Ohne Datenschutzbeauftragten droht Bußgeld

Noch immer scheinen es viele Verantwortliche nicht zu wissen, aber so gut wie jedes Unternehmen muss einen betrieblichen Datenschutzbeauftragten bestellen. Bei Zuwiderhandlung droht ein Bußgeld von bis zu 50.000 Euro. Die Aufsichtsbehörden wollen verstärkt die ordentliche Bestellung eines Datenschutzbeauftragten in Unternehmen überprüfen.

Es gibt nur wenige Unternehmen, die nicht auf die eine oder andere Art personenbezogene Daten verarbeiten. Gemeint sind damit Informationen, die einer bestimmten Person zuzuordnen sind, wie beispielsweise Namen, Adressen, Telefonnummern oder Bankdaten von Mitarbeitern, Kunden oder Dienstleistern.

Unternehmen sind dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn

  • entweder eine Art der Datenverarbeitung eingesetzt wird, die einer Vorabkontrolle unterliegt oder
  • personenbezogene Daten geschäftsmäßig (z.B. Adresshandel) oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden oder
  • mehr als neun Mitarbeiter automatisiert mit personenbezogenen Daten arbeiten.

Beim betrieblichen Datenschutzbeauftragten kann es sich um einen Angestellten handeln, dem neben seiner sonstigen Tätigkeit nachweislich die Zeit, Fortbildungen und Mittel zur Verfügung gestellt werden müssen, damit er diese Funktion erfüllen kann. Oder es kann ein externer Dienstleister mit den datenschutzrechtlichen Belangen des Unternehmens betraut werden.

Die Aufsichtsbehörden gehen immer mehr dazu über, anlasslos die Einhaltung der datenschutzrechtlichen Anforderungen bei Unternehmen in ihrem jeweiligen Zuständigkeitsbereich zu überprüfen. Die ordnungsgemäße Bestellung eines Datenschutzbeauftragten gehört dabei zu den Kernpunkten. Das bayerische Landesamt für Datenschutzaufsicht ist bereits von der zunächst ausschließlichen Dokumentenprüfung dazu übergegangen, Unternehmen auch vor Ort zu überprüfen. Nun hat auch die saarländische Landesdatenschutzbeauftragte eine mehrstufige Prüfung der Unternehmen in ihrem Bundesland angekündigt. Anlass gab hier der Fall eines saarländischen Unternehmens, das sich zunächst geweigert hatte, die datenschutzrechtlichen Anforderungen zu erfüllen und erst nach der Vollstreckung eines Bußgeldes einen Datenschutzbeauftragten bestellte.

Während Sanktionen in den Anfangsjahren des Bundesdatenschutzgesetzes mehr dem Bereich der Theorie angehörten, sind die Aufsichtsbehörden inzwischen immer weniger zögerlich im Gebrauch der ihnen zur Verfügung stehenden Mittel und Maßnahmen. Zuletzt machte der Fall der Waschstraßenkette Mr. Wash Schlagzeilen. Das Unternehmen war wegen der massiven Videoüberwachung seiner Kunden und Mitarbeiter aufgefallen. Neben der Strafe von 54.000 Euro für die viel zu weit gehenden Kameraaufzeichnungen verhängte der Landesdatenschutzbeauftragte von Nordrhein-Westfalen ein zusätzliches Bußgeld von 10.000 Euro für die Tatsache, dass das Unternehmen nicht nachweisen konnte, einen Datenschutzbeauftragten bestellt zu haben. Dabei kam dem Unternehmen zugute, dass als Motivation für die Datenschutzverstöße Fahrlässigkeit angenommen wurde und dass es sich während der Untersuchungen der Aufsichtsbehörde kooperativ verhalten habe. Bei einer anzunehmenden Vorsätzlichkeit wären deutlich höhere Strafen möglich.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Die Fachkunde des Datenschutzbeauftragten

Viele Unternehmen sehen die gesetzliche Vorgabe zur Bestellung eines Datenschutzbeauftragten als lästige Pflicht an. Daher wird oftmals ein Mitarbeiter, der der Geschäftsführung nahesteht oder dem sonst großes Vertrauen entgegengebracht wird, zum Datenschutzbeauftragten bestellt – und eben nicht derjenige mit der größten Fachkunde. Die Bestellung eines nicht fachkundigen Mitarbeiters zum Datenschutzbeauftragten stellt jedoch eine Ordnungswidrigkeit dar und kann mit bis zu 50.000 € Bußgeld geahndet werden. Leider lässt das Gesetz unklar, was genau unter dem Begriff der Fachkunde zu verstehen ist. Genauere Anforderungen haben sich jedoch inzwischen in der Praxis herauskristallisiert und werden im Folgenden dargelegt.

Was ist die Fachkunde des Datenschutzbeauftragten?

Zunächst ist klarzustellen, dass Fachkunde kein starrer Begriff ist, sondern sich jeweils am Ausmaß der Verarbeitung im Unternehmen und dem Schutzbedarf der personenbezogenen Daten orientiert. Je sensibler und umfangreicher die Daten sind, desto höher muss die fachliche Qualifikation des Datenschutzbeauftragten sein. Ein allgemeingültiges, gleichbleibendes Anforderungsprofil gibt es dabei nicht. Das Profil kann sich sogar im Laufe der Ausübung der Tätigkeit des Datenschutzbeauftragten noch ändern oder weiterentwickeln. Ein paar Gemeinsamkeiten lassen sich jedoch trotzdem finden.

[av_sidebar widget_area=’artikelserie-dsb’ av_uid=’av-2oijbk’]

Juristische und branchenspezifische Kenntnisse des Datenschutzbeauftragten

Grundsätzlich muss jeder Datenschutzbeauftragte zunächst allgemeine rechtliche Kenntnisse vorweisen können. Diese setzen sich vor allem aus dem allgemeinen Persönlichkeitsrecht, insbesondere in seiner Ausprägung als Recht auf informationelle Selbstbestimmung, den Datenschutzprinzipien, den Vorschriften des BDSG und dem Arbeitsrecht zusammen. Eine fundierte juristische Ausbildung ist hierbei nicht zwingend nötig, jedoch sollten rechtliche Grundlagen beherrscht werden. Daneben werden auch Kenntnisse der technischen Vorschriften des Datenschutzes, wie z. B. die nach §9 BDSG und dessen Anlage, verlangt, da ohne solche Kenntnisse die Kontrolle der IT-Systeme kaum ordnungsgemäß durchführbar ist.

Dazu werden ergänzend jeweils detaillierte branchenspezifische Spezialkenntnisse vorausgesetzt. Je nach Branche erweitert sich das Spektrum der anwendbaren Vorschriften und Gesetze nämlich dramatisch. Der Datenschutzbeauftragte einer Apotheke muss beispielsweise wesentlich tiefere Kenntnisse im Bereich der rechtlichen Behandlung von Patientendaten und dem Risiko der Offenbarung von Privatgeheimnissen vorweisen können, als derjenige eines Autohändlers. Ergänzende Vorschriften können sich beispielsweise aus dem Sozialgesetzbuch, dem Telemediengesetz, dem Strafgesetzbuch oder auch europäischen Verordnungen ergeben.

Als ob das nicht schon genügen würde, werden auch noch allgemeine Kenntnisse in der Informationstechnologie, allgemeinen betriebswirtschaftlichen Abläufen und den Wechselwirkungen innerhalb des eigenen Unternehmens verlangt.

Datenschutzbeauftragte haben ein Recht auf Schulung

Das bedeutet aber nicht, dass der Datenschutzbeauftragte in all diesen Materien ein Experte sein muss. Es genügt wenn Kenntnisse in diesen Bereichen in ausreichendem Maße vorhanden sind. Beim Erwerb und Erhalt dieser Kenntnisse wird der Datenschutzbeauftragte glücklicherweise auch nicht allein gelassen. Die Geschäftsführung ist nämlich gesetzlich verpflichtet, dem Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungen zu ermöglichen.

Der Datenschutzbeauftragte kann also verlangen, dass er für die Zeit der Fortbildung von seiner eigentlichen Tätigkeit freigestellt wird und die Kosten der Fortbildung von den Unternehmen getragen werden. Die Häufigkeit dieser Fortbildungen orientiert sich ebenfalls am Schutzbedarf und am Umfang der vom Unternehmen verarbeiteten Daten, kann dabei aber auch von Änderungen der tatsächlichen oder rechtlichen Rahmenbedingungen abhängen. So ist der Schulungsaufwand für den Datenschutzbeauftragten eins Handwerksbetriebes wesentlich geringer, als der einer Bank.

Letztendlich gilt das Motto „ohne Schulung keine Fachkunde“, da wohl nur die allerwenigstensten Mitarbeiter eines Unternehmens alle nötigen Fachkenntnisse besitzen, um die Stelle als Datenschutzbeauftragter sinnvoll besetzen zu können.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Canvas Fingerprinting – Tracking mit Bildern

Auf zahlreichen Webseiten wird ein neues Trackingverfahren eingesetzt, dessen datenschutzrechtliche Zulässigkeit noch ungeklärt ist. Der Einsatz des Verfahrens erfolgt teilweise ohne das Wissen der Webseitenbetreiber, die daher ihre Informationspflicht gegenüber den Nutzern verletzen.

Es gibt ein neues Trackingverfahren mit Bildern statt mit Cookies. Forscher der Universitäten Princeton (USA) und Leuven (Belgien) haben festgestellt, dass bereits auf 5 Prozent der 100.000 populärsten Webseiten Canvas Fingerprinting eingesetzt wird. Die Forscher veröffentlichten eine Liste mit betroffenen Webseiten. Einige der dort aufgeführten Betreiber zeigten sich überrascht. Das Tracking-Verfahren kann nämlich auch ohne die Kenntnis des Webseitenbetreibers zum Einsatz kommen. Dabei implementierten Vermarktungspartner der betroffenen Webseitenbetreiber über Werbemitteleinbindung Skripte zum Canvas Fingerprinting auf den betroffenen Webseiten. Die Skripte selbst stammen von AddThis oder Ligatus. Die Webseitenbetreiber wurden über das Tracking nicht informiert.

Wie kann ich mich als Nutzer schützen?

Die Erstellung der ID kann nicht wie bei Cookies durch Browsereinstellungen verhindert werden. Auch der Inkognito-Modus hilft hier nicht weiter, da dennoch eine ID erstellt wird. Ebenfalls können Werkzeuge wie Adblocker die Erstellung der ID nicht verhindern. Das Tor-Projekt hat eine entsprechende Funktion entwickelt, die wenigstens die Nutzer warnt, wenn ein Canvas Fingerprint erstellt werden soll. Ein Schutz bietet der Einsatz von Noscript oder die Deaktivierung von Javascript. Aufgrund der Vielfältigkeit der Javascripte ist letzteres jedoch weniger effektiv.

Was ist datenschutzrechtlich zu beachten?

Die Landesämter haben bisher noch keine umfassende Stellung zum Einsatz des neuen Verfahrens bezogen. Der Datenschutzbeauftragte von Schleswig-Holstein weist darauf hin, dass es sich bei einem Fingerprint im Prinzip um ein Pseudonym handelt und somit § 15 Abs.3 TMG einschlägig ist. Ein Webseitenbetreiber sollte somit in der Datenschutzerklärung auf den Zweck der Datenerhebung und auf eine Widerspruchsmöglichkeit hinweisen. Addthis stellt ein Opt-out-Cookie zur Verfügung.

INFOBOX: Wie funktioniert das Trackingverfahren technisch?
Statt einer Textdatei wird ein eindeutiger Fingerabdruck aus den Profilinformationen des Browsers des Nutzers erstellt. Das Verfahren nutzt das Canvas-API von HTML5, um aus Profildaten ein Bild zu erstellen, das in einen Hashwert umgerechnet wird. Ein Canvas-Element ist ein mit Höhen- und Breiten-Angaben beschriebener Bereich, in den per JavaScript gezeichnet werden kann. Bei Canvas-Elementen variiert die Darstellung eines Textes je nach verwendetem Browser, installierten Plugins, Zeitzone, CPU, GPU, Betriebssystem und weiteren Parametern. Übermittelt man dem Browser eines Nutzers einen Text zur Anzeige (z.B. Werbung), so wird dieser Text in einer einzigartigen Form wiedergegeben. Der Inhalt der Canvas wird in eine DATA-URL umgewandelt und ein Hash-Wert erzeugt. Der Hashwert wird an den Webserver der Webdienstleister übermittelt und serverseitig gespeichert. Auf Grundlage dieses Hash-Wertes kann ein Nutzer beim Besuch anderer Webseiten wiedererkannt und sein Surfverhalten verfolgt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Dropbox: Datenschutz und Datensicherheit

An der Dropbox scheiden sich die Gemüter: Wer schon eimal ausprobiert hat, wie praktisch das Tool für die tägliche Arbeit ist, will kaum wieder darauf verzichten. Andererseits ist nach zahlreichen Negativschlagzeilen immer ein mulmiges Gefühl dabei, wenn man an die Sicherheit der Daten denkt, die man dem Unternehmen anvertraut. Sie müssen aber nicht auf die Vorteile der Dropbox verzichten, wenn Sie mit eigenen Maßnahmen für die Sicherheit ihrer persönlichen Daten sorgen.

Im Web-Interface von Dropbox kann man Dateien hochladen, kopieren, umbenennen und mit anderen teilen. Kopiert man Dateien in diesen Ordner, sind diese für von überall über den Browser abrufbar.

Die eigentliche Stärke von Dropbox liegt aber in der Integration ins Betriebssystem. Dropbox lässt sich in Mac OS X, in Windows und in Linux integrieren und ist damit sehr einfach zu benutzen. In der Stärke liegt aber auch zugleich die große Schwäche.

Wird nun eine Datei von jemanden hochgeladen, dann prüft Dropbox, ob diese Datei bereits von jemand anderem hochgeladen wurde. Existiert eine Datei mit der Prüfsumme, dem passenden Datum und Namen schon auf den Servern von Dropbox, dann muß Dropbox die eigentliche Datei gar nicht mehr bekommen, denn Dropbox hat ja bereits passende Daten. Es genügt also serverseitig, die Datei auf dem Dropbox-Server für diesen Kunden sichtbar zu machen. Das ist schnell, spart Bandbreite und für Dropbox spart es Speicherplatz.

Durch die Installation des Dropbox-Clients wird auf dem Rechner ein neuer Ordner erstellt: die Dropbox. Alle darin gespeicherten Dateien werden auf einen zentralen Server kopiert. Bei Änderungen innerhalb einer Datei werden nur die geänderten Bereiche übertragen. Als zentrales Speichersystem wird hierbei S3 von Amazon verwendet. Serverseitig werden die Dateien mit einer AES-Verschlüsselung versehen. Die Nutzer können für diese Verschlüsselung keine eigenen Schlüssel anlegen.

Bis vor einiger Zeit hatten die Betreiber von Dropbox noch behauptet, dass die hochgeladenen Dateien von niemandem eingesehen werden könnten und somit die anvertraute Daten sicherer seien als auf dem eigenen Computer. Nach einer massiven Datenpanne ist das Unternehmen vorsichtiger mit solchen Aussagen geworden.

Wenn aber Dropbox schon staatlichen Behörden uneingeschränkten Zugang zu den Daten der Kunden gestattet, sollte man generell skeptisch sein. Jetzt hat sich aber auch noch das Onlinemagazin Weird bei der amerikanischen Handelsbehörde Federal Trade Commision (FTC) über das Geschäftsgebaren und den offensichtlich mangelhaften Datenschutz bei Dropbox beschwert, wie hier im PDF dokumentiert ist.

Dropbox selbst ist aktuell auch nicht nach gängigen internationalen Normen zertifiziert. Auf der Webseite sagt das Unternehmen dazu folgendes:

Frage: “Is Dropbox HIPAA, FERPA, SAS 70, Safe Harbor, ISO 9001, ISO 27001, or PCI compliant?”

Antwort: “Unfortunately, Dropbox does not currently have any of these certifications. We are working on getting EU Safe Harbor certification. We’ll update this page with any new certifications as we receive them, so please do check back.”

Wer seine persönlichen Daten einem Onlinespeicherdienst anvertraut, geht generell ein Risiko ein und somit ist es auch nicht verwunderlich, dass die Betreiber von Dropbox allen möglichen Behörden und staatlichen Institutionen Zugriff auf die gespeicherten Dateien seiner Nutzer gewährt.

Aber wie macht man die Dropbox sicherer?

Ist es nötig, jedesmal abzuwägen, ob die Daten, mit denen ich heute arbeite zu sensibel sind, um sie in die Dropbox zu kopieren? Besser ist es, die Daten egal wie wichtig sie sind, grundsätzlich immer zu verschlüsseln.

Es besteht die Möglichkeit, beispielsweise mit Truecrypt verschlüsselte Dateien über den Dropbox-Dienst zu synchronisieren. Dieses systemübergreifende Programm ist open source und kostenlos. Im einfachsten Fall verschlüsselt man seine Daten, bevor man sie in den Dropbox-Ordner legt und entschlüsselt sie, wenn man sie wieder lesen will. Der Umgang mit den Dateien wird dadurch nur ein wenig umständlicher, der Schutz der eigenen Informationen sollte es aber Wert sein, sich diesen kleinen Umweg anzugewöhnen. Dropbox selbst empfiehlt, mit wichtigen Daten so umzugehen.

Nachtrag im Februar 2014:
Aktuell plant ein Team von Sicherheitsforschern, Truecrypt einer umfassenden Prüfung zu unterziehen. Sie haben keinen konkreten Verdacht, aber wollen kontrollieren, ob die von Truecrypt bereitgestellten Binärversionen tatsächlich ausschließlich aus dem veröffentlichten Quellcode bestehen. Vielen Dank an unseren Leser Martin für den Hinweis!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Bring Your Own Device: So begegnen Sie den Herausforderungen

Die Qualitätsansprüche von Endnutzern an mobile IT-Geräte wachsen – damit auch der Unwille, sich am Arbeitsplatz mit weniger leistungsfähigem Equipment zufrieden zu geben. Immer mehr Arbeitnehmer bringen daher ihre eigenen Geräte mit ins Unternehmen. Da sich die Arbeitgeber dadurch ebenfalls Vorteile erhoffen, hält das Phänomen “Bring Your Own Device” (BYOD) auf breiter Fläche Einzug in deutsche Unternehmen. Damit dabei mehr Nutzen als Schaden entsteht, sind einige technische und organisatorische Vorkehrungen jedoch unerlässlich.

Die meisten Unternehmen erkennen darin einen Mehrwert für sich, wenn ihre Mitarbeiter private Endgeräte für die Arbeit nutzen. Neben Kostenvorteilen ist auch die dadurch gesteigerte Flexibilität der Beschäftigten ein Plus für das Unternehmen: Der Übergang zwischen Arbeits- und Freizeit wird durchlässiger, die Mitarbeiter arbeiten oft effektiv länger, weil sie mit den privaten Geräten auch die Arbeit aus dem Büro mitnehmen. Außerdem wollen Firmen insbesondere für hart umworbenes, qualifiziertes Fachpersonal attraktiv bleiben, das eine Einschränkung der erlaubten Arbeitsmittel schon jetzt weitgehend nicht mehr für akzeptabel hält.

Wie jede Neuerung bringt BYOD auch Herausforderungen mit sich, denen auf Unternehmensebene sinnvoll zu begegnen ist. Vor allem werden über Jahre mühevoll entwickelte und oft auch teure Datenschutz- und Datensicherheits-Mechanismen bedeutungslos, wenn vertrauliche Daten über private Geräte verarbeitet werden, auf denen die unternehmensinternen Schutzmechanismen schlicht nicht greifen.

Die meisten Unternehmen sind sich bewusst, dass eine Verletzung der Datensicherheit teuer bis existenzgefährdend für sie sein kann. Deshalb wird auch unabhängig von Compliance-Anforderungen viel Energie in den Schutz von Daten investiert. Daher ist es erstaunlich, dass sich viele Verantwortliche in Organisationen, in denen BYOD längst gelebte Praxis ist, bisher kaum Gedanken über die Absicherung in diesem Bereich gemacht haben.

Einer Studie von Dimensional Research zufolge betrachten 72 % der Befragten unvorsichtige Beschäftigte als eine größere Gefahr für die Datensicherheit als Hacker-Angriffe. Dennoch ist ein grundsätzliches Verbot, private Geräte zu nutzen, nicht notwendig – zumal häufig gegen ein solches Verbot verstoßen wird. Sinnvoller ist eine praktikable BYOD-Policy. Dabei muss ein Unternehmen nicht nur eine Richtlinie formulieren und kommunizieren, sondern auch Lösungen für deren praktische Umsetzung anbieten, indem beispielsweise notwendige Sicherheitssoftware zur Verfügung gestellt und die Möglichkeit gegeben wird, dass die IT-Abteilung sich um die Implementierung kümmert. Um Unstimmigkeiten zu vermeiden, sollte eine transparente Kostenregelung für solche Maßnahmen existieren, die auch ihre steuerliche Behandlung zwischen Mitarbeiter und Arbeitgeber eindeutig klärt.

Auf folgende Punkte sollten Sie achten:

Zunächst muss definiert werden, auf welche Daten mit unternehmensfremder Hardware überhaupt zugegriffen werden kann und wo das nicht erforderlich ist. Daten, die nicht über private Geräte erreicht werden müssen, sollten auch in einem Bereich liegen, auf den ein solcher Zugriff technisch nicht möglich ist.
Zugriffe sollten zuordenbar sein. Mitarbeiter sollten sich immer über ein Anmeldeverfahren mit individuellem Passwort identifizieren, um über eigene Geräte Zugang zum Firmennetzwerk zu erhalten. Um die Integrität der Unternehmensdaten zu gewährleisten, sollten die Zugriffe und vorgenommenen Änderungen nachvollziehbar protokolliert werden.

Ebenso wie innerhalb des Unternehmens müssen vertrauliche Daten auf privaten Geräten und während der Übermittlung zwischen dem Firmennetzwerk und dem Endgerät des Mitarbeiters vor unbefugtem Zugriff geschützt werden. Die gleichen Sicherheitsanforderungen bezüglich Virenschutz, Verschlüsselung und gesicherter Datenverbindung, die innerhalb des Unternehmens gültig sind, müssen daher auch auf den privaten Geräten umgesetzt werden. Richtlinien für Backups und Löschfristen sind auch auf Privatgeräten einzuhalten.

Eine besondere Herausforderung stellt sich in diesem Zusammenhang bei mobilen Geräten, die sowohl privat als auch geschäftlich genutzt werden, durch Apps, die oft unbemerkt durch den Nutzer Daten an ihre Hersteller und verbundene Unternehmen übertragen. Sehr häufig greifen Apps beispielsweise auf das Adressbuch von Smartphones und Tablets zu. Auch wenn ein Mitarbeiter für sich in Kauf nimmt, durch die Nutzung solcher Apps seine privaten Daten preiszugeben, kann er die gleiche Entscheidung natürlich nicht für Unternehmensdaten treffen, sondern ist verpflichtet, diese vor einem solchen Zugriff zu schützen.

Eine technische Lösung dafür bieten Datencontainer für mobile Geräte. Alle geschäftlichen Daten werden innerhalb dieses abgetrennten Containers verarbeitet und gespeichert. Die Lösung der Firma Good Dynamics beispielsweise bietet auch ein separates E-Mail-Programm, einen eigenen Browser und einen getrennten Personal Information Manager (PIM) für die Verwaltung von Kontakten, Aufgaben und Terminen an. Sämtliche Daten, die über diese Programme verarbeitet werden, bleiben im geschützten Datencontainer und kommen nicht mit privaten Anwendungen in Berührung.

Ein weiteres Problem, das die Trennung von privaten und geschäftlichen Daten erforderlich macht, ist der gesetzlich vorgeschriebene Schutz der Privatsphäre des Arbeitnehmers. Das Unternehmen muss im eigenen Interesse beispielsweise die Möglichkeit haben, über private Geräte verarbeitete Daten automatisiert zu sichern beziehungsweise über Remote-Funktionen zu löschen, wenn es deren Vertraulichkeit gefährdet sieht. Dabei ist aber zu vermeiden, dass von den Maßnahmen auch die privaten Daten des Mitarbeiters betroffen sind. Auch deshalb ist eine Container-Lösung, die die strikt getrennte Behandlung von privaten und geschäftlichen Daten erlaubt, von Vorteil.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Inkassodienste und Datenschutz: Rechtskonformes Forderungsmanagement

Hohe Außenstände können empfindliche Auswirkungen auf die Liquidität haben. Daher beauftragen Unternehmen gerne Inkassobüros mit der der Beitreibung ausstehender Forderungen. Notwendigerweise werden dabei personenbezogene Daten der Schuldner verarbeitet, die teils sensibler Natur sind. Darum gelten hier besondere Regelungen zum Schutz dieser Informationen.

Welche Bestimmungen bei der Durchführung des Forderungsmanagements zu beachten sind, hängt von der Vertragsgestaltung zwischen dem Gläubiger und dem Inkassounternehmen ab:

Factoring: Übertragung der Forderung

Tritt ein Gläubiger seine Forderung in Form eines Verkaufs an ein Inkassounternehmen ab, handelt es sich datenschutzrechtlich um den Fall einer Funktionsübertragung. Das Inkassobüro macht die Forderung anschließend im eigenen Namen geltend und handelt nicht weisungsgebunden. Bei diesem Verfahren wählt das Inkassounternehmen die Maßnahmen zur Beitreibung der Forderung eigenverantwortlich.

Die Erhebung und Verarbeitung der Daten durch das Inkassounternehmen erfolgt in dem Fall für eigene Geschäftszwecke und unterliegt somit den Vorschriften des § 28 Abs. 1 Bundesdatenschutzgesetz (BDSG).

Der Gläubiger kann sich bezüglich der Übermittlung der Daten an das Inkassounternehmen ebenfalls auf die genannte Regelung berufen. Die Begleichung der Forderung kann als berechtigtes Interesse des übermittelnden Unternehmens angesehen werden. So schätzt etwa der Datenschutzbeauftragte des Landes Rheinland-Pfalz den Sachverhalt in seinem 23. Tätigkeitsbericht ein.

Die Vorschrift greift jedoch nur so lange, wie kein schutzwürdiges Interesse des Schuldners überwiegt. Vorsicht ist beispielsweise dann geboten, wenn das beauftragte Inkassounternehmen gleichzeitig als Auskunftei tätig ist. In einem solchen Fall sind vor allen Dingen zwei Punkte zu beachten:

  • Zweckgebundenheit der Datenübermittlung an das Inkassounternehmen: Das Inkassounternehmen darf die ihm zum Zwecke des Forderungseinzugs übermittelten Daten ausschließlich dafür verwenden. Die Informationen dürfen keinesfalls in die Tätigkeit als Auskunftei mit einfließen.
  • Besondere Sorgfalt bei der Übermittlung durch den Gläubiger: Da dem Betroffenen durch die Übermittlung seiner Daten an eine Auskunftei erhebliche Einschränkungen drohen, gelten für die Weitergabe besondere Regelungen. Hier können Sie mehr über die in dem Zusammenhang relevanten Vorschriften des § 28a BDSG erfahren.

Reiner Forderungseinzug: Datenverarbeitung im Auftrag

Ist das Vertragsverhältnis zwischen dem Gläubiger-Unternehmen und dem beauftragten Inkassobüro so gestaltet, dass letzteres im Rahmen des Forderungseinzugs lediglich weisungsgebundene Hilfstätigkeiten ausführt, liegt der Fall der Auftragsdatenverarbeitung vor. Zu den lediglich unterstützenden Tätigkeiten können die Erstellung von Mahnungen, Feststellung der aktuellen Anschrift oder Überwachung des Zahlungseingangs gehören. In dem Fall greifen die Vorschriften des § 11 BDSG.

Der Gesetzgeber betrachtet die Übermittlung der Daten bei der gegebenen Sachlage nicht als Weitergabe an Dritte – das Inkassobüro wird vielmehr als dem beauftragenden Unternehmen zugehörig angesehen. Dies bedeutet eine Erleichterung im Bezug auf die Datenübermittlung. Jedoch sind mit der Auftragsdatenverarbeitung einige Implikationen verbunden, die beachtet werden müssen.

  • Die Voraussetzung für eine Einstufung als Auftragsdatenverarbeitung ist, dass das beauftragte Inkassounternehmen strikt weisungsgebunden agiert. Daher trägt das beauftragende Unternehmen die Verantwortung für die Prozesse und hat somit auch den Schutz der personenbezogenen Daten des Schuldners zu verantworten. Dies gilt auch während der Speicherung und sonstigen Verarbeitung beim beauftragten Inkassobüro. Bei eventuellen Verstößen des Inkassounternehmens gegen datenschutzrechtliche Bestimmungen ist der beauftragende Gläubiger zu belangen.
  • Der Gläubiger ist dazu verpflichtet, mit dem Dienstleister einen Vertrag über die Datenverarbeitung im Auftrag zu schließen, der genau regelt, wie mit den übermittelten Daten umzugehen ist. Dieser muss unter anderem Regeln zur Sperrung oder Löschung von Daten, Vorgaben zu den technischen Maßnahmen, die zum Schutz der übermittelten Daten zu treffen sind und die Definition der Kontrollbefugnisse des Auftraggebers beinhalten.
  • Das Gläubiger-Unternehmen ist verpflichtet, sich zu vergewissern, dass der beauftragte Dienstleister die gesetzlichen Anforderungen zum Datenschutz tatsächlich erfüllt. Bereits vor der ersten Übermittlung von Schuldnerdaten an den Dienstleister muss eine sogenannte Erstkontrolle erfolgen.

Fazit

Die Beauftragung eines Inkassounternehmens zur Beitreibung einer Forderung ist grundsätzlich zulässig. Dabei sollten Sie jedoch die Rechte des betroffenen Schuldners berücksichtigen.

Im Falle einer Forderungsübertragung liegt eine Datenübermittlung an Dritte vor. Besondere Vorsicht ist geboten, wenn das Inkassounternehmen gleichzeitig als Auskunftei tätig ist.

Handelt es sich dagegen um die bloße Hilfstätigeit der Forderungseinziehung, liegt eine Datenverarbeitung im Auftrag vor – mit der Folge, dass das Inkassounternehmen nicht als dritte Stelle betrachtet wird. Als Auftraggeber bleiben Sie in diesem Fall jedoch weiterhin dazu verpflichtet, dafür Sorge zu tragen, dass die Daten des Schuldners – auch während der Verarbeitung durch den Dienstleister – ausreichend geschützt sind.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Urteil: Double-opt-in Mails sind Spam

Vor kurzem hatte das OLG München (29 U 1682/12) folgenden Fall zu beurteilen: Eine Steuerkanzlei erhielt eine E-Mail von einem Newsletteranbieter mit der Aufforderung, eine Anmeldung zu einem Newsletter durch Anklicken des in der Mail enthaltenen Links zu bestätigen. Kurz darauf erhielt die Kanzlei eine weitere Willkommensmail über die erfolgreiche Anmeldung zum Newsletter. Die Steuerkanzlei mahnte den Versender der Mail bzw. des Newsletters ab. Der Fall ging vor Gericht. Dort unterlag der Newsletteranbieter vor allem deswegen, weil er im Prozess kein Protokoll des Anmeldevorgangs vorlegte.

Die Entscheidung

Die Münchner Richter entschieden: Double-opt-in Mails sind unter diesen Umständen “Spam”.

Eine im Zusammenhang mit der Bestellung eines Newsletters verschickte Bestätigungsmail zur Verifizierung der E-Mail-Adresse stellt unerlaubte Werbung dar, wenn der Versender die Einwilligung in die Zusendung bereits dieser Bestätigungs-Mail nicht besitzt oder diese nicht nachweisen kann. Für den Nachweis des Einverständnisses sei es erforderlich, dass der Werbende die konkrete Einverständniserklärung des Betroffenen vollständig dokumentiert. Im Falle einer elektronisch übermittelten Einverständniserklärung setze das deren Speicherung und die jederzeitige Möglichkeit voraus, sie auszudrucken. Verfahren, bei denen unklar ist, ob eine Einverständniserklärung tatsächlich vom Betroffenen stammt, seien ungeeignet, diesen Nachweis zu erbringen.

Im Grunde etwas Ähnliches sagte bereits das in diesem Zusammenhang viel zitierte Urteil des Bundesgerichtshofs vom 10. Februar 2011 (I ZR 164/09 – Telefonaktion II, Tz. 30). Hier aber enthielt der Spruch der Richter gerade die Forderung nach einem double-opt-in Verfahren, um aus Beweisgründen sicherzustellen, dass sich auch tatsächlich der Verwender der E-Mailadresse angemeldet hat.

Was nun?

Grundsätzlich ist E-Mail Werbung nur mit einer ausdrücklichen vorherigen Einwilligung des E-Mail Empfängers möglich. Das gilt unabhängig davon, ob das double-opt-in Verfahren eingesetzt wird oder nicht. Soweit nichts Neues.

Eine elektronisch erklärte Einwilligung ist nur dann (form)wirksam, wenn der ausreichend informierte Betroffene aktiv seine Zustimmung erteilt, bevor er per Mail kontaktiert wird. Seine Zustimmung muss vom Mailversender so protokolliert werden, dass der Betroffene sie jederzeit abrufen kann. Zusätzlich muss die Möglichkeit bestehen, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann. Es genügt also nicht, lediglich technisch sicherzustellen, dass eine Anmeldung nur nach Vollzug aller vorgesehenen Schritte (inklusive Aktivierung eines Bestätigungslinks) abgeschlossen werden kann. Die genannte Protokollierung des Vorgangs ist Wirksamkeitsvoraussetzung der Einwilligung!

Mit dem double-opt-in Verfahren sichert man sich ab, tatsächlich die Einwilligung des Verwenders einer E-Mailadresse zu bekommen und keine Anmeldungen durch Dritte zuzulassen.

Bis zu einer höchstrichterlichen Entscheidung der Gesamtfrage stehen Unternehmen damit weiter vor einer nicht ganz eindeutigen Rechtslage. Ohne double-opt-in kann man den Beweis nicht erbringen, dass es sich um eine Anmeldung und damit Einwilligung des tatsächlichen Adressinhabers handelt. Die double-opt-in Mail wiederum birgt aber bereits die Gefahr, als Spam gewertet zu werden.

Wenn man damit nicht völlig auf den Newsletterversand verzichten will, sollte man derzeit wohl gewisse Abmahnungskosten auch bei vollständiger Umsetzung des Double-Opt-In Verfahrens und Protokollierung des Anmeldevorgangs im Budget einkalkulieren.

Der derzeit gangbarste Weg dürfte folgender sein:

  • Umfassende Information und Aufklärung des Bestellers über die geplante Nutzung seiner Daten, insbesondere mit Hinweis auf den Zweck, diese zum Versand eines Newsletters an die angegebene E-Mailadresse zu verwenden.
  • Ausdrückliche Anmeldemöglichkeit, bei der der Besteller selbst aktiv werden muss, z.B. indem er eine Checkbox anhakt.
  • Information des Bestellers über sein Widerrufsrecht und darüber wie er sich jederzeit wieder abmelden kann. Diese Abmeldung muss genauso einfach und unmittelbar möglich sein, wie die Anmeldung!
  • Umfassende Protokollierung der Anmeldung: Aktion ausgeführt (Häkchen gesetzt), angegebene E-Mail Adresse, Datum, Zeitpunkt.
    Vorsicht: die Speicherung der IP-Adresse dürfte – mangels Einwilligung hierzu – nicht zulässig sein. Sie würde zum Nachweis der Einwilligung ohnehin nicht helfen.
  • Erst danach: protokollierter Versand der Bestätigungsmail. Lediglich der Link zur Bestätigung, die Wiederholung der Informationen über den bestellten Newsletter, die Widerrufsmöglichkeit und Ihr Impressum sollten enthalten sein. Senden Sie hier noch keine weiteren “Kundeninformationen”!
  • Sofern Bestätigung per Link erfolgt: Protokollierung der Bestätigung insb. ihres Zeitpunkts.
  • Wird der Link in der Bestätigungsmail nicht innerhalb einer kurzen angemessenen Zeit geklickt, sollte keinerlei Kontakt mehr aufgenommen werden. Erhobene Daten sollten nicht mehr verwendet, sondern gesperrt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Smartphones und Profilbildung

Der große Reiz von Smartphones liegt in den zahllosen nützlichen oder spaßigen Funktionen, die diese Geräte neben dem Telefonieren haben können. Ihre vielseitige Nutzung macht sie aber auch zu idealen Datenkraken, die in einem Maß Informationen über Ihre Nutzer sammeln, welches diese meist kaum erahnen.

Statistisch gesehen ist jeder dritte Deutsche laut einer Bitkom-Studie Besitzer eines Smartphones, unter den jüngeren Bundesbürgern ist der Anteil tatsächlich weit höher. Das Telefonieren ist bei den mobilen Alleskönnern inzwischen nur noch eine von vielen Funktionen. Vom Surfen im Internet über intelligente Einkaufszettel bis hin zu verrückten Funktionen wie dem Ausblasen von Kerzen mit der “Blower” App schätzen Nutzer ihre Smartphones für allerlei praktische oder unterhaltsame Anwendungen.

Kein Wunder also, dass die Geräte ständige Begleiter ihrer Besitzer sind und auch viel häufiger genutzt werden als herkömmliche Mobiltelefone. Doch bei der vermehrten Nutzung der Geräte mit Anbindung ans Internet und Standortermittlung per GPS geben die Nutzer auch ungemein mehr Informationen über sich preis – meist mehr als sie ahnen. Dabei lässt die Euphorie über die immer neuen Möglichkeiten der bunten Smartphone-Welt die Anwender allzu häufig eine kritische Auseinandersetzung damit vergessen.

Wie vielen Nutzern ist es wohl bewusst, dass manche teilweise recht simple Anwendung, etwa wie eine Taschenlampenfunktion, möglicherweise umfassende Daten über ihren Anwender wie Adressbuch, Standortdaten, Anruflisten oder angesurfte Webseiten weitergibt?

Die Entwicklung und der Vertrieb von Apps erfordern oft einen großen Aufwand. Bei der regelrechten Flut an sehr preiswerten bis kostenlosen Anwendungen muss man sich fragen, wie sich das für die Anbieter rechnet. Die Antwort lautet: Man bezahlt mit seinen persönlichen Daten und unter Umständen auch mit denen der Freunde und Bekannten, mit denen man kommuniziert oder die man in seinem Adressbuch führt.

Der Wert von Nutzerprofilen

Mehr als 6 Milliarden Euro wird dem Onlinevermarkterkreis im BVDW zufolge dieses Jahr in Deutschland mit Onlinewerbung umgesetzt. Dabei steigt im Internet die Bedeutung von personalisierter Werbung. Je genauer Werbung einen potenziellen Kunden erreicht, desto mehr ist sie wert. Dabei wird nicht mehr in groben Zielgruppen gedacht, Werbung soll an die Vorlieben, Gewohnheiten und Wünsche einzelner Personen angepasst werden.

Noch effektiver ist Werbung, wenn das soziale Umfeld eines Nutzers mit einbezogen wird. Wenn das Verkaufsargument als vermeintliche „Empfehlung“ eines Bekannten oder Freundes verpackt wird, steigt die Wahrscheinlichkeit, dass das Produkt wahrgenommen und gekauft wird enorm.

Der gläserne Smartphone-Nutzer

Um maßgeschneiderte Werbung platzieren zu können, wollen Anbieter möglichst alles über einen Nutzer erfahren und ihn auch immer wiedererkennen können. So kommt es zu einer ausufernden Datensammlung und umfassenden Protokollierung jedes digitalen Schrittes, den ein Anwender macht. Dabei ist den meisten von ihnen gar nicht bewusst, dass sie von ihren mobilen Begleitern regelrecht ausspioniert werden.

Allein schon die Nutzung mancher Betriebssysteme für Smartphones setzt voraus, dass man dem Anbieter gestattet, umfassende Informationen aufzuzeichnen. Den Datenschutzbestimmungen des Android-Anbieters Google ist etwa zu entnehmen, dass bei der Nutzung seiner Dienste unter anderem folgende Informationen ermittelt und gespeichert werden können: eindeutige Gerätekennungen, Hardware-Einstellungen, Browser-Typ und -Sprache, die eindeutige IP-Adresse, aufgerufene Seiten, eingegebene Suchbegriffe, Telefonnummer, Anrufprotokolle inklusive der Nummern der Anrufer, Datum und Uhrzeit und Dauer von Anrufen, SMS-Routing-Informationen sowie Standortdaten selbst wenn kein GPS genutzt wird. Auch andere Systeme zeigen sich nicht unbedingt weniger datenhungrig.

Die Verantwortung liegt beim Einzelnen

Die deutsche und europäische Gesetzgebung versucht, das Persönlichkeitsrecht von Bürgern weitgehend zu schützen. So unterliegen Anwendungen für Smartphones – theoretisch – ebenfalls gesetzlichen Regelungen. Das Bundesdatenschutzgesetz (BDSG) erlaubt beispielsweise die Erhebung und Verarbeitung personenbezogener Daten nur dann, wenn dies ein Gesetz für bestimmte Zwecke vorsieht oder eine wirksame Einwilligung des Betroffenen vorliegt. Grundsätzlich gilt dabei das Gebot der Datensparsamkeit: Es dürfen nur genau die Daten erhoben werden, die für die Erfüllung des vorbestimmten Zweckes zwingend erforderlich sind und diese sind grundsätzlich auch zu löschen, sobald dieser Zweck entfällt. Weiterhin haben Nutzer umfangreiche Rechte gegenüber Anbietern, beispielsweise auf Auskunft über die über sie gespeicherten Informationen, auf Löschung bestimmter Daten oder auf den Widerruf zuvor erteilter Einwilligungen.

Doch in der Praxis ist die Durchsetzung dieser Rechte denkbar schwierig, wenn die Anbieter-Unternehmen ihren Sitz im Ausland haben. Dann können auch deutsche Datenschutzbehörden keinen Einfluss nehmen. Darum weicht die Realität der Datensammlung durch Smartphone-Anwendungen gravierend vom Soll-Zustand der deutschen Gesetzgebung ab.

An dieser Tatsache können nur die Anwender selbst etwas ändern, indem sie ein Bewusstsein für ihre Nutzung von mobilen Geräten und den damit verbundenen Konsequenzen entwickeln. Erst wenn immer mehr Anwender Angebote ablehnen, die zu weit in ihr Persönlichkeitsrecht eingreifen, sehen die Anbieter eine Notwendigkeit, ihr Verhalten anzupassen.

Darauf sollten Nutzer von Smartphones achten:

Freiwillige Angaben

Viele Informationen über einen Nutzer werden direkt bei diesem erfragt. Das kann im jeweiligen Moment nicht nach einer allzu großen Datenmenge aussehen, aber wenn man bedenkt, dass viele Unternehmen bei der Profilbildung alle verfügbaren Informationen zusammenführen möchten, sieht das Bild anders aus: Die Kombination daraus, was Sie freiwillig als Ihre Hobbies angeben, mit welchen Personen Sie online kommunizieren, welche Suchanfragen Sie stellen, wie Ihre Telefonie- und Surfgewohnheiten sind, was Sie online einkaufen sowie zahlreichen anderen Daten ergibt schon ein detailliertes Profil, von dem Sie vielleicht nicht unbedingt möchten, dass es existiert. Darum hinterfragen Sie die Notwendigkeit von Angaben, um die Sie gebeten werden. Häufig sind viele Angaben beispielsweise bei Anmeldevorgängen optional. Denken Sie also daran, dass Sie in einem Webformular nicht sämtliche Felder ausfüllen müssen und lassen Sie es auch einen Anbieter wissen, wenn Ihnen nicht gefällt, dass dieser Angaben zwingend verlangt, die nicht erforderlich sind.

Datenschutzbestimmungen von Apps

Nehmen Sie genauer unter die Lupe, welche Daten eine Anwendung an wen weitergibt und was damit gemacht wird. In der Vergangenheit ist zwar bekannt geworden, dass manche Anbieter auch heimlich bestimmte Daten sammeln, ohne darüber in irgendeiner Form zu informieren, aber in der Regel sollten Sie aus den Datenschutzhinweisen wertvolle Informationen ableiten können. Auf welche Punkte Sie dabei besonders achten sollten, erfahren Sie in unserem separaten Überblick hier.

Sicherheitseinstellungen am Gerät

Je nachdem, welches Gerät Sie verwenden, gibt es unterschiedliche Grundeinstellungen am Smartphone, mit denen Sie Ihre Daten schützen können. Anleitungen für Ihren speziellen Gerätetyp finden sich im Internet. Grundsätzlich sollten die Browsereinstellungen überprüft werden. Beispielsweise sollten Cookies regelmäßig gelöscht werden. Innerhalb von Anwendungen sollten Einstellungen vorgenommen werden, die verhindern, dass diese eine Internet- oder GPS-Verbindung aufbauen, wenn dies nicht notwendig ist. Ortungsdienste wie GPS sollten nur dann überhaupt eingeschaltet sein, wenn sie tatsächlich genutzt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Einwilligung in E-Mail-Werbung nicht unbegrenzt gültig

Sie erhalten plötzlich Werbe-E-Mails von einem Unternehmen, aber können sich nicht erinnern, eine Einwilligung dazu erteilt zu haben? Eine solche Situation kann laut § 7 Abs. 2 Nr. 3 UWG bereits als unzumutbare Belästigung gelten. Nach der aktuellen Rechtsprechung ist dies auch dann der Fall, wenn eine Einverständniserklärung zu weit in der Vergangenheit liegt.

Wenn von einer erteilten Einwilligung in die Nutzung einer E-Mail-Adresse zu Werbezwecken längere Zeit kein Gebrauch gemacht wurde, kann nicht mehr davon ausgegangen werden, dass der Betroffene noch immer mit dem Erhalt von Werbe-E-Mails einverstanden ist und die Einwilligung verliert damit ihre Gültigkeit. So sieht es unter anderem das Landgericht München.

Werbetreibendem drohen hohe Bußen

Im dort verhandelten Fall fühlte sich ein Empfänger einer Werbe-E-Mail belästigt und erwirkte eine Abmahnung gegen den Absender. Der Empfänger gab dabei an, dass er nie in den Erhalt von E-Mail-Werbung eingewilligt hätte. Es wurde eine Unterlassungsverfügung gegen den Werbetreibenden erreicht, die es ihm bei Androhung eines Ordnungsgeldes bis zu einer Höhe von 250.000 Euro oder einer Ordnungshaft bis zu sechs Monaten untersagte, ohne gültige Einwilligung Werbe-E-Mails zu versenden.

Dagegen wehrte sich der Versender nun mit dem Argument, der Empfänger hätte im Rahmen eines Gewinnspiels 17 Monate zuvor in die entsprechende Nutzung seiner E-Mail-Adresse eingewilligt. Das Gericht ließ jedoch nicht einmal überprüfen, ob tatsächlich eine Einwilligung gegeben wurde, sondern befand die Unterlassungsverfügung unabhängig davon für rechtmäßig. Das Landgericht hielt in seiner Urteilsbegründung (Az. 17 HK O 138/10) fest, dass selbst wenn besagte Einwilligung existierte, sie nach anderthalb Jahren nicht mehr aktuell sei und somit keine ausreichende Rechtfertigung für die werbliche Nutzung der E-Mail-Adresse des Betroffenen biete.

Wie viel Zeit darf bis zum ersten Anschreiben nach der Einwilligung vergehen?

Das grundsätzliche Verständnis, dass nach einer einmal gegebenen Einwilligung nicht nach beliebig langer Zeit immer noch davon ausgegangen werden kann, dass der Adressat den Erhalt von Werbe-E-Mails wünscht, teilen die Gerichte in vergleichbaren Fällen. Das Landgericht Berlin etwa entschied (Az. 15 O 653/03), dass eine Einwilligung, von der zwei Jahre lang kein Gebrauch gemacht wurde, nicht mehr gültig ist. Eine konkrete maximale Gültigkeitsdauer von Einwilligungserklärungen ist aus der Rechtsprechung nicht abzulesen.

Versender von E-Mail-Werbung können sich an dem Verständnis des Gesetzgebers orientieren, dass Werbe-E-Mails prinzipiell eine unzumutbare Belästigung darstellen. Nur ausnahmsweise wird der Versand solcher Werbung dann erlaubt, wenn der Empfänger ausdrücklich erklärt, dass er dies wünscht. Wenn nach der Einverständniserklärung so viel Zeit vergeht, dass der Adressat überhaupt nicht mehr damit rechnet, Werbenachrichten in seinem E-Mail-Postfach vorzufinden, ist wieder der Grundzustand erreicht, in dem der Versand eine unzumutbare Belästigung darstellen würde.

Je nach Sachverhalt wird von einem unterschiedlichen Zeitraum auszugehen sein, innerhalb dessen ein Adressat sein Interesse für bestimmte Leistungen noch aufrechterhält. Beim heutigen Nutzerverhalten im Internet ist davon auszugehen, dass eine spontane Entscheidung beim Surfen sicherlich weit kürzer als anderthalb Jahre im Bewusstsein des Adressaten bleibt. Wenn jedoch beispielsweise bei einer großen Veranstaltung eine schriftliche Einwilligung dazu gegeben wurde, über ähnliche Veranstaltungen in der Zukunft unterrichtet zu werden, die nicht besonders häufig stattfinden, kann man sicherlich von einer etwas längeren Gültigkeitsdauer ausgehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Kündigung wegen privater Internetnutzung

Wenn Mitarbeiter während der Arbeitszeit zu privaten Zwecken im Internet surfen, ist das manchem Arbeitgeber aus nachvollziehbaren Gründen ein Dorn im Auge. Schließlich bezahlt er seine Angestellten dafür, dass sie in der Arbeitszeit die vereinbarte Leistung für ihn erbringen. Wenn am Ende des Tages die gewünschte Leistung erbracht wurde, was stört es dann, wenn der Mitarbeiter zwischendurch mal kurz aus eigenem Interesse durchs Internet gesurft ist, denken andere. Letzten Endes herrscht weitgehend Unsicherheit darüber, ob die private Nutzung des Internets während der Arbeitszeit legitim ist oder nicht.

Auch die Arbeitsgerichte müssen sich erst an die Situation gewöhnen, dass die ständige Verfügbarkeit des Internets für viele Menschen immer mehr zur Normalität wird.

Die Urteile in den vergangenen Jahren scheinen auf den ersten Blick nicht in eine eindeutige Richtung zu zeigen. Während das Landesarbeitsgericht Niedersachsen eine fristlose Kündigung wegen exzessiven privaten E-Mail-Verkehrs während der Arbeitszeit für rechtmäßig befunden hat (Az. 12 SA 875/09), erklärte das Landesarbeitsgericht Rheinland-Pfalz eine Kündigung wegen privaten Surfens am Arbeitsplatz für unzulässig (Az. 6 Sa 682/09).

Doch sieht man sich die Urteile im Detail an, lassen sich daraus einige Prinzipien ableiten. Im letztgenannten Fall war einem Druckereimitarbeiter gekündigt worden, weil von dessen Arbeitsplatz aus innerhalb von zwölf Tagen insgesamt sieben Zugriffe auf Seiten registriert wurden, für die es keine dienstliche Rechtfertigung gab. Es existierte eine Unternehmensrichtlinie, die der Mitarbeiter vier Jahre zuvor unterschrieben hatte, in der die private Internetnutzung ausdrücklich untersagt wurde.

Der Arbeitgeber empfand das Verhalten des Mitarbeiters als grobe Pflichtverletzung und sah eine unmittelbare Kündigung als gerechtfertigt an. Doch dies widersprach der Auffassung des Landesarbeitsgerichts. Dieses erklärte die Kündigung für unwirksam. Aus Sicht des Gerichts wäre in der Situation zunächst lediglich eine Abmahnung gerechtfertigt gewesen.

Was müssen Arbeitgeber beachten, die die private Internetnutzung unterbinden und bei Zuwiderhandeln gegebenenfalls arbeitsrechtliche Maßnahmen ergreifen wollen?

  • Ist der Internetzugriff eindeutig einem einzelnen Mitarbeiter zuordenbar? Jeder Mitarbeiter sollte seinen eigenen Zugang zum Internet haben. Im Unternehmen sollte die Gewohnheit etabliert sein, seinen Computerarbeitsplatz immer zu sperren, wenn der Platz verlassen wird und allgemein sicherzustellen, dass niemand anderes die eigenen Zugangsdaten in Erfahrung bringen kann.
  • Sind die Nutzungsrichtlinien bei den Mitarbeitern präsent? Beim Eintritt ins Unternehmen sind Mitarbeiter meist mit einer großen Menge an Informationen konfrontiert. Selbst wenn eine Nutzungsrichtlinie standardmäßig von jedem Mitarbeiter unterschrieben wird, kann der Inhalt schnell wieder vergessen sein, wenn die Informationen nicht immer wieder aufgefrischt werden. Daher sollte die Nutzungsrichtlinie den Mitarbeitern jährlich vorgelegt und die Kenntnisnahme dokumentiert werden.
  • Ist den Mitarbeitern klar, wozu überhaupt ein Internetzugang gewährt wird? Wenn ein Angestellter über einen Internetzugang verfügt, ist es für ihn sicherlich schwieriger nachzuvollziehen, warum er diesen dann nicht auch nutzen sollte. Der Vorgesetzte kann deutlich machen, dass ein Internetzugang dafür eingerichtet wurde, einem Unternehmenszweck zu dienen, indem er dafür sorgt, dass ausschließlich diejenigen Mitarbeiter Zugang erhalten, die diesen auch tatsächlich für Ihre Tätigkeit im Unternehmen benötigen.
  • Sind die drohenden Sanktionen eindeutig definiert? Nicht nur ein Mitarbeiter kann es als ungerechtfertigt empfinden, wenn er aus heiterem Himmel mit einer Kündigung konfrontiert wird. Auch die Arbeitsgerichte erwarten, dass Sanktionen und Maßnahmen auf angemessene Art und Weise Anwendung finden. Legen Sie daher in der Nutzungsrichtlinie eindeutig fest, was bei Zuwiderhandeln gegen die Unternehmensregelungen passiert. Verhält sich ein Mitarbeiter grob pflichtverletzend, mahnen Sie sofort ab. Dann kann bei erneutem Fehlverhalten eine Kündigung nicht so leicht angefochten werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: