Speicherung von Mitarbeiterdaten zur Beweismittelsicherung

Freitag, 4. April 2014, 13:24 Uhr

Das VG Berlin hatte in dem Verfahren 1 K 220.12 in einem Streit zwischen einem Unternehmen und dem Berliner Datenschutzbeauftragten darüber zu entscheiden, ob die Speicherung von Mitarbeiterdaten eines Auftragnehmers zur Sicherung urheberrechtlicher Ansprüche des Unternehmens datenschutzkonform ist.

Mit Urteil vom 13.01.2014 (noch nicht online verfügbar) hat das VG Berlin die Rechtmäßigkeit erkannt.

Was war der Hintergrund?

Geklagt hatte ein Unternehmen, das Stadtpläne erstellt bzw. erwirbt, um diese im Internet zu veröffentlichen. Die Klägerin war Rechteinhaberin an diesen Stadtplänen. Mit der Überarbeitung dieser Karten hatte sie eine Agentur als Dienstleisterin beauftragt, deren Beschäftigte zustimmten, dass ihre personenbezogennen Daten wie z.B. Name, Werk, Datum und Uhrzeit im Rahmen der jeweiligen Überarbeitung gespeichert und an die Klägerin übermittelt wurden. Diese benötigte die betroffenen Daten, um im Fall gerichtlich verfolgter Urheberrechtsverletzungen Beweis über ihre Rechteinhaberschaft führen zu können.

Der Berliner Datenschutzbeauftragte sah hierin einen Eingriff in das Persönlichkeitsrecht der Beschäftigten und erließ eine entsprechende Löschungsanordnung gegen die Klägerin. Er argumentierte, dass die Speicherung der Namen der Mitabeiter nicht erforderlich sei, vielmehr genüge eine anonyme Speicherung, schließlich hätten die Beschäftigten bereits der Agentur die Nutzungsrechte übertragen, von welcher die Klägerin sie wiederum erwerbe. Zudem sei die Speicherung der betroffenen Daten im Hause der Klägerin nicht erforderlich. Die Daten wären stattdessen bei der Agentur aufzubewahren und könnten bei Bedarf der Klägerin zur Verfügung gestellt werden. Die Klägerin ist gegen die Löschungsanordnung gerichtlich vorgegangen.

Wie hat das Gericht entschieden?

Das VG Berlin hat dem Antrag des Unternehmens stattgegeben und die Löschungsanordnung des Berliner Datenschutzbeauftragten aufgehoben.

Das Gericht sah zwar die Speicherung der Daten bei der Klägerin ebenfalls als einen Eingriff in das Recht auf informationelle Selbstbestimmung, war jedoch zugleich der Auffassung, dass der Eingriff mit gem. § 28 Abs. 1 S. 1 nr. 2 BDSG gerechtfertigt sei, da das Interesse der Klägerin an der Beweismittelsicherung für den Fall eines etwaigen Prozesses überwiege.

Die Speicherung anonymisierter Daten stellte nach Auffassung des Gerichts auch kein milderes Mittel zu Wahrung der berechtigten Interessen der Klägerin dar. Denn die Speicherung personenbezogener Daten bei der Klägerin sei im vorliegenden Fall erforderlich im Sinne der Verhältnismäßigkeit, um die urheberrechtlichen Ansprüche zivilrechtlich geltend machen zu können, anonymisierte Zuordnungsnachweise wären bei der Beweisführung unzureichend.

Die Speicherung der Daten ausschließlich bei der Agentur stellte nach Ansicht des VG Berlin kein gleich geeignetes Mittel zur Wahrung der berechtigten Interessen, nämlich des lückenloses Nachweises der Rechteinhaberschaft dar. Die Daten könnten der Klägerin durch eine etwaige Insolvenz des Dienstleisters nicht mehr zur Verfügung stehen. Daher sei die Speicherung der Daten im Hause der Klägerin rechtmäßig.

Zur Interessenabwägung führte das Gericht aus:

Zwar wird durch die Speicherung der genannten Daten und ihrer Kundgabe im Rahmen gerichtlicher Verfahren in das Recht der informationellen Selbstbestimmung der Beschäftigten eingegriffen. Jedoch steht dem gegenüber, dass die Klägerin ihre durch Art. 14 GG geschützten Urheberrechte ohne diesen Eingriff nicht wahrnehmen und verteidigen könnte. Im Vergleich zu dieser erheblichen Rechtsbeeinträchtigung sind die von den Beschäftigten der M. erlittenen Rechtsverletzungen nur geringfügig und zumutbar. Die Preisgabe von Namen und der von ihnen durchgeführten Arbeitsschritte betrifft lediglich die Sozialsphäre der Betroffenen. Zudem ist nur ein überschaubarer Kreis von Personen betroffen und der Eingriff wird durch die o. g. konkrete Zweckbindung abgeschwächt. Die Daten werden auch nicht der allgemeinen Öffentlichkeit bekannt gemacht, sondern nur im Rahmen einzelner Gerichtsverhandlungen zum Beweis eines am Kartenmaterial konkret durchgeführten Bearbeitungsschrittes benutzt. Somit wird auch nur ein sehr umgrenzter Ausschnitt aus dem Leben der Betroffenen gespeichert und ggf. vor Gericht preisgegeben und keinesfalls ein Gesamtprofil der Arbeit erfasst.

Wie ist die Rechtslage aus Sicht des Dienstleisters?

Das VG Berlin ist auf die Einwilligungserklärungen der Mitarbeiter der Agentur hinsichtlich der Datenspeicherung bei der Klägerin nicht eingegangen, da es § 28 Abs. 1 S. 1 Nr. 2 BDSG hierfür als Rechtsgrundlage im Sinne des § 4 Abs. 1 BDSG gewerten hat.

Für die Erhebung der personenbezogenen Mitarbeiterdaten durch die Agentur stellt sich die Frage, ob diese nicht bereits auf  § 32 Abs. 1 BDSG und die Übermittlung der Daten ebenfalls auf § 28 Abs. 1 S. 1 Nr. 2 BDSG gestützt werden können. Denn die Einwilligung im Arbeitsverhältnis unterfällt hinsichtlich ihrere Wirksamkeit bekanntlich strengen Anforderungen, zu denen bereits die Art. 29-Datenschutzgruppe Stellung genommen hat. Zu bedenken ist auch, dass die Einwilligung jederzeit zumindest mit Wirkung für die Zukunft widerrufen werden kann.

 

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Oracles Java-Cloud-Plattform mit zahlreichen Sicherheitslücken

Donnerstag, 3. April 2014, 16:37 Uhr

Cloud-Systeme wie -Anwendungen stellen für sensible Daten durch ihren externen Standort ohnehin ein nicht zu verachtendes Sicherheitsrisiko dar, wir berichteten bereits mehrfach.

Wie heise security nun mitteilt, wartet die auf Java basierende Cloud von Oracle mit 30 Sicherheitslücken auf.

Polnischer Sicherheitsforscher findet Lücken

Aufmerksam gemacht auf die 30 Sicherheitslücken hat der polnische Sicherheitsforscher Adam Gowdiak. Diese hat er, so berichtet heise weiter, bereits Mitte Januar an Oracle mitgeteilt. Dort erwiderte man, dass ein genaues Patch-Datum bzw. ein Patch-Zeitraum nicht genannt werden könne, da man bei Oracle noch am Umgang mit Sicherheitslücken in der Cloud arbeite. Adam Gowdiak dauerte dies zu lang, so dass er sich kurzerhand dazu entschloss, die Sicherheitslücken offenzulegen und gleichzeitig einen entsprechenden Beispielcode beizulegen.

 Was genau ist betroffen?

Genau Informationen zu den Lücken können einer Presseinformation von security explorations entnommen werden. Mögliches Angriffszenario ist die Übernahme von Anwendungen durch die Lücken im WebLogic-Server und anderen Komponenten. Hierdurch kann einerseits die Sandbox umgangen werden, aber auch die Ausführung von Schadecode und der Zugriff auf Apps anderer Nutzer ist möglich.

 Was passiert nun?

Nutzer von Oracles Cloud-Plattform sollten schnell handeln! Durch die Veröffentlichung von Bespielcode wird es erwartungsgemäß nicht lange dauern, bis Angreifer versuchen werden die betreffenden Lücken auszunutzen.

Abzuwarten bleibt, wie schnell Oracle reagiert und die Schwachstellen an der Plattform durch Critical Patch Updates (CPU) schließt bzw. die Lücken im Service selbst stopft. Solange Oracle hier keine Abhilfe schafft, sollten Anwender versuchen keine sensiblen Daten in der Cloud abzulegen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

USA verweigern Merkel Auskunft über NSA Spionage

Mittwoch, 2. April 2014, 16:47 Uhr

Die parlamentarische Aufarbeitung des NSA Skandals wird sehr zäh werden. Noch immer gibt es keine Reaktion auf schriftliche Anfragen der Bundesregierung seitens der USA.

Auf Anfrage von Linksfraktionsvize Jan Korte musste die Bunderegierung eingestehen, dass die US-Amerikaner bis heute auf keine ihrer drei schriftlichen Anfragen zur NSA-Spähaffäre aus dem Jahr 2013 reagiert haben: „Auf keines dieser Schreiben liegt bisher eine Antwort vor“, teilte die Regierung nun mit.

Innenpolitische Alibiaktionen der Bundesregierung

Korte warf der Regierung nun Untätigkeit in der Affäre vor und kritisiert: “Bis auf wenige Ausnahmen rhetorischer Natur gab es doch überhaupt keinen Druck auf die US-Regierung, mit der Bundesrepublik oder der EU zu kooperieren.” Man habe jenseits des Atlantiks wahrscheinlich mitbekommen, dass die Fragenkataloge und die Verhandlungen über ein Antispionageabkommen “eher innenpolitische Alibiaktionen der Bundesregierung waren, als ernsthafte Aufklärungsbemühungen”, erklärt Korte. “Ich sehe bei der Bundesregierung noch immer keinen Willen zur Aufklärung.”

Heute muss man sagen: Vor allem weniger!

Doch kann diese merkelsche Untätigkeit nicht wirklich überraschen.

Denn die Kanzlerin sagte zwar in ihrer Rede im Bundestag zur NSA Überwachung, dass es nicht richtig sein könne, dass Deutschland von Partnern wie den USA oder Großbritannien ausgespäht werde. Zu möglichen Gegenmaßnahmen gegen die Überwachung deutscher Bürger und seiner souveränen Regierung erklärte sie aber schon damals:

“Trotzhaltungen haben im Übrigen noch nie zum Erfolg geführt. Ich führe, aber das mit allem Nachdruck, diese Gespräche (mit den USA und GB) mit der Kraft unserer Argumente – nicht mehr und nicht weniger!”

Nun kann man natürlich einwenden, dass ein Geheimdienst nicht geheim wäre, wenn er jedem Linksfraktionsvize auf Zuruf Art und Umfang seiner Tätigkeit erläutern würde.

Allerdings darf man die Untätigkeit gegenüber den USA und GB seitens Merkel doch schon für einen Skandal halten. Jeder betroffene Bürger mag entscheiden, ob Merkel damit ihrem Eid nach Art. 56, Art. 64 Abs. 2 Grundgesetz nachkommt:

“Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde…”

Uns selbst aus der Union wird die Kritik lauter: “Die Amerikaner müssen unsere Fragen endlich beantworten”, sagt etwa Stephan Mayer (CSU), der innenpolitische Sprecher der Unionsfraktion im Bundestag. “Unter Freunden kann es nicht die Haltung sein, dass man die Sorgen des anderen nicht ernst nimmt.”

Lasst Exit Snowden?

Stellt sich die Frage, was der NSA Untersuchungsausschuss nun eigentlich untersuchen soll?

Korte befürchtet wohl nicht zu Unrecht, dass unter den Voraussetzungen der Untersuchungsausschuss “lediglich ein Feigenblatt ohne Wirkung und sein Auftrag, zu mehr Sicherheit für Grund- und Bürgerrechte zu kommen, ad absurdum geführt“ werde.

Und schon werden Stimmen lauter, die einen Aufenthaltstitel für Edward Snowden in Deutschland fordern. Denn unabhängig von dem, was dieser vor einem Ausschuss aussagen könnte, wäre das jedenfalls ein Zeichen der Souveränität gegen die Verweigerungshaltung der überwachenden Staaten.

Dass die Voraussetzungen des § 22 Aufenthaltsgesetz vorliegen, war noch nie so deutlich wie jetzt:

“Einem Ausländer kann für die Aufnahme aus dem Ausland aus völkerrechtlichen oder dringenden humanitären Gründen eine Aufenthaltserlaubnis erteilt werden. Eine Aufenthaltserlaubnis ist zu erteilen, wenn das Bundesministerium des Innern oder die von ihm bestimmte Stelle zur Wahrung politischer Interessen der Bundesrepublik Deutschland die Aufnahme erklärt hat.”

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

E-Mail made in Germany: Jetzt mit Transportverschlüsselung

Dienstag, 1. April 2014, 14:19 Uhr

Wenn die NSA-Spitzelaffäre ein Gutes gebracht hat, so die Diskussion über die Sicherung von E-Mail-Daten beim Service-Provider und beim Transport und die immer lauter werde Forderung der deutschen Verbraucher nach einer relativ leicht umzusetzenden Transportverschlüsselung durch die Provider.

E-Mail made in Germany

Bereits im August 2013 hatten wir in unserem Artikel E-Mail made in Germany: Datenschutz oder nur Marketing berichtet, dass die Initiative „E-Mail made in Germany“ und ihre Mitglieder, die Deutsche Telekom, Freenet, GMX und Web.de, die Einführung einer Transportverschlüsselung für Ihre Kunden planen, um die Inhaltsdaten so grundsätzlich vor dem Zugriff Dritter zu schützen.

Die Umstellung erfolgt jetzt!

Wie Heise-Online am Sonntag berichtet, werden über die an der Initiative beteiligten Provider ab Montag 31.03.2014 ausschließlich SSL-verschlüsselte E-Mails verschickt. Die Umstellung soll nach Auskunft der Provider sukzessive bis zum 29.04.2014 abgeschlossen sein.

Was muss der Kunde tun?

Hier stellt sich die Frage, was der Kunde tun muss, um den künftigen E-Mail-Empfang/Versand sicher zu stellen. Die Vorarbeiten, die der Kunde zur ungestörten Nutzung seines Mailproviders noch leisten muss, sind abhängig von seiner Nutzungsart.

Nutzer der Weboberfläche

Nutzer, die ihre Mails über das Webinterface ihres E-Mail-Providers versenden, müssen auch für die Zeit nach der Umstellung auf verschlüsselten Versand nichts unternehmen und können einfach wie gewohnt ihre E-Mails versenden und empfangen.

  • Hier läuft der verschlüsselte Versandt über https bereits seit einiger Zeit automatisch.

Nutzer mit E-Mail-Client

Nutzer, die ihre Mails über ihren E-Mail-Client (Outlook, Thunderbird etc.)

  • via PoP3 oder IMAP abrufen oder
  • per SMTP versenden,

sollten sicher stellen, dass sie diese nunmehr auf SSL oder STARTTLS umstellen. Bereits seit geraumer Zeit werden diese Nutzer per E-Mail durch ihre Provider hierüber informiert.

Auch Router und Sammeldienste berücksichtigen

Wie Heise Online auch berichtete, kann es sein, dass eine Nutzer trotz der bereits im Client vollzogenen Umstellung weiterhin Info-Mails ihres Providers erhalten. Insoweit weist Heise darauf hin:

“Möglicherweise ist daran ein zusätzlich verwendeter Mail-Client schuld, beispielsweise auf mobilen Geräten. Auch einige Netzwerkgeräte wie Router greifen auf E-Mail-Dienste zu, etwa zum Versand von Statusmeldungen. Unverschlüsselt arbeiten oft auch E-Mail-Sammeldienste von Drittanbietern, die man in vielen Fällen manuell auf die Nutzung von SSL oder STARTTLS umstellen muss.”

Kein Schutz vor Abhörschnittstellen beim Provider

Aber Achtung! Wie bereits in unserem schon zitierten Artikel dargestellt, handelt es sich bei der durch die Provider gewählten Verschlüsselung lediglich um eine Transportverschlüsselung. Vorsicht ist weiterhin geboten, denn die Inhalte liegen auch weiterhin unverschlüsselt auf den Servern der Provider und können hier direkt abgegriffen werden.

Fazit

Die nunmehr eingeführte Transportverschlüsselung ist sicherlich ein erster Schritt hin zu mehr Sicherheit bei der E-Mail-Korrespondenz. Hier besteht allerdings auch weiterhin Entwicklungsbedarf.

Wirkliche Sicherheit wird wohl erst erreicht werden können, wenn weitere Sicherungssysteme, insbesondere eine verschlüsselte Ablage der Inhaltsdaten auf den Servern der Provider und somit das Schließen von Abhörschnittstellen, hinzukommen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

NSA sammelte über 300 Dokumente über Bundeskanzlerin Merkel

Montag, 31. März 2014, 19:11 Uhr

Es vergeht nahezu kein Tag, an denen keine neuen Enthüllungen über geheime Datensammlungen und Auswertungen des US-Geheimdienstes NSA ans Tageslicht kommen. Da verwundert wahrscheinlich auch niemanden mehr, dass aus Dokumenten von Edward Snowden hervorgeht, dass der Überwachungsapparat NSA mehr als 300 Dokumente über die Bundeskanzlerin Angela Merkel angefertigt hat.

Was war passiert?

Wie Spiegel Online berichtet, hat die NSA weit mehr als 300 Berichte über die Bundeskanzlerin in einer speziellen Datenbank für Staats- und Regierungschefs erfasst und gespeichert. Diese Informationen gehen aus einem geheimen NSA-Dokument hervor. In dieser Liste sollen 122 überwachte Staats- und Regierungsschefs enthalten sein, alphabetisch sortiert. Woher die Daten stammen lässt sich nur schwer aus dem Dokument konstruieren. Als Quelle wird unter anderem die SigInt-Datenbank “Marina” genannt, die abgeschöpfte Kommunikationsmetadaten aus aller Welt enthält.

Kanzlerin als eindeutiges Spionageziel?

Das Dokument und die offenbar genutzte Datenbank belegen weiter, dass Informationen über Zielpersonen gesammelt werden sollen, die mit übrigen Mitteln nur schwer auffindbar sind. Bekräftigt wird dieser Umstand damit, dass ein Bericht der Abteilung “Special Sources Operations” vom März 2013 Deutschland als Spionageziel ausmacht. All dies zusammen zeigt auf, dass nicht nur Millionen von Bürgern durch ausländische Geheimdienste überwacht werden, sondern auch die Regierungen der jeweiligen Staaten.

Verfahren der Bundesanwaltschaft

Das nun bekannt gewordene Dokument liefert neuerlichen Nährboden und Beweisstück zugleich, um ein Verfahren der Bundesanwaltschaft wegen Spionageverdachts in Gang zu setzen. Es bleibt abzuwarten, wie die Ermittlungsbehörden in einer so schwierigen Angelegenheit vorgehen und was mögliche Ergebnisse der Ermittlungen für Konsequenzen nach sich ziehen werden.

Fazit

Das nun offenbarte Vorgehen der Geheimdienste belegt einmal mehr, dass nahezu jeder fast grenzenlos und insbesondere anlasslos überwacht wird. Auch undatierten GCHQ-Papiere belegen, dass Satelliten-IP-Diensteanbieter aus Deutschland zur Überwachung des Internetverkehrs überwacht werden. Festzuhalten bleibt, dass nahezu jede digitale Schnittstelle irgendwie durch Geheimdienste erfasst wird.

Verhältnismäßig ruhig bleibt es hingegen bei den Reaktionen der Politik auf die immer wieder neuen Enthüllungen. Dies macht den Anschein, dass man die Debatte mit den Wählern eher vermeiden und aussitzen will, als angemessen zu reagieren. Wünschenswert wäre es, wenn die Politik mehr Energie in die Aufklärung stecke. Höhere Anforderungen an den Datenschutz beim Transfer personenbezogener Daten wären zum Beispiel ein Ansatz.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Pentagon verlagert seine Daten in die Amazon Cloud

Freitag, 28. März 2014, 15:13 Uhr

Gute Nachrichten für das Cloud Business kamen gestern aus dem Pentagon:

Wie die Financial Times berichtet, hat das us-amerikanische Verteidigungsministerium eine Verlängerung der Nutzung des Cloud Dienst der Amazon Web Services (AWS) für alle vier US Regionen der Amazon Cloud, inklusive der Region AWS GovCloud durch das Pentagon genehmigt.

Amazon und die US Regierung

Laut Amazon nutzen bereits 600 Abteilungen der amerikanischen Regierung das Cloud-Angebot, darunter die Luftwaffe und die Navy. Das Pentagon hat nun festgestellt, dass die Amazon Cloud den strengen Sicherheits- und Compliance-Richtlinien genügt (“stringent security and compliance requirements”).

Kennt Amazon alle Geheimnisse aus dem Pentagon?

Das heißt aber nicht, wie die Frankfurter Allgemeine Zeitung etwas reißerisch meint, dass „Amazon bald alle Geheimnisse des Pentagons kennt“.

Denn die Freigabe ist nicht „für besonders sensible Sicherheitsbereiche“, wie die FAZ meint, sondern gilt nur für die Impact Levels 1 und 2 der 5-stufigen Sicherheitsskala des Verteidigungsministeriums. Die Level 1 und 2 umfassen aber nur als nicht-geheim eingestufte private und öffentliche Informationen mit geringem Sicherheitsrisiko („low-risk unclassified public and private information“).

Für sensible und als geheim eingestufte Daten hat die Defense Information Systems Agency des Verteidigungsministeriums einen eigenen internen, nicht-kommerziellen Cloud-Service, die MilCloud geschaffen. Offensichtlich hat diese aber noch nicht die gewünschte Kapazität oder es macht es wegen des geringen Sicherheitsrisikos keinen Sinn, diese „unclassified“ Daten intern zu verwalten.

Super Marketing

Anyway, jedenfalls ein toller Marketingcoup für die Amazon Cloud und die Branche insgesamt. Vielleicht kann dies ja helfen den Anwendern die Befürchtungen gegen die Cloud-Services zu nehmen. Und vielleicht heißt es ja bald:

„Kunden, die Amazon Cloud nutzen, haben auch schon folgende Länder besucht: …“

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Informationspflichten für Diensteanbieter und Dienstleister

Donnerstag, 27. März 2014, 17:57 Uhr

Anbieter von Webdiensten unterliegen umfangreichen Informationspflichten gegenüber den Dienstnutzern. Hierzu zählt insbesondere das Vorhalten eines sog. Impressums und der Datenschutzhinweise zur Erfüllung der Informationspflicht.

Gleiches gilt aber auch für Dienstleistungen, die nicht in Form eines Informations- und Kommunikationsdienstes, also nicht als Webdienst erbracht werden. Dieser Beitrag beschäftigt sich aufgrund wiederkehrender Anfragen zum Thema mit den Informationspflichten bei Telemediendiensten und Dienstleistungen im Übrigen.

Allgemeine Informationspflichten nach dem TMG

Das Telemediengesetz, welches für alle elektronischen Informations- und Kommunikationsdienste wie z.B. Webshops gilt, regelt in § 5, welche Angaben der Diensteanbieter den Nutzern zur Verfügung stellen muss. Dazu gehören:

  • Name und Anschrift, an welcher der Diensteanbieter niedergelassen ist,
  • bei juristischen Personen die Rechtsform, die Vertretungsberechtigten sowie ggf. das Stamm- bzw. Grundkapital,
  • Kontaktinformationen, die eine schnelle elektronische und Kontaktaufnahme und unmittelbare Kommunikation mit den Dienstnutzern ermöglichen, einschließlich einer E-Mail-Adresse,
  • Angaben zur zuständigen Aufsichtsbehörde, soweit die Tätigkeit im Rahmen des Dienstes einer behördlichen Zulassung bedarf,
  • das Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister, in das der Diensteanbieter eingetragen ist sowie die entsprechende Registernummer,
  • soweit der Dienst in Ausübung eines reglementierten Berufs im Sinne der EU-Diplomanerkennungsrichtlinien (vor allem freie Berufe, aber auch Architekten, Physiotherapeuten, und weitere) angeboten oder erbracht wird, Angaben über
    • die Kammer, welcher der Diensteanbieter angehört,
    • die Bezeichnung der berufsrechtlichen Regelungen und dazu, wie diese zugänglich sind,
    • die gesetzliche Berufsbezeichnung und den Staat, in dem die Berufsbezeichnung verliehen worden ist,
  • die Umsatzsteuer- oder Wirtschafts-Identifikationsnummer, soweit vorhanden
  • Angaben über eine Abwicklung oder Liquidation bei AG, KG a.A. und GmbH.

Weitere Informationspflichten aus dem TMG

Weitere Informationspflichten ergeben sich aus § 6 TMG bezüglich kommerzieller Kommunikation im Sinne der Nr. 5 des § 2 TMG.

Darüber hinaus statuiert § 13 TMG die Pflicht zur Information über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten und die Verarbeitung außerhalb des EWR und somit außerhalb des Geltungsbereichs der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie die Widerrufsmöglichkeit bezüglich einer elektronisch erklärten Einwilligung und die Nutzung des Telemediendienstes sowie die Bezahlung in anonymer oder pseudonymer Form.

Der Diensteanbieter muss außerdem über die Möglichkeit zum Widerspruch gegen die Erstellung von Nutzerprofilen bei Verwendung von Pseudonymen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien informieren (§ 15 Abs. 3 S. 1 TMG).

Informationspflichten nach dem RStV

Nach § 55 des Rundfunkstaatsvertrages hat der Anbieter von Telemedien mit journalistisch-redaktionell gestalteten Angeboten, in denen insbesondere vollständig oder teilweise Inhalte periodischer Druckerzeugnisse in Text oder Bild wiedergegeben werden, einen Verantwortlichen zu benennen.

Informationspflichten nach der DL-InfoV

Die Dienstleistungs-Informationspflichten-Verordnung (DL-InfoV) gilt nach dessen § 1 für Personen, die bestimmte Dienstleistungen erbringen, welche der Richtlinie 2005/36/EG unterfallen. In Abgrenzung zu den Telemediendiensten sind hiervon Dienstleistungen erfasst, die nicht in Form eines Informations- und Kommunikationsdienstes angeboten werden.

Folgende Angaben hat der Dienstleister nach § 2 DL-InfoV stets zur Verfügung zu stellen:

  • Vor- und Nachnamen, Firma, Rechtsform
  • Anschrift seiner Niederlassung oder eine ladungsfähige Anschrift sowie Kontaktangaben zur schnellen und unmittelbaren Kommunikation, insbesondere Telefonnummer und E-Mail-Adresse oder Faxnummer,
  • Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister unter Angabe des Registergerichts und der Registernummer,
  • bei erlaubnispflichtigen Tätigkeiten Name und Anschrift der zuständigen Behörde oder der einheitlichen Stelle,
  • die Umsatzsteuer-Identifikationsnummer, soweit vorhanden,
  • falls die Dienstleistung in Ausübung eines reglementierten Berufs erbracht wird,
    • die gesetzliche Berufsbezeichnung,
    • den Staat, in dem sie verliehen wurde und,
    • falls er einer Kammer, einem Berufsverband oder einer ähnlichen Einrichtung angehört, deren oder dessen Namen,
  • Angaben über verwendete allgemeinen Geschäftsbedingungen,
  • etwaige Rechtswahlklauseln und Gerichtsstandsvereinbarungen,
  • über die gesetzlichen Gewährleistungsrechte hinausgehende gewährte Garantien,
  • die wesentlichen Merkmale der Dienstleistung, soweit sich diese nicht bereits aus dem Zusammenhang ergeben,
  • Angaben zur vorhandenen Berufshaftpflichtversicherung, insbesondere Name und Anschrift des Versicherers und den räumlichen Geltungsbereich.

Wie sind die Informationen zur Verfügung zu stellen?

Die vorgenannten Angaben hat der Dienstleistungserbringer dem Dienstleistungsempfänger wahlweise entweder

  • von sich aus mitzuteilen,
  • am Ort der Leistungserbringung oder des Vertragsschlusses so vorzuhalten, dass sie dem Dienstleistungsempfänger leicht zugänglich sind,
  • dem Dienstleistungsempfänger über eine von ihm angegebene Adresse elektronisch leicht zugänglich zu machen oder
  • in alle von ihm dem Dienstleistungsempfänger zur Verfügung gestellten ausführlichen Informationsunterlagen über die angebotene Dienstleistung aufzunehmen.

Auf Anfrage zur Verfügung zu stellende Informationen sind gem. § 3 DL-InfoV daneben im Fall von reglementierten Berufen Angaben zu

  • den berufsrechtlichen Regelungen und dazu wie diese zugänglich sind,
  • ausgeübten multidisziplinären Tätigkeiten,
  • geltenden Verhaltenskodizes und
  • außergerichtlichen Schlichtungsverfahren.

Diese Angaben sind vor Abschluss eines schriftlichen Vertrages oder ohne schriftlichen Vertrag vor Erbringung der Dienstleistung klar und verständlich zur Verfügung zu stellen und in ausführlichen Informationsunterlagen vorzuhalten.

Rechtsfolgen bei Verstoß gegen Informationspflichten

Verstöße gegen die genannten Informationspflichten stellen Ordnungswidrigkeiten dar, die zu beträchtlichen Bußgeldern führen können. Sie sind darüber hinaus sind kostenträchtig abmahnfähig.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Webhoster und Webanalysedienste – Wer ist verantwortlich?

Mittwoch, 26. März 2014, 14:24 Uhr

Viele Unternehmen fragen sich oft zurecht, ob die für die Unternehmenswebsite verwendeten Webanalyse-Lösungen, sei es in Form der Beauftragung eines Webhosters, der die Webanalysesoftware gleich mit zur Verfügung stellt und administriert, oder durch Verwendung eines vom Drittanbieter erworbenen Softwarepakets mit integriertem Analysetool datenschutzkonform sind. Zu recht sorgen sie sich um eine Haftung, sollten Webhoster und Analysetool nicht die geltenden Datenschutzvorgaben erfüllen.

Wieso ist eine Haftung aus Datenschutzrecht möglich?

Es stellt sich die Frage nach der Haftung für etwaige Verstöße gegen das Datenschutzrecht im Rahmen der Verwendung von Webanalysediensten. In diesem Zusammenhang ist immer wieder darauf hinzuweisen, dass die IP-Adressen, welche in die Analyse einbezogen werden, als personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG gelten, weswegen die datenschutzrechtlichen Vorschriften zu beachten sind.

Im Bereich der Telemedien (z.B. Webshops) gelten zudem die besonderen Datenschutzvorschriften des Telemediengesetzes.

Wer haftet für mögliche Datenschutzverstöße?

In erster Linie haftet der Diensteanbieter im Sinne des § 2 Nr. 1 TMG (z.B. Websitebetreiber), der personenbezogene Daten im Rahmen einer Webanalyse mittels eines Analysetools erhebt und verarbeitet, um für sich entsprechende Informationen zu generieren. Dabei hat er selbstverständlich sämtliche geltenden datenschutzrechtlichen Vorschriften zu beachten. Hierzu gehört u.a., die Analysesoftware datenschutzkonform einzusetzen und Dienstenutzer über den Einsatz sämtlicher verwendeter Analysetools zu informieren. Hinsichtlich der Informationspflichten beim Einsatz von Analysetools verweisen wir auf diesen Beitrag.

Haftet der Diensteanbieter bei Beauftragung eines Webhosters?

Die Pflicht zur Beachtung der Datenschutzvorschriften und eine mögliche Haftung bei Verstößen trifft den Diensteanbieter nicht nur bei der eigenen unmittelbaren Datenerhebung und -verarbeitung, sondern auch, wenn die Datenerhebung und -verarbeitung durch andere Stellen (z.B. Webhoster als externer Dienstleister) weisungsgebunden im Auftrag des Diensteanbieters vorgenommen wird, z.B. indem der Webhoster Analysesoftware zur Verfügung stellt, diese zugleich im Auftrag des Diensteanbieters administriert und die Webanalyse für den Diensteanbieter durchführt. Ist der Webhoster weisungsgebunden für den Diensteanbieter tätig, fungiert er als sog. Auftragnehmer im Rahmen der Auftragsdatenverarbeitung im Sinne des § 11 BDSG.

Die datenschutzrechtliche Verantwortlichkeit und damit Haftung für etwaige Verstöße obliegt dementsprechend dem Diensteanbieter. Dieser muss sämtliche Voraussetzungen für eine datenschutzkonforme Erhebung und Verarbeitung von personenbezogenen Daten erfüllen (§§ 12, 13 und 15 TMG als datenschutzrechtliche Spezialvorschriften im Bereich der Telemedien oder im Übrigen § 4 Abs. 1 BDSG sowie die technischen und organisatorischen Maßnahmen treffen, die zum Schutz personenbezogener Daten erforderlich sind, insbesondere die in der Anlage zu § 9 S. 1 BDSG genannten Anforderungen gewährleisten.

Beim Einsatz von Dienstleistern hat der Diensteanbieter gegenüber Auftragnehmern Weisungen zur Einhaltung der Datenschutzvorgaben zu erteilen und deren Einhaltung regelmäßig zu kontrollieren.

Muss Software eine datenschutzkonforme Verwendung ermöglichen?

Eine Webanalysesoftware, ob nun separat oder in einem Programmpaket, sollte zumindest eine datenschutzkonforme Verwendung für den Anwender (z.B. Websitebetreiber) ermöglichen. Wünschenswert wäre, dass bereits die Default-Einstellungen den Datenschutzanforderungen genügen. Überwiegend ist dies jedoch nicht der Fall, so dass der Anwender gehalten ist, möglichst vorhandene Einstellungen zur Gewährleistung des Datenschutzes zu wählen, z.B. durch Einsatz eines AnonymizeIP-Plugin. Damit wird nach jüngster Rechtssprechung des LG Frankfurt (Urteil vom 18.02.2014, Az.: 3-10 O 86/12) eine Pseudonymisierung von IP-Adressen erreicht.

Was tun, wenn Datenschutzeinstellungen fehlen?

Sofern Tools nicht datenschutzkonform eingesetzt werden können, weil entsprechende Einstellungsmöglichkeiten nicht vorhanden sin, wird vom Einsatz solch einer Software und ggf. Beauftragung von datenschutzrechtlich nicht sensiblen Dienstleistern abgeraten. Wie oben erwähnt, haftet in erster Linie die verantwortliche Stelle. Ob dann im Fall einer Haftung ein Rückgriff auf z.B. Anbieter von Blog- und Seitenangeboten inkl. Analysetools möglich ist, hängt unter anderem auch von der Solvenz solcher Anbieter ab. Unabhängig davon bleibt ein möglicher Imageschaden aber bei der verantwortlichen Stelle hängen.

Haften auch (IT-)Mitarbeiter eines Diensteanbieters?

Maßgeblich ist das Verhältnis zwischen Diensteanbieter und (IT-)Mitarbeitern. Ähnlich des Admin C besteht nach Rechtssprechung des Bundesgerichtshofs eine Haftung gegenüber Dritten nicht ohne weiteres. Als Beschäftigte können sie sich aber bußgeldpflichtig machen. In einem Fall, in welchem eine Mitarbeiterin in einem Unternehmen Datenschutzverstöße verübt hatte, hat die bayerische Datenschutzaufsichtsbehörde ein Bußgeld gegen die Mitarbeiterin persönlich verhängt.

Wie werden Google Analytics und Piwik datenschutzkonform eingesetzt?

Wie Analysetools datenschutzkonform eingesetzt werden können, haben wir hier für Google Analytics mit Ergänzung und hier für Piwik zusammengefasst.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

USA: Erst überwachen, dann Gesetze nachliefern

Dienstag, 25. März 2014, 15:44 Uhr

Spätestens seit Edward Snowdens Enthüllungen haben wir Gewissheit, dass wir von der NSA überwacht werden. Andere Länder zu überwachen, ist für die Mehrheit der US-Bürger nicht verwerflich. Anders sahen die Reaktionen aus als bekannt wurde, dass auch die NSA die Telefondaten von Millionen US-Bürgern sammelt. Der ehemalige Vizepräsident Al Gore ist sich sicher, dass dies nicht dem „amerikanischen Weg“ entspricht und diese Praktiken unrechtmäßig sein.

Gesetzentwurf

Die New York Times berichtet heute, dass der US-Präsident Barack Obama die massenhafte Speicherung von Metadaten über Telefongespräche durch den Geheimdienst NSA beenden will. Sein Vorschlag für eine Gesetzesänderung sieht vor, dass zukünftig nur noch die Telefongesellschaften – wie bisher – 18 Monate die Vorratsdatenspeicherung durchführen.

Weitergaben an Geheimdienste und Ermittlungsbehörden dürfen nur nach vorherigem richterlichen Beschluss stattfinden. Die bisherige Praxis einer Speicherung von fünf Jahren durch die NSA soll abgeschafft werden.

Ausländer als Freiwild

Dies betrifft aber nur die Verbindungsdaten von Telefongesprächen in den USA. Ausländer werden also weiterhin ohne Richtervorbehalt ausgespäht.

Insbesondere ist auch nicht das letzte Woche bekannt gewordene NSA-System MYSTIC vom Gesetzesentwurf erfasst. Dies zeichnet die Telefongespräche eines ganzen Landes für 30 Tage auf. Bisher gibt es noch keine Informationen, welches Land hiervon betroffen ist und wie dies funktioniert. Wie immer ist alles TOP SECRET!

“Was du nicht willst, dass man dir tu’, das füg’ auch keinem anderen zu.”

Diese goldene Regel entspricht augenscheinlich auch nicht dem amerikanischen Weg. Einsicht in eigenes Fehlverhalten ist immer noch nicht ersichtlich. Es handelt sich viel mehr um einen gekonnter Schachzug, um die US-Bürger zu beschwichtigen.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren

Dashcam: Videokamera im Auto zur Unfalldokumentation ist unzulässig

Montag, 24. März 2014, 17:54 Uhr

Der Einsatz sogenannter Dashcams, also Videokameras, die in der Regel im Auto an der Windschutzscheibe installiert sind, nimmt immer mehr zu. Die Verwendung solcher Kameras wird regelmäßig damit begründet, im Falle eines Unfalls den Hergang nachvollziehen zu können und Beweismaterial an der Hand zu haben.

Dass dies datenschutzrechtlich nicht ganz unkritisch ist, liegt auf der Hand. Vor diesem Hintergrund hat sich auch der Düsseldorfer Kreis Ende Februar zu dieser Thematik geäußert. Nach dem Beschluss der Aufsichtsbehörden für den Datenschutz ist eine Videoüberwachung aus Fahrzeugen heraus zum Zweck der Dokumentation eines eventuellen Unfalls unzulässig.

Ist das Bundesdatenschutzgesetz hier anwendbar?

Aus der Überlegung heraus, dass hier ein rein privates Handeln vorliegen könnte, wird diskutiert, ob ein Einsatz mangels Anwendbarkeit des BDSG zulässig sein kann. Gestützt wird diese Annahme darauf, dass die Erhebung, Verwendung oder Nutzung personenbezogener Daten nach § 1 Abs. 2 Nr. 3 BDSG nicht dem Anwendungsbereich des BDSG unterfällt, wenn dies ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt.

Hiergegen wird allerdings zutreffender Weise eingewandt, dass eine systematische Videoüberwachung zu dem Zweck, die Aufnahmen ggf. weiterzugeben, um sich eine vorteilhaftere Rechtsposition zu verschaffen, eben nicht mehr als rein privates Handeln angesehen werden kann. Daher sind Fälle, in denen die Aufnahme zu dem Zweck erfolgt, die Videodaten im Streitfall zur Dokumentation des Unfallhergangs zu verwenden, nach dem BDSG zu beurteilen. Dies hebt der Düsseldorfer Kreis in seinem Beschluss auch explizit hervor, wenn er ausführt:

“Soweit mit den Dashcams in öffentlich zugänglichen Bereichen gefilmt wird und als Hauptzweck der Aufnahmen die Weitergabe von Filmaufnahmen zur Dokumentation eines Unfallherganges angegeben wird, ist der Einsatz, auch wenn die Kameras von Privatpersonen eingesetzt werden, an den Regelungen des Bundesdatenschutzgesetzes zu messen.”

Datenschutzrechtliche Unzulässigkeit nach § 6b BDSG

Nach § 6b Abs. 1 Nr. 3 und Abs. 3 BDSG ist eine Beobachtung und Aufzeichnung mittels Videokameras nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Diese Voraussetzungen sind nach Auffassung der Datenschutzbehörden nicht gegeben:

“Diese Voraussetzungen sind in aller Regel nicht erfüllt, da die schutzwürdigen Interessen der Verkehrsteilnehmer überwiegen. Das informationelle Selbstbestimmungsrecht umfasst auch das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. (…) Das Interesse des Autofahrers, für den eher theoretischen Fall eines Verkehrsunfalls Videoaufnahmen als Beweismittel zur Hand zu haben, kann diesen gravierenden Eingriff in das Persönlichkeitsrecht der Verkehrsteilnehmer nicht rechtfertigen.”

Aufnahmen zu rein privaten Zwecken

Bleibt die Frage, wie die Rechtmäßigkeit solcher Aufnahmen zu beurteilen ist, die tatsächlich aus rein persönlichen Motiven heraus erfolgen. Das BDSG ist aus den zuvor beschriebenen Erwägungen heraus hier nicht anwendbar.

Allerdings dürfen auch diese Videodaten nicht das Allgemeine Persönlichkeitsrecht (Art. 1 Abs. 1 GG iVm Art 2 Abs. 1 GG) der Aufgenommenen verletzen. In diesem Fall drohen Unterlassungsansprüche der Betroffenen (§ 1004 Abs. 1 S. 2 BGB analog). Gerichtliche Entscheidungen zu dieser Thematik liegen bislang nicht vor. Die weitere Entwicklung der Beurteilung der Zulässigkeit solcher Aufnahmen in Literatur und Rechtsprechung bleibt also mit Spannung abzuwarten.

Schreiben Sie uns Ihre Meinung zu diesem Artikel: Hier kommentieren