Kategorie: Allgemein
26. Februar 2016
Nachdem wir vor kurzem in diesem Blog berichtet haben, dass das Bundesverwaltungsgericht am 25.02.2016 ein Urteil bzgl. sog. Fanpages bei Facebook fällen wird, wollen wir nun natürlich berichten wie es weiter geht.
Aber zunächst kurz zur Erinnerung der Hintergrund: Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte im November 2011 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH die Deaktivierung deren Fanpage auf Facebook angeordnet. Nach Auffassung des ULD verletze der Betrieb der Facebook-Fanpage europäisches und nationales Datenschutzrecht.
Der Rechtsstreit zwischen dem ULD und der Wirtschaftsakademie beschäftigte seit 2011 das Schleswig-Holsteinische Verwaltungsgericht (09.10.2013) und das Schleswig-Holsteinische Oberverwaltungsgericht (04.09.2014). Im Wesentlichen geht es um die Frage der Verantwortlichkeit von Unternehmen für die Datenverarbeitung auf von ihnen betriebenen Facebook-Fanpages.
Die Frage ist deshalb so spannend, weil die Antwort weitreichende Konsequenzen haben kann. Wenn ein Unternehmen als verantwortliche Stelle für die Datenverarbeitung auf seiner Fanpage bei Facebook gilt, steht es vor der interessanten Frage, wie es diese Verantwortlichkeit innerhalb der Facebook-Umgebung, auf deren technische Ausgestaltung es faktisch keinen Einfluss hat, ausüben soll. In letzter Konsequenz müsste das Unternehmen seine Fanpage bei Facebook deaktivieren – oder Facebook seine technische und organisatorische Struktur ändern.
Das Bundesverwaltungsgericht hat nun gestern (25.02.2016) kein Urteil gesprochen, sondern die wesentlichen Fragen dem EuGH zum Vorabentscheid vorgelegt. Bis zu deren Beantwortung wird das Revisionsverfahren ausgesetzt.
Marit Hansen, die Leiterin des ULD, bedauert einerseits, dass nun immer noch keine Entscheidung vorliegt, freut sich aber gleichzeitig darüber, “dass das Bundesverwaltungsgericht in der Verhandlung die Wirksamkeit der Grundrechte auch in komplexen Verarbeitungszusammenhängen im Internet betont hat“.
Für die Unternehmen bedeutet die Vorlage der Fragen an den EuGH, dass nun noch einige Zeit vergehen wird, bis über die Verantwortklichkeit der Datenverarbeitung bei Facebook-Fanpages endgültig entschieden wird.
Gleichzeitig zeigt sich auch hier wieder, dass beim Thema Datenschutz auf europäischer und nationaler Ebene momentan sehr viel Bewegung herrscht und jedes Unternehmen gut beraten ist, einen Schwerpunkt auf Datenschutz (und dessen praktische Umsetzung) in der Unternehmensstrategie zu setzen.
25. Februar 2016
Schon seit einiger Zeit kursieren Meldungen, dass das Unterlassungsklagegesetz (UKlaG) geändert wird, auch wir haben darüber berichtet. Warum das uns als Datenschützer interessiert? Weil mit dieser recht unscheinbar wirkenden Änderung, die vor allem Verbraucherschutzverbände betrifft, ein weiterer Schritt zur Stärkung des Datenschutzes getan wird.
Hier nun kurz die Hintergründe: Am 29.01.2016 hat der Bundesrat beschlossen, “zu dem vom Deutschen Bundestag am 17. Dezember 2015 verabschiedeten Gesetz einen Antrag gemäß Artikel 77 Absatz 2 des Grundgesetzes nicht zu stellen”. Das wiederum heißt, dass das “Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts” ohne weiteren Zwischenschritt vom Bundespräsidenten ausgefertigt und im Bundesgesetzblatt verkündet werden kann. Die Ausfertigung geschah letzte Woche, die Verkündung im Bundesgesetzblatt vorgestern (23.02.2016).
Was sehr lang und umständlich klingt, heißt übersetzt folgendes: Seit gestern (24.02.2016) können auch Verbraucherschutzverbände Datenschutzverstöße abmahnen und gerichtlich gegen sie vorgehen.
Dass Datenschutz auch dem Verbraucherschutz dient, schien manch einem zwar logisch und richtig, war aber keineswegs klar geregelt sondern vielfach umstritten. Das seit gestern geltende Gesetz regelt (unter anderem) Änderungen im UKlaG, sodass auch verbraucherschützenden Verbänden Klagebefugnis zukommt. Nach dem nunmehr neuen § 2 Abs. 2 Nr. 11 UKlaG können unter anderem solche Datenschutzverstöße abgemahnt und gerichtlich verfolgt werden, die Datensammlungen zu Werbezwecken, für das Erstellens von Persönlichkeits- und Nutzungsprofilen, den sonstigen Datenhandel oder zu vergleichbaren kommerziellen Zwecken betreffen.
Dies dürfte vor allem die Verbraucherzentrale Bundesverband und die Wettbewerbszentrale freuen, die beide als sog. qualifizierte Einrichtungen gelten und damit klagebefugt sind (um eine Abmahnwelle zu vermeiden, ist nämlich nicht jeder ohne Weiteres klagebefugt). Die Wichtigkeit von Datenschutz wird damit einmal mehr betont.
Für Unternehmen ist diese Neuerung ein weiterer Anreiz, sich (noch) stärker mit dem Datenschutz zu befassen. Neben den Bewegungen im internationalen Datenverkehr nach der “Safe-Harbour”-Rechtsprechung des EuGH und dem künftigen“Privacy Shield” sowie der 2018 in Kraft tretenden EU-Datenschutzgrundverordnung ist durch die Änderung des UKlaG ein weiterer Grund hinzugekommen, das Thema Datenschutz in der Unternehmensstrategie als Priorität zu behandeln.
24. Februar 2016
Es ist ein Zufall, wie er manchmal in der Berichterstattung vorkommt, und er verdeutlicht, wie unterschiedlich die Welten und Ansichten sind wenn es um das Thema Datenschutz geht.
Innerhalb von 5 Stunden veröffentlichte heise online gestern erst die Nachricht über das “düstere Fazit” des Datenschutzbeauftragten von Sachsen-Anhalt, Harald von Bose, und anschließend die Forderung des Kanzleramtsministers Peter Altmaier (CDU), die Grenzen der Datensparsamkeit zu erkennen und das Konzept der informationellen Selbstbestimmung neu zu denken.
Beide Männer haben somit dasselbe Thema, nämlich Datenschutz, aber die Ansichten und Forderungen könnten unterschiedlicher nicht sein.
Während Peter Altmaier die (in solchen Fällen gerne genannte) Terror-Bedrohung als Allzweck-Argument für die massenhafte Erhebung, Verarbeitung und Speicherung von Meta- wie auch persönlichen Daten (und deren Verknüpfung untereinander) heranzieht, sieht Harald von Bose in genau jenem Argument lediglich einen Vorwand, der vor allem dazu diene, den Sicherheitsbehörden (noch) mehr Befugnisse zu geben.
In seinem Tätigkeitsbericht sieht der sachsen-anhaltische Datenschutzbeauftragte Widersprüche zwischen Anspruch und Wirklichkeit. Zwar habe der Europäische Gerichtshof in seinen Entscheidungen zum “Recht auf Vergessen” und zum Verhältnis von EU und USA als nicht sicherem Datenhafen die Grundrechte gestärkt. Umsetzungen in der Praxis ließen aber vielfach auf sich warten. Stattdessen würden die Menschen immer gläserner, ob als Bürger, als Verbraucher, als Kunde, im Verhältnis zum Staat, zu Unternehmen und zu anderen Menschen, auch als Autofahrer, als Patient, zu Hause, am Arbeitsplatz oder in der Öffentlichkeit. Algorithmen erfassen und steuern zunehmend das Verhalten bis hinein in die Gedankenfreiheit, so Harald von Bose in seiner Pressemitteilung vom 23.02.2016.
Im Verhältnis von Freiheit und Sicherheit sieht er den Staat eindeutig auf der Seite der (vermeintlichen) Sicherheit und in der Übermacht. Das, was Harald von Bose also als Gefährdung der Privatsphäre und damit der freien Gesellschaft insgesamt sieht, stellt für Peter Altmaier den aus seiner Sicht wohl wünschenswerten Anfang des Endes der Datensparsamkeit dar. Nach seinen Forderungen sollten sämtliche Daten von sämtlichen Stellen den Sicherheitsbehörden zur Verfügung gestellt und das Konzept der informationellen Selbstbestimmung neu gedacht werden. Man darf davon ausgehen, dass ein solches “neu denken” des Konzepts der informationellen Selbstbestimmung wohl kaum zu mehr Datenschutz für die Bürger führen würde.
Die beiden konträren Ansichten zweier Männer über ein Thema an einem Tag zeigen Fragen auf, die sich Viele stellen:
In welcher digitalen Welt wollen wir leben? Können und wollen wir die digitale Zukunft (und Gegenwart) mitbestimmen? Es sind auch grundsätzliche und persönliche Fragen, die manchen vielleicht an die ein oder andere Schulstunde erinnern: War ich Fan oder Gegner von George Orwells “1984” und Aldous Huxleys “Brave New World”?
Hier geht es um Fragen, die in Form von verschiedenen Themen immer wieder in den Nachrichten oder Foren auftauchen. So z.B. die Übertragung von Gesundheitsdaten an Krankenkassen durch sog. Wearables, die Übertragung des Fahrverhaltens an Autohersteller oder auch die Einschränkung von Suchergebnissen in Internetsuchmaschinen.
Es sind Fragen und Entscheidungen, die möglichst frei und informiert beantwortet und getroffen werden sollten. Sowohl von Jedem einzelnen als auch der Gesellschaft als Ganzem.
Immer wieder wird man um die Hergabe des Personalausweises gebeten, sei es bei der Übernahme eines Mietwagens, im Fitnessstudio oder beim Bezug eines Ferienzimmers. In den meisten Fällen will der Gegenüber “nur schnell eine Kopie” machen und man erhält den Ausweis mit einem Lächeln zurück.
Den ein oder anderen beschleicht an dieser Stelle gelegentlich ein komisches Gefühl, schließlich befinden sich auf dem Ausweis nicht nur jede Menge Daten, sondern es handelt sich auch um ein wichtiges Dokument (“Eigentum der Bundesrepublik Deutschland”), das man nicht gerne aus der Hand gibt. Aber soll man nun wirklich wegen eines “komischen Gefühls” die freundliche Fitnessstudio-Mitarbeiterin irritieren, die Übergabe des Mietwagens hinauszögern oder Komplikationen mit dem Ferienzimmer in Kauf nehmen?
Immer wieder taucht die Frage auf, ob das Kopieren des Personalausweises eigentlich zulässig ist oder nicht.
Auch hier im Blog haben wir schon zu dem Thema berichtet.
Das Bundesministerium des Inneren (BMI) hat hierzu nun kürzlich Stellung bezogen. Wie die Webseite www.datenschutzbeauftragter.info berichtet, habe sich die Ansicht des BMI dahingehend geändert, dass eine Kopie des Persoalausweises unter Einhaltung strenger datenschutzrechtlicher Vorschriften erlaubt sei.
Diese strengen Voraussetzungen werden von www.datenschutzbeauftragter.info wie folgt zusammengefasst:
- Eine Kopie darf nur und ausschließlich zu Identifizierungszwecken verwendet werden und muss erforderlich sein. Im Umkehrschluss bedeutet dies, eine Kopie nicht erforderlich ist, um eine anwesende Person zu identifizieren (hier genügt ja ein menschlicher Blick auf den Ausweis).
- Alle Daten, die nicht zur Identifizierung notwendig sind, können und sollen geschwärzt werden – so z.B. (u.a.) die Serien- und Zugangsnummer. Besonders spannend (und ein Fall für die Frage “Theorie oder Praxis”): Der Betroffene ist auf die Möglichkeit und Notwendigkeit der Sperrung hinzuweisen.
- Die Kopie ist unverzüglich zu vernichten, sobald der mit der Kopie verfolgte Zweck erreicht ist.
- Eine Speicherung der Ausweisdaten ist nach wie vor nach § 20 PAuswG unzulässig – d.h. ein Scannen des Ausweises ist, wie vom Verwaltungsgericht Hannover 2013 entschieden und von uns berichtet, nicht erlaubt.
Zwar erlauben das Telekommunikationsgesetz und das Geldwäschegesetz vereinzelt die Kopie des Personalausweises, jedoch gelten auch hier ähnliche Einschränkungen wie oben.
Mit diesem Wissen im Hinterkopf lässt sich das nächste Mal durchaus die Frage aufwerfen, wozu denn die Kopie des Ausweises benötigt wird (man steht einander ja schließlich gegenüber und ein visueller Abgleich zwischen Ausweis und dem darauf abgebildeten Menschen vor Ort ist ohne Weiteres möglich) und ob, im Falle einer plausiblen Erklärung, denn auch ein deckender schwarzer Stift zur Schwärzung der nicht benötigten Daten bereit liege. Ein freundliches Lächeln kann dabei mit Sicherheit nicht schaden.
22. Februar 2016
In der EU debattiert man derzeit über eine Bargeldobergrenze, um Kriminellen die Arbeit zu erschweren. In den USA wird sogar die gänzliche Abschaffung des Bargeldes vorgeschlagen, denn laut Aussage des ehemaligen US-Finanzministers Larry Summers wäre die Welt ohne Bargeld ein besserer Ort. In einigen Mitgliedstaaten der EU gibt es bereits eine Obergrenze für Barzahlungen, so z. B. in Frankreich i. H. v. 1000 Euro. Allerdings unterscheiden sich die Höhen in den betroffenen Mitgliedsstaaten noch voneinander. In einigen Ländern scheint das Zahlen mit Bargeld ohnehin nicht mehr zeitgemäß zu sein. In Dänemark und Schweden z. B. verzichten viele Bürger auf die Bezahlung mit Bargeld, sondern erledigen ihre Einkäufe auf elektronischem Wege, wie beispielsweise mit dem Smartphone. In Deutschland hingegen sieht das Tableau anders aus. Einer Studie der Bundesbank zufolge zahlen 53% der Deutschen lieber bar, als auf elektronischem Wege. Aus Angst vor dem Verlust personenbezogener Daten lehne der Großteil der Deutschen die Bezahlung mit dem Smartphone ab. Die Angst durch bargeldlose Bezahlung gläsern zu werden, ist auch nicht ganz unbegründet. Allein durch die Zahlung mit der EC-Karte besteht die theoretische Möglichkeit, z. B. durch das Zusammentragen weiterer aus dem Internet gewonnener Informationen ein detailliertes Kundenprofil zu erstellen.
Befürworter der Bargeldobergrenze behaupten, diese sei effizient im Kampf gegen Geldwäsche, Steuerhinterziehung und Terrorfinanzierung. Datenschützer hingegen stehen der Bargelddebatte kritisch gegenüber. Demnach seien in der Argumentation Parallelen zur Vorratsdatenspeicherung vorhanden; auch diese werde mit Terrorbekämpfung begründet. Es bleibt abzuwarten, wie sich die Debatte in der EU weiterentwickeln wird.
19. Februar 2016
Deutschland ist Weltmeister! Aber nicht nur im Fußball sondern, und dies ist für Betroffene kein Grund zur Freude, auch was die Zahl der Neuinfektionen mit dem Krypto-Trojaner Locky angeht, ist Deutschland an der Spitze. Mit stündlich über 5000 (!) Neuinfektionen verweisen wir die Niederlande (beim Fußball deutlich lieber gesehen) und die USA auf die Ränge zwei und drei. Da passt es, dass Locky Betroffenen in Deutschland die Lösegeldforderungen, statt wie bisher nur auf Englisch, nun auch auf Deutsch unterbreitet.
Ransomware wie Locky funktioniert dabei immer nach dem gleichen Prinzip. Einmal, bevorzugt per Email, unbemerkt ins System gelangt, beginnt das Schadprogramm sofort damit, sämtliche Dateien zu verschlüsseln. Teil des Erfolges ist dabei, dass sich das Programm zuerst solche Dateien vornimmt, die am längsten nicht geändert bzw. verwendet worden sind. So bleibt eine Infektion meist länger unbemerkt. Im schlimmsten Fall so lange, bis auch Backups infiziert sind. Betroffene werden sodann aufgefordert mittels TOR Kontakt zu den Kriminellen aufzunehmen und dann per Bitcoins einen Key zur Entschlüsselung zu “kaufen”. Durch den Einsatz anspruchsvoller Verschlüsselungstechnik wie RSA ist eine Entschlüsselung auf eigene Faust völlig aussichtslos.
Wie Nutzer berichten, gehen die Erpresser dabei immer zielgerichteter und perfider vor. Emails werden an mehrere Nutzer aus dem selben Unternehmen versandt. Wenn die Kollegen, mit denen man täglich Emails austauscht, mit in der Adress- oder Kopieleiste auftauchen, erhöht sich offensichtlich die Wahrscheinlichkeit deutlich, dass Empänger die Mails samt Anhang, gerne xls-Dateien, öffnen.
Besonders wichtig, neben der ständigen Aktualisierung der Systeme sowie einer ausgeklügelten Backup-Routine, ist deshalb die laufende Sensibilisierung der Mitarbeiter. Nur wenn das Bewusstsein geschaffen und laufend aufgefrischt wird, dass die Bedrohung durch infizierte Mails real und allgegenwärtig ist, ist ein wirksamer Schutz möglich. Die wirksamen Maßnahmen dürften dabei heutzutage wohl allen Nutzern eigentlich bekannt sein. 5000 Neuinfizierungen am Tag sprechen aber dafür, dass man sie nicht oft genug wiederholen kann:
1. Keine Mails von unbekannten Absendern öffnen.
2. Verdächtige Anhänge niemals öffnen sondern im Zweifel immer die IT-Verantwortlichen um Rat fragen.
3. Wachsam sein und den gesunden Menschenverstand einschalten: Eine Rechnung z.B. wird typischerweise nicht an viele Empfänger gleichzeitig und nicht als Word-Dokument verschickt.
18. Februar 2016
Zwischendurch auf der Arbeit schnell nach einem neuen Urlaubsziel suchen oder die Filmstarts der Woche recherchieren – die private Nutzung des Internets auf der Arbeit ist inzwischen üblich und für viele selbstverständlich. Dass das Thema “private Nutzung der dienstlichen IT am Arbeitsplatz” kein einfaches Thema ist und sowohl Arbeitgeber als auch Gerichte immer wieder beschäftigt, zeigen verschiedene Urteile der letzten Zeit.
Wie beck-aktuell berichtet, hat sich nun erneut ein Gericht mit dem Thema beschäftigt, diesmal das LAG Berlin-Brandenburg. Es hat am 14. Januar 2016 entschieden, dass der Arbeitgeber nicht nur den Browserverlauf seines Arbeitnehmers einsehen, sondern die gefundenen Ergebnisse auch als Grundlage der folgenden Kündigung nutzen darf. Anders als oft üblich, hatte der Arbeitgeber dem Arbeitnehmer den Arbeitscomputer ausschließlich zu dienstlichen Zwecken überlassen.
Nach Auffassung des LAG handele es sich hinsichtlich des Browserverlaufs zwar um personenbezogene Daten, in deren Kontrolle der Arbeitnehmer nicht eingewilligt habe. Eine Verwertung der Daten sei jedoch statthaft, weil das Bundesdatenschutzgesetz eine Speicherung und Auswertung des Browserverlaufs zur Missbrauchskontrolle auch ohne eine derartige Einwilligung erlaube und der Arbeitgeber im vorliegenden Fall keine Möglichkeit gehabt habe, mit anderen Mitteln den Umfang der unerlaubten Internetnutzung nachzuweisen.
Das LAG Berlin-Brandenburg hat die Revision beim BAG zugelassen. Wir bleiben gespannt, wie dieses entscheiden wird.
Zum Thema “Überwachung am Arbeitsplatz” empfehlen wir auch die Orientierungshilfe der Datenschutzbehörden des Bundes und der Länder, über die ebenfalls hier im Blog berichtet wurde.
17. Februar 2016
Nachdem im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG) geändert wurde, stellt das Bundesministerium des Inneren (BMI) den Entwurf einer Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) vor.
Im Rahmen der Änderungen des BSIG im vergangenen Sommer wurden unter anderem die §§ 8a ff. BSIG eingeführt. Diese Vorschriften verpflichten die Betreiber von Kritischen Infrastrukturen besondere Sicherheitsmaßnahmen zu treffen, um Mindestsicherheitsstandards für informationstechnische Systeme zu implementieren. Wer bisher eine kritische Infrastruktur betrieb, war nicht eindeutig geregelt. Das BMI hat zwischenzeitlich von seiner Verordnungsermächtigung Gebrauch gemacht und in einem ersten Korb der Verordnung teilweise bestimmt, welche Anlagen unter den Begriff “Kritische Infrastruktur” zu subsumieren sind. Auf dieser Grundlage lässt sich ein erster Adressatenkreis des BSIG bestimmen.
In diesem ersten Korb werden Schwellenwerte für Anlagen und Dienstleistungen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung festgelegt. Hierbei ging der Verordnungsgeber in drei Schritten vor, wobei jeweils mit Vertretern der verschiedenen Branchen zusammengearbeitet wurde. In einem ersten Schritt wurde abgestimmt, welche Dienstleistungen eines Sektors als kritisch anzusehen sind. In einem zweiten Schritt wurden die Anlagenkategorien identifiziert, die zur Erbringung dieser Dienstleistung erforderlich sind. Schließlich werden in der BSI-KritisV Schwellenwerte für solche Anlagen und Teile von Anlagen festgelegt, die als hinreichend bedeutsame Anlagen zur Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.
Nach Schätzungen des BMI erfüllen circa 680 Anlagen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung die Schwellenwerte der BSI-KritisV. Im Frühjahr 2016 soll die BSI-KritisV in Kraft treten. Ab dem Zeitpunkt des Inkrafttretens haben die betroffenen Betreiber Kritischer Infrastrukturen 2 Jahre Zeit, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
Für die übrigen Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen sollen bis Ende 2016 Bestimmungen zur Definition Kritischer Infrastrukturen festgelegt werden.
11. Februar 2016
Viele Unternehmen nutzen Facebook um sich dort den Facebooknutzern zu präsentieren, neue Kunden zu gewinnen, bestehende Kunden zu binden, Umfragen zu starten und generell im sozialen Netzwerk präsent zu sein. Diese sogenannten Fanpages von Unternehmen stehen seit einiger Zeit in der Kritik des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (i.F.: ULD).
Nun findet noch diesen Monat die Verhandlung über die Zulässigkeit solcher Fanpages vor dem Bundesverwaltungsgericht statt.
Der Hintergrund stellt sich wie folgt dar:
Im November 2011 hat das ULD gegenüber einer GmbH aus Schleswig-Holstein die Deaktivierung der Fanpage der GmbH angeordnet. Gegen diese Anordnung hat die GmbH Klage vor dem Verwaltungsgericht Schleswig erhoben. Im Wesentlichen ging es um die Frage, ob die GmbH als verantwortliche Stelle i.S.d. § 3 VII BDSG zu sehen ist.
Das Verwaltungsgericht Schleswig hat diese Frage verneint und die Anordnung des ULD in der Fassung des Widerspruchsbescheides aufgehoben.
Auch das Oberverwaltungsgericht Schleswig als Berufungsinstanz hat festgestellt, dass die GmbH weder einen rechtlichen noch tatsächlichen Einfluss auf die Datenverarbeitung durch facebook.com innerhalb der Umgebung von facebook.com hat und somit keine verantwortliche Stelle i.S.v. § 3 VII BDSG ist.
Wegen der grundsätzlichen Bedeutung der Sachfrage hat das Oberverwaltungsgericht jedoch die Revision beim Bundesverwaltungsgericht zugelassen.
Die Gerichtsverhandlung findet am 25.02.2016 statt und wird mit Spannung erwartet.
9. Februar 2016
Die Datenschutzbehörden der Länder und des Bundes haben eine Orientierungshilfe zum Thema “Überwachung der privaten und beruflichen Internetkommunikation der Arbeitnehmer” veröffentlicht. Demnach sei es Arbeitnehmern grundsätzlich nicht erlaubt, betriebliche E-Mail -und Internetdienste zu privaten Zwecken zu verwenden. Zu beachten seien das Bundesdatenschutzgesetz sowie einschlägige arbeitsrechtliche Entscheidungen. Der Arbeitgeber habe das Recht, anhand der Protokolldaten stichprobenartig zu kontrollieren, ob die Internetnutzung rein betrieblich erfolgt. Die Kontrolle des Surfverhaltens sei zunächst personenunabhängig durchzuführen, da eine personenbezogene Vollkontrolle einen schwerwiegenden Eingriff in das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung des Arbeitnehmers darstelle. Daher sei eine personenbezogene Vollkontrolle nur bei konkretem Missbrauchsverdacht unter den Voraussetzungen des § 32 Abs. 1 S. 2 BDSG zulässig. Art und Ausmaß der Überwachung müssen verhältnismäßig sein. Die betriebliche E-Mail-Kommunikation dürfe der Arbeitgeber zur Kenntnis nehmen, wobei eine automatisierte Weiterleitung aller ein- und ausgehenden E-Mails einer permanenten Kontrolle gleichkäme und daher nicht zulässig ist.
Dem Arbeitgeber stehe es frei, die private Nutzung der E-Mail -und Internetdienste in vollem Umfang oder beispielsweise zeitlich begrenzt zu erlauben. Dies könne z. B. ausdrücklich im Arbeitsvertrag erlaubt sein oder durch konkludente Genehmigung erfolgen. Von einer konkludenten Genehmigung sei auszugehen, wenn der Arbeitgeber die private Nutzung der betrieblichen Internetkommunikation wissentlich über einen längeren Zeitraum dulde und somit eine sog. “betriebliche Übung” anzunehmen wäre.
Sofern der Arbeitgeber privates Internetsurfen gestattet, ist er als Dienstanbieter nach dem TKG anzusehen und hat die Datenschutzbestimmungen des TMG zu beachten. Er ist folglich zur Achtung des Fernmeldegeheimnisses verpflichtet und darf auf Protokolldaten nur dann zugreifen, wenn eine wirksame Einwilligung des Arbeitnehmers vorliegt.
Die Überwachung der Internetkommunikation sog. “Geheimnisträger” (z.B. Betriebsräte) unterliegt naturgemäß noch strengeren Regeln.
Nach Aussage der Aufsichtsbehörden empfiehlt es sich, die Details der Überwachung am Arbeitsplatz in Betriebsvereinbarungen zu statuieren.
Pages: 1 2 ... 123 124 125 126 127 ... 205 206 
