Newsletter Datenschutzrecht: Compliance, Scoring, Cookies, Google Analytics, Personalausweiskopien, u.v.m.

INHALT

IT-Recht

1.       Schwerpunkt: So reduzieren Sie Ihr Haftungsrisiko als Anbieter von Software

Datenschutz

2.       Sammelt der Arbeitgeber datenschutzwidrig Beweise, kann er diese im Prozess nicht gegen den Arbeitnehmer verwenden

3.       EU-Datenschutzreform liegt vorerst auf Eis

4.       Bundesgerichtshof begrenzt den Umfang des Auskunftsanspruchs beim Scoring

5.       Unsicherheit in Bezug auf Cookies bleibt auch nach einer Auskunft des Bundeswirtschaftsministerium bestehen

6.       Kammergericht Berlin bestätigt Unzulässigkeit des Freunde-Finders von Facebook

7.       Verbände sollen gegen Datenschutzverstöße klagen können

8.       Nutzer wechseln von WhatsApp zum Schweizer Dienst "Threema"

9.       Neue Tätigkeitsberichte aus Hamburg und Baden-Württemberg

10.   Aufsichtsbehörde rügt Datenschutzverstöße beim Einsatz von Google Analytics

11.   Einscannen und Speichern von Personalausweisen vom Verwaltungsgericht Hannover als unzulässig angesehen

12.   Informationsflyer mit Datenschutztipps für Smartphone-Nutzer

13.   Muster-Information für die Datenspeicherung in Fahrzeugen veröffentlicht

1. SCHWERPUNKT: So reduzieren Sie Ihr Haftungsrisiko als Anbieter von Software

Das Schwerpunktthema meines Newsletters kommt diesmal aus dem IT-Recht: Anbieter von IT-Dienstleistungen sind vielfältigen Haftungsrisiken ausgesetzt, egal ob sie Software entwickeln, verkaufen, als Application Service Providing (ASP), Software as a Service (SaaS) oder sonst "in der Cloud" bereitstellen.

Das mögliche Ausmaß einer Haftung wird leicht unterschätzt. Verbreitet ist etwa der Irrtum, durch Haftungsklauseln im Vertrag ließen sich die Risiken weitgehend minimieren. Für einen wirksamen Schutz ist jedoch deutlich mehr nötig und auch möglich.

In meiner neuen Broschüre erfahren Sie, welche Haftungsrisiken bestehen und erhalten konkrete Empfehlungen, wie Sie sich als IT-Anbieter schützen können. Laden Sie das PDF kostenlos auf meine Webseite herunter. 

2. Sammelt der Arbeitgber datenschutzwidrig Beweise, kann er dies im Prozess nicht gegen den Arbeitnehmer verwenden

Erhebt der Arbeitgeber unter Verstoß gegen datenschutzrechtliche Bestimmungen Informationen über seine Arbeitnehmer, so darf er diese nicht als Beweis in einem Kündigungsprozess nutzen. So entschied das Bundesarbeitsgericht jüngst in einem Fall, bei dem der Arbeitgeber den Spind eines Mitarbeiters heimlich durchsuchte und dabei Beweise fand, die eine Kündigung gerechtfertigt hätten (BAG, 20.6.2013 – 2 AZR 546/12)

Das Urteil hat weitreichende Bedeutung: Übereifrige Revisions- oder Compliance-Abteilungen, die bei ihren Ermittlungen das Datenschutzrecht missachten, geraten spätestens im Kündigungsprozess in Schwierigkeiten. Arbeitnehmeranwälte dürften zunehmend nach Datenschutzverstößen suchen, um Kündigungen zu kippen.

Viel praxisrelevanter und häufiger als der vom BAG entschiedene Sachverhalt sind unzulässige Einsichtnahmen in E-Mails und Laptops oder Hinweisgebersysteme (Whistleblowing), die nicht BDSG-konform ausgestaltet sind.

Laden Sie meine kostenlose Broschüre "Datenschutz bei Compliance Programmen" herunter und prüfen Sie anhand der Checkliste, ob und wo bei Ihnen unter Umständen Datenschutzrisiken im Compliance-Bereich bestehen. 

3. EU-Datenschutzreform liegt vorerst auf Eis 

Die europäische Datenschutz-Grundverordnung sollte ein einheitliches Datenschutzrecht in ganz Europa bringen und damit auch einmal das BDSG ersetzen. Derzeit befindet sich der Vorschlag im Abstimmungsprozess zwischen Europäischen Parlament, Europäischem Rat und Kommission. Ein Treffen der Justiz- und Innenminister der EU-Mitgliedstaaten Ende 2013 hatte keine Lösung gebracht. Vor der Wahl des EU Parlaments im Mai 2014 ist keine Einigung mehr in Sicht.

Nach der Wahl ändert sich die Zusammensetzung des Europaparlaments und der EU-Kommission. Die treibende Kraft der Reform, die EU Kommissarin Viviane Reding setzt auf einen Beschluss in der zweiten Jahreshälfte 2014, ist aber selbst ab Herbst 2014 möglicherweise nicht mehr im Amt. Die Reform könnte dann auch endgültig scheitern. Zu unterschiedlich scheinen die Interessen der Mitgliedsstaaten.

Wegen der ungewissen Zukunft des Verordnung und der geplanten Übergangsfrist von zwei Jahren erscheint es für Inhouse-Datenschützer derzeit wenig sinnvoll, sich mit den Entwürfen der Grundverordnung im Details auseinanderzusetzen oder Seminare hierzu zu besuchen.

4. Bundesgerichtshof begrenzt den Umfang des Auskunftsrechts beim Scoing

Auskunfteien wie die SCHUFA ermitteln anhand von Zahlungsdaten, die sie von Unternehmen erhalten, die Kreditwürdigkeit von Kunden. Dabei berechnen Sie - Simsalabim - die Wahrscheinlichkeit, mit der eine Forderung vom Betroffenen beglichen wird. Der Gesetzgeber hat für solche "Scoring"-Verfahren in § 34 Abs. 4 BDSG ein spezielles Auskunftsrecht vorgesehen.

Der Bundesgerichtshof (Urt. v. 28.01.2014, Az. VI ZR 156/13) hat jetzt geurteilt, dass Betroffene zwar ein Recht darauf haben, zu erfahren, welche Daten in die Score-Berechnung einfließen und was hinten herauskommt (Score-Wert), nicht aber, das wie und warum, also die Berechnungsformel und die Gewichtung der verschiedenen Faktoren (sogenannte Score-Card). Die Begründung für die schwarze Box: Dem Auskunftsanspruch des § 34 Abs. 4 BDSG liege die gesetzgeberische Absicht zugrunde, trotz der Schaffung einer größeren Transparenz bei Scoringverfahren die Geschäftsgeheimnisse der Auskunfteien zu schützen.

Aufatmen: Auch bei Big Data Anwendung kann die Scoring-Vorschrift des BDSG greifen. Hier würde es noch größere Schwierigkeiten bereiten, die Formel hinter den Algorithmen einem Laien verständlich zu machen.

5. Unsicherheit bei Cookies bleibt auch nach Auskunft des Bundeswirtschaftsministeriums bestehen

Bereits im Mai 2009 hat die EU Kommission den EU Mitgliedstaaten in Form einer Richtlinie aufgegeben, bestimmte Regeln zum Umgang mit Cookies in die nationalen Gesetze aufzunehmen (E-Privacy-Richtlinie 2002/58/EG oder auch "Cookie-Richtlinie"). Deutschland hat seitdem keine Änderungen des einschlägigen Telemediengesetzes vorgenommen.

Das Bundeswirtschaftsministerium hat nunmehr bekannt gegeben, es habe "in der letzten Legislaturperiode einen Fragebogen der Europäischen Kommission zur Umsetzung in Deutschland beantwortet und dabei insbesondere auf die Bestimmungen des Telemediengesetzes hingewiesen. Es gibt keine Signale seitens der Europäischen Kommission, dass die dargestellte Rechtslage unzureichend sei”. Dies deutet das Ministerium dahingehen, dass die Cookie-Richtlinie in Deutschland mit dem bestehenden Normen des Telemediengesetzes bereits umgesetzt sei, was die Europäische Kommission laut einem Bericht bei telemedicus bestätigt haben soll.

Dieses Ergebnis überrascht, denn die Vorgaben der EU zur Nutzung von Cookies für Werbezwecke (Tracking) zum Beispiel stehen nicht im Einklang mit dem Telemediengesetz: Die Cookie-Richtlinie legt als Grundsatz fest, dass Cookies nur mit einer ausdrücklichen Zustimmung gesetzt werden dürfen (Opt-In). Eines Opt-Ins bedarf es nach der Cookie-Richtlinie nur ausnahmsweise dann nicht, wenn der Cookie erforderlich ist zur Nachrichtenübermittlung oder zur Bereitstellung des Dienstes.  Die Artikel 29 Arbeitsgruppe, ein unabhängiges Beratergremium der EU in Datenschutzfragen, in der auch die Aufsichtsbehörden der Mitgliedsstaaten vertreten sind, hatte dann zur Cookie-Richtlinie erläutert, wie sie diese Ausnahmen vom Opt-In auslegt (WP 194) und wie eine Einwilligung für Cookies einzuholen ist (WP 208). Insbesondere für die Fälle des Tracking sieht die Artikel 29 Arbeitsgruppe keine Ausnahme vom Opt-In Erfordernis gegeben. § 15 Abs. 3 Telemediengesetz folgt dagegen dem Opt-Out Prinzip: Er verlangt, dass der Nutzer lediglich informiert werden muss (z.B. in den Datenschutzhinweisen) und ihm die Möglichkeit eines Widerspruchs gegen das Tracking zu geben sei.

Die Regierung sieht also offenbar keinen Handlungsbedarf, obwohl das geltende Recht die EU-Vorgaben unzureichend umsetzt.

Die sicherste Lösung erscheint, sich bei den Tracking-Cookies an den Auslegungen der Artikel 29 Arbeitsgruppe zu orientieren und ein Opt-In umzusetzen. Dieses müsste dann aber den strengen Anforderungen des TMG genügen und ist deshalb kaum praktikabel umsetzbar. Da in Deutschland bei Tracking-Cookies das Opt-Out Prinzip gesetzlich festgeschrieben ist, entsprechend „gelebt“ und bisher von den Aufsichtsbehörden gebilligt wurde, erscheint indes das Risiko vertretbar, weiterhin am Opt-Out für Tracking-Cookies festzuhalten.

Mehr zur Gestaltung von Datenschutzhinweisen für Webseiten finden Sie in meinem Beitrag "Datenschutzhinweise für Webseiten - eine Bauanleitung mit Tipps und Checklisten".

6. Kammergericht Berlin bestätigt Unzulässigkeit des Freunde-Finders von Facebook

Bei der Freunde-Finder Funktion von Facebook stellen Mitglieder des Netzwerks dem Betreiber - mehr oder weniger bewusst - die Inhalte ihrer E-Mail Adressbücher auf dem Handy oder Web-Mailern (gmx, yahoo, etc.) zur Verfügung. Facebook nutzt diese Daten für Werbezwecke, nämlich zum Versand von Mitteilungen und Anfragen.

Bereits 2012 hat das Landgericht Berlin dies wenig überraschend für rechtwidrig erachtet: Die Nutzer müssten klar und deutlich informiert werden, dassn liege ein Verstoß gegen das AGB-Recht und das Gesetz gegen den unlauteren Wettbewerb (UWG). Facebook hat's nicht glauben können und Berufung zum Kammergericht Berlin eingelegt: ohne Erfolg, das Kammergericht hält die Praxis ebenfalls für rechtswidrig (KG Berlin, Urteil v. 24. Januar 2014, 5 U 42/12).

Wir lernen: Ohne Opt-In läuft in Deutschland bei der E-Mail Werbung (fast) nichts und wer Einwilligungserklärungen und Datenverwendungen intransparent in AGBs versteckt, hat auch keine guten Karten.

Spannend: Das Kammergericht begründet ausführlich dass nicht irisches, sondern deutsches Datenschutzrecht gilt (ab Seite 24 des Urteils). Die Verantwortlichkeit für die Datenverarbeitung läge nämlich in den USA und nicht bei der europäischen Hauptniederlassung in Irland und zudem sei deutsches Datenschutzrecht vertraglich vereinbart worden. Schließlich würden auch in Deutschland belegene Mittel zur Datenverarbeitung genutzt. Anders sah es noch das OVG Schleswig (Beschluss vom 22. 4. 2013 – 4 MB 11/13) in der Entscheidung gegen den Bescheid des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) betreffend den Klarnamenzwang bei Facebook. Das Urteil könnte weitere Parteien ermuntern, gegen US Unternehmen vorzugehen, die das deutsche Datenschutzrecht nicht beachten.

7. Verbände sollen gegen Datenschutzverstöße klagen können 

Justiz- und Verbraucherschutzminister Heiko Maas kündigte am Europäischen Datenschutztag, dem 28. Januar 2014 an, Verbände sollten das Recht bekommen, bei Verstößen gegen den Datenschutz Klage zu erheben.

Bislang sind solche Klagen nur möglich, wenn Allgemeinen Geschäftsbedingungen gegen Datenschutzvorschriften verstoßen, zum Beispiel unwirksame Einwilligungserklärungen enthalten. Zukünftig sollen Organisationen auch gegen den Datenschutzverstoß selbst vorgehen können, zum Beispiel wenn Daten über Verbraucher unzulässigerweise an die Konzernmuttergesellschaft übermittelt oder sonst rechtswidrig genutzt werden.

Die Verbraucherzentrale Bundesverband e.V. – vzbv hat in der Vergangenheit bereits erfolgreich gegen  Google, Apple und Facebook wegen Datenschutzverstößen in den AGBs geklagt und zu dem Vorstoß von Maas jetzt einen Gesetzesvorschlag unterbreitet.

Das Verfolgungs-Risiko für Unternehmen, die es mit dem Datenschutz nicht so ernst nehmen, dürfte damit weiter steigen. Dies gilt vorallem für diejenigen, die mit Daten vieler Betroffener umgehen, da Verbände diese typischerweise besonders misstrauisch beäugen.

8. Nutzer wechseln von WhatsApp zu "Threema"

Mit der App "WhatsApp" können Smartphone Nutzer kostenlos Kurznachrichten und Bilder an Freunde und Bekannte schicken. Facebook hat WhatsApp für 19 Mrd. Dollar gekauft und sich so Zugang zu den über 450 Millionen aktiven WhatsApp-Nutzern weltweit verschafft.

Nun geht die Angst um, Facebook könne die Nachrichtendaten erfassen, auswerten und Profile bilden, die mit den Facebook Accounts verknüpft werden. Die Angst erscheint nicht unberechtigt. In der WhatsApp Datenschutzrichtlinie heißt es:

"In the event that WhatsApp is acquired by or merged with a third party entity, we reserve the right to transfer or assign the information we have collected from our users as part of such merger, acquisition, sale, or other change of control."

Freundlicherweise erklärt WhatsApp auch gleich was zu tun ist:

"If you do not agree with our Privacy Policy or Terms of Service, please delete your account, uninstall the WhatsApp mobile application and discontinue use of the WhatsApp Service"

Stiftung Warentest hat daraufhin das Datenschutzniveau von Messengern getestet und stufte lediglich die Schweizer App „Threema” als unkritische Alternative zu WhatsApp ein. Der Test bezog sich nur auf die Verschlüsselung von Nutzerdaten und deren Weitergabe. Threema verzichtet vollständig auf die Übermittlung von Nutzerdaten und speichere Adressbucheinträge nur in pseudonymisierter Form. Threema ist für Android und iPhone verfügbar und erfreut sich starker Nachfrage

Die US-Verbraucherschutzorganisationen Electronic Privacy Information Center (EPIC) und das Center for Digital Democracy (CDD) wollen nunmehr die Übernahme von WhatsApp durch Facebook wegen unfairer Nutzung von Daten zu Werbezwecken torpedieren, wie heise berichtet.

9. Neue Tätigkeitsberichte aus Hamburg und Baden-Württemberg

Am 27. Januar 2014 hat der Landesbeauftragte für den Datenschutz von Baden-Württemberg seinen 31. Tätigkeitsbericht vorgestellt. Aus meiner Sicht interessant sind für den Online-Bereich die Ausführungen zu Datenschutzhinweisen auf Webseiten (ab Seite 133), etwa wie die Einbindung von Drittinhalten (z.B. Google Maps, Youtube) kenntlich gemacht werden sollte. Die Behörde geht auch auf die aktuelle Problematik der Umsetzung der erhöhten Anforderungen an die Geldwäscheprävention ein. § 9 Absatz 2 Nr. 4 Geldwäschegesetz verpflichtet bestimmte Unternehmen "geeignete risikoorientierte Maßnahmen zur Prüfung der Zuverlässigkeit der Beschäftigten" umzusetzen. Eine regelmäßige Einholung von Führungszeugnissen und Bonitätsabfragen zu allen Mitarbeitern - unabhängig vom konkreten Einsatzgebiet des jeweiligen Beschäftigten - hält der Datenschutzbeauftragte dabei für rechtswidrig (S. 143).

Die Datenschutzbehörde für Hamburg hat am 20. Februar 2014 ihren 24. Tätigkeitsbericht (2012/13)  vorgelegt. Interessant für Schulungszwecke: Der Hamburgische Datenschutzbeauftragte nennt Beispiele von verhängten Bußgelder, etwa € 7.500,- für einen unzureichenden Auftragsdatenverarbeitungsvertrag oder € 54.000,- für das rechtswidrige Orten von Mietfahrzeugen. Die Erteilung falscher Auskünfte schlug mit € 1.200,- zu buche.

10. Aufsicht rügt Datenschutzverstöße bei Google Analytics

Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat den Einsatz von Tracking-Tools wie Google Analytics untersucht und Mängel beanstandet.

Über 12.000 Webseiten wurden automatisiert geprüft. Bei ca. 65 % dieser Webseiten wurden Mängel bei der Umsetzung der datenschutzrechtlichen Vorgaben ermittelt. Die Webseitenbetreiber werden nun angeschrieben und in einem ersten Schritt aufgefordert, die festgestellten Mängel zu beheben. In einem Merkblatt fasst die Behörde die Anforderungen zusammen. Dazu gehören eine Anonymisierung der IP-Adresse, der Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google sowie ein Hinweis und eine Widerspruchsmöglichkeit. 

Erst im Februar hat zudem das Landgericht Frankfurt (Urteil vom 18.02.2014, Az. 3-10 O 86-12) im Zusammenhang mit Piwik, einem anderen Tracking Tool, geurteilt, dass mangelhafte Datenschutzhinweise einen abmahnfähigen Wettbewerbsverstoß darstellen. Umso wichtiger also für Webseitenbetreiber, die eigenen Datenschutzhinweise sorgfältig zu prüfen, um teurere Abmahnung von Wettbewerbern zu vermeiden.

11. Einscannen und Speichern von Personalausweisen vom Verwaltungsgericht Hannover als unzulässig angesehen

Ein Unternehmen lagerte auf seinem Betriebsgelände mehrere tausend Kraftfahrzeuge von denen  viele täglich durch Speditions-Fahrer abgeholt wurden. Zu Kontrollzwecken hat das Unternehmen die Personalausweise der Abholer gescannt und gespeichert. 

Das Verwaltungsgericht Hannover hielt diese Praxis für rechtswidrig (Urteil vom 28. November 2013 · Az. 10 A 5342/11). Nach den Vorschriften des Personalausweisgesetzes sei der Personalausweis ein Identifizierungsmittel, das der Inhaber vorlege und vorzeige, um sich auszuweisen. Nach dem eindeutigen Willen des Gesetzgebers sei aber das unbeschränkte Erfassen der Daten – und damit auch das Einscannen und Speichern durch ein Unternehmen – untersagt. Alleine das Speichern erhöhe nämlich schon das Missbrauchsrisiko.

Das Erfassen des vollständigen Ausweises ist immer noch häufige Praxis. Außer in den gesetzlich ausdrücklich vorgesehenen Fällen etwa im Telekommunikationsgesetz oder Geldwäschegesetz dürfte dies unzulässig sein. Die Datenerhebung ist auf die zwingend benötigten Datenfelder zu beschränken. Durch organisatorische Maßnahmen und Stichproben kann die korrekte Identitätsfeststellung durch den jeweiligen Mitarbeiter gewährleistet werden, ohne dass Kopien angefertigt werden.

12. Infoflyer mit Datenschutzhinweisen für Smartphone Nutzer

Die Bayerische Aufsichtsbehörde hat zwei Flyer mit den Titeln "Gib 8 auf dein iPhone" und "Gib 8 auf dein Smartphone" veröffentlicht. Diese geben Datenschutztipps für Nutzer von Smartphones und können gut für Schulungszwecke oder als Checkliste für unternehmensinterne Regelungen herangezogen werden. Die acht Tipps reichen von A wie "Apps" bis Z wie "Zugriffssperre".

13. Muster-Information für die Datenspeicherung in Fahrzeugen veröffentlicht

Auch das Auto - oder besser gesagt, der Hersteller - sammelt heute fleißig Daten: ob Fehlermeldungen, Fahrverhalten, Standort (GPS) oder sonstige Sensordaten. Die Daten werden zwar teilweise nur im Fahrzeug gespeichert, können aber zum Beispiel in der Werkstatt ausgelesen und leicht mit Kundenamen verknüpft werden.

Das Bayerische Landesamt für Datenschutz hat gemeinsam mit dem Verband der Automobilindustrie VDA) eine Muster-Information erstellt, die in den Fahrzeug-Betriebsanleitungen die Käufer entsprechend informieren soll. Standortdaten sind dort nicht umfasst. Ebenso wenig ist die Nutzung für Werbe- oder Marketingzwecke vorgesehen.

Fraglich bleibt aus meiner Sicht, ab wann das Erheben von Fahrzeugdaten einer Einwilligung der Nutzer bedarf, da z.B. Standortdaten durch einen Abgleich mit Werkstattterminen leicht Einzelpersonen zugeordnet werden können. Zudem erscheint mir fraglich, ob ein Hinweis im Handbuch von Fahrzeugen eine ausreichende Information darstellt. Die Handbücher sind erst nach dem Kauf verfügbar und werden nicht von (allen) Fahrern gelesen. Wichtig wäre eine Information und Belehrung schon beim Abschluss des Kaufvertrages.