Wegen eines Ver­sto­ßes gegen die Pflich­ten zu siche­rer Daten­ver­ar­bei­tung (Art. 32 der Euro­päi­schen Daten­schutz-Grund­ver­ord­nung DS-GVO) hat die Buß­geld­stel­le des LfDI Baden-Würt­tem­berg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Würt­tem­berg  eine  Geld­bu­ße  von  1.240.000,- Euro  ver­hängt   und – in kon­struk­ti­ver Zusam­men­ar­beit mit der AOK – zugleich die Wei­chen für eine Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz per­sön­li­cher Daten bei der AOK Baden-Würt­tem­berg gestellt.

Die AOK Baden-Würt­tem­berg ver­an­stal­te­te in den Jah­ren 2015 bis 2019 zu unter­schied­li­chen Gele­gen­hei­ten Gewinn­spie­le und erhob hier­bei per­so­nen­be­zo­ge­ne Daten der Teil­neh­mer, dar­un­ter deren Kon­takt­da­ten und Kran­ken­kas­sen­zu­ge­hö­rig­keit. Dabei woll­te die AOK die Daten der Gewinn­spiel­teil­neh­mer auch zu Wer­be­zwecken nut­zen, sofern die Teil­neh­mer hier­zu ein­ge­wil­ligt hat­ten. Mit­hil­fe tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, u. a. durch inter­ne Richt­li­ni­en und Daten­schutz­schu­lun­gen, woll­te die AOK hier­bei sicher­stel­len, dass nur Daten sol­cher Gewinn­spiel­teil­neh­mer zu Wer­be­zwecken ver­wen­det wer­den, die zuvor wirk­sam hier­in ein­ge­wil­ligt hat­ten. Die von der AOK fest­ge­leg­ten Maß­nah­men genüg­ten jedoch nicht den gesetz­li­chen Anfor­de­run­gen. In der Fol­ge wur­den die per­so­nen­be­zo­ge­nen Daten von mehr als 500 Gewinn­spiel­teil­neh­mern ohne deren Ein­wil­li­gung zu Wer­be­zwecken ver­wen­det. Ver­si­cher­ten­da­ten waren hier­von nicht betrof­fen.

Die AOK Baden-Würt­tem­berg stell­te unmit­tel­bar nach Bekannt­wer­den des Vor­wurfs alle ver­trieb­li­chen Maß­nah­men ein, um sämt­li­che Abläu­fe grund­le­gend auf den Prüf­stand zu stel­len. Zudem grün­de­te die AOK eine Task For­ce für Daten­schutz im Ver­trieb und pass­te neben den Ein­wil­li­gungs­er­klä­run­gen ins­be­son­de­re auch inter­ne Pro­zes­se und Kon­troll­struk­tu­ren an. Wei­te­re Maß­nah­men sol­len in enger Abstim­mung mit dem LfDI erfol­gen.

Inner­halb des Buß­geld­rah­mens gemäß Art. 83 Abs. 4 DS-GVO spra­chen die umfas­sen­den inter­nen Über­prü­fun­gen und Anpas­sun­gen der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sowie die kon­struk­ti­ve Koope­ra­ti­on mit dem LfDI zu Gun­sten der AOK. Auf die­se Wei­se konn­te in kur­zer Zeit eine Stei­ge­rung des Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten bei Ver­triebs­tä­tig­kei­ten der AOK erreicht wer­den. Die­se Ver­bes­se­run­gen und zusätz­li­chen Kon­troll­me­cha­nis­men wird die AOK zukünf­tig ent­spre­chend den Vor­ga­ben und Emp­feh­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit fort­füh­ren und ggf. anpas­sen.

Bei der Bemes­sung der Geld­bu­ße wur­de neben Umstän­den wie der Grö­ße und Bedeu­tung der AOK Baden-Würt­tem­berg ins­be­son­de­re auch berück­sich­tigt, dass sie als eine gesetz­li­che Kran­ken­ver­si­che­rung wich­ti­ger Bestand­teil unse­res Gesund­heits­sy­stems ist. Schließ­lich obliegt der AOK die gesetz­li­che Auf­ga­be, die Gesund­heit der Ver­si­cher­ten zu erhal­ten, wie­der­her­zu­stel­len oder zu ver­bes­sern. Weil Buß­gel­der nach der DS-GVO nicht nur wirk­sam und abschreckend, son­dern auch ver­hält­nis­mä­ßig sein müs­sen, war bei der Bestim­mung der Buß­geld­hö­he sicher­zu­stel­len, dass die Erfül­lung die­ser gesetz­li­che Auf­ga­be nicht gefähr­det wird. Hier­bei wur­den die gegen­wär­ti­gen Her­aus­for­de­run­gen für die AOK infol­ge der aktu­el­len Coro­na-Pan­de­mie in beson­de­rem Maße berück­sich­tigt.

Daten­si­cher­heit ist eine Dau­er­auf­ga­be“, betont der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Dr. Ste­fan Brink. „Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men sind regel­mä­ßig den tat­säch­li­chen Ver­hält­nis­sen anzu­pas­sen, um auf Dau­er ein ange­mes­se­nes Schutz­ni­veau sicher­zu­stel­len.“ Der Sicher­stel­lung daten­schutz­kon­for­mer Zustän­de und der guten Zusam­men­ar­beit von ver­ant­wort­li­chen Stel­len mit dem LfDI als Auf­sichts­be­hör­de wird dabei regel­mä­ßig gro­ße Bedeu­tung bei­gemes­sen. „Wir stre­ben kei­ne beson­ders hohen Buß­gel­der, son­dern ein beson­ders gutes und ange­mes­se­nes Daten­schutz­ni­veau an“, so Brink abschlie­ßend.

Die­se Pres­se­mit­tei­lung als PDF-Doku­ment auf­ru­fen.

E‑Mail ist neben dem World Wide Web ein wich­ti­ger Inter­net­dienst, nicht zuletzt, weil es durch E‑Mails mög­lich ist, Text­nach­rich­ten eben­so wie digi­ta­le Doku­men­te (also z. B. Gra­fi­ken oder Office-Doku­men­te) typi­scher­wei­se in weni­gen Sekun­den rund um die Erde zu sen­den. Ihren Sie­ges­zug trat die E‑Mail bereits in dem Jah­re 1984 an und ihre Beliebt­heit hält trotz diver­ser Mes­sen­ger und Sozia­ler Dien­ste wei­ter an.

Ins­be­son­de­re wenn mit der E‑Mail per­so­nen­be­zo-gene Daten über­mit­telt wer­den (über die ohne­hin vor­han­de­nen Meta­da­ten des Ver­sen­ders hin­aus), exi­stie­ren auch daten­schutz­recht­li­che Anfor­de­run-gen, die ins­be­son­de­re Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter beach­ten müs­sen. Sie sind gesetz­lich gehal­ten, die Risi­ken, die sich aus ihren Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten erge­ben, hin­rei-chend zu min­dern.

Das betrifft auch Risi­ken, die durch die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten per E‑Mail ent­ste­hen. Der gesetz­lich gebo­te­ne Schutz per­so­nen­be­zo­ge­ner Daten im Zuge der Über­mitt­lung von E‑Mail-Nach­rich­ten erstreckt sich sowohl auf die per­so­nen­be­zo­ge­nen Inhal­te als auch die Umstän­de der Kom­mu­ni­ka­ti­on, soweit sich aus letz­te­ren Infor­ma­tio­nen über natür­li­che Per­so­nen ablei­ten las­sen.

Sowohl Trans­port­ver­schlüs­se­lung als auch Ende-zu-Ende-Ver­schlüs­se­lung min­dern für ihren jewei­li­gen Anwen­dungs­zweck Risi­ken für die Ver­trau­lich­keit und Inte­gri­tät der über­tra­ge­nen per­so­nen­be­zo­ge­nen Daten. Der Ein­satz von Trans­port­ver­schlüs­se­lung bie­tet ledig­lich einen Basis-Schutz und stellt eine Min­dest­maß­nah­me zur Erfül­lung der gesetz­li­chen Anfor­de­run­gen dar. Der durch­grei­fend­ste Schutz der Inhalts­da­ten wird hin­ge­gen durch Ende-zu-Ende-Ver­schlüs­se­lung erreicht. Ver­ant­wort­li­che müs­sen bei­de Ver­fah­ren in der Abwä­gung der not-wen­di­gen Maß­nah­men berück­sich­ti­gen. In einer von der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der mehr­heit­lich ver­ab­schie­de­ten Ori­en­tie­rungs­hil­fe wer­den die Anfor­de­run­gen an die Ver­fah­ren zum Ver­sand und zur Ent­ge­gen­nah­me von E‑Mail-Nach­rich­ten erläu­tert.

Quel­le: Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den­des Bun­des und der Län­der

Die Coro­na-Pan­de­mie hat dafür gesorgt, dass das The­ma Home­of­fice auch bei Unter­neh­men, die sich bis­lang nicht inten­siv damit beschäf-tigt haben, in den Vor­der­grund gerückt ist. Im „Nor­mal­fall“ stellt sich die Ein­rich­tung eines Home-Office-Arbeits­plat­zes als eine wohl­über-leg­te und gut geplan­te Maß­nah­me dar. Damit auch im Fal­le einer pan­de­mie­be­ding­ten, schnel­le­ren Umset­zung der Ver­la­ge­rung der Daten­schutz am hei­mi­schen Arbeits­platz nicht auf der Strecke bleibt, haben auch Daten­schutz-Auf­sichts­be­hör­den eine gan­ze Rei­he von Leit­fä­den ver­öf­fent­licht, so bspw. Das ULD oder auch der BfDI.

Die aktu­ell­ste Ver­öf­fent­li­chung kommt von dem BayL­DA in Form eines „Selbst-Check: Daten­schutz­recht­li­che Rege­lun­gen bei Home­of­fice“.

Das BayL­DA möch­te mit sei­ner Hand­rei­chung einen Über­blick über die wich­tig­sten Pra­xis­maß­nah­men im Home­of­fice ent­spre­chend den gel­ten­den gesetz­li­chen Daten­schutz­vor­ga­ben geben. Im Sin­ne einer geziel­ten Prä­ven­ti­on von Daten­schutz­ver­stö­ßen soll damit im momen-tanen „neu­en All­tag“ eine gestei­ger­te Sen­si­bi­li­sie­rung für die­ses The­ma erreicht und mit kon­kre­ten Prüf­fra­gen der eige­ne Stand der Umset­zung unter­stützt wer­den, so das BayL­DA.

Die auf­ge­führ­ten Prüf­punk­te sieht das BayL­DA nicht als abschlie­ßend an, son­dern stellt einen Best-Prac­ti­ce-Ansatz dar, der bei­spiels­wei­se von sei­ten der Geschäfts­füh­rung oder des Daten­schutz­be­auf­trag­ten im Sin­ne einer Soll-Ist-Über­prü­fung ver­wen­det wer­den kann. Eine gut sor­tier­te Samm­lung zum The­ma Daten­schutz und Home-Office bie­tet die GDD mit wei­te­ren nütz­li­chen Links zum The­ma.

Quel­le: Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht

Posi­ti­ons­pa­pier gibt Hand­lungs­emp­feh­lun­gen aus Pra­xis­per­spek­ti­ve
Anläss­lich der ersten Eva­lu­ie­rung der am 25.05.2018 anwend­bar gewor­de­nen Daten­schutz-Grund­ver­ord­nung (DSGVO) spricht sich der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. für eine Ent­la­stung klei­ner und mit­tel­stän­di­scher Unter­neh­men aus. In einem Posi­ti­ons­pa­pier for­dert der Ver­band einen Abbau von Büro­kra­tie durch stär­ke­re Ein­bin­dung des Daten­schutz­be­auf­trag­ten (DSB). Denn durch die DSGVO begrün­de­te Büro­kra­tie ergibt sich nicht durch die Benen­nung des DSB, son­dern auf­grund der hier­von unab­hän­gig bestehen­den und buß­geld­be­wehr­ten umfas­sen­den Orga­ni­sa­ti­ons- und Doku­men­ta­ti­ons­pflich­ten der DSGVO. Die Ein­bin­dung des DSB führt daher zu einer Ent­la­stung des Mit­tel­stands.

Pres­se­mit­tei­lung
Posi­ti­ons­pa­pier

Die in Ber­lin vor­ge­stell­te Coro­na-Warn-App ist aus Sicht des Lan­des­da­ten­schutz­be­auf­trag­ten Die­ter Kugel­mann „daten­schutz­recht­lich okay“

Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz vom 16.06.2020

Die heu­te in Ber­lin vor­ge­stell­te Coro­na-Warn-App ist aus Sicht des Lan­des­da­ten­schutz­be­auf­trag­ten Die­ter Kugel­mann „daten­schutz­recht­lich okay“. „Das Her­un­ter­la­den und das Nut­zen der App ist frei­wil­lig, und die gesam­mel­ten Daten wer­den dezen­tral auf den ein­zel­nen Smart­pho­nes gespei­chert. Die­se bei­den Prin­zi­pi­en haben aus Daten­schutz-Sicht eine immens gro­ße Bedeu­tung“, sagt Pro­fes­sor Kugel­mann, Lan­des­be­auf­trag­ter für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz (LfDI). „Die App ist aus der Daten­schutz-Per­spek­ti­ve in Ord­nung. Man kann sie sich guten Gewis­sens her­un­ter­la­den. Ob sie taug­lich ist, ist eine Fra­ge des Gesund­heits­schut­zes. Aller­dings darf die App nicht zur Dau­er­lö­sung wer­den: Wenn die Coro­na-Pan­de­mie besiegt ist, soll­te die App der Ver­gan­gen­heit ange­hö­ren und nicht mehr auf den Smart­pho­nes akti­viert sein.“

Kugel­mann sagt wei­ter: „Jede Bür­ge­rin und jeder Bür­ger soll­te sich aber bewusst machen, dass die neu auf den Smart­pho­nes gesam­mel­ten Daten, etwa Infor­ma­tio­nen zu Covid 19-Erkran­kun­gen, das Ziel von kri­mi­nel­len Hacker-Angrif­fen wer­den könn­ten. Jede und Jeder soll­te daher über­le­gen, auf sei­nem Smart­pho­ne eine Anti-Virus-Soft­ware zu instal­lie­ren. Die mei­sten Men­schen ach­ten auf ihren Com­pu­tern dar­auf, ein aktu­el­les Viren-Schutz-Pro­gramm instal­liert zu haben. Auf dem Smart­pho­ne, auf dem vie­le Men­schen sen­si­ble Daten ein­ge­ben und spei­chern, soll­te die­ses auch selbst­ver­ständ­lich wer­den.“

Die ursprüng­li­chen Plä­ne zur Coro­na-Warn-App waren aus Daten­schutz-Sicht furcht­erre­gend“, sagt Kugel­mann. „Es ist ein gro­ßer Erfolg für die Daten­schüt­zer der Län­der und des Bun­des, dass die App nun anders kon­zi­piert wur­de. Neben der dezen­tra­len Spei­che­rung und Anony­mi­sie­rung der Kon­takt­da­ten wird auf die Erhe­bung von Stand­ort­da­ten ver­zich­tet. Auch die Ent­wick­lung des Pro­gramm­codes erfolg­te trans­pa­rent. Zudem wer­den die Daten nach zwei Wochen gelöscht. Es ist aller­dings sehr wich­tig, dass das Frei­wil­lig­keits-Prin­zip der App nicht Schritt für Schritt aus­ge­höhlt wird: Es darf nicht pas­sie­ren, dass etwa Gast­stät­ten­be­trei­ber, Kon­zert­ver­an­stal­ter oder pri­va­te Bus­un­ter­neh­mer irgend­wann sagen: ‚Wir akzep­tie­ren nur Kun­den und Gäste, die die App her­un­ter­ge­la­den haben‘.“

Der Daten­schutz­be­auf­trag­te sagt: „Mit der nun vor­lie­gen­den App wer­den – so mei­ne erste Bewer­tung – die Frei­heits­rech­te geach­tet. Auch wäh­rend der Pan­de­mie dür­fen wir nicht vor­schnell Frei­heits­rech­te auf­ge­ben, erst recht nicht, wenn es dem effek­ti­ven Gesund­heits­schutz gar nicht dient oder nicht ange­mes­sen ist. Es besteht kein Zwei­fel, dass die Bekämp­fung der Pan­de­mie wei­ter­hin Prio­ri­tät genie­ßen muss. Dies muss aber in einem rechts­staat­li­chen Rah­men gesche­hen, damit die staat­li­che Ord­nung nicht ero­diert.“

Das Lan­des­ar­beits­ge­richt (LAG) Köln ent­schied mit sei­nem Urteil vom 07.02.2020 (aSa 329/​19), dass eine außer­or­dent­li­che Kün­di­gung auf­grund umfang­rei­cher pri­va­ter Inter­net­nut­zung wäh­rend der Arbeits­zeit trotz Ver­bot gerecht­fer­tigt ist.

Der Klä­ger war als ein­zi­ger Mit­ar­bei­ter bei der Beklag­ten, ein Unter­neh­men, das im Bereich Web­de­sign, Social Media und Online-Mar­ke­ting tätig war, ange­stellt.

Ver­trag­lich ver­ein­bart war, dass die von der Beklag­ten zur Ver­fü­gung gestell­te IT-Infra­struk­tur nicht zu pri­va­ten Zwecken benutzt wer­den durf­te. Es stell­te sich her­aus, dass der Klä­ger an meh­re­ren Tagen und über Mona­te hin­weg regel­mä­ßig das Inter­net und den betrieb­li­chen E‑Mail-Account zu pri­va­ten Zwecken nutz­te. Dar­auf­hin kün­dig­te die Beklag­te dem Klä­ger frist­los. Gegen die­se Kün­di­gung zog der Arbeit­neh­mer vor Gericht. Das LAG Köln lehn­te nun die Revi­si­on des Arbeit­neh­mers und Klä­gers als unbe­grün­det ab und beur­teil­te damit die Kün­di­gung für wirk­sam.

Als Nach­wei­se hat­te die Beklag­te vor Gericht, Inhal­te aus den E‑Mail-Ver­läu­fen auf dem dienst­li­chen Lap­top und dem Brow­ser-Cache vor­ge­bracht. Dahin­ge­hend unter­stell­te der Klä­ger der Beklag­ten „mas­si­ve Daten­ver­stö­ße“. Durch die Vor­la­ge der Bewei­se stell­te sich das LAG Köln die Fra­ge, ob die Beklag­te die Daten über­haupt spei­chern durf­te oder ob ein Beweis­ver­wer­tungs­ver­bot gege­ben war.

Im Ergeb­nis bejah­te das LAG Köln die Ver­wen­dung der Infor­ma­tio­nen und führ­te dazu fol­gen­des aus:

Einer pro­zes­sua­len Ver­wer­tung der Inhal­te der E‑Mails auf dem dienst­li­chen Lap­top und der Ein­trä­ge in den Log-Datei­en der Inter­net-Brow­ser steht auch kein sog. pro­zes­sua­les Ver­wer­tungs­ver­bot (…) ent­ge­gen. Rn. 128

Greift die pro­zes­sua­le Ver­wer­tung eines Beweis­mit­tels in das all­ge­mei­ne Per­sön­lich­keits­recht eines Arbeit­neh­mers ein (1. Stu­fe), das – jeden­falls außer­halb des unan­tast­ba­ren Kern­be­reich pri­va­ter Lebens­füh­rung – nicht schran­ken­los gewähr­lei­stet wird, über­wiegt bei einer Güter­ab­wä­gung das Inter­es­se des Arbeit­ge­bers an sei­ner Ver­wer­tung und der Funk­ti­ons­tüch­tig­keit der Rechts­pfle­ge das Inter­es­se am Schutz die­ses Grund­rechts nur dann, wenn wei­te­re, über das schlich­te Beweis­in­ter­es­se hin­aus­ge­hen­de Umstän­de auf Sei­ten des Arbeit­ge­bers hin­zu­tre­ten (2. Stu­fe).” Rn. 94

Da die vor­lie­gend streit­ge­gen­ständ­li­chen Spei­cher­vor­gän­ge noch vor Inkraft­tre­ten der DSGVO und des BDSG-nF pas­sier­ten, beruht die­se Ent­schei­dung noch auf der alten Rechts­la­ge. Aller­dings hat die­se Ent­schei­dung auch nach aktu­el­lem Daten­schutz­recht noch Bestand. Denn der § 26 BDSG-nF, in der die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Beschäf­ti­gungs­ver­hält­nis gere­gelt ist, ent­spricht wei­test­ge­hend der alten Rege­lung in § 32 BDSG-aF und wur­de in der Ent­schei­dung zusätz­lich zitiert.

Das Gericht führ­te wei­ter an, dass die Ver­ar­bei­tung der Brow­ser-Ver­laufs­da­ten und der E‑Mails auf Grund­la­ge von § 32 Abs. 1 BDSG aF /​ § 26 Abs. 1 BDSG nF zuläs­sig sei:

Vor­lie­gend gestat­tet § 32 Abs. 1 BDSG aF /​ § 26 Abs. 1 BDSG nF der Beklag­ten sowohl Erhe­bung und Ver­ar­bei­tung (Spei­che­rung) der bei Inter­net­nut­zung ent­ste­hen­den Ver­laufs­da­ten in der Brow­ser­chro­nik und der E‑Mails, als auch deren spä­te­re Nut­zung (Aus­wer­tung), auch im vor­lie­gen­den Pro­zess.

Hier­nach dür­fen per­so­nen­be­zo­ge­ne Daten eines Beschäf­tig­ten für Zwecke des Beschäf­ti­gungs­ver­hält­nis­ses erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn dies für die Ent­schei­dung über die Begrün­dung eines Beschäf­ti­gungs­ver­hält­nis­ses oder nach des­sen Begrün­dung für sei­ne Durch­füh­rung oder Been­di­gung erfor­der­lich ist.

Dass die Beklag­te die aus­ge­wer­te­ten per­so­nen­be­zo­ge­nen Daten im Kün­di­gungs­schutz­pro­zess auch als Beweis­mit­tel nut­zen woll­te, dien­te zudem der Been­di­gung des Beschäf­ti­gungs­ver­hält­nis­ses ”

Dass der Klä­ger bei der Aus­wer­tung nicht hin­zu­ge­zo­gen wur­de, sei dabei uner­heb­lich. Zwar erhö­he die Heim­lich­keit einer in Grund­rech­te ein­grei­fen­den Maß­nah­me typi­scher­wei­se das Gewicht der Frei­heits­be­ein­träch­ti­gung, so heißt es in einer Urteils­be­grün­dung des BAG. Dem­zu­fol­ge sei eine in Anwe­sen­heit des Klä­gers durch­ge­führ­te Schrank­kon­trol­le gegen­über einer heim­li­chen Durch­su­chung das mil­de­re Mit­tel, da die Kon­trol­le in sei­nem Bei­sein dem Klä­ger die Mög­lich­keit gebe, auf die Art und Wei­se der Durch­füh­rung Ein­fluss zu neh­men.

Im vor­lie­gen­den Fall stel­le eine in Anwe­sen­heit des Klä­gers durch­ge­führ­te Aus­wer­tung der Log-Datei­en der Inter­net-Brow­ser sowie der E‑Mails jedoch kein mil­de­res Mit­tel gegen­über der ohne Hin­zu­zie­hung des Klä­gers erfol­gen­den Aus­wer­tung dar. Die Art und Wei­se der Aus­wer­tung wäre auch bei Anwe­sen­heit des Klä­gers kei­ne ande­re gewe­sen, so führ­te das Gericht wei­ter aus.

Besteht also ein aus­drück­li­ches Ver­bot für die pri­va­te Inter­net­nut­zung wäh­rend der Arbeits­zeit, stellt eine Zuwi­der­hand­lung einen Ver­stoß gegen die arbeits­ver­trag­li­chen Pflich­ten dar. In die­sem Zusam­men­hang soll­ten sich Unter­neh­men ver­deut­li­chen, wel­che Fol­gen es haben kann, wenn die betrieb­li­che Inter­net- und E‑Mailnutzung nicht klar gere­gelt ist. Sofern nichts gere­gelt ist oder eine Pri­vat­nut­zung sogar erlaubt ist, kann eine Pro­to­kol­lie­rung wie sie in die­sem Fall erfolgt ist, schnell zu einem Daten­schutz-Pro­blem wer­den.

Auch bei einer Erlaub­nis der Pri­vat­nut­zung sind eben­falls kla­re Regeln nötig, um den dienst­li­chen Daten­ver­kehr im Rah­men der daten­schutz­recht­li­chen Mög­lich­kei­ten über­wa­chen zu kön­nen. In jedem Fall ist dazu gera­ten, die Pri­vat­nut­zung der IT-Syste­me zu regeln, sei es durch ein aus­drück­li­ches Ver­bot oder eine Erlaub­nis. Bei der For­mu­lie­rung einer sol­chen Richt­li­nie soll­te der Daten­schutz­be­auf­trag­te sowie ggf. auch der Betriebs­rat ein­be­zo­gen wer­den.

Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz vom 09.06.2020

In zahl­rei­chen Bran­chen müs­sen Betrie­be und Ein­rich­tun­gen in die­sen Wochen Infor­ma­tio­nen mit per­so­nen­be­zo­ge­nen Daten der Kun­den und Gäste sam­meln. Hier­zu erklärt Pro­fes­sor Die­ter Kugel­mann, Lan­des­be­auf­trag­ter für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz (LfDI): „Neben der daten­schutz­kon­for­men Erfas­sung gibt die Daten­schutz-Grund­ver­ord­nung unmiss­ver­ständ­lich vor, dass die Gäste und Kun­den zum Zeit­punkt der Daten­er­he­bung infor­miert wer­den müs­sen. In vie­len Restau­rants und wei­te­ren Ein­rich­tun­gen bestehen hier­zu noch Defi­zi­te: Ent­we­der wird über­haupt nicht mit­ge­teilt, zu wel­chem Zweck Daten erho­ben wer­den. Oder es feh­len wich­ti­ge Infor­ma­tio­nen – etwa der Name des Ver­ant­wort­li­chen des Betrie­bes, an den man sich bei Nach­fra­gen oder Beschwer­den wen­den kann. Gera­de weil in die­sen Wochen hun­dert­tau­sen­de Daten neu gesam­melt wer­den, ist ein trans­pa­ren­ter Umgang beson­ders wich­tig. Der­zeit fin­det in Deutsch­land die größ­te – durch tau­sen­de Ein­zel­un­ter­neh­men durch­ge­führ­te – Daten­sam­mel­ak­ti­on in der Geschich­te der Bun­des­re­pu­blik statt: Die­se kann dau­er­haft nur auf Akzep­tanz sto­ßen, wenn Klar­heit und Trans­pa­renz groß geschrie­ben wer­den. Wer in ein Restau­rant, eine Knei­pe, zum Fri­seur oder ins Thea­ter geht, muss wis­sen, war­um er nament­lich erfasst wird.“

Nach den Anfor­de­run­gen der Daten­schutz-Grund­ver­ord­nung (Art. 13 DS-GVO) müs­sen die Ver­ant­wort­li­chen etwa in einem Restau­rant über Fol­gen­des infor­mie­ren: über Name und Kon­takt­da­ten des Ver­ant­wort­li­chen und ggf. eines Daten­schutz­be­auf­trag­ten, über Zweck und Rechts­grund­la­ge der Daten­ver­ar­bei­tung, über (mög­li­che) Emp­fän­ger der Daten, über die Dau­er der Spei­che­rung, über Betrof­fe­nen­rech­te und das Beschwer­de­recht bei einer Auf­sichts­be­hör­de sowie über die Fol­gen, wenn die Kon­takt­da­ten nicht ange­ge­ben wer­den. Die­se Infor­ma­tio­nen kön­nen gut ein­seh­bar auf Tischen aus­ge­legt oder im Ein­gangs­be­reich aus­ge­hängt wer­den. Auch kann auf dem Kon­takt­for­mu­lar, auf dem die Kun­den sich regi­strie­ren, infor­miert wer­den. Es soll­te über­dies ein Exem­plar zur Ver­fü­gung ste­hen, das der Gast oder Kun­de auf Wunsch mit­neh­men kann.

In vie­len Bran­chen besteht die Ver­pflich­tung zur Kon­takt­da­ten­er­fas­sung. Es müs­sen dem­nach in der Regel Name, Vor­na­me, Anschrift und Tele­fon­num­mer gesam­melt wer­den; die Auf­be­wah­rungs­frist für die Daten beträgt einen Monat. Danach sind die Daten grund­sätz­lich zu löschen, wenn nicht ande­re gesetz­li­che Auf­be­wah­rungs­fri­sten gel­ten. Das zustän­di­ge Gesund­heits­amt kann, soweit dies erfor­der­lich ist, bei den Betrie­ben Aus­kunft über die Kon­takt­da­ten ver­lan­gen. Eine Ver­ar­bei­tung der Daten zu ande­ren Zwecken ist nicht zuläs­sig.

Der LfDI hat zur Infor­ma­ti­on der Ver­ant­wort­li­chen in den Betrie­ben, die die Daten sam­meln müs­sen, ein Merk­blatt zusam­men­ge­stellt (sie­he Anhang). Zudem hat der LfDI auf sei­ner Inter­net­sei­te unter www​.daten​schutz​.rlp​.de/​d​e​/​t​h​e​m​e​n​f​e​l​d​e​r​-​t​h​e​m​e​n​/​c​o​r​o​n​a​-​d​a​t​e​n​s​c​h​u​tz/ Infor­ma­tio­nen zusam­men­ge­fasst zu: „Was ist bei der Erfas­sung von Kon­takt­da­ten daten­schutz­recht­lich zu beach­ten ist?“. Dort befin­det sich auch eine Muster­in­for­ma­ti­on.

Die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat eine Neu­auf­la­ge des Rat­ge­bers „Wie sicher ist dein Smart­pho­ne?“ ver­öf­fent­licht. Der Rat­ge­ber rich­tet sich an Jugend­li­che und Her­an­wach­sen­de und erklärt leicht ver­ständ­lich, wel­che Gefah­ren beim Umgang mit dem Smart­pho­ne für die Pri­vat­sphä­re dro­hen und mit wel­chen Tipps Nut­ze­rin­nen und Nut­zer sich best­mög­lich schüt­zen kön­nen.

Die hand­li­che Bro­schü­re behan­delt in kur­zen über­sicht­li­chen Kapi­teln bekann­te Gefah­ren, z. B. Smart­pho­ne-Viren, Spio­na­ge und Daten­klau, und erklärt zudem weni­ger offen­sicht­li­che Risi­ko­fel­der wie die Erstel­lung von Bewe­gungs­pro­fi­len oder die Nut­zung unver­schlüs­sel­ter WLAN-Hot­spots. Dar­über hin­aus fin­den sich in dem Rat­ge­ber nütz­li­che Hin­wei­se dazu, wie man per­sön­li­che Infor­ma­tio­nen daten­schutz­ge­recht löscht, bevor ein Tele­fon ent­sorgt oder weg­ge­ge­ben wird, und wie wich­ti­ge Daten rich­tig gesi­chert wer­den kön­nen.

Der in der Ver­gan­gen­heit stark nach­ge­frag­te Rat­ge­ber wur­de erst­ma­lig im Jahr 2008 ver­öf­fent­licht und ist nun in der 3. aktua­li­sier­ten und ergänz­ten Auf­la­ge kosten­frei erhält­lich. Er kann als gedruck­te Aus­ga­be bei der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit ange­fragt und digi­tal unter _​https://​www​.daten​schutz​-ber​lin​.de/​i​n​f​o​t​h​e​k​-​u​n​d​-​s​e​r​v​i​c​e​/​v​e​r​o​e​f​f​e​n​t​l​i​c​h​u​n​g​e​n​/​i​n​f​o​r​m​a​t​i​o​n​s​m​a​t​e​r​i​a​l​i​e​n/_ abge­ru­fen wer­den.

Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz vom 03.06.2020

In den ver­gan­ge­nen Tagen sind zahl­rei­che Orga­ni­sa­tio­nen und Betrie­be in Rhein­land-Pfalz mit einer neu­ar­ti­gen Schad­soft­ware ver­gleich­bar der Schad­soft­ware Emo­tet infi­ziert wor­den.

Beim Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz (LfDI) sind seit dem 20. Mai acht ent­spre­chen­de Daten­pan­nen gemel­det wor­den. Es sind Unter­neh­men als auch öffent­li­che Stel­len von den Angrif­fen betrof­fen. Bei der der­zei­ti­gen Angriffs­wel­le han­delt es sich um eine Schad­soft­ware, bei der der Schäd­ling in der Regel neben den E‑Mail-Kon­tak­ten auch die vor­han­de­ne E‑Mail-Kom­mu­ni­ka­ti­on aus­liest und sich dann auf dem E‑Mail-Weg wei­ter­ver­brei­tet. Ist die Schad­soft­ware erst­mal in IT-Syste­me ein­ge­drun­gen, kann sie unter Umstän­den ande­re Schad­pro­gram­me nach­la­den.

Ob und gege­be­nen­falls in wel­chem Umfang bei den jüng­sten Angrif­fen in Rhein­land-Pfalz über die Daten aus der E‑Mail-Kom­mu­ni­ka­ti­on hin­aus wei­te­re Daten abge­flos­sen sind, ist der­zeit noch offen. Nach den ersten Anga­ben der Ver­ant­wort­li­chen der betrof­fe­nen Unter­neh­men und Ein­rich­tun­gen sind bis­her kei­ne wei­te­ren Abflüs­se von Daten fest­ge­stellt wor­den; dies ist jedoch Gegen­stand wei­te­rer Ermitt­lun­gen. Daten­schutz­recht­lich sind Angrif­fe mit der neu­ar­ti­gen Schad­soft­ware pro­ble­ma­tisch, weil durch den Abfluss der E‑Mails per­so­nen­be­zo­ge­ne Daten unbe­fug­ten Drit­ten bekannt wer­den. Die­se E‑Mails kön­nen, je nach Zusam­men­hang, sen­si­ble Daten der Absen­der ent­hal­ten.

Die Angrif­fe ver­lau­fen in der Regel nach fol­gen­dem Muster: Die Schad­soft­ware liest Kon­takt­be­zie­hun­gen und E‑Mail-Inhal­te aus den Post­fä­chern bereits infi­zier­ter Syste­me aus. Anschlie­ßend wer­den authen­tisch aus­se­hen­de Spam-Mails an die Emp­fän­ger aus der Kon­takt­li­ste ver­schickt. Die­se erhal­ten also fin­gier­te Mails von Absen­dern, mit denen sie kürz­lich tat­säch­lich in Kon­takt stan­den, was das Risi­ko erhöht, dass den E‑Mails Ver­trau­en ent­ge­gen­ge­bracht wird. Die Beschrei­bun­gen der Betrof­fe­nen in Rhein­land-Pfalz in den ver­gan­ge­nen Tagen ähneln sich in die­sem Sin­ne: E‑Mails mit den Adres­sen der betrof­fe­nen Unter­neh­men und Ein­rich­tun­gen sind an Per­so­nen gegan­gen, die aus zwei Ele­men­ten bestan­den. Im obe­ren Teil der E‑Mail war ein kur­zer Satz mit einem Link ent­hal­ten, über den womög­lich eine Infek­ti­on erfol­gen könn­te. Im unte­ren Teil der E‑Mail war eine älte­re E‑Mail ange­hängt, die die Per­son zuvor an das Unter­neh­men oder die Ein­rich­tung gesandt hat­te.

Bei einem Befall mit der neu­ar­ti­gen Schad­soft­ware liegt daten­schutz­recht­lich eine Daten­schutz­ver­let­zung vor, die nach Arti­kel 33 DS-GVO bei der zustän­di­gen Auf­sichts­be­hör­de inner­halb von 72 Stun­den zu mel­den ist. Nach einem Angriff soll­ten alle betrof­fe­nen Per­so­nen, das heißt alle E‑Mail-Absen­der, die sich im Post­fach des infi­zier­ten Unter­neh­mens befin­den, nach dem Mot­to „Sharing is caring“ (Vor­beu­gen durch Infor­ma­tio­nen tei­len) über den Vor­fall infor­miert wer­den, um eine Aus­brei­tung zu ver­hin­dern. Han­delt es sich bei den betrof­fe­nen E‑Mails um E‑Mails mit sen­si­blen Inhal­ten wie beson­ders geschütz­te Daten nach Art. 9 DS-GVO, ist von einem hohen Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen aus­zu­ge­hen. In die­sen Fäl­len unter­liegt der Ver­ant­wort­li­che einer Pflicht zur Benach­rich­ti­gung der betrof­fe­nen Per­so­nen nach Art. 34 Abs. 1 DS-GVO.

Der LfDI emp­fiehlt den betrof­fe­nen Unter­neh­men und Orga­ni­sa­tio­nen ihre Mit­ar­bei­ter für die neue Wel­le von Phis­hing-Mails zu sen­si­bi­li­sie­ren und die Sicher­heits­vor­keh­rung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik zur Vor­beu­gung eines Angriffs zu befol­gen. Wei­te­re Infor­ma­tio­nen gibt es beim Bun­des­amt und dem Baye­ri­schen Lan­des­amt für Daten­schutz­auf­sicht.

Die Pres­se­mit­tei­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz kön­nen hier abge­ru­fen wer­den.

Aktiv zustim­men oder nur nicht wider­spre­chen? Für das Set­zen von Coo­kies im Inter­net hat der BGH eine Unklar­heit zwi­schen deut­schem und euro­päi­schen Geset­zes­text aus­ge­räumt.

Coo­kies sind all­ge­gen­wär­tig im Inter­net. Wer sie auf sei­nen Inter­net­sei­ten set­zen will, braucht nach einem Urteil des Bun­des­ge­richts­hofs (BGH) vom Don­ners­tag aber in jedem Fall die akti­ve Zustim­mung der Nut­zer. Kon­kret ging es um den Streit zwi­schen Planet49, einem Anbie­ter von Online-Gewinn­spie­len, und dem Bun­des­ver­band der Ver­brau­cher­zen­tra­len. Ein vor­ein­ge­stell­ter Haken im Feld zur Coo­kie-Ein­wil­li­gung benach­tei­li­ge den Nut­zer unan­ge­mes­sen.

Der Senat habe für sei­ne Ent­schei­dung das deut­sche Tele­me­di­en­ge­setz (TMG) mit sei­ner Wider­spruchs­re­ge­lung nach den Vor­ga­ben der seit 2018 gel­ten­den EU-Daten­schutz­grund­ver­ord­nung (DS-GVO) aus­ge­legt, sag­te der Vor­sit­zen­de Rich­ter Tho­mas Koch. Zuvor hat­ten die Rich­ter dem Euro­päi­schen Gerichts­hof Fra­gen zur Vor­ab­ent­schei­dung vor­ge­legt. Der deut­sche Gesetz­ge­ber habe das TMG nach Ein­füh­rung der DS-GVO zwar nicht über­ar­bei­tet, es sei aber klar, dass er kei­nen Wider­spruch zum euro­päi­schen Recht sehe. (I ZR 7/​16).

Coo­kies spei­chern beim Sur­fen im Inter­net Daten auf der Fest­plat­te des Nut­zers. Bei einem spä­te­ren Besuch der Web­sei­te wer­den mit ihrer Hil­fe die Nut­zer und ihre Ein­stel­lun­gen wie­der­erkannt. Coo­kies wer­den auch dazu ver­wen­det, Ver­brau­chern indi­vi­du­el­le Wer­bung zu prä­sen­tie­ren. Wenn ein Nut­zer im vor­lie­gen­den Fall das vor­ein­ge­stell­te Häk­chen nicht ent­fern­te, stimm­te er einer Aus­wer­tung sei­nes Surf­ver­hal­tens und inter­es­sen­ge­rich­te­ter Wer­bung zu.

Das Urteil des Bun­des­ge­richts­hofs sor­ge dafür, dass die Rechts­un­si­cher­heit für Unter­neh­men erheb­lich redu­ziert wer­de. Denn end­lich ist klar, was in Sachen Coo­kies erlaubt ist und was nicht. Gleich­zei­tig stei­ge mit sofor­ti­ger Wir­kung auch das Abmahn- und Haf­tungs­ri­si­ko bei Ver­stö­ßen – etwa, wenn Unter­neh­men nicht sofort han­deln und ihre Web­sei­ten und Apps nicht anpas­sen.

Der Ver­band der Inter­net­wirt­schaft (eco) begrüß­te die BGH-Ent­schei­dung. »Das Urteil gibt Unter­neh­men und Nut­zern end­lich Klar­heit und Rechts­si­cher­heit im Umgang mit Coo­kies«, sag­te Eco-Geschäfts­füh­rer Alex­an­der Rabe.

Der Bran­chen­ver­band Bit­kom kri­ti­sier­te dage­gen das Urteil scharf. Es tref­fe die Web­sei­ten­be­trei­ber schwer und es ner­ve vie­le Inter­net­nut­zer, erklär­te Bit­kom-Haupt­ge­schäfts­füh­rer Bern­hard Roh­le­der. Alle Coo­kies, die als nicht unbe­dingt erfor­der­li­chen gel­ten, dürf­ten jetzt nur noch mit akti­ver Ein­wil­li­gung gesetzt wer­den. »Wel­che Coo­kies damit gemeint sind, bleibt jedoch unklar. Die­ser Unsi­cher­heit wird für alle Sei­ten zu höhe­ren Auf­wän­den füh­ren.« Für Inter­net­nut­zer ent­ste­he mit dem BGH-Urteil ein wei­te­rer Kom­fort­ver­lust: »Sie müs­sen häu­fi­ger Ban­ner wegklicken oder Häk­chen set­zen, bevor sie die gewünsch­ten Inhal­te sehen.« Dabei dien­ten Coo­kies den Web­sei­ten­be­trei­ben­den und Usern glei­cher­ma­ßen, etwa bei Waren­kör­ben in Online-Shops oder um das Web­sei­ten­er­leb­nis für Nut­zer zu ver­bes­sern.