Kontaktformulare auf Webseiten müssen stets richtig verschlüsselt werden. Das bayrische Landesamt für Datenschutzaufsicht (BayLDA) kündigte bereits im Oktober 2017 an, dies umfangreich zu überprüfen. Webseitenbetreiber sind angehalten, die Verschlüsselung von Kontaktformularen zu überprüfen. Bei Datenschutzverstößen riskieren sie sonst nicht nur Abmahnungen durch Konkurrenten, sondern auch hohe Bußgelder von den Datenschutzbehörden.
Die Pflicht, Kontaktformulare auf Websites zu verschlüsseln, ist nicht neu. Allerdings hat das BayLDA mit der „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“ eine intensivere Prüfung gestartet. Aus der Pressemitteilung geht hervor, dass insbesondere Kontaktformulare zukünftig vermehrt überprüft werden. Der Grund dafür ist, dass bei einer unzureichenden Verschlüsselung schnell die personenbezogenen Daten abgegriffen werden können.
Doch nicht nur bayrische Firmen sollten nun aktiv werden. Das Vorgehen des BayLDA können auch andere Aufsichtsbehörden des Landes auf den Plan rufen.
Firmen wird grundsätzlich angeraten, die von dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfohlenen Verschlüsselungsverfahren einzuführen.
So dient das kryptographische Protokoll Transport Layer Security (TLS) der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen. Hierzu gibt das BSI weitere Informationen (Version: 2018-01).
Zur ausreichenden HTTPS-Verschlüsselung reicht meist ein SSL-Zertifikat. Dieses gibt es oftmals sogar kostenlos.
Dieses Zertifikat reicht allerdings nur zur Verschlüsselung von Daten. Soll zusätzlich auch die Identität der Website überprüft werden, reichen diese kostenlosen Zertifikate nicht aus. Soweit der Seitenbesucher sich also sicher sein soll, dass hinter der besuchten Website auch der gewünschte Betreiber steckt, so sollte der Websitebetreiber auf eine kostenpflichtige Variante der SSL-Zertifikate mit Identitätsprüfung zurückgreifen.
Gesetzliche Vorgaben in diesem Bereich stammen u.a. auch aus dem Telemediengesetz (TMG). Danach müssen Seitenbetreiber ein „anerkanntes Verschlüsselungsverfahren zum Schutz von personenbezogenen Daten“ anwenden. Ferner heißt es in § 13 Abs. 7 TMG:
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dasskein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist unddiesegegen Verletzungen des Schutzes personenbezogener Daten undgegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Ein Verstoß kann als Ordnungswidrigkeit nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu EUR 50.000,00 geahndet werden.
Eine unzureichende Verschlüsselung ist nicht der einzige Punkt der schief gehen kann und von den Landesämtern für Datenschutz überprüft wird.
Mit der neuen Datenschutzgrundverordnung (DS-GVO), die Ende Mai 2018 in Kraft tritt, kommen noch weitere Neuerungen auf datenverarbeitende Firmen und Websitebetreiber zu. Der zu beachtende Katalog an Anforderungen ist lang. Um hier Fehler zu vermeiden, kann die Prüfung durch einen externen Datenschutzberater helfen.
Mit Urteil vom 29. Januar 2018 (Az.: 13 U 165/16) hat das OLG Frankfurt am Main entschieden, dass der Verkauf von Adressdaten wegen fehlender Einwilligung der Adressinhaber unwirksam sei. Daher bestehen zwischen den Vertragspartnern auch keine vertraglichen Ansprüche aus dem Verkauf.
Im Verfahren vor dem OLG Frankfurt am Main stritten sich zwei Parteien über den Verkauf von Adressdaten. Der Geschäftsführer der klagenden Partei war zuvor Geschäftsführer der Schuldnerin. Am Tag der Insolvenzeröffnung kaufte der Geschäftsführer vom Insolvenzverwalter der insolventen Firma verschiedene Internet-Domains einschließlich der darüber generierten Adressdaten für insgesamt 15.000 EUR. Die Daten wurden dem Geschäftsführer auf einem USB-Stick übergeben.
Doch die Adressdaten befanden sich auch weiterhin noch auf zwei Servern, welche der Insolvenzverwalter an eine ebenfalls mit Adressdaten handelnde dritte Firma verkaufte. Diese nutzte die Millionen Adressen um Werbe-E-Mails für die Internetseite „Sexpage.de“ zu versenden.
Der Geschäftsführer war nun der Ansicht, die von ihm erworbenen Adressdaten hätten durch die zwielichtige Nutzung für Werbung der Internetseite „Sexpage.de“ zwei Drittel ihres Wertes verloren. Aus dem Kaufvertrag forderte er sodann anteilige Rückzahlung des Kaufpreises sowie Unterlassung der weiteren Nutzung der Adressdaten.
Das Landgericht gab der Klage in erster Instanz statt. Allerdings wurde das Urteil durch das OLG Frankfurt am Main im Rahmen der Berufung aufgehoben. Der Verkauf der Adressdaten sei mangels vorliegender Einwilligung der Adressdateninhaber unwirksam. Zwischen den Parteien bestünden also keinerlei vertragliche Ansprüche – weder das Recht auf Unterlassung noch ein Anspruch auf Rückzahlung des Kaufpreises.
Der Vertrag verstoße gegen die Vorgaben des BDSG. Die Nutzung von sogenannten personenbezogenen Daten sei nur zulässig, wenn der Betroffene einwillige oder das sogenannte Listenprivileg eingreife. Denn „Name, Postanschrift, Telefonnummer und E-Mail-Adresse einer Person“ stellten klassische personenbezogene Daten dar. Nach Ansicht der Frankfurter Richter unterfalle auch der einmalige Verkauf derartiger Daten dem Adresshandel gemäß § 28 Abs. 3 Satz 1 BDSG. Das Listenprivileg greife zudem nur bei zusammengefassten Daten von Angehörigen einer bestimmten Personengruppe; ein solcher Fall läge hier allerdings nicht vor.
Auch eine den Verkauf rechtfertigende Einwilligung der Adressdateninhaber lag hier nicht vor. Die von der BDSG geforderte Einwilligung sei nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruhe und dieser auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie die Folgen der Verweigerung der Einwilligung hingewiesen werde. Jedoch habe die Firma, welche die Daten erhob, es versäumt, die betroffenen Daten nach Kategorien etwaiger Datenempfänger oder der Nutzungszweck des Adresshandels konkret genug zu bezeichnen.
Zudem scheitere der Vertrag nach Auffassung des Gerichtes daran, dass der Vertrag die Parteien systematisch zu einem unlauteren, wettbewerbswidrigen Verhalten verpflichte. Die Zusendung von Werbe-E-Mails ohne Einwilligung stelle eine unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG dar. Soweit der verklagte Insolvenzverwalter in Höhe des erlangten Kaufpreises ungerechtfertigt bereichert sei, begründe dies alleine noch keinen Rückzahlungsanspruch des Geschäftsführers. Ein derartiger Anspruch sei bereits ausgeschlossen, weil beide Vertragsparteien zuvor vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.
Ein Arzt gab Untersuchungsergebnisse ungefragt weiter. Mit Beschluss vom 28. Juni 2017 hat das OLG Karlsruhe (Az.: 1 Rb Ss 540/16) dies als Datenschutzrechtsverstoß gewertet.
Es hat entschieden, dass das in § 4a Abs. 1 Satz 3 BDSG aufgestellte Erfordernis einer schriftlichen datenschutzrechtlichen Einwilligung zur Weitergabe von persönlichen Daten eine Schutz- und Warnfunktion hat. Der zur Einwilligung Aufgeforderte solle nicht übereilt zustimmen müssen, sondern die Chance erhalten, sich seiner Entscheidung und der Auswirkungen bewusst zu werden.
Das Amtsgericht hatte Mitte 2016 einen niedergelassenen Arzt wegen eines vorsätzlichen Verstoßes gegen das Bundesdatenschutzgesetz (BDSG) in zwei Fällen zu einer Geldbuße von EUR 1.000 verurteilt. Grund für die Verurteilung war, dass er im Rahmen eines von einem Arbeitgeber veranlassten Drogenscreening dieses bei dem Arbeitnehmer vornahm und die Ergebnisse an den Arbeitgeber weiterleitete.
Allerdings hatte der Arbeitnehmer lediglich gegenüber seinem Arbeitgeber in die Weitergabe der Untersuchungsergebnisse zugestimmt. Eine schriftliche datenschutzrechtliche Einwilligung zur Untersuchung und der Datenverarbeitung des Arztes erteilte er jedoch nicht.
Das OLG sah es ähnlich. Durch die Untersuchung und Weitergabe der Ergebnisse ohne vorherige schriftliche Einwilligung verstößt der Arzt gegen § 43 Abs. 2 Nr. 1 BDSG. Denn er erhebt oder verarbeitet vorsätzlich – oder zumindest fahrlässig – unbefugt personenbezogenen Daten, die nicht allgemein zugänglich sind.
Das Gericht betont, dass die datenschutzrechtliche Einwilligung von der rechtfertigenden Einwilligung im ordnungswidrigkeitsrechtlichen Sinne zu unterscheiden ist. Eine restriktive Auslegung sei gerade zwingend. Daher komme eine wirksame datenschutzrechtliche Einwilligung nur dann zustande, wenn der Einwilligende nach den objektiven Umständen imstande ist, die Bedeutung und Tragweite seines Rechtsgutverzichts zu beurteilen.
Die vom Arbeitnehmer abgegebene schriftliche datenschutzrechtliche Einwilligung im Rahmen der G 25-Untersuchung zur Weitergabe der der personenbezogenen Daten umfasse nicht auch die Zustimmung zur Erhebung und Verarbeitung der Daten. Allerdings sei eine solche schriftliche datenschutzrechtliche Einwilligung erforderlich gewesen, sofern eine andere Form der Einwilligung nicht ausnahmsweise angemessen sei, § 4a Abs. 1 Satz 3 BDSG.
Jedoch ist nach der Ansicht das OLG Karlsruhe meist von einem Erfordernis einer schriftlichen Einwilligung auszugehen. Denn schließlich wohne der Schriftform eine Schutz- und Warnfunktion inne. Im vorliegenden Fall solle der Arbeitnehmer die Chance erhalten, sich seiner Entscheidung bewusst zu werden und diese nicht voreilig zu treffen. Dieser Ausnahmecharakter gebiete daher eine restriktive Auslegung des § 4a Abs. 1 BDSG.
Ob Arztpraxen unabhängig von der Mitarbeiterzahl zwingend einen Datenschutzbeauftragten im Sinne der DS-GVO benötigen, kommt auf die Art und Weise der Datenverarbeitung an. Jedenfalls ist gerade in Arztpraxen aufgrund des Umgangs mit Gesundheitsdaten angeraten, die datenschutzrechtlichen Bestimmungen genauestens zu prüfen und einzuhalten. Dabei kann es nicht schaden, sich von einem externen Datenschutzberater instruieren zu lassen.
Mit Beschluss vom 5. Oktober 2017 (Az.: I ZR 7/16) wendet sich der BGH in einem Vorabentscheidungsverfahren an den EuGH. Dabei soll dieser die Frage klären, in wie weit es sich bei bereits im Endgerät des Nutzers voreingestellten Ankreuzkästchen um eine wirksame Einwilligung handeln kann, wenn der Nutzer dieses abwählen muss, um eine Cookie-Nutzung zu unterbinden.
Ferner soll vom EuGH die Frage geklärt werden, ob es bei der Anwendung der Vorschriften einen Unterschied macht, ob es sich um personenbezogene Daten handelt, oder nicht. Auch soll geklärt werden, welche Informationen der Dienstanbieter im Rahmen von Art. 5 Abs. 3 der ePrivacy-Richtline dem Nutzer zu erteilen hat.
Bei der Beantwortung der Fragen geht es insbesondere um die Auslegung des Art. 5 Abs. 3 i.V.m. Art. 2 f) der ePrivacy-Richtline (Richtlinie 2002/58/EG).
Im vom BGH zu entscheidenden Fall ging es um eine Einwilligung im Rahmen von Online-Gewinnspielen. Um an diesen Online-Gewinnspielen teilzunehmen musste der Teilnehmer seine persönlichen Daten – also Name und Anschrift – angeben und sich anschließend mit zwei Ankreuzfeldern befassen.
Das erste Ankreuzfeld war nicht mit einem vorgesetzten Häkchen versehen und befasste sich mit einer Einwilligung zur Werbung durch Drittunternehmen in telefonischer oder postalischer Form.
Das zweite Ankreuzfeld hingegen war bereits mit einem Häkchen versehen und enthielt folgenden Erklärung:
Ich bin einverstanden, dass der Webanalysedienst R. bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die P. GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches P. eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbe-partnern und damit interessengerichtete Werbung durch R. ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.
Die Teilnahme am Gewinnspiel war nur möglich, wenn der Teilnehmer das erste Häkchen setzte. Die Einwilligung zur Nutzung der Cookies war dagegen nicht Teilnahmevoraussetzung. Der Nutzer konnte das Ankreuzfeld also – falls gewollt – bewusst deaktivieren.
Die Frage, welche der BGH sich nun stellt ist, ob das vorangekreuzte Häkchen gegen die Grundgedanken des Art. 5 Abs. 3 i.V.m. Art. 2 f) der ePrivacy-Richtlinie verstößt.
Die Richtlinie war bis Ende Mai 2011 durch die Mitgliedsstaaten umzusetzen. Allerdings änderte Deutschland seine im TMG vorgesehene Widerspruchslösung nicht, sondern behielt sie bewusst bei. Auch andere Staaten nutzen die Umsetzung dazu, eine „Opt-out“-Regelung zu schaffen, die einen Widerspruch des Nutzers erfordere.
Ein „Opt-In“-Verfahren, welches eine vorherige Einwilligung erfordere, wurde jedoch auch von einigen Mitgliedsstaaten gewählt.
Nach der Rechtsprechung des Bundesgerichtshofs zur Anwendung des auf Art. 13 der ePrivacy-Richtline zurückgehenden § 7 Abs. 2 Nr. 3 UWG ist die erforderliche Einwilligung vorhergehend und ausdrücklich zu erteilen. Er verbietet die ohne Einwilligung des Adressaten vorgenommene Werbung durch automatische Anrufmaschinen, Faxgeräte oder elektronische Post.
Einwilligungsklauseln, bei denen der Kunde ein Kästchen ankreuzen muss, wenn er seine Einwilligung nicht erteilen will (“Opt-out”-Erklärung), entsprechen danach nicht dem Begriff der Einwilligung im Sinne der ePrivacy-Richtlinie. Die Entscheidung, in wie weit bei der Einwilligung in die Verwendung von Cookies ein „Opt-In“- oder ein „Opt-out“-Verfahren erforderlich ist, bleibt daher nun dem EuGH überlassen.
Der Abruf von Daten aus den von dem Online-Gewinnspieleanbieter verwendeten Cookies unterliegt dem Einwilligungserfordernis des § 12 Abs. 1 TMG. Grund dafür ist, dass es sich bei den erhobenen Daten um personenbezogene Daten handelt. Denn Cookies enthalten eine Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet wird, der sich mit Namen und Adresse in das bereitgestellte Webformular einzutragen hat. Durch die Verknüpfung der ID mit den vom Nutzer eingegeben persönlichen Daten entsteht ein Personenbezug, der durch die Cookies gespeicherten Daten über die Internetnutzung.
Bislang hat der BGH für die Wirksamkeit der Einwilligung im Rahmen von § 4a Abs. 1 BDSG kein „Opt-In“-Verfahren für nötig gehalten. In wie fern sich dies auch auf die Einwilligung im vorliegenden Fall übertragen lässt, ist allerdings noch unklar und soll daher vom EuGH entschieden werden.
Der Umfang, in dem der Online-Gewinnspieleanbieter den Nutzer nach § 13 TMG über die Nutzung seiner Daten zu informieren hat, war bislang klar. Dazu muss der Nutzer in allgemein verständlicher Form über Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten aufgeklärt werden.
Gesondert muss der Nutzer ferner unterrichtet werden, wenn eine spätere Identifizierung durch ein automatisiertes Verfahren möglich ist. Dazu zählt wie hier auch das Setzen von Cookies auf dem Endgerät des Nutzers. Jedoch ist bislang unklar, wie weit die Aufklärungspflicht von § 13 Abs. 1 S. 2 TMG – mit Blick auf Art. 5 Abs. 3 der ePrivacy-Richtlinie – reicht. Daher soll der Umfang der Informationspflicht ebenfalls vom EuGH geklärt werden.
Im vorliegenden Fall hat der Online-Gewinnspieleanbieter zwar darüber informiert, dass die ID den Cookies zugeordnet wird und die nachfolgende Nutzung von Internetseiten für die registrierten Werbepartner erfasst wird. Allerdings fehlte eine Mitteilung, ob auch Dritte Zugriff auf die Cookies haben und für welche Dauer die Cookies aktiv sind. Denn dies sind ebenfalls für den Nutzer wichtige Daten, die eigentlich einer Aufklärung bedürfen. Ob dies der EuGH genauso sieht, bleibt jedoch abzuwarten.
Mit Urteil vom 6. April 2017 bestätigt das OVG Berlin-Brandenburg (Az.: OVG 12 B 7.16) teilweise das erstinstanzliche datenschutzrechtliche Urteil des VG Potsdam aus dem Jahr 2015 (Az.: VG 9 K 725/13). So dürfe der Eingangsbereich und das Wartezimmer einer Zahnarztpraxis während des laufenden Praxisbetriebs nicht mit einer Videokamera überwacht werden. Das Vorgehen der Zahnärztin gegen die Vorgaben der Datenschutzaufsicht blieb damit ohne Erfolg.
Die Überwachung der für die Öffentlichkeit nicht zugänglichen Behandlungszimmer – soweit die Patienten zuvor eingewilligt haben – sei hingegen zulässig.
Eine Zahnärztin in Potsdam hatte sich dazu entschieden ihre Praxis umfassend mit einem Video-Monitoring-System auszustatten. Dazu installierte sie drei Videokameras in ihrer Praxis. Eine davon befand sich direkt im Eingangsbereich und filmte diesen sowie das Wartezimmer.
Die anderen beiden Kameras waren in den Behandlungszimmern der Praxis angebracht. Die Aufnahmen der Kameras wurden unterdessen nicht gespeichert, sondern lediglich auf ein Monitor-System im Eingangsbereich sowie in den Behandlungsräumen übertragen.
Nach einer anonymen Beschwerde bekam die Zahnärztin Besuch von der zuständigen Datenschutzbehörde, welche ihr sogleich die Nutzung der Kameras im Eingangsbereich untersagte. Zudem habe sie die Hinweisschilder auf die Videoüberwachung während der Öffnungszeiten der Praxis abzudecken.
Gegen den Bescheid der Datenschutzbehörde reichte die Zahnärztin Klage ein. Ihrer Ansicht nach sei eine Videoüberwachung durchaus zulässig. Denn schließlich speichere sie das Videomaterial nicht. Zusätzlich sei die Videoüberwachung für sie notwendig. Denn die Personalstruktur lasse eine dauerhafte Überwachung des Eingangsbereichs und der Wartezimmer durch eine Mitarbeiterin nicht zu.
Zweck der Videoüberwachung sei die Prävention, der Schutz der Patienten sowie der Schutz der Mitarbeiter und Besucher vor Straftaten in der Praxis (insbesondere vor Eigentumsdelikten und körperlichen Übergriffen). Zudem sei die Überwachung „angespritzter“ Patienten, die im Wartezimmer Platz nehmen bis die Wirkung ihrer Betäubung vollständig eintritt, nicht anders möglich.
Besucher, die sich im Wartezimmer nicht filmen lassen wollen, könnten auf drei Sitzplätzen verweilen, die nicht von der Videokamera einsehbar sind.
Doch auch das OVG untersagte nun der Zahnärztin die Überwachung des Eingangsbereichs und des Wartezimmers. Die Videoüberwachung der Behandlungsräume hingegen sei mit Einwilligung der Patienten zulässig.
Die Videoaufnahmen in den Behandlungsräumen verstoßen nicht gegen die Vorgaben des Bundesdatenschutzgesetztes (BDSG). Es handele sich um einen für die Öffentlichkeit nicht zugänglichen Ort. Aufgrund der besonderen Arten der personenbezogenen Daten im Sinne des § 3 Abs. 9 BDSG (Gesundheit) sei das Verbot an § 28 Abs. 6-8 BDSG zu messen. Danach ist die Erhebung solcher personenbezogener Daten mit Einwilligung möglich. Von einer solchen ist im Fall der Zahnärztin auszugehen, weshalb die Videoüberwachung in diesen Räumen auch nach Ansicht des OVG Berlin-Brandenburg zulässig sei.
Anders sieht es bei der Überwachung des Eingangsbereichs und des Wartezimmers aus. Hierbei handele es sich nämlich um Räume, die für die Öffentlichkeit zugänglich sind (die Praxis ist nicht verschlossen) und um die Erhebung personenbezogener Daten im Sinne des § 3 Abs. 3 BDSG zum Zwecke der Nutzung.
Eine solche Videoüberwachung sei gemäß § 6b Abs. 1 BDSG allerdings nur zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke zulässig. Oder aber, soweit eine Einwilligung der Betroffenen vorliege.
Nach Auffassung des OVG führe das Anbringen der Hinweisschilder nicht zu einer wirksamen Einwilligung der Praxisbesucher. Denn eine Einwilligung sei nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruhe. Zusätzlich bedürfe die Einwilligung der Schriftform, sofern sich nichts anderes aus besonderen Umständen ergebe.
Auch sei die Überwachung des Eingangsbereichs und des Wartezimmers weder zur Wahrnehmung des Hausrechts noch zur Wahrnehmung berechtigter Interessen erforderlich. Eine Abwägung des OVG führte zu dem Ergebnis, dass das Persönlichkeitsrecht durch die Videoüberwachung zu stark beeinträchtigt werde.
Für die Begründung der Zahnärztin, die Videoüberwachung sei zur Abwehr von Straftaten nötig, gäbe es keinerlei Anhaltspunkte. Des Weiteren sei eine Überwachung durch eine Mitarbeiterin im Empfangsbereich weitaus effektiver und schneide weniger stark in die Persönlichkeitsrechte der Praxisbesucher ein.
Das OVG wies an dieser Stelle auch erneut auf das Gebot der Datensparsamkeit hin. Überall dort, wo personenbezogene Daten erhoben und gespeichert werden, müsse darauf geachtet werden, dass nur so viele Daten erhoben werden, wie für den jeweiligen Zweck unbedingt nötig sind. So sei es der Zahnärztin gestattet, die Kamera so auszurichten, dass sie lediglich den Mitarbeiterbereich hinter dem Empfangstresen aufzeichne.
Entgegen der Ansicht des VG habe die Zahnärztin die Piktogramme in ihrer Praxis während der Öffnungszeiten allerdings nicht abzudecken. Denn der Sinn und Zweck des BDSG spricht nicht dafür, dass sie deutlich machen bzw. ausdrücklich darauf hinweisen müsse, dass eine Videoüberwachung während der Öffnungszeiten nicht erfolge.
Die Entscheidung zeigt wieder einmal, dass der Datenschutz auch im privaten Bereich eine große Rolle spielt. Unzulässige Maßnahmen können schnell zu hohen Bußgeldern oder Abmahnungen führen. Es empfiehlt sich also die Zulässigkeit der Erfassung von personenbezogenen Daten – gerade auch bei Videoüberwachungen – im Voraus rechtlich zu prüfen.
Die datenschutzrechtliche Zulässigkeit der ständigen Videoaufzeichnung durch Dashcams ist seit jeher umstritten. Eine gefestigte Rechtsprechung liegt bislang nicht vor. Nun hat – soweit ersichtlich – erstmals ein Oberlandesgericht die Verwertung der Aufnahmen einer Dashcam als Beweismittel in einem Zivilprozess akzeptiert.
In dem vom OLG Stuttgart zu entscheidenden Fall stießen zwei Autos an einer Engstelle zusammen. Der Nutzer der Dashcam fuhr an auf der rechten Seite parkenden Autos vorbei. Allerdings übersah die entgegenkommende Fahrerin den Nutzer der Dashcam und konnte nicht mehr rechtzeitig ausweichen oder bremsen. Ein Unfall mit mehreren tausend Euro Schaden war die Folge.
Der Fahrer mit der Dashcam machte seine Schadensersatzansprüche im Rahmen eines Zivilprozesses gelten. Die Beweislage allein aufgrund der Aussagen der beiden Beteiligten war bis zur Auswertung der Dashcam-Aufnahmen nicht ganz eindeutig.
Aus den Videoaufnahmen wird allerdings deutlich, dass die andere Fahrerin erst in letzter Sekunde reagierte. Auch die Geschwindigkeit beider Fahrzeuge ließ sich aus den Videoaufzeichnungen erkennen. Laut einem Sachverständiger hätte der Verlauf des Unfalls ohne die Dashcam-Aufnahmen nicht im Detail rekonstruiert werden können.
Die Verwertung solcher Dashcam-Aufnahmen ist bisher heftig umstritten. Ein Teil der Amts-, Landgerichte lehnte bislang die Nutzung von Dashcams aus datenschutzrechtlichen Gründen ab. Insbesondere die dauerhafte Dashcam-Aufnahmen unbeteiligter Dritter seien unzulässig. Auch der Deutsche Verkehrsgerichtstag hatte sich 2016 noch kritisch mit der Verwendung von Dascam-Aufzeichnungen im Gerichtsverfahren auseinandergesetzt.
Andere Instanzen – wie das AG Nienburg und das AG Nürnberg – sprachen sich allerdings für die Zulässigkeit der Dashcam-Aufnahmen als Beweismittel aus. Dieser Ansicht folgt nun auch das OLG Stuttgart.
Sollte sich in Zukunft die Rechtsprechung des OLG Stuttgart bundesweit durchsetzen können, würde dies einer Revolution in verkehrsrechtlichen Prozessen gleichkommen. Denn bislang verliefen die Prozesse um Verkehrsunfälle oft nur sehr schleppend und/oder gespickt mit sich widersprechenden Zeugenaussagen.
Der Senatsvorsitzende Hans-Joachim Rast betonte, dass Zeugen immer wieder Aussagen vorbringen, die sich nach der Anhörung eines Gutachters als schlichtweg naturgesetzlich unmöglich erwiesen. Allein aufgrund dieser Problematik sei die Zulassung von Dashcams als Beweismittel gerade geboten. Denn nur so könne für alle Parteien ein fairer Prozess gewährleistet werden.
Allerdings komme es auch nach der Ansicht Rasts bei der Zulässigkeit der Verwertung als Beweismittel darauf an, dass die Dashcam lediglich die Straße filme, nicht aber die Privat- oder Intimsphäre eines Dritten. Werde diese Voraussetzung eingehalten so sei der Eingriff in das Persönlichkeitsrecht als relativ gering einzustufen. Im öffentlichen Raum müsse jeder damit rechnen, fotografiert oder gefilmt zu werden. Daher sei das Interesse desjenigen, dem ein zivilrechtlicher Anspruch zusteht, deutlich gewichtiger.
Allerdings sind auch die datenschutzrechtlichen Folgen einer solchen Entscheidung nicht außer Acht zu lassen. Letztendlich kann die Entscheidung des OLG Stuttgart dazu führen, dass immer mehr Menschen ihre Fahrzeuge mit Dashcams ausstatten, welche oftmals direkt über das Smartphone gesteuert werden. Dementsprechend führe dies früher oder später zu einer flächendeckende „Überwachung“ des Verkehrsbereichs. Dem müsse sodann aber mit technischen Schutzmechanismen – wie beispielsweise der automatischen Überschreibung der Aufnahmen nach einer bestimmten Zeit – entgegengewirkt werden.
Auf eine endgültige Klärung der Streitfrage durch den BGH wird aber noch länger zu warten sein. Im Fall vor dem OLG Stuttgart hatten sich die Parteien in der Hauptverhandlung nach der Sichtung der Dashcam-Aufnahmen als Beweismittel zu einem Vergleich entschlossen.
Der Nutzer der Dashcam musste letzten Endes ein Drittel des entstandenen Schadens selbst begleichen. Denn er fuhr nach Auffassung des Gerichts und des Gutachters nicht mit angepasster Geschwindigkeit an den geparkten Autos vorbei. Mit der Nutzung seiner Dashcam hat er sich also auch ein kleines Eigentor geschossen.
Unitymedia hatte im vergangenen Jahr seine Vertragsbedingungen dahingehend verändert, dass die Kunden einer Nutzung ihrer Router als öffentliche Hotspots ausdrücklich widersprechen mussten. Widerspreche der Kunde nicht, so kann Unitymedia den privaten Router zusätzlich zu einem öffentlichen WLAN-Hotspot umfunktionieren.
Diesen Vertragsbedingungen erteilte das LG Köln nun mit Urteil vom 9. Mai 2017 (Az.: 31 O 227/16) eine Absage. Ohne die ausdrückliche vorherige Einwilligung seiner Kunden dürfe der Internetanbieter die privaten Router nicht als öffentliche WLAN-Hotspots missbrauchen.
Mit den neuartigen Vertragsvereinbarungen verfolgte Unitymedia eigentlich das Ziel, eine flächendeckende WLAN-Netz für Unitymedia Kunden zu erschaffen. Damit folgt Unitymedia der Idee von Telekom und Vodafone, die bislang erfolgreich die Router ihrer Kunden durch öffentlich zugängliche Konfigurationseinstellungen für alle seine Kunden öffnen.
Im Gegensatz zu Telekom und Vodafone entschied sich Unitymedia allerdings für ein sogenanntes Opt-Out-Verfahren. Jeder private Unitymedia-Router wurde dabei zunächst automatisch für die Benutzung durch die Öffentlichkeit freigeschaltet. Eine solche Freischaltung könne nur rückgängig gemacht werden, indem der Kunde ausdrücklich einer solchen Nutzung widerspreche.
Nach der Ansicht der Verbraucherzentrale liege in diesem Vorgehen eine unzulässige Erweiterung der Verträge, die Unitymedia zu unterlassen habe. Auf eine Abmahnung hin reagierte Unitymedia nur mit einer Absage, weshalb die Verbraucherzentrale Klage beim LG Köln erhob.
Das LG Köln folgte in seinem Urteil weitestgehend den Ansichten der Verbraucherzentrale. Das Vorgehen von Unitymedia sei wettbewerbswidrig. Denn die Kunden würden vom Internetanbieter durch das umständliche Opt-Out Verfahren und die Freischaltung zu einem öffentlichen Hotspot in unzumutbarer Weise belästigt, § 7 Abs. 1 S. 1, 8 Abs. 1, Abs. 3 UWG.
Der Kunde müsse sich konkret mit der Bedeutung der Freischaltung auseinandersetzen, sofern er diese nicht ohne jegliche Prüfung hinnehmen möchte. Daher sei das Opt-Out-Verfahren auch unzumutbar belästigend. Insbesondere ältere Leute dürften angesichts der Komplexität der technischen Anforderungen und Funktionsweise nicht in der Lage sein, eine sinnvolle Entscheidung zu treffen. Zudem bestehe auch bei jungen Nutzern stets die Angst vor einem „Datenklau“ der durch die Freischaltung von privaten Routern erleichtert werde.
Unitymedia gibt sich mit dem Urteil allerdings nicht zufrieden und will sein Opt-Out-Verfahren nun vor der nächst höheren Instanz durchbringen – dem OLG Köln.
Mit Urteil vom 27. Juli 2017 hat der zweite Senat des BAG entschieden (Az.: 2 AZR 681/16), dass die durch einen Keylogger gewonnenen Daten nicht im Rahmen eines gerichtlichen Prozesses verwendet werden dürfen. Die Entscheidung führte im Ergebnis dazu, dass ein Arbeitnehmer seinen Job nicht verlor, obwohl er nachweislich einen Arbeitszeitbetrug begangen hatte.
Der Arbeitnehmer war als Webentwickler eingestellt. Während seiner Arbeitszeit nutzte er den Firmencomputer oftmals für private Zwecke. Dazu zählte, dass er auf dem Firmencomputer Arbeiten für das Logistikunternehmen seines Vaters erledigte und zusätzlich ein Computerspiel programmierte.
Grundsätzlich kann die häufige private Nutzung des Firmencomputers während der normalen Arbeitszeit eine außerordentliche Kündigung rechtfertigen. Denn der Arbeitnehmer verletzt dadurch seine Pflicht, dem Arbeitgeber seine Arbeitsleistung zur Verfügung zu stellen. Beweisen muss das aber der Arbeitgeber, wenn er eine fristlose Kündigung aussprechen will.
Um die Mitarbeiter überwachen zu können, zeichnete der Arbeitgeber alle Aktivitäten am Computer seiner Arbeitnehmer auf. Dazu installierte er auf den Firmencomputern seiner Arbeitnehmer einen sogenannten Keylogger. Diese Software ist dazu in der Lage, alle Tastatureingaben aufzuzeichnen und in einem bestimmten Zeitintervall Screenshots anzufertigen.
Aus diesen Aufzeichnungen ergab sich relativ deutlich, dass der Arbeitnehmer den Firmencomputer innerhalb seiner Arbeitszeit fast überwiegend für private Zwecke nutzte. Seiner Arbeit als Webentwickler kam er nur selten nach.
Der Arbeitgeber stellte den Arbeitnehmer zur Rede. Dieser gab zu seiner Verteidigung an, dass er sich lediglich 10 Minuten täglich mit der Programmierung des Computerspiels befasst habe. Die Arbeiten für das Unternehmen seines Vaters habe er zudem stets in seiner Mittagspause erledigt. Der Arbeitgeber glaubte ihm nicht und sprach eine fristlose Kündigung, hilfsweise eine ordentliche Kündigung aus. Der gekündigte Webentwickler klagte hiergegen und bekam nun in allen Instanzen Recht.
Wie auch schon das Arbeitsgericht Herne und LAG Hamm kommt nun auch das BAG zu dem Ergebnis, dass für die Verwertung der Keylogger-Aufzeichnungen ein Verwertungsverbot bestand. Dies führte dazu, dass der Arbeitgeber den Arbeitszeitenverstoß seines Arbeitnehmers nicht beweisen konnte, wodurch die außerordentliche Kündigung der Beweis für einen Arbeitszeitbetrug fehlte.
In der Verwertung solcher Keylogger-Aufzeichnungen liege ein Eingriff in das Recht auf informationelle Selbstbestimmung und das allgemeine Persönlichkeitsrecht der Arbeitnehmer.
§ 32 Abs. 1 BDSG erlaube es dem Arbeitgeber aber nur dann Eingriffe in das allgemeine Persönlichkeitsrecht seiner Arbeitnehmer vorzunehmen, wenn der konkrete Verdacht einer strafbaren Handlung oder anderer schwerer Verfehlungen zu Lasten des Arbeitgebers vorliegen. Selbst dann sei die Verwendung eines Keyloggers nur zulässig, wenn es kein weniger einschneidendes Mittel zur Aufklärung gebe und alle anderen Maßnahmen ausgeschöpft seien. Zusätzlich muss der Einsatz auch noch verhältnismäßig sein und das einzige verbleibende Mittel zur Aufklärung des Arbeitszeitenbetrugs.
Die Behauptung des Arbeitgebers, sein Arbeitnehmer habe als er in den Raum kam und einen Blick auf den Computer „mal schnell etwas weggeklickt“, genüge indessen nicht, um ein solchen Verdacht zu begründen. Als milderes Mittel war es hier zudem auch möglich, die Verstöße durch die Auswertung der Computerdaten in Anwesenheit des Arbeitnehmers zu beweisen. Damit bestand kein gewichtiger Grund für die Verwendung des Keyloggers und diese war unverhältnismäßig.
In einem Vorabentscheidungsverfahren hat der EuGH entschieden, dass die Datenschutzrichtlinie (Richtlinie 95/46/EG) der Herausgabe von personenbezogenen Daten Minderjähriger zur Verfolgung von zivilrechtlichen Ansprüchen nicht entgegensteht (Urteil v. 04.05.2017 – C-13/16).
Im Verfahren ging es um einen Verkehrsunfall in Riga. Ein minderjähriger Fahrgast stieg aus einem Taxi aus, ohne die Verkehrslage zu beachten. Bei geöffneter Tür fuhr ein Oberleitungsbus gegen die Tür des Taxis und wurde dabei beschädigt. Das Busunternehmen verlangte nun von der Behörde Auskunft über die Daten des minderjährigen Fahrgastes. Allerdings verweigerte die Behörde die Herausgabe unter Hinweis auf die europäische Datenschutzrichtlinie.
Der EuGH hat nun klargestellt, dass sich aus Art. 7 f der Datenschutzrichtlinie grundsätzlich kein Anspruch auf Herausgabe von Daten herleiten lässt. Auch dann nicht, wenn diese personenbezogenen Daten zur Durchsetzung von zivilrechtlichen Ansprüchen benötigt werden. Vielmehr erlaube die Regelung lediglich die Verarbeitung solcher Daten.
Allerdings stehe die Regelung in Art. 7 f der Datenschutzrichtlinie eigenen nationalen Regelungen und Herausgabeansprüchen nicht entgegen. Durch diese könne die Herausgabe von personenbezogenen Daten für Zwecke der Durchsetzung von zivilrechtlichen Ansprüchen gestattet werden. In Bezug auf die personenbezogenen Daten von Minderjährigen gelten keine Besonderheiten. Lediglich bei der Abwägung der Interessen sei die Schutzbedürftigkeit des Minderjährigen zu berücksichtigen.
Der EuGH stellt in seiner Entscheidung zugleich drei Kriterien auf, welche kumulativ erfüllt sein müssen, damit die Herausgabe von personenbezogene Daten nicht gegen die Vorgaben der Datenschutzrichtlinie verstoße.
Allein das Erfüllen dieser Vorgaben bedeute jedoch nicht direkt, dass ein Herausgabeanspruch für die personenbezogenen Daten bestehe. Es bedeute lediglich, dass die Datenschutzrichtlinie einer Herausgabe nicht entgegenstehe.
Der Herausgabeanspruch für die personenbezogenen Daten selbst leite sich stets aus den nationalen Vorschriften ab. Allerdings ist auch hier das Prinzip der Datensparsamkeit zu beachten. Es dürfen nur diejenigen Daten herausgegeben werden, die zur Verfolgung der Interessen nötig sind.
Fortan ist die Nutzung von vollautomatisierten Autos auf den Straßen zulässig und gesetzlich geregelt. Der Bundesrat erteilte dazu am 12. Mai 2017 dem Gesetzesbeschluss zur Änderung des Straßenverkehrsgesetzes seine Zustimmung.
Die technischen Entwicklungen im Automobilbau werden fortlaufend umfassend weiterentwickelt. So können technische Systeme mittlerweile in bestimmten Situationen die gesamte Fahrzeugsteuerung übernehmen. Allerdings erkennen diese auch ihre eigenen Grenzen und fordern den Fahrzeugführer bei Bedarf wieder zur Übernahme der Fahrzeugsteuerung auf.
Bei derart weitreichenden technischen Entwicklungen bedarf es Regelungen des Gesetzgebers zum Zusammenwirken von Fahrzeugführer und Kraftfahrzeug um die Sicherheit im deutschen Straßenverkehr zu gewährleisten. Die letzte Verantwortung liegt aber nach wie vor beim Menschen selbst.
Doch die vollautomatisierten Fahrzeuge betreffen nicht nur das Straßenverkehrsgesetz. Der Datenschutz spielt in diesem Bereich auch eine große Rolle. Denn die vollautomatisierten Autos zeichnen die wesentlichen Daten jeder Fahrt auf, um nach einem Unfall zu klären, ob die Technik und damit der Hersteller oder der Mensch für einen Schaden verantwortlich war.
63a Abs. 2 StVG enthält eine Ermächtigung, die es Behörden unter bestimmten Umständen erlaubt, die aufgezeichneten Daten anzufordern und einzusehen. Diese Datensätze dürfen sodann nach datenschutzrechtlichen Vorgaben auch gespeichert und genutzt werden. Allerdings sind das Speichern und Auswerten nur auf das Notwendige beschränkt, um eingeleitete Kontrollen erfolgreich durchzuführen.
Allerdings kritisiert die Bundesdatenschutzbeauftragte Andrea Voßhoff die Datenschutzvorgaben in den aktuellen Regelungen für Haftungsfragen des automatisierten Fahrens. Ihrer Ansicht nach fehlen detaillierte Regelungen. Es werde keinerlei Regelung darüber getroffen, welche Daten wie lange genau gespeichert werden.
Auch bleibe unklar, wann und für welche Zwecke die Behörden und Unfallgegner die aufgezeichneten Daten nach § 63a Abs. 2 StVG einfordern werden dürfen. Zusätzlich komme sich die ausführliche Aufzeichnung der Daten mit dem Grundsatz der Daten-Sparsamkeit in der neuen DS-GVO ins Gehege.
Allerdings müssen nicht nur die Behörden die datenschutzrechtlichen Vorgaben beachten, sondern auch die Autohersteller. Diese haben die Nutzer der Fahrzeuge umfassend über die erhobenen Daten aufzuklären. Dazu zählt insbesondere welche Daten erhoben werden, zu welchem Zwecke dies geschieht und an wen diese Daten weitergegeben werden.
Doch auch Versicherungen haben großes Interesse an den erfassten Daten. Bislang können diese Daten auf freiwilliger Basis an die Versicherungen weitergegeben werden, um die Versicherungsprämie zu senken. Dadurch erhalten die Versicherungen allerdings Einblick in sämtliche vom Fahrzeug aufgezeichnete Daten.
Dazu zählt die exakte Positionen des Fahrzeugs, die Geschwindigkeit, Beschleunigungs- und Bremsverhalten, Achslast, Witterungsbedingungen und eventuell den Aufmerksamkeitsgrad des Fahrers. So entsteht für die Versicherung nicht nur ein nutzbarer Datensatz im Falle eines Unfalls, sondern ein detailliertes Fahrerprofil.
Auch hier gibt der Nutzer vielerlei Daten – wie auch beim Amazon Dash Button oder Cloud-Computing – über seine Privatsphäre preis. So wird der Autofahrer zum gläsernen Kunden. Nicht nur seine Fahrweise wird in Daten zusammengefasst, sondern auch sein täglicher Weg zur Arbeit, zum Sport und alle sonstigen Gewohnheiten die in Verbindung mit seinem Auto stehen.
Schon heute ist eine solche Überwachung nicht unüblich: So lieferte BMW das Bewegungsprofil eines Kunden in einem Gerichtsverfahren.
Das Bayerische Landesamt für Datenschutzaufsicht kündigt neue Kontrollen an. Im Visier: die Verschlüsselung von Kontaktformularen.
BDSG: Fehlt beim Verkauf von Adressdaten die Einwilligung, so ist der Verkauf unwirksam und es bestehen keine vertraglichen Ansprüche der Vertragspartner.
OLG Karlsruhe: Das in § 4a BDSG aufgestellte Erfordernis der schriftlichen Zustimmung zur Weitergabe persönlicher Daten erfüllt Schutz- und Warnfunktion.
Der BGH legt dem EuGH Fragen zur ePrivacy-Richtlinie vor. Dabei geht es in erster Linie um die Belehrung für die Verwendung von Cookies.
OVG Berlin-Brandenburg: Zahnärztin darf ihre Behandlungszimmer, nicht aber ihren Empfangsbereich und das Wartezimmer mittels einer Videokamera überwachen.
Das OLG Stuttgart hat die Aufnahmen einer Dashcam in einem Schadensersatzprozess als Beweismittel zugelassen.
LG Köln: Unitymedia darf die Router ihrer Kunden nicht ohne ausdrückliche Einwilligung zu einem öffentlichen Hotspot umwandeln.
Arbeitgeber dürfen ihre Mitarbeiter nicht heimlich und dauerhaft mit Keyloggern überwachen. Das ist nach dem Bundesdatenschutzgesetz (BDSG) unzulässig.
EuGH: Die Datenschutzrichtlinie steht der Herausgabe von personenbezogenen Daten Minderjähriger zur Verfolgung zivilrechtlicher Ansprüche nicht entgegen.
Der Bundesrat hat am 12. Mai 2017 einem Gesetzesbeschluss zugestimmt. Damit wird die Nutzung vollautomatisierter Autos auf deutschen Straßen zulässig.
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.
Alle akzeptieren
Speichern
Ablehnen
Individuelle Datenschutzeinstellungen
Cookie-Details Datenschutzerklärung Impressum
Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.
Alle akzeptieren Speichern
Zurück Ablehnen
Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.
Cookie-Informationen anzeigen Cookie-Informationen ausblenden
Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.
Inhalte von Videoplattformen und Social-Media-Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Einwilligung mehr.
Datenschutzerklärung Impressum
