Zur Zeit wird gefiltert nach: datenschutz
Filter zurücksetzen
Bitte recht freundlich! – Orwells Enkel are watching you
verfasst am 19. Februar 2013 von Sebastian Schulz
- Piktogramm nach DIN 33450
Frage: Haben Sie eine Vorstellung, wie viele Videokameras Ihr tagtägliches Tun und Lassen beobachten? Wie viele Videokameras dokumentieren, welche Jeans Sie kaufen, welches Auto Sie fahren, welche Zigarettenmarke Sie bevorzugen, welche Bahn Sie morgens nehmen, wann (und wie viel) Bargeld Sie abheben, bei welchem Arzt Sie im Wartezimmer sitzen und ob Sie dem BigMac etwa einen RoyalTS vorziehen?
Ich habe neulich einmal ganz bewusst versucht, die Augen offen zu halten. Ausschau zu halten nach Videokameras, die von Behörden oder von privaten Stellen aus den unterschiedlichsten Gründen und an den unterschiedlichsten Orten zu den unterschiedlichsten Zwecken installiert wurden. Nach einem Tag bin ich auf 43 Kameras gekommen. Dass ich einige zusätzlich nicht wahrgenommen habe, ist gewiss.
Tankstelle – Geldautomat – Bahnhofshalle – Bahn – U-Bahnhof – U-Bahn – U-Bahnhof – Kiosk – Ärztehaus – Kaufhaus – Drogerie – Fastfood-Restaurant usw.usf.
Über Sinn und Unsinn, Erforderlichkeit und Verhältnismäßigkeit der einzelnen Kameras lässt sich sicher trefflich streiten. Sollten auch Sie – aus nachvollziehbaren Gründen – Videotechnik an Außenfassaden oder in Objekten einsetzen, gilt es Vorgaben des Gesetzgebers sowie der Aufsichtsbehörden zu beachten.
Nachdem Aufsichtsbehörden anderer Bundesländer bereits in der Vergangenheit Guidelines für den Einsatz von Videotechnik (oder wie der Gesetzgeber kryptiert: den Einsatz „opto-elektronischer Einrichtungen“) im Unternehmen vorgelegt haben, hat jüngst auch der Landesbeauftragte für den Datenschutz Baden-Württemberg einen PDF-Leitfaden zum Thema Videoüberwachung durch Unternehmen veröffentlicht.
Der Leitfaden ist wie folgt aufgebaut:
- Risiken einer Videoüberwachung
- Zulässigkeit einer Videoüberwachung durch nicht-öffentliche Stellen (Unternehmen)
- Einzelne Maßnahmen vor Einrichtung einer Videoüberwachung
- Durchführung einer zulässigen Videoüberwachung
- Besondere Fallkonstellationen
- Checkliste für den Betreiber einer Videoüberwachung öffentlich zugänglicher Räume
In dem Leitfaden kommt m.E. der Aspekt der Dokumentation des Verfahrens „Videoüberwachung“ zu kurz.
Sollte die Datenschutzaufsichtsbehörde Ihres Vertrauens also auch einmal an Ihrem Werkstor klingeln, halten Sie im besten Fall eine vernünftige Dokumentation folgender Aspekte bereit:
· Grund oder Anlass der Videoüberwachung
· überwachte Bereiche (Teilverpixelung?)
· Kamerafunktionen (Schwenkfunktion, Zoomfunktion, Audiofunktion)
· Aktivierung durch Bewegungsmelder?
· Umgang mit Attrappen (Achtung: Nach Ansicht der Aufsichtsbehörden gelten für Attrappen dieselben Anforderungen wie beim Einsatz reeller Videokameras. Stichwort: Der Überwachungsdruck ist derselbe.)
· Nur Monitoring oder auch Aufzeichnung?
· Zeitraum der Videoüberwachung
· Kennzeichnung der Kamera
· Zugang zum Überwachungssystem
· Zugriff auf die Speichermedien
· Dauer der Speicherung
· Eigene Einschätzung des Betreibers zum Erfolg der Videoüberwachung
Einzelne der beschriebenen Aspekte sollten sich zudem in dem nach § 4e BDSG erforderlichen Verfahrensverzeichnis wiederfinden. In der ganz überwiegenden Zahl der Fälle wird zusätzlich vor Einrichtung der Videoüberwachung das Durchführen einer Vorabkontrolle (§ 4d Abs. 5 BDSG) durch den betrieblichen Datenschutzbeauftragten notwendig sein.
Übrigens: Erst kürzlich hat das Bundesarbeitsgericht seine Rechtsprechung zum Einsatz verdeckter Videoüberwachung bestätigt. In seinem Urteil vom 21.06.2012 (Aktenzeichen 2 AZR 153/11) macht das BAG abermals deutlich, dass eine verdeckte Videoüberwachung als letztes zur Verfügung stehendes Mittel dann eingesetzt werden darf, wenn der konkrete Verdacht einer strafbaren Handlung zu Lasten des Arbeitgebers gegen einen abgrenzbaren Kreis von Arbeitnehmern besteht. (Hier: Verdacht auf Entwendung von Zigaretten). Dies gilt auch und gerade für solche Bereiche, die öffentlich zugänglich sind (Verkaufsräume). Liegen alle durch das BAG entwickelten Voraussetzungen vor, entfällt die eigentlich nach§ 6b Abs. 2 BDSG notwendige Kenntlichmachung des Umstandes der Beobachtung. Das informationelle Selbstbestimmungsrecht des Arbeitnehmers hat in diesen - extremen - Fallkonstellationen, hinter dem schutzwürdigen Interesse des Arbeitgebers an der Sachverhaltsaufklärung zurückzustehen.
Reform des Europäischen Datenschutzes geht in die nächste Runde
verfasst am 10.1.2013 von Sebastian Schulz
Knapp ein Jahr ist es jetzt her, dass die Europäische Kommission den Startschuss für die Reform des europäischen Datenschutzrechtsrahmens gegeben hat. Wir erinnern uns: Im Wege einer unmittelbar in allen EU-Mitgliedstaaten anzuwendenden Verordnung soll künftig das gelingen, was nach Einschätzung Vieler mit der noch geltenden EG-Datenschutzrichtlinie (95/46/EG) allenfalls mangelhaft erreicht wurde. Einheitliche Spielregeln für den gesamten Binnenmarkt, dadurch einheitliche Wettbewerbsbedingungen und – nicht zuletzt – die Sicherung und Aufwertung der Persönlichkeitsrechte des Einzelnen im Informationszeitalter. Der bvh zeigte mit seiner Stellungnahme zum Verordnungsentwurf die in Teilen gravierenden Folgen für den Interaktiven Handel auf.
Als Teil des ordentlichen Brüsseler Gesetzgebungsverfahrens hat gestern der zuständige Berichterstatter im Europäischen Parlament, Jan Philipp Albrecht (Grüne), seinen „Draft Report“ vorgestellt. Auf 215 Seiten werden in 350 Anträgen Vorschläge für Änderungen des Kommissionstextes gemacht, die aus der Perspektive des Verfassers nun alles zum Guten wenden sollen. Eine gewaltige Fleißarbeit.
Nun wissen wir, dass Masse nicht zwingend mit Klasse gleichgesetzt werden muss. Und so wird man auch bei der Lektüre dieses Reports den Eindruck nicht los, dass der Maßstab, was tatsächlich verhältnismäßig ist, was geeignet ist, alle widerstreitenden Interessen in einen angemessenen Ausgleich zu bringen, wahrlich kein einheitlicher sein kann…
Eine erste Analyse ausgewählter Änderungsanträge:
Art. 4 Nr. 1
Am Anwendungsbereich der Datenschutz-Grundverordnung wird nicht gerüttelt. Es bleibt bei der ausufernden Überwölbung sämtlicher Lebenssachverhalte durch das Datenschutzrecht.
Art. 4 Nr. 2a neu
Wenngleich in seiner Formulierung etwas unglücklich wird der Begriff des pseudonymen Datums eingeführt. Das fehlte bislang im Entwurfstext. Die Verarbeitung von Pseudonymen soll in der Folge einzelne Privilegierungen erfahren, wie sie bereits aus dem deutschen Recht bekannt sind (vgl. § 15 Telemediengesetz, TMG). Ob das gelingt, erscheint mir zweifelhaft.
Art. 4 Nr. 3b neu
Einführung des Begriffs des Profilings. Im weiteren Verlauf des überarbeiteten Verordnungstextes werden sich Vorgaben finden, wonach das Erstellen und Verarbeiten von Profilen nur noch in seltenen, durch die Verordnung legitimierten Ausnahmefällen möglich ist.
Art. 4 Nr. 6a neu, Art. 5 Abs. 1a neu
Die Tätigkeit von Herstellern und Entwicklern von DV-Systemen wird in den Anwendungsbereich aufgenommen und in Zukunft direkt durch das Datenschutzrecht reglementiert. Ich halte das für mit den Rechten dieser Gruppe schlicht unvereinbar. Im Vorfeld vereinzelt geäußerten Forderungen, dem Schlagwort „Privacy by design“ mehr Fleisch ans Gerüst zu packen, wurde hier nachgekommen.
Art. 6 f alt
Die allgemeine Abwägungsklausel, auf Grundlage derer eine Verarbeitung personenbezogener Daten zulässig ist, sofern widerstreitende Interessen des Betroffenen nicht überwiegen, wurde gestrichen und ersetzt durch detaillierte Regeln, die mehr Rechtssicherheit bringen sollen:
Art. 6 Abs. 1a und 1b neu
Grundsatz ist, dass eine Verarbeitung auf Grundlage legitimer Interessen der verantwortlichen Stelle zulässig ist, soweit widerstreitende Interessen des Betroffenen nicht überwiegen: „… except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject…” Allerdings heißt es in demselben Absatz weiter, dass die verantwortliche Stelle darlegen/veröffentlichen muss, warum ihre Interessen (d.h. die Interessen der verantwortlichen Stelle) die Interessen des Betroffenen im Einzelfall überwiegen: „The controller shall also publish the reasons for believing that its interests override the interests or fundamental rights and freedoms of the data subject.“ Auch in Abs. 1b neu wird dieser (neue) Maßstab erneut angelegt: „The legitimate interests of the controller as referred to in paragraph 1a override the interests or fundamental rights and freedoms of the data subject, as a rule, if…” Es kommt also zu einem Wechsel der Maßstäbe innerhalb ein und desselben Artikels. Einmal dürfen die berechtigten Interessen des Betroffenen nicht überwiegen, ein andermal muss die verantwortliche Stelle ein Überwiegen ihrer Interessen darlegen. Ob das gewollt ist?
Art. 6 Abs. 1b lit. c) neu
Für Zwecke des Direktmarketings dürfen dem deutschen Recht vergleichbar personenbezogene Daten von Bestandskunden zu Werbezwecken für ähnliche Waren verwendet werden. Ein Grundsatz, den wir aus § 7 Abs. 3 UWG kennen. Ich stelle mir die Frage, ob diese bereichsspezifische, d.h. auf Bestandskunden beschränkte Ausnahme, abschließend sein soll. Wäre das gewollt, könnte von interessierter Seite damit das Ende für Listbroking und co. propagiert werden. Auch für die aus dem deutschen Recht bekannte Möglichkeit des Hinzuspeicherns weiterer Daten in Bestandskundendatenbanken bliebe künftig kaum mehr Raum. Wäre das alles nicht gewollt, käme die allgemeinere Regel des Art. 6 Abs. 1a neu zur Anwendung. Dann freilich nicht intendiert, Art. 6 Abs. 1b Satz 1 fände keine Anwendung. Die aus dem deutschen Recht bekannte Privilegierung von Listendaten entfällt also in jedem Fall.
Art. 6 Abs. 1b lit. d) neu
Die Zulässigkeit der Verarbeitung von personenbezogenen Daten im Drittinteresse (v.a. Auskunfteien) wird auf Fälle der Rechtsdurchsetzung (Inkassounternehmen?) beschränkt und bleibt damit weiterhin absolut unbefriedigend und fern jedweder Praxis gelöst.
Art. 6 Abs. 1b neu
Die Zulässigkeitsnorm für Datenverarbeitungen im B2B-Bereich erstreckt sich nicht nur auf die Verwendung von personenbezogenen Daten zu Werbezwecken sondern findet mangels Einschränkung nunmehr auf jedwede Datenverarbeitung im B2B-Bereich Anwendung. Das finde ich spannend, kommt es doch an dieser Stelle zu einer Ausweitung der B2B-Ausnahme im Vergleich zu deutschem Recht.
Art. 7 Abs. 2a neu
Sofern nur Pseudonyme verarbeitet werden, kann die Einwilligung in die Datenverarbeitung von Telemediendiensten im Wege einer Generaleinwilligung unter Zuhilfenahme automatisierter Verfahren („Do not track“) erteilt werden. Der Verfasser geht dabei davon aus, dass die „do not track“-Funktion als default setting im Browser eingestellt ist. Eine Privilegierung nach dem Vorbild von § 15 TMG (Stichwort: Widerspruch statt aktive Einwilligung) sieht anders aus.
Art. 7 Abs. 4 alt, Art. 7 Abs. 4b neu
Es bleibt bei einem kategorischen Ausschluss der Einwilligung, sofern ein signifikantes Ungleichgewicht zwischen den Akteuren besteht, einschließlich aller hiermit verbundenen Fragen. Hinzu kommt ein symbolisches Kopplungsverbot dergestalt, dass keine über das erforderliche Maß hinaus erforderlichen Daten im Rahmen eines Vertragsverhältnisses auf Grundlage der Einwilligung des Betroffenen erhoben werden dürfen. Der Grundsatz der Datensparsamkeit findet sich bereits deutlich weiter vorn im Verordnungstext.
Was noch?
Ganz allgemein wird der bürokratische Aufwand für Unternehmen tendenziell nochmals verschärft. Der Umfang der Informationspflichten steigt nochmals zugunsten vereinzelt abnehmender Dokumentationspflichten.
Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten bemisst sich künftig nicht mehr an der Anzahl der Mitarbeiter sondern an der Anzahl der von der Datenverarbeitung Betroffenen. De facto trifft künftig ausnahmslos jedes im Internet aktive Unternehmen die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Die Unterscheidung zwischen Datenübermittlung und Auftragsdatenverarbeitung bleibt weiter hinter den Forderungen ausnahmslos aller Beteiligten zurück. Es fehlt weiter an der simplen Aussage, dass zum Zwecke der Datenverarbeitung im Auftrag kein gesonderter Legitimationstatbestand erforderlich ist.
Das Recht auf Datenportabilität bleibt uneingeschränkt bestehen, das „Recht, vergessen zu werden“ wird auf den bekannten Anspruch auf Datenlöschung eingegrenzt.
So viel für den Moment. Eine detaillierte Darstellung der Kritikpunkte finden Sie in unserer oben erwähnten Stellungnahme. Der bvh wird sich in Kürze in einer ausführlichen weiteren Stellungnahme den Vorschlägen von Jan Philipp Albrecht intensiver widmen.
Für Ihre Anmerkungen und Kritik bin ich immer dankbar!
Der Draft Report wird in den nächsten Wochen im federführenden EP-Ausschuss für bürgerliche Freiheiten, Justiz und Inneres diskutiert werden und voraussichtlich im Sommer als Votum des Europäischen Parlaments in den sog. Trilog eingespeist. Im Rahmen dieses „Dreiertreffens“ koordinieren die drei am Gesetzgebungsverfahren beteiligten Institutionen Europäische Kommission, Rat der Europäischen Union und Europäisches Parlament ihre Standpunkte mit dem Ziel einer einvernehmlichen Lösung. Erst im Falle einer erfolgreichen Verständigung wäre dann der Weg frei für die finale Abstimmung im Europäischen Parlament in 2014.
OLG München killt Double-Opt-In Verfahren
erstellt am 20.11.2012 von Sebastian Schulz
Der Bereich E-Mail-Marketing war noch nie frei von Fallstricken. Einen weiteren hat jetzt das OLG München ausgeworfen. In einem nun auch dem Wortlaut nach öffentlich bekannt gewordenen Berufungsurteil erklärt der erkennende Senat das vor allem für den Versand von Newslettern eingesetzte Double-Opt-In Verfahren faktisch für rechtswidrig (OLG München vom 29.9.2012, Az. 29 U 1682/12).
Aber der Reihe nach: Liegt kein gesetzlicher Ausnahmetatbestand vor (vgl. § 7 Absatz 3 UWG), ist die Nutzung der E-Mail-Adresse für Werbezwecke allein bei Vorliegen einer Einwilligung des Users zulässig. In welcher Form die Einwilligung einzuholen ist, ist gesetzlich nicht geregelt. Die einschlägige Vorschrift des § 7 Absatz 2 Nr. 3 UWG kennt jedenfalls keine besonderen Vorgaben. Um bei elektronischer Kommunikation die systembedingt schwierige Authentizität des Newsletterbestellers möglichst doch sicherzustellen, hat sich in der Praxis das sog. Double-Opt-In Verfahren etabliert: Durch Anklicken eines Links bestätigt der Inhaber der Emailadresse, dass er tatsächlich in den Newsletterverteiler des jeweiligen Unternehmens aufgenommen werden möchte. Einigen unterinstanzlichen Urteilen sowie vereinzelten Stimmen in der wettbewerbsrechtlichen Literatur zum Trotz hatte sich dieses Verfahren zwischenzeitlich als best practice durchgesetzt. Dies nicht zuletzt infolge einzelner Erwägungen des Bundesgerichtshofes im Rahmen seiner Urteile E-Mail-Werbung I und Telefonaktion II.
Und dann kam der 29. Zivilsenat des Oberlandesgerichts München.
Nach Einschätzung des OLG München hat bereits die Betätigungsmail, in der die Betroffenen aufgefordert werden, sich durch Anklicken eines Links zu authentifizieren und dadurch die vorangegangene Anforderung des Newsletters zu bestätigen, werblichen Charakter. Entsprechend muss bereits für den Versand dieser Bestätigungsmail eine Einwilligung vorliegen. Wird durch den Empfänger der Bestätigungsmail bestritten, dass zuvor überhaupt ein Newsletter bestellt wurde, ist der Versender der Bestätigungsmail für das Vorliegen dieser Einwilligung darlegungs- und beweislastpflichtig.
Dass dieser Nachweis denklogisch nicht geführt werden kann, da die Bestätigungsmail conditio sine qua non für das Authentifizierungs- und damit für das Einwilligungsprozedere ist, spielte für den Senat bei der Entscheidungsfindung ersichtlich keine Rolle. Im Gegenteil. Der Senat verlangt als Nachweis für das Vorliegen der Einwilligung des Betroffenen den Nachweis über das Vorliegen der Einwilligung des Betroffenen. Entrückter von der gelebten Praxis kann eine Rechtsprechung kaum mehr sein. Die Schwierigkeiten, denen sich werbetreibende Unternehmen (nun erneut) beim Umgang mit Newsletterabolisten ausgesetzt sehen, liegen auf der Hand. Folgt man der Einschätzung des OLG München, ist bei strenger Betrachtung eine Aufnahme jedenfalls neuer Kontakte in Newsletterverteiler nicht mehr rechtssicher abzubilden.
Ich folge der Einschätzung des OLG nicht. Und ich bin zuversichtlich, dass der BGH die Gelegenheit bekommen wird, dieses Urteil im Revisionsverfahren nachprüfen und mit deutlichen Worten korrigieren zu können.
Die Unternehmen sollten das Urteil jedenfalls zum Anlass nehmen, Bestätigungsmails noch einmal auf wichtige Aspekte hin zu überprüfen: So gehören in Bestätigungsmails keine werblichen Aussagen! Der Verzicht auf Logos, weiterführende Links o.ä. und der Hinweis, dass bei unterbleibender Bestätigung der Adressat nie wieder mit einer einzigen Email des Unternehmens rechnen muss, sollte auch in Zukunft für das Double-Opt-In Verfahren sprechen.
