Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

 

5    Datenschutz in der Privatwirtschaft

Die gemäß dem Bundesdatenschutzgesetz im nicht öffentlichen Bereich tätigen Aufsichtsbehörden kooperieren seit 1977 im „Düsseldorfer Kreis“. Immer mehr Datenschutzbeauftragte der Länder wurden zugleich Aufsichtsbehörden. Nur in Bayern blieb die Datenschutzaufsicht zweigeteilt. Es liegt nahe, innerhalb der Dienststellen nicht mehr streng zwischen öffentlichem und nicht öffentlichem Bereich zu trennen. Um auch auf Bundesebene Synergien zu erreichen, wurde der Düsseldorfer Kreis in die Strukturen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder integriert. Das Bayerische Landesamt für Datenschutzaufsicht nimmt seitdem an der Konferenz teil.

5.1          Datenschutz in der Versicherungswirtschaft

Im Düsseldorfer Kreis bestehen zu einzelnen Wirtschaftsbereichen Arbeitsgruppen, die von einer Aufsichtsbehörde geleitet werden; das ULD nimmt die Leitung der AG Versicherungswirtschaft wahr.

5.1.1       Warndatei  – auch für private Krankenversicherung en

Das Hinweis- und Informationssystem der Versicherungswirtschaft (HIS) wurde nach langer Diskussion mit dem ULD und den anderen Aufsichtsbehörden im April 2011 in Betrieb genommen. Seitdem speichert und verarbeitet es Daten von Personen zu Zwecken der Risikoprüfung für die teilnehmenden Versicherungsunternehmen (34. TB, Tz. 5.1.1).

Die privaten Krankenversicherungen sind bisher nicht in das HIS integriert, sondern betreiben seit Jahrzehnten ein papier- bzw. faxbasiertes System zur Betrugsbekämpfung, die sogenannte Versicherungsumfrage. Im Rahmen dieses Systems senden einzelne private Krankenversicherer einen Datensatz als Anfrage an den Verband der Privaten Krankenversicherung (PKV e. V.). Dieser sammelt die Anfragen und schickt sie an die Mitgliedsunternehmen. Stellt ein Mitgliedsunternehmen eine Personenidentität mit einem Meldefall über Auffälligkeiten oder Risiken fest, nimmt es Kontakt mit dem einmeldenden Unternehmen auf.

Dieses System ist mit geltendem Datenschutzrecht nicht vereinbar, da keine wirksamen Einwilligungen der Betroffenen eingeholt werden, eine Vorratsübermittlung an die anderen Unternehmen erfolgt und keine klaren Kriterien für die Meldungen und die Rückmeldungen gelten.

Das bisher praktizierte System der Versicherungsumfrage ist rechtswidrig und soll ersetzt werden. Geplant wird die Anbindung der privaten Krankenkassen an das HIS.

Zwecks Beendigung des rechtswidrigen Verfahrens wird derzeit die Anbindung der privaten Krankenkassen an das HIS geprüft. Dazu finden seit 2013 konkrete Gespräche zwischen Vertretern der AG Versicherungswirtschaft und Vertretern der privaten Krankenkassen statt. Ziel der Prüfung ist es, das Interesse der betroffenen Versicherten und Versicherungsnehmer an der Wahrung ihres Rechts auf informationelle Selbstbestimmung mit dem Interesse der privaten Krankenversicherungen an einem geeigneten System zur Erkennung von betrügerischem Verhalten zusammenzubringen. Dazu hat der PKV e. V. Kategorien von Auffälligkeiten formuliert, mit denen Meldefälle beschrieben werden. Anknüpfungspunkte sind folgende Sachverhalte:

• Verletzung vorvertraglicher Informationspflichten,
• Verletzung von Meldepflichten des Versicherungsnehmers,
• betrügerische Inanspruchnahme von Leistungen der Versicherung.

Die Konkretisierung dieser Kategorien wird derzeit von der AG Versicherungswirtschaft geprüft. Es besteht die Gefahr, redliche Versicherungsnehmer und Versicherte vorschnell einzumelden. Kern der Prüfung ist deshalb die Abwägung, welche Merkmale ausreichend konkret sind, welches Maß an Verdacht erforderlich und wann eine Löschung der eingemeldeten Person vorzunehmen ist. An den übrigen datenschutzrechtlichen Vorgaben zum HIS, also insbesondere der strengen Erforderlichkeitsprüfung, der Protokollierungspflicht und der Informationspflicht gegenüber den Betroffenen, sollen keine Änderungen vorgenommen werden. Die Einbindung der privaten Krankenversicherungen wird vielmehr zum Anlass genommen, die vergangenen drei Jahre der Praxis mit dem HIS kritisch zu überprüfen.

Was ist zu tun?
Die Aufsichtsbehörden müssen prüfen, unter welchen datenschutzrechtlichen Voraussetzungen die privaten Krankenversicherungen Daten ihrer Versicherten und Versicherungsnehmer in das HIS einmelden können.

 

5.1.2       Kfz-Schadenklassendatei

Seit dem Jahr 2012 finden Gespräche mit dem Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV) über dessen geplante Einführung einer sogenannten Schadensklassendatei statt. Zweck einer solchen Datei ist die verbesserte Erkennung von missbräuchlichen Handlungen im Zusammenhang mit der Neuversicherung von Kraftfahrzeugen (Kfz). In gewissen Fallgestaltungen erfährt eine Kfz-Versicherung bei der Antragstellung zu einem Vertrag nicht, wo der Versicherungsnehmer zuvor versichert war. In diesen Fällen erhält ein Versicherungsnehmer die für ihn ungünstigste Einstufung für Neuverträge. Diese Einstufung ist in der Regel aber günstiger als diejenige, die bei seiner Einordnung in eine sogenannte Schadensklasse durch die Vorversicherung wegen Schadensfällen erfolgen würde.

Um zu verhindern, dass durch das Verschweigen der Vorversicherung eine versicherungsvertragliche Besserstellung erreicht wird, plant der GDV die Einführung einer Schadensklassendatei. Die Daten sollen das bestehende Verfahren zur Meldung von Schadensfreiheitsklassen ergänzen, das mit den Verhaltensregeln der Versicherungswirtschaft (Code of Conduct; 31. TB, Tz. 5.5.1) eingeführt wurde. Die AG Versicherungswirtschaft hat in einer Stellungnahme eine Anpassung des Code of Conduct sowie der Allgemeinen Bedingungen für die Kfz-Versicherung (AKB 2008) angeregt. Gefordert wird darin eine ausreichende Information der Betroffenen sowie die klare Bezeichnung der erfassten Daten, Verarbeitungszwecke und Datenempfänger.

Die Schadensklassendatei soll die existierende Übermittlung von Schadenfreiheitsklassen ergänzen und betrügerische Handlungen im Zusammenhang mit Kfz-Versicherungen bekämpfen.

 

5.1.3       BaFin-Rundschreiben zur Zusammenarbeit mit Versicherungsvermittler n

Das Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) „Hinweise zur Zusammenarbeit mit Versicherungsvermittlern“ enthält Vorgaben zu den Prüfungspflichten von Versicherungsunternehmen, wenn diese mit Versicherungsmaklern und Vermittlern zusammenarbeiten. Aus Datenschutzsicht ist die Erhebung von Bonitätsauskünften oder die Einsichtnahme in Führungszeugnisse von großer Bedeutung.
Das Rundschreiben datiert in seiner aktuellen Fassung vom September 2007 und wird aktuell überarbeitet. Das ULD hat in Abstimmung mit der AG Versicherungswirtschaft eine Stellungnahme abgegeben und hat insbesondere auf folgende zwei Punkte hingewiesen:

• Soweit die Vorlage eines Führungszeugnisses verlangt wird, ist die bereits mit der BaFin abgesprochene Compliance-Regelung anzuwenden. Es muss sichergestellt werden, dass der Inhalt des Führungszeugnisses nur dem für die Zuverlässigkeitsprüfung zuständigen Personal zur Kenntnis gegeben wird. Nicht erforderliche Informationen dürfen nicht dauerhaft gespeichert werden, sondern sind unverzüglich zu löschen. Entsprechende Hinweise sollten in das Rundschreiben aufgenommen werden.
• Der aktuelle Entwurf enthält Hinweise zur Erforderlichkeit von Bonitätsabfragen über den Vermittler. Danach sollen Auskünfte von privaten Auskunfteien nicht mehr in jedem Fall genügen. Das ULD stellt infrage, inwiefern derartige Auskünfte überhaupt erforderlich sind. Es ist klarzustellen, in welchen Situationen auf private Auskunfteien zurückgegriffen wird. Zudem muss geklärt werden, wie unnötige Bagatellauskünfte unterhalb der für die Zuverlässigkeit relevanten Wertschwelle vermieden würden.

 

5.2          Verbraucherklagerecht  bei Datenschutzverstößen

Nach dem Willen der Bundesregierung sollen künftig bestimmte qualifizierte Einrichtungen, wie etwa die Verbraucherzentralen, die gesetzliche Befugnis erhalten, gegen datenschutzrechtliche Verstöße im Wege einer gerichtlichen Unterlassungsklage vorzugehen. Unterlassungsklagen sind für entsprechende Einrichtungen nach bisheriger Gesetzeslage nur zulässig, wenn die allgemeinen Geschäftsbedingungen des jeweiligen Unternehmens Datenschutzvorschriften verletzen. Der Entwurf klärt die alte Streitfrage, ob gesetzliche Vorschriften des Datenschutzrechts verbraucherschützende Wirkung entfalten. Das ULD begrüßt den Gesetzentwurf sowie eine beabsichtigte Änderung, wonach neben den Unterlassungsanspruch auch ein Anspruch auf Beseitigung treten soll, um den bestehenden Störungszustand wirksam zu beenden.

Im Rahmen einer Anhörung hat das ULD folgenden Ergänzungsbedarf angemeldet:

• Sind Gegenstand einer Unterlassungsklage allgemeine Versicherungsbedingungen, welche der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Genehmigung vorzulegen sind, muss das Gericht die BaFin hierzu anhören. Zum gesetzlichen Aufgabenbereich der Datenschutzaufsichtsbehörden zählt zwar nicht die Genehmigung von entsprechenden Vertragswerken. Die Interessenlage ist aber vergleichbar, wenn mit den Vertragsbedingungen von Unternehmensseite aus Festlegungen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten getroffen und so die Zuständigkeit der Datenschutzaufsichtsbehörden berührt werden. Das Gericht sollte sich dann im Rahmen einer Anhörung den Sachverstand der Datenschutzaufsichtsbehörden zunutze machen, was über eine gesetzliche Verpflichtung zur Anhörung sichergestellt werden kann.
• Unterlassungs- und Beseitigungsansprüche sollten nicht nur für Verstöße gegen materielle Datenschutzregelungen, sondern auch bei Verstößen gegen gesetzliche Vorgaben des technisch-organisatorischen Datenschutzes gelten. Auch in dieser Hinsicht sollten die Gerichte über eine gesetzlich verpflichtende Anhörung der Datenschutzaufsichtsbehörden deren besonderes Fachwissen nutzen.

Was ist zu tun?
Mit dem geplanten Gesetz wird ein großer Gewinn für den Datenschutz einhergehen, insbesondere wenn die ergänzenden Vorschläge des ULD berücksichtigt werden.

 

5.3          Ein „Code of Conduct “ der Geoinformationswirtschaft ?

Das ULD hat den Vorsitz der Unterarbeitsgruppe (UAG) Geodaten der Konferenz der Datenschutzbeauftragten des Bundes und der Länder inne. Die UAG Geodaten erörtert mit der 2004 gegründeten Kommission für Geoinformationswirtschaft des Bundesministeriums für Wirtschaft und Energie (GIW-Kommission) geplante Verhaltensregeln (Code of Conduct – CoC) für die Geoinformationswirtschaft.

In der GIW-Kommission sind über 20 Spitzenverbände der deutschen Wirtschaft vertreten, deren Mitgliedsunternehmen Geodaten für ihre wirtschaftliche Tätigkeit benötigen. Ziel der Geoinformationswirtschaft sowie des Vereins Selbstregulierung Informationswirtschaft e. V. (SRIW) ist die Anerkennung ihres CoC als Verhaltensregeln nach dem Bundesdatenschutzgesetz (BDSG). Durch Vorlage einer durch den CoC regulierten Selbstverpflichtungserklärung soll es Geodaten haltenden staatlichen Stellen erleichtert werden, über Informationsersuchen zu entscheiden. Mit den Selbstverpflichtungen soll bezüglich der Verarbeitung der Geodaten ein valides Datenschutzmanagement gewährleistet werden. Der CoC soll nach Billigung durch die Datenschutzaufsichtsbehörden vom zuständigen Berliner Beauftragten für den Datenschutz und die Informationsfreiheit gemäß dem BDSG anerkannt werden (34. TB, Tz. 4.1.3).

Vorangegangen sind der Unterstützung bei der Formulierung einer Selbsterklärung drei Studien, die das ULD im Auftrag der GIW-Kommission ausgeführt hat:

• „Datenschutz und Geoinformationen“ (März 2007),
• „Datenschutzrechtliche Rahmenbedingungen für die Bereitstellung von Geodaten für die Wirtschaft – ‚Ampelstudie‘ “ (Juli 2008),
• „Bereitstellung von Geodaten unter Berücksichtigung datenschutzrechtlicher Aspekte anhand des Datenclusters ‚Denkmalschutz‘ der öffentlichen Verwaltung für die Wirtschaft“ (Mai 2010).

http://www.geobusiness.org

Geoinformationen können für die Wirtschaft von erheblicher Bedeutung sein. Der Nutzen der Daten ist vielfältig: Wirtschaftsunternehmen nutzen Geodaten zur Planung von Bedarfen und Angeboten. Neben zahlreichen sinnvollen Nutzungsmöglichkeiten bestehen aber auch solche mit kritischem Personenbezug. Vielfach werden Geodaten, z. B. der Aufenthaltsort, als Anknüpfungspunkt zur Anreicherung mit weiteren Informationen oder zur Kategorisierung nach Wohnung und Wohnungsumfeld sowie nach lokalisierten Angaben zum Eigentum und dessen Nutzung verwendet.

Artikel 3 Richtlinie 2007/2/EG des Europäischen Parlamentes und Rates vom 14. März 2007 zur Schaffung einer Geodateninfrastruktur in der Europäischen Gemeinschaft (INSPIRE-Richtlinie)
Geodaten [sind] alle Daten mit direktem oder indirektem Bezug zu einem bestimmten Standort oder geografischen Gebiet […].

Derzeit wird der Personenbezug bei georeferenzierten Informationen noch uneinheitlich bewertet. Eine zentrale Frage für die Beteiligten ist: Wann wird in welcher Kombination welche Geoinformation zu einem datenschutzrechtlich relevanten Datum? Der GeoBusiness-CoC „Verhaltensregeln GeoBusiness und Datenschutz“ soll Rahmenbedingungen für eine einheitliche und datenschutzkonforme Verarbeitung und Nutzung von Geodaten in Deutschland schaffen. Mit der Akkreditierung verpflichten sich die Teilnehmer freiwillig zum Einsatz eines Datenschutzmanagementsystems und technisch-organisatorischer Maßnahmen und tragen damit zur Erhöhung des Datenschutzniveaus bei. Die Verhaltensregeln und deren Erläuterungen sollen den Unternehmen zudem helfen, die bestehenden gesetzlichen Regelungen für den Bereich der personenbezogenen Geodaten umzusetzen.

Was ist zu tun?
Es ist sicherzustellen, dass die Selbstverpflichtung inhaltlich nicht hinter den gesetzlichen Vorgaben zurückbleibt und das Verfahren eine angemessene Prüfung und Kontrolle der Zusicherungen ermöglicht.

 

5.4          Orientierungshilfe „Selbstauskünfte  von Mietinteressenten“

Das ULD hat eine Orientierungshilfe erarbeitet, die sich mit der Einholung von Selbstauskünften bei Mietinteressenten durch Vermieter befasst. Die Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich haben im Düsseldorfer Kreis der Orientierungshilfe zugestimmt.

Vor der Vermietung von Wohnraum erheben Vermieter bei den Mietinteressenten persönliche Angaben, auf deren Basis eine Entscheidung über den Vertragsabschluss getroffen wird. Der Vermieter darf nur solche Daten erheben, die zur Durchführung des Mietvertrags erforderlich sind und an denen er deshalb ein berechtigtes Interesse hat. Die Verwendung von Einwilligungserklärungen gegenüber Mietinteressenten in Formularen zur Selbstauskunft ist nicht das richtige Mittel zur Datenerhebung. Denn eine wirksame Einwilligung erfordert die Freiwilligkeit der Erklärung, setzt also ein Wahlrecht voraus, ob dem Vermieter die gewünschten Angaben zur Verfügung gestellt werden oder nicht. Diese Wahlfreiheit fehlt, wenn der Abschluss des Mietvertrags von der Erhebung bestimmter Angaben des Mietinteressenten abhängig gemacht wird, da in der dann bestehenden Drucksituation keine freiwillige Erklärung abgegeben wird.

Die Zulässigkeit einer Datenerhebung durch den Vermieter muss daher direkt an den gesetzlichen Anforderungen gemessen werden. Im Kern ist die Frage zu beantworten, ob ein konkretes Datum im jeweiligen Verfahrensstadium erforderlich ist. Es kann zwischen drei Zeitpunkten differenziert werden, nämlich dem Besichtigungstermin, der vorvertraglichen Phase, in welcher der Mietinteressent dem künftigen Vermieter mitteilt, eine bestimmte Wohnung anmieten zu wollen, und dem Stadium, in welchem die Entscheidung über den auszuwählenden Mietinteressenten fallen soll.

Im Rahmen des Besichtigungstermins gilt u. a. das Folgende:

• Angaben zur Identifikation (z. B. Name, Vorname und Anschrift) dürfen erfragt werden. Der Vermieter ist befugt, im Falle der Besichtigung allein die Angaben des Mietinteressenten durch Vorzeigen eines Personalausweises zu überprüfen und den Umstand der Überprüfung zu dokumentieren. Die Anfertigung einer Ausweiskopie ist nicht erforderlich und damit unzulässig.
• Die Erhebung von Angaben zum Wohnberechtigungsschein ist statthaft. Der künftige Vermieter darf eine Wohnung, die im Rahmen eines Programms zur sozialen Wohnraumförderung errichtet wurde, nur einem Wohnungssuchenden zum Gebrauch überlassen, wenn dieser ihm vorher seine Wohnberechtigung durch Übergabe eines Wohnberechtigungsscheins nachweist.
• Fragen des Vermieters nach dem beabsichtigten Einbringen von Haustieren sind zulässig, soweit die Tierhaltung nicht zum vertragsgemäßen Gebrauch der Mietsache zählt und folglich zustimmungsbedürftig ist. Entsprechende Fragen sind zulässig, soweit dies nicht Kleintiere betrifft (z. B. Zierfische, Mäuse, Hamster).

Ab der Erklärung des Mietinteressenten, eine bestimmte Wohnung anmieten zu wollen, gilt u. a. Folgendes:

• Angaben zum Familienstand des Mietinteressenten werden oft im Hinblick auf die gesamtschuldnerische Haftung von Ehegatten gefordert. Allein deshalb wird aber kein berechtigtes Vermieterinteresse begründet, da Ehegatten nicht zwangsläufig gemeinsam Mietvertragsparteien sein müssen.
• Die Frage nach einem eröffneten Verbraucherinsolvenzverfahren ist zulässig, da den Mietinteressenten eine Offenbarungspflicht trifft. Das Insolvenzverfahren führt dazu, dass das gesamte pfändbare Vermögen zur Insolvenzmasse gehört und dem Mietinteressenten nur die nicht pfändbaren Vermögensteile zur Verfügung stehen.
• Fragen nach Räumungstiteln wegen Mietzinsrückständen sind dann zulässig, wenn diese aufgrund der zeitlichen Nähe noch Auskunft darüber geben können, ob künftige Mietzinsansprüche gefährdet wären. Dies kann der Fall sein, wenn bezüglich eines bestehenden Wohnraummietverhältnisses mit einem anderen Vermieter die Zwangsräumung wegen Mietzinsrückständen droht.
• Die Erhebung von Angaben zu Vorstrafen ist grundsätzlich nicht erforderlich und damit unzulässig. Gegen die Erhebung von Informationen zu laufenden strafrechtlichen Ermittlungsverfahren spricht schon die verfassungsrechtlich verankerte Unschuldsvermutung.
• Angaben zu Heiratsabsichten, bestehenden Schwangerschaften und zum Kinderwunsch zählen zum Kernbereich privater Lebensgestaltung. Fragen hierzu sind unzulässig.
• Es besteht keine Verpflichtung, über die Zugehörigkeit zu Parteien oder Mietervereinen Auskunft zu geben. Mit den Angaben wird zudem noch keine Aussage zur Bonität des Mietinteressenten bzw. zu dessen Zahlungsfähigkeit und Zahlungswilligkeit getroffen.
• Für die Entscheidung über den Abschluss eines Mietvertrags darf nach dem Beruf und dem Arbeitgeber als Kriterium zur Beurteilung der Bonität des Mietinteressenten gefragt werden. Die Dauer einer Beschäftigung bietet in einer mobilen Gesellschaft hingegen keine Gewissheit über die Fortdauer und Beständigkeit des Beschäftigungsverhältnisses und ist daher ungeeignet, das Sicherungsbedürfnis des Vermieters zu erfüllen. Fragen nach der Dauer der Beschäftigung sind damit unzulässig.

Ab der Entscheidung des Vermieters, mit einem bestimmten Mietinteressenten über Wohnraum einen Mietvertrag abzuschließen, gilt das Folgende:

• Der künftige Vermieter möchte nun mit dem einzigen Mietinteressenten für eine konkrete Wohnung einen Mietvertrag schließen. Haben sich zwei oder mehrere Mietinteressenten für eine konkrete Wohnung entschieden, so trifft der künftige Vermieter die Entscheidung für einen bestimmten Mietinteressenten (Erstplatzierten). Nach dieser Entscheidung kann die Einholung weiterer Informationen beim Erstplatzierten erforderlich sein.
• Nachweise zu den Einkommensverhältnissen dürfen erfragt werden.
• Der Vermieter fordert Informationen zu den wirtschaftlichen Verhältnissen des Mietinteressenten an, um dessen Zahlungsfähigkeit bezüglich des Mietzinses beurteilen zu können. Selbstauskünfte, die Mietinteressenten bei Auskunfteien, z. B. der Schufa, selbst einholen können, enthalten wesentlich mehr Angaben über deren wirtschaftliche Verhältnisse, als für eine solche Beurteilung erforderlich sind. Schon aus diesem Grund wäre die pauschale Forderung des künftigen Vermieters an den Mietinteressenten, eine solche Selbstauskunft vorzulegen, unzulässig.

Die Orientierungshilfe „Einholung von Selbstauskünften bei Mietinteressenten“ ist abrufbar unter:

http://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_SelbstauskunftMietinteressenten.pdf

Was ist zu tun?
Der Vermieter darf nur diejenigen Angaben vom Mietinteressenten erheben, die in der jeweiligen Verfahrensphase zwingend erforderlich sind. Formulare zur Selbstauskunft müssen den obigen Vorgaben genügen.

 

5.5          Orientierungshilfe „Cloud Computing  2.0“

Das ULD hat an einer erweiterten Fassung einer Orientierungshilfe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und des Düsseldorfer Kreises zum „Cloud Computing“ mitgewirkt. Das Papier wendet sich an öffentliche und nicht öffentliche Stellen und gibt Hinweise zur Handhabung einer Datenverarbeitung in der Cloud.

Cloud Computing beschreibt bekanntlich eine über Netze angeschlossene Rechnerlandschaft, in welche die eigene Datenverarbeitung ausgelagert wird. Es geht um eine Form der bedarfsgerechten und flexiblen Anwendung von IT-Dienstleistungen, indem diese in Echtzeit als Service über das Internet bereitgestellt werden. Die Abrechnung erfolgt zumeist nach dem Umfang der Nutzung.

Aus Datenschutzsicht ist von Bedeutung, welche Datenverarbeitungen zwischen den Beteiligten (Cloud-Anwender und Cloud-Anbieter) stattfinden, wer die datenschutzrechtliche Verantwortung trägt, wie die Rechte von betroffenen Bürgern und Bürgerinnen auf Auskunft, Löschung, Sperrung, Berichtigung, Benachrichtigung und Widerspruch gewahrt werden, wie eine Kontrolle der teilweise weltweit tätigen Auftragnehmer und Unterauftragnehmer erfolgt, welche technisch-organisatorischen Maßnahmen getroffen sind und welche Regeln bei grenzüberschreitendem Datenverkehr bestehen.

Die Orientierungshilfe „Cloud Computing 2.0“ knüpft an die Ausführungen der Vorgängerfassung (34. TB, Tz. 5.7) an und beleuchtet zusätzlich vor allem folgende Themenbereiche:

• Bei Nichteinhaltung der Datenschutzbestimmungen drohen dem Cloud-Anwender haftungsrechtliche Konsequenzen. Gegenüber den Betroffenen kann er zum Schadensersatz verpflichtet werden; gegen ihn können Bußgelder verhängt oder aufsichtsbehördliche Anordnungen verfügt werden. Bei unrechtmäßiger Kenntniserlangung von Daten entstehen Informationspflichten. Der Cloud-Anwender muss einen Mechanismus vorsehen, wonach Datenpannen, die gesetzliche Meldepflichten auslösen, unverzüglich der zuständigen Aufsichtsbehörde und den Betroffenen mitgeteilt werden.
• Sofern der Cloud-Anbieter seinen Sitz nicht in einem Drittstaat ohne angemessenes Datenschutzniveau hat, sondern vielmehr in der EU bzw. im EWR oder in einem Drittstaat mit angemessenem Datenschutzniveau, sind die Standardvertragsklauseln gemäß Kommissionsbeschluss 2010/87/EU für Auftragsdatenverarbeitung vom 05.02.2010 nicht direkt anwendbar. Die Vergabe von Unteraufträgen stellt die beteiligten Stellen in dieser Konstellation vor besondere Herausforderungen. Denn in dieser Konstellation ist die Vergabe von Unteraufträgen nicht durch den Hauptauftragsdatenverarbeiter (d. h. den Cloud-Anbieter) im eigenen Namen möglich, jedenfalls nicht im Wege einer genehmigungsfreien Lösung. Die Orientierungshilfe definiert die Voraussetzungen für die Einschaltung von Unteranbietern.
• US-Behörden, wie etwa das Federal Bureau of Investigation (FBI), die National Security Agency (NSA) oder die Central Intelligence Agency (CIA), sind auf der Grundlage von US-amerikanischem Recht ermächtigt, auf personenbezogene Daten in Europa zuzugreifen, was bezüglich einer Datenverarbeitung in der Cloud eine besondere Relevanz aufweist. Darüber hinaus wurde bekannt, dass staatliche Behörden in EU-Mitgliedstaaten, wie das Government Communications Headquarters (GCHQ – britischer Nachrichten- und Sicherheitsdienst) und die Direction Générale de la Sécurité Extérieure (DGSE – französischer Nachrichtendienst), umfassend und manchmal ohne jede Rechtsgrundlage auf personenbezogene Daten von EU-Bürgern, Verbindungs- wie Inhaltsdaten (Telekommunikationsverbindungsdaten, E-Mails, SMS, Chats) zugreifen. Entsprechende Maßnahmen verletzen europäisches Datenschutzrecht. Bei der Prüfung der Aufsichtsbehörden, ob ein Datentransfer in die USA den datensicherheitsrechtlichen Anforderungen entspricht, ist etwa von Bedeutung, ob der Cloud-Anbieter sowie die Unteranbieter dem Cloud-Anwender zu Prüfzwecken einen Zugriff auf die Protokolldaten ermöglichen. Dem Cloud-Anwender muss eine auswertbare Protokollierung zur Verfügung gestellt werden. Die Berechtigung zur Einsichtnahme in die Protokolldaten sollte explizit an den Cloud-Anwender vergeben werden können. Das Durchführen einer Auswertung muss zu einem eigenen Protokolleintrag führen. Die Aufbewahrungszeit der Protokolldaten muss durch den Cloud-Anwender konfigurierbar sein.
• Weitgehende Verschlüsselungen wie eine Transport- und Inhaltsverschlüsselung bilden einen Teilaspekt. Sie können aber keine vollständige Datensicherheit gewährleisten, da der Cloud-Anwender im Rahmen der Verarbeitung der Daten eine Entschlüsselung vornehmen muss und der Cloud-Anbieter sowie die Unteranbieter möglicherweise auf die entschlüsselten Daten Zugriff nehmen können. Eine Inhaltsverschlüsselung unter Verwendung eigener Schlüssel, d. h. welche, auf die der Cloud-Anbieter keinen Zugriff hat und sich auch nicht verschaffen kann, ist dann zu empfehlen, wenn es sich um bloße Storage-Dienste handelt, bei denen über die Datenspeicherung in der Cloud hinaus keine weitere Verarbeitung erfolgt. Durch die geeignete Wahl von Algorithmen und Schlüssellängen kann man hier einen lange währenden Schutz erreichen.

Die Orientierungshilfe „Cloud Computing 2.0“ ist abrufbar unter:

https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf

Was ist zu tun?
Neben den gesetzlichen Anforderungen an den Vertrag, die beim Cloud Computing gestellt werden, müssen angemessene technisch-organisatorische Maßnahmen gewährleistet werden. Der Dienstleister muss dem Cloud-Anwender nachweisen, dass er in der Lage ist, die datenschutzrechtlichen Bestimmungen einzuhalten. Kann er dies nicht, so sollte von einer Beauftragung dringend Abstand genommen werden.

 

5.6          Videoüberwachung

Im Dezember 2014 entschied der Europäische Gerichtshof (EuGH), dass private Videoüberwachung durch das Datenschutzrecht begrenzt ist, wenn sie sich „auch nur teilweise auf den öffentlichen Raum erstreckt“. Privatpersonen können sich nicht damit herausreden, es handele sich dabei ausschließlich um eine „persönliche oder familiäre Tätigkeit“. Mit dem Urteil bestätigte der EuGH die Praxis der deutschen Datenschutzbehörden, den Einsatz von Videokameras kritisch zu hinterfragen. Es gibt viele Beschwerden, zumeist von Nachbarn und Mitbewohnern, zunehmend auch über Wildkameras im Wald oder über mobile Kameras, etwa als sogenannte Dashcams in Autos oder als fliegendes Auge in Drohnen. Der EuGH bestätigte auch, dass ein Kameraeinsatz aus Sicherheitsgründen gerechtfertigt sein kann. Ein gesteigertes Sicherheitsbedürfnis des Betreibers genügt aber nicht. Vielmehr müssen bezüglich Grund, Speicherdauer, Übermittlungen und technischer Sicherungen die berechtigten Sicherheitsbelange gegenüber den Schutzinteressen von Betroffenen überwiegen. Hochproblematisch wird es, wenn eine Privatperson die Bilder von Verdächtigen zur Privatfahndung ins Internet stellt. Für die Strafverfolgung muss ausschließlich die Polizei zuständig bleiben.

In einer aktuellen Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“ erhalten Betroffene und Stellen weitere Hinweise:

http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2014/03/OH-V%C3%9C-durch-nicht-%C3%B6ffentliche-Stellen.pdf

 

5.6.1       Umgang mit Wildkameras

Das ULD wird häufig mit der Frage konfrontiert, inwieweit Jagdausübungsberechtigte in öffentlich zugänglichen Waldbereichen Wildkameras verwenden dürfen. Waldflächen und -wege, in deren Bereich Holz eingeschlagen, aufbereitet, gerückt oder gelagert wird oder Wegebaumaßnahmen durchgeführt werden, sowie Forstkulturen, Pflanzgärten, Wildäcker und sonstige forstwirtschaftliche, fischereiwirtschaftliche oder jagdliche Einrichtungen und Anlagen zählen zu den öffentlich zugänglichen Räumen, wenn ein entgegenstehender Wille aus den Umständen, z. B. über Verbotsschilder oder Eingrenzungen, nicht erkennbar ist.

Jagdausübungsberechtigte können an der Verwendung von Wildkameras ein berechtigtes Interesse haben, da die Kontrolle des Wildbestandes zu den jagdrechtlichen Aufgaben gehört. Die Jagd dient auch der Vermeidung von Überpopulationen, Wildschäden und -seuchen. Zur Einhaltung von Abschussplänen müssen effiziente Jagdstrategien entwickelt werden. Hierzu nutzen Jagdausübungsberechtigte zunehmend Kameras, um z. B. zu dokumentieren, dass Schwarzwild einen bestimmten Futterplatz aufgesucht hat. Diesem berechtigten Interesse stehen die schutzwürdigen Belange von Waldbesuchern, Spaziergängern und Pilzsammlern entgegen, die sich einer Erfassung mittels Videokamera nicht ohne Weiteres entziehen können. Ein Einsatz von Wildkameras in öffentlich zugänglichen Waldbereichen ist daher im Grundsatz unzulässig.

Ausnahmen hiervon sind nur denkbar, wenn die Wildkamera so eingestellt wird, dass einzelne Personen nicht identifizierbar sind. Eine Erfassung von Wanderwegen oder anderen von Personen frequentierten Bereichen ist nicht statthaft. Der Einsatz von Wildkameras im öffentlich zugänglichen Wald ist zulässig, wenn ausschließlich die Futterstelle, die Kirrung, erfasst wird und die Kameraeinstellung so gewählt wird, dass ein Betreten des Bereichs durch Personen mit vernünftigen Erwägungen ausgeschlossen werden kann. Auf den Umstand der Überwachung ist mit geeigneten Mitteln, z. B. mit Schildern, hinzuweisen. Das ULD hat hierzu eine Stellungnahme veröffentlicht.

https://www.datenschutzzentrum.de/artikel/527-.html

Was ist zu tun?
Es ist von allen Beteiligten darauf zu achten, dass der Wald ein überwachungsfreier Erholungsraum bleibt.

 

5.6.2       Videoüberwachung  in Fitnessstudios

Durch mehrere Beschwerden von Betroffenen wurde das ULD auf die umfangreiche Videoüberwachung einer Fitnessstudiokette aufmerksam. Kameraüberwacht werden neben den Eingangs- und Kassenbereichen auch die Trainingsräume sowie die Umkleiden. Über Prüfungen in mehreren Filialen vor Ort verschaffte sich das ULD einen Eindruck von der eingesetzten Technik sowie den jeweils konkret erfassten Bildbereichen und prüfte die jeweiligen Zwecke der einzelnen Kameras.

Die Sicherheit der Kunden, der Trainierenden und der Mitarbeiter sowie das zu schützende Eigentum des Studiobetreibers sind Schutzgüter, die grundsätzlich auch mit Videotechnik geschützt werden dürfen. Die Überwachung muss jedoch stets im Verhältnis zu den dadurch entstehenden Folgen für die Überwachten stehen. Das ULD beanstandete insbesondere die Überwachung in den Umkleiden. Selbst wenn die Gefahren für Spindaufbrüche und der Verlust von Wertsachen nicht unerheblich sind, stellt der Umkleidebereich eine Tabuzone dar, in der im Hinblick auf die Intimsphäre der Kunden eine Videoüberwachung unverhältnismäßig ist. Zum Schutz der Sachwerte ist die verantwortliche Stelle auf alternative Maßnahmen zu verweisen, wie etwa verstärkte Kontrollgänge oder Wertschließfächer.

Auch die Überwachung der Trainingsräume musste das ULD beanstanden. Der großflächigen und umfassenden Überwachung können sich die Kunden nicht entziehen. Während des Trainings werden unweigerlich das gesamte Sozialverhalten der Trainierenden und ihre Interaktion miteinander aufgezeichnet. Für die Kunden gibt es keinen Rückzugsraum. Die Überwachung kann sich über einen langen Zeitraum erstrecken. Das Interesse des Studiobetreibers an der Aufklärung von etwaigen Straftaten, die auf der öffentlichen Trainingsfläche begangen werden, muss zurücktreten im Verhältnis zu der Privatsphäre der überwiegend unauffälligen Kunden. Einige Störfälle pro Jahr rechtfertigen keine dauerhafte und lückenlose Überwachung der Trainingsflächen.

5.7          Einzelfälle

5.7.1       SCHUFA-FraudPool  zur Betrugsbekämpfung in der Kreditwirtschaft

Die SCHUFA Holding AG nahm im Juli 2014 eine neue Datenbank zur Bekämpfung von Betrugsfällen und zur Erkennung von Terrorismusfinanzierung und Geldwäsche im Banken-und Kreditwesen in Betrieb, den sogenannten FraudPool. Das ULD war als Mitglied der AG Auskunfteien und der AG Kreditwirtschaft im Vorfeld an Beratungen über die rechtliche Bewertung dieser neuen Datenbank beteiligt und hat starke Bedenken an der Rechtmäßigkeit.

Die Datenbank dürfte als Auskunfteidatenbank bereits deshalb unzulässig sein, weil die gesetzliche Grundlage, auf die die Schufa den Betrieb der Datenbank stützt, nicht anwendbar ist. Der Datenpool soll ebenso wie die bekannte Bonitätsdatenbank auf eine Regelung im BDSG gestützt werden. Das ULD sieht dies kritisch, da für den Bereich der Terrorismusfinanzierung und Geldwäschebekämpfung das Kreditwesengesetz eine Sonderregelung enthält. Danach dürfen Banken und Kreditinstitute zwar Daten untereinander austauschen. Dies soll nach den gesetzlichen Bestimmungen im Kreditwesengesetz aber nur im Einzelfall und nur untereinander erfolgen. Nach Auffassung des ULD legt diese Rechtslage nahe, dass die Einbeziehung einer Auskunftei in den Austauschprozess unzulässig ist.

Die Übermittlung personenbezogener Daten an die Schufa zum Zweck der Teilnahme an einem solchen FraudPool ist damit nach aktueller Auffassung des ULD rechtswidrig. Stellen im Zuständigkeitsbereich des ULD müssen damit rechnen, dass die Übermittlung an einen solchen FraudPool durch Anordnungen untersagt wird.

Unabhängig von der Sperrwirkung des Kreditwesengesetzes ergeben sich weitere Bedenken gegen die Datenverarbeitung.

§ 25 h Abs. 3 Satz 3 Kreditwesengesetz
Institute dürfen im Einzelfall einander Informationen im Rahmen der Erfüllung ihrer Untersuchungspflicht nach Satz 1 übermitteln, wenn es sich um einen in Bezug auf Geldwäsche, Terrorismusfinanzierung oder einer sonstigen Straftat auffälligen oder ungewöhnlichen Sachverhalt handelt und tatsächliche Anhaltspunkte dafür vorliegen, dass der Empfänger der Informationen diese für die Beurteilung der Frage benötigt, ob der Sachverhalt gemäß § 11 des Geldwäschegesetzes anzuzeigen oder eine Strafanzeige gemäß § 158 der Strafprozessordnung zu erstatten ist.

So ist nach Einschätzung des ULD bisher nicht ausreichend geklärt, welche Daten unter welchen Umständen zu einer Meldung an den FraudPool übermittelt werden. Es bestehen zudem große Zweifel daran, ob die aktuell eingesetzte Schufa-Klausel auch die Übermittlung zu Zwecken der Terrorismus- und Geldwäschebekämpfung rechtfertigt. Vor allem aber wird durch den FraudPool eine Datensammlung geschaffen, die in großem Umfang auch strafrechtlich relevante Vorfälle speichert. Die Auslagerung solcher Straftatdatenbanken auf private Unternehmen operiert in einem Raum, der originär zu den staatlichen Aufgaben zählt. Während staatliche Straftatenmeldesysteme und Fahndungsdatenbanken einer strengen Kontrolle unterliegen, gelten für die Schufa keine vergleichbaren Regelungen. Mit Blick auf die bestehenden Probleme der Auskunfteien hinsichtlich der Zuverlässigkeit der dort gespeicherten Daten (Tz. 8.7.2) befürchtet das ULD, dass die jetzt hinzukommende Speicherung von Straftatverdachtsmeldungen die Betroffenen zusätzlich belastet. Vor dem Hintergrund der Unschuldsvermutung, die bis zum Abschluss eines strafrechtlichen Verfahrens jeden Betroffenen als unschuldig ansieht, droht mit dem FraudPool ein System der Generalverdächtigungen.

Was ist zu tun?
Das ULD muss prüfen, ob und inwiefern aufsichtsrechtliche Anordnungen gegen verantwortliche Stellen in Schleswig-Holstein erlassen werden müssen, die Daten an den FraudPool der Schufa übermitteln.

 

5.7.2       Schülerdaten  zur Bestellung von Schultaschenrechnern

Medien berichteten, dass ein Anbieter von Schultaschenrechnern Lehrkräfte aufgefordert habe, bei Sammelbestellungen ganze Klassenlisten zu übermitteln. Eine Befragung von Schulen ergab, dass die Initiativen für die Sammelbestellungen überwiegend von den Schulen selbst oder einzelnen Lehrern ausgegangen und nur die Namen interessierter Schülerinnen und Schüler von den Schulen übermittelt worden sind. Teilweise wurden die Eltern von den Schulen über einen Elternbrief über die Bestellmöglichkeiten für Schultaschenrechner informiert (Tz. 4.7.6).

Dokumentierte Einwilligungserklärungen der Eltern bezüglich der Übermittlung der Schülernamen zwecks Vornahme einer Taschenrechnerbestellung konnten die Schulen nicht vorlegen. Weder die zur Stellungnahme aufgeforderten Schulen noch der Anbieter der Schultaschenrechner konnten nachvollziehbar begründen, warum in Einzelfällen die Namen aller Schüler übermittelt wurden, obwohl einige der Schüler keine Taschenrechner bestellen wollten. Das ULD hat die Beteiligten zur künftigen Einhaltung der schul- und datenschutzrechtlichen Vorgaben aufgefordert.

Was ist zu tun?
Die Schule und die Lehrkräfte müssen bei Sammelbestellungen vor der Weitergabe der Schülerdaten an das Unternehmen, welches ein Produkt vertreibt, die Einwilligung der Eltern einholen.

 

5.7.3       Unwirksame Einwilligungserklärung  für Werbezusendungen

Im Frühjahr 2013 wollte ein Bürger wissen, ob eine bestimmte Datenschutzerklärung eines großen norddeutschen Kreditinstituts rechtlich zulässig sei. In der Datenschutzerklärung wurde dem Kunden gegenüber behauptet, dass der Gesetzgeber die Abgabe einer Datenschutzerklärung fordere und diese vom Kunden unterschrieben zurückzusenden sei. Bei der Prüfung der Einwilligungserklärung in diesem Institut ging es dem ULD insbesondere darum, ob den Kundinnen und Kunden ausreichend erkennbar gemacht wird, dass die Abgabe der Einwilligung freiwillig erfolgt und diese Einwilligung in keinem Zusammenhang mit dem eigentlichen Vertrag über das Bankkonto steht. In Einwilligungen muss ausreichend konkret benannt werden, zu welchen Zwecken die Daten genutzt werden sollen und infolgedessen auch, worauf sich die Einwilligung bezieht. Die Prüfung des ULD ergab, dass die Einwilligungserklärung nicht ausreichend konkret war. Das Kreditinstitut unterschied nicht genügend zwischen den vertraglichen und den darüber hinausgehenden Zwecken, für die zumeist eine Einwilligung notwendig ist.

§ 28 Abs. 1 Satz 1 Nr. 1 BDSG
Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Das ULD wird durch Eingaben von Betroffenen immer wieder auf Fälle aufmerksam, in denen ein Kreditinstitut suggeriert, eine bestimmte datenschutzrechtliche Einwilligung sei notwendig, um seine grundlegenden Vertragszwecke gegenüber dem Kunden erfüllen zu können. Diese nicht zutreffende Behauptung wurde auch im konkreten Verfahren durch das ULD bemängelt. Alle erforderlichen Datenverarbeitungen, die zwischen Kunde und Bank, etwa bezüglich eines Giro- oder Sparkontos, notwendig sind, werden bereits gesetzlich durch das BDSG legitimiert.
Nur wenn ein Kreditinstitut weitere Zwecke verfolgt, etwa das Anbieten von Werbung oder die Durchführung von Marktforschung, ist dazu eine Einwilligung der Kunden erforderlich. Einwilligungen müssen freiwillig sein und dürfen die Datenverarbeitung in Bezug auf den zugrunde liegenden Vertrag nicht beeinflussen. Sie sind auch jederzeit widerruflich, ohne dass der zugrunde liegende Vertrag im Ansatz infrage gestellt würde. Das ULD erreichte im konkreten Fall eine Anpassung der verwendeten Mustervorgaben für datenschutzrechtliche Einwilligungen.

Was ist zu tun?
Unternehmen müssen prüfen, ob eine eingeforderte Einwilligung der Kunden notwendig ist oder die bezweckte Datenverarbeitung durch den Vertragszweck gerechtfertigt wird. Zulässig ist stets nur die unbedingt erforderliche Datenverarbeitung.

 

5.7.4       Das private Interesse an E-Mail -Adressen von Genussrechtsscheininhabern

Durch Beschwerden vieler Betroffener wurde das ULD auf einen Fall aufmerksam, in dem der ehemalige Geschäftsführer eines Unternehmens die Daten der Genussrechtsscheininhaber weiternutzte, obwohl er als Geschäftsführer abberufen wurde.

Das Unternehmen war in die Insolvenz geraten und stand unter Insolvenzverwaltung. Um die Entscheidungen in den Gläubigerversammlungen zu beeinflussen, griff der ehemalige Geschäftsführer auf die E-Mail und Postadressen der Gläubiger des Unternehmens zurück und verschickte tausendfach Schreiben, in denen er um die Stimmenabgabe auf einer Gläubigerversammlung für eine bestimmte Person bzw. für bestimmte inhaltliche Positionen warb. Die Gläubiger und Genussrechtsscheininhaber hatten zumeist dieser Weiternutzung ihrer Daten durch den ehemaligen Geschäftsführer nicht zugestimmt.

§ 28 Abs. 1 Satz 2 BDSG
Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.

Das ULD kam zu dem Ergebnis, dass der ehemalige Geschäftsführer keine Berechtigung hatte, die Adressdaten zu diesen Zwecken zu nutzen. Die Genussrechtsscheininhaber hatten die Daten nur dem Unternehmen zur Verfügung gestellt, um die Rechte und Pflichten aus der Beteiligung an dem Unternehmen ausüben zu können. Ab dem Zeitpunkt, ab dem das Unternehmen unter der Verwaltung des Insolvenzverwalters stand und der ehemalige Geschäftsführer von seinen Aufgaben entbunden wurde, endete auch dessen Zugriffsbefugnis auf die Daten des Unternehmens.

Die spätere Nutzung der Daten durch den ehemaligen Geschäftsführer geschah in getrennter Verantwortung und stand in keinem Zusammenhang zu den ursprünglichen Zwecken, sondern erfolgte im Eigeninteresse des Geschäftsführers. Dieser neue Zweck war weder durch die ursprüngliche Übermittlung an das Unternehmen noch durch die Einwilligung der Betroffenen gedeckt. Das ULD hat deshalb ein Ordnungswidrigkeitenverfahren eingeleitet.

 

5.7.5       E-Mail -Umleitung bei gleichzeitiger dienstlicher und privater Nutzung

Anlässlich eines Vertretungsfalls in einem Unternehmen wurden sämtliche E-Mails der vertretenen Person zur Geschäftsleitung umgeleitet. Das Unternehmen hatte keine Festlegungen über die Zulassung von privater E-Mail-, Internet- und Telefonnutzung vorgenommen. Seit Jahren wurde offen die private Nutzung dieser dienstlichen Kommunikationsmittel geduldet. So landete eine Vielzahl privater E-Mails durch die Umleitung im Zugriffsbereich des Geschäftsführers.

Ein Unternehmen ist als Telekommunikationsanbieter anzusehen, wenn Mitarbeiter dienstliche Kommunikationsmittel zu privaten Zwecken nutzen dürfen. Dies gilt im Fall einer ausdrücklichen Genehmigung wie auch im Fall der offensichtlichen Duldung. Damit ist das Unternehmen an das Fernmeldegeheimnis gebunden. Es darf sich ohne Einwilligung des Mitarbeiters keine Kenntnis des Inhalts der privaten E-Mails verschaffen. Diese Rechtsauffassung wird zwar durch aktuelle einzelne Urteile infrage gestellt, das ULD vertritt aber nach wie vor diese Position. Auch in der datenschutzrechtlichen Literatur wird auf die entscheidende Rolle des Unternehmens an der Erbringung der Kommunikationsleistung hingewiesen. Der Inhalt der Kommunikation ist damit in gleicher Weise vor dem Zugriff zu schützen wie gegenüber jedem anderen Erbringer von Telekommunikationsleistungen.

Das ULD empfahl dem Unternehmen für die Zukunft beim dienstlichen und privaten Gebrauch der unternehmerischen Kommunikationsmittel das vom ULD entwickelte und etablierte Stufenmodell. In dessen Hinweisblatt finden sich weitere technische Empfehlungen, um einen Konflikt zwischen der privaten Internetnutzung der Mitarbeiter und den berechtigten Kontrollbedürfnissen der Unternehmen zu vermeiden. Über die Nutzung von Webmail-Diensten kann das betriebliche E-Mail-Postfach von privater Korrespondenz freigehalten werden.

https://www.datenschutzzentrum.de/uploads/privatwirtschaft/private-und-dienstliche-internetnutzung.pdf

 

5.7.6       Veröffentlichte Krankheitsabwesenheitszeiten zur Motivationsförderung

Mit einer besonderen Aktion warb ein Arbeitgeber um Verständnis für die schlechte wirtschaftliche Situation seines Betriebes. Die von den Beschäftigten erfassten Arbeitszeiten wurden vom Arbeitgeber nach sogenannten produktiven und unproduktiven Arbeitszeiten sowie Fehlzeiten wegen Krankheit ausgewertet. Die ermittelten Daten wurden monatlich unter Namensnennung und Ermittlung der jeweils konkreten finanziellen Belastung für den Arbeitgeber durch Aushang bekannt gegeben. Die Zahlen sollten den Beschäftigten die Hintergründe für die bereits erfolgte Einstellung der Weihnachtsgeldzahlung sowie für anstehende betriebsbedingte Kündigungen verdeutlichen.

Unsere Nachfrage führte umgehend zum Entfernen des Aushangs. Man räumte blauäugiges Handeln ein. Das Ziel sei jedoch erreicht worden: Die wirtschaftliche Lage des Betriebes habe sich verbessert. Nach der kritischen Hinterfragung des Vorgehens durch das ULD beabsichtigt das Unternehmen, künftig weiterhin entsprechende Listen – jedoch ohne dass ein Personenbezug möglich ist – zur Motivation der Beschäftigten zu veröffentlichen.

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel