbeitsgerichts am Ende akzeptiert haben. Denn wer will schon als verantwortlich handelnder Betriebsrat oder Geschäftsführer sein eigenes Unternehmen schädigen?!

Jemand der sich zwar nicht unbedingt mit Himbeeren, dafür aber mit dem Thema Datenschutz auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?