Mit Urteil vom 27. Juli 2017 hat der zweite Senat des BAG entschieden (Az.: 2 AZR 681/16), dass die durch einen Keylogger gewonnenen Daten nicht im Rahmen eines gerichtlichen Prozesses verwendet werden dürfen. Die Entscheidung führte im Ergebnis dazu, dass ein Arbeitnehmer seinen Job nicht verlor, obwohl er nachweislich einen Arbeitszeitbetrug begangen hatte.
Der Arbeitnehmer war als Webentwickler eingestellt. Während seiner Arbeitszeit nutzte er den Firmencomputer oftmals für private Zwecke. Dazu zählte, dass er auf dem Firmencomputer Arbeiten für das Logistikunternehmen seines Vaters erledigte und zusätzlich ein Computerspiel programmierte.
Grundsätzlich kann die häufige private Nutzung des Firmencomputers während der normalen Arbeitszeit eine außerordentliche Kündigung rechtfertigen. Denn der Arbeitnehmer verletzt dadurch seine Pflicht, dem Arbeitgeber seine Arbeitsleistung zur Verfügung zu stellen. Beweisen muss das aber der Arbeitgeber, wenn er eine fristlose Kündigung aussprechen will.
Um die Mitarbeiter überwachen zu können, zeichnete der Arbeitgeber alle Aktivitäten am Computer seiner Arbeitnehmer auf. Dazu installierte er auf den Firmencomputern seiner Arbeitnehmer einen sogenannten Keylogger. Diese Software ist dazu in der Lage, alle Tastatureingaben aufzuzeichnen und in einem bestimmten Zeitintervall Screenshots anzufertigen.
Aus diesen Aufzeichnungen ergab sich relativ deutlich, dass der Arbeitnehmer den Firmencomputer innerhalb seiner Arbeitszeit fast überwiegend für private Zwecke nutzte. Seiner Arbeit als Webentwickler kam er nur selten nach.
Der Arbeitgeber stellte den Arbeitnehmer zur Rede. Dieser gab zu seiner Verteidigung an, dass er sich lediglich 10 Minuten täglich mit der Programmierung des Computerspiels befasst habe. Die Arbeiten für das Unternehmen seines Vaters habe er zudem stets in seiner Mittagspause erledigt. Der Arbeitgeber glaubte ihm nicht und sprach eine fristlose Kündigung, hilfsweise eine ordentliche Kündigung aus. Der gekündigte Webentwickler klagte hiergegen und bekam nun in allen Instanzen Recht.
Wie auch schon das Arbeitsgericht Herne und LAG Hamm kommt nun auch das BAG zu dem Ergebnis, dass für die Verwertung der Keylogger-Aufzeichnungen ein Verwertungsverbot bestand. Dies führte dazu, dass der Arbeitgeber den Arbeitszeitenverstoß seines Arbeitnehmers nicht beweisen konnte, wodurch die außerordentliche Kündigung der Beweis für einen Arbeitszeitbetrug fehlte.
In der Verwertung solcher Keylogger-Aufzeichnungen liege ein Eingriff in das Recht auf informationelle Selbstbestimmung und das allgemeine Persönlichkeitsrecht der Arbeitnehmer.
§ 32 Abs. 1 BDSG erlaube es dem Arbeitgeber aber nur dann Eingriffe in das allgemeine Persönlichkeitsrecht seiner Arbeitnehmer vorzunehmen, wenn der konkrete Verdacht einer strafbaren Handlung oder anderer schwerer Verfehlungen zu Lasten des Arbeitgebers vorliegen. Selbst dann sei die Verwendung eines Keyloggers nur zulässig, wenn es kein weniger einschneidendes Mittel zur Aufklärung gebe und alle anderen Maßnahmen ausgeschöpft seien. Zusätzlich muss der Einsatz auch noch verhältnismäßig sein und das einzige verbleibende Mittel zur Aufklärung des Arbeitszeitenbetrugs.
Die Behauptung des Arbeitgebers, sein Arbeitnehmer habe als er in den Raum kam und einen Blick auf den Computer „mal schnell etwas weggeklickt“, genüge indessen nicht, um ein solchen Verdacht zu begründen. Als milderes Mittel war es hier zudem auch möglich, die Verstöße durch die Auswertung der Computerdaten in Anwesenheit des Arbeitnehmers zu beweisen. Damit bestand kein gewichtiger Grund für die Verwendung des Keyloggers und diese war unverhältnismäßig.
In einem Vorabentscheidungsverfahren hat der EuGH entschieden, dass die Datenschutzrichtlinie (Richtlinie 95/46/EG) der Herausgabe von personenbezogenen Daten Minderjähriger zur Verfolgung von zivilrechtlichen Ansprüchen nicht entgegensteht (Urteil v. 04.05.2017 – C-13/16).
Im Verfahren ging es um einen Verkehrsunfall in Riga. Ein minderjähriger Fahrgast stieg aus einem Taxi aus, ohne die Verkehrslage zu beachten. Bei geöffneter Tür fuhr ein Oberleitungsbus gegen die Tür des Taxis und wurde dabei beschädigt. Das Busunternehmen verlangte nun von der Behörde Auskunft über die Daten des minderjährigen Fahrgastes. Allerdings verweigerte die Behörde die Herausgabe unter Hinweis auf die europäische Datenschutzrichtlinie.
Der EuGH hat nun klargestellt, dass sich aus Art. 7 f der Datenschutzrichtlinie grundsätzlich kein Anspruch auf Herausgabe von Daten herleiten lässt. Auch dann nicht, wenn diese personenbezogenen Daten zur Durchsetzung von zivilrechtlichen Ansprüchen benötigt werden. Vielmehr erlaube die Regelung lediglich die Verarbeitung solcher Daten.
Allerdings stehe die Regelung in Art. 7 f der Datenschutzrichtlinie eigenen nationalen Regelungen und Herausgabeansprüchen nicht entgegen. Durch diese könne die Herausgabe von personenbezogenen Daten für Zwecke der Durchsetzung von zivilrechtlichen Ansprüchen gestattet werden. In Bezug auf die personenbezogenen Daten von Minderjährigen gelten keine Besonderheiten. Lediglich bei der Abwägung der Interessen sei die Schutzbedürftigkeit des Minderjährigen zu berücksichtigen.
Der EuGH stellt in seiner Entscheidung zugleich drei Kriterien auf, welche kumulativ erfüllt sein müssen, damit die Herausgabe von personenbezogene Daten nicht gegen die Vorgaben der Datenschutzrichtlinie verstoße.
Allein das Erfüllen dieser Vorgaben bedeute jedoch nicht direkt, dass ein Herausgabeanspruch für die personenbezogenen Daten bestehe. Es bedeute lediglich, dass die Datenschutzrichtlinie einer Herausgabe nicht entgegenstehe.
Der Herausgabeanspruch für die personenbezogenen Daten selbst leite sich stets aus den nationalen Vorschriften ab. Allerdings ist auch hier das Prinzip der Datensparsamkeit zu beachten. Es dürfen nur diejenigen Daten herausgegeben werden, die zur Verfolgung der Interessen nötig sind.
Fortan ist die Nutzung von vollautomatisierten Autos auf den Straßen zulässig und gesetzlich geregelt. Der Bundesrat erteilte dazu am 12. Mai 2017 dem Gesetzesbeschluss zur Änderung des Straßenverkehrsgesetzes seine Zustimmung.
Die technischen Entwicklungen im Automobilbau werden fortlaufend umfassend weiterentwickelt. So können technische Systeme mittlerweile in bestimmten Situationen die gesamte Fahrzeugsteuerung übernehmen. Allerdings erkennen diese auch ihre eigenen Grenzen und fordern den Fahrzeugführer bei Bedarf wieder zur Übernahme der Fahrzeugsteuerung auf.
Bei derart weitreichenden technischen Entwicklungen bedarf es Regelungen des Gesetzgebers zum Zusammenwirken von Fahrzeugführer und Kraftfahrzeug um die Sicherheit im deutschen Straßenverkehr zu gewährleisten. Die letzte Verantwortung liegt aber nach wie vor beim Menschen selbst.
Doch die vollautomatisierten Fahrzeuge betreffen nicht nur das Straßenverkehrsgesetz. Der Datenschutz spielt in diesem Bereich auch eine große Rolle. Denn die vollautomatisierten Autos zeichnen die wesentlichen Daten jeder Fahrt auf, um nach einem Unfall zu klären, ob die Technik und damit der Hersteller oder der Mensch für einen Schaden verantwortlich war.
63a Abs. 2 StVG enthält eine Ermächtigung, die es Behörden unter bestimmten Umständen erlaubt, die aufgezeichneten Daten anzufordern und einzusehen. Diese Datensätze dürfen sodann nach datenschutzrechtlichen Vorgaben auch gespeichert und genutzt werden. Allerdings sind das Speichern und Auswerten nur auf das Notwendige beschränkt, um eingeleitete Kontrollen erfolgreich durchzuführen.
Allerdings kritisiert die Bundesdatenschutzbeauftragte Andrea Voßhoff die Datenschutzvorgaben in den aktuellen Regelungen für Haftungsfragen des automatisierten Fahrens. Ihrer Ansicht nach fehlen detaillierte Regelungen. Es werde keinerlei Regelung darüber getroffen, welche Daten wie lange genau gespeichert werden.
Auch bleibe unklar, wann und für welche Zwecke die Behörden und Unfallgegner die aufgezeichneten Daten nach § 63a Abs. 2 StVG einfordern werden dürfen. Zusätzlich komme sich die ausführliche Aufzeichnung der Daten mit dem Grundsatz der Daten-Sparsamkeit in der neuen DS-GVO ins Gehege.
Allerdings müssen nicht nur die Behörden die datenschutzrechtlichen Vorgaben beachten, sondern auch die Autohersteller. Diese haben die Nutzer der Fahrzeuge umfassend über die erhobenen Daten aufzuklären. Dazu zählt insbesondere welche Daten erhoben werden, zu welchem Zwecke dies geschieht und an wen diese Daten weitergegeben werden.
Doch auch Versicherungen haben großes Interesse an den erfassten Daten. Bislang können diese Daten auf freiwilliger Basis an die Versicherungen weitergegeben werden, um die Versicherungsprämie zu senken. Dadurch erhalten die Versicherungen allerdings Einblick in sämtliche vom Fahrzeug aufgezeichnete Daten.
Dazu zählt die exakte Positionen des Fahrzeugs, die Geschwindigkeit, Beschleunigungs- und Bremsverhalten, Achslast, Witterungsbedingungen und eventuell den Aufmerksamkeitsgrad des Fahrers. So entsteht für die Versicherung nicht nur ein nutzbarer Datensatz im Falle eines Unfalls, sondern ein detailliertes Fahrerprofil.
Auch hier gibt der Nutzer vielerlei Daten – wie auch beim Amazon Dash Button oder Cloud-Computing – über seine Privatsphäre preis. So wird der Autofahrer zum gläsernen Kunden. Nicht nur seine Fahrweise wird in Daten zusammengefasst, sondern auch sein täglicher Weg zur Arbeit, zum Sport und alle sonstigen Gewohnheiten die in Verbindung mit seinem Auto stehen.
Schon heute ist eine solche Überwachung nicht unüblich: So lieferte BMW das Bewegungsprofil eines Kunden in einem Gerichtsverfahren.
Lange Zeit sah es so aus, als würde der Amazon Dash Button in Deutschland keinen Einzug finden. Doch seit Mitte/Ende 2016 ist der Button nun auch in Deutschland erhältlich.
Amazon Prime Kunden sollten bei der Nutzung des Dash Buttons den Datenschutz nicht außer Acht lassen. Denn es besteht die Gefahr, dass der Kunde äußerst durchsichtig und sein Handeln vorhersehbar wird, was von Unternehmen zu kommerziellen Zwecken ausgenutzt werden kann.
Der Amazon Dash Button bietet dem Verbraucher oder Unternehmer (je nachdem wer den Button nutzt) eine enorme Erleichterung. Anstatt selbst zum Supermarkt zu gehen, genügt ein einfacher Knopfdruck und der bestellte Artikel wird innerhalb der nächsten Tage geliefert. Doch für diesen Komfort müssen die Nutzer einen Teil ihrer Privatsphäre aufgeben.
Um den Amazon Dash Button zu nutzen, bedarf es keiner großen IT-Kenntnisse. Der Button ist kinderleicht einzurichten und zu bedienen. Über WLAN und Bluetooth ist der Dash Button mit Amazon direkt verbunden. Über die Applikation auf dem Smartphone lässt sich nun festlegen, welcher Artikel bei einem Knopfdruck bestellt werden soll und in welcher Stückzahl. Allerdings kann pro Button nur ein Artikel festgelegt werden.
Drückt der Verbraucher nun den Dash Button, wird umgehend eine Bestellung bei Amazon eingeleitet, ohne dass der Verbraucher sich an seinen Computer setzen muss oder die Ware „umständlich“ übers Smartphone bestellt.
Bislang kann der Button allerdings nur von Prime-Kunden genutzt werden und es steht nur eine kleine Palette an Produkten zur Verfügung, welche der Verbraucher bestellen kann. Dies soll sich laut Amazon aber in nächster Zeit ändern.
Amazon hat mit der ersten Version des Dash Buttons zugleich einen Bestellschutz eingeführt. Wird der Button einmal betätigt, so kann der Artikel erst erneut bestellt werden, wenn die alte Bestellung vollständig angekommen ist. Damit soll verhindert werden, dass der Kunde ausversehen mehrfach den Button betätigt oder sich Kinder an dem Button vergreifen. Doch hat Amazon neben dem Bestellschutz auch an den Datenschutz gedacht?
Grundsätzlich sollte der Amazon Dash Button nicht von Anfang an verteufelt werden. Er bietet Vorteile sowohl für den Verbraucher als auch den Unternehmer, der die Waren zur Verfügung stellt. Allerdings sollte sich der Verbraucher bewusst sein, dass er mit der Nutzung ein gewaltiges Stück seiner Privatsphäre offen legt. Gerade dann, wenn er mehrere Amazon Dash Button nutzt.
Denn je häufiger ein Kunde den Dash Button benutzt, desto detaillierter werden die Informationen die Amazon erhält. Zusammen mit weiteren Bestellinformationen ist Amazon in der Lage ein gewaltiges Benutzerprofil zu erstellen. Nach kürzester Zeit weiß das Unternehmen, wann der Verbraucher beispielsweise kein Toilettenpapier oder kein Shampoo mehr hat. Mit diesem Benutzerprofil wäre es Amazon theoretisch möglich die Ware zukünftig auch ohne Dash Button zu verschicken. Denn meist handelt es sich um Alltagswaren die sehr regelmäßig und in meist gleichen Intervallen bestellt werden.
Zwar war es Amazon bisweilen auch möglich solche Benutzerprofile über die normalen Bestellungen zu erstellen, allerdings kaufte der Kunde bis dahin Alltagswaren meist mehr oder weniger anonym im Supermarkt. Ob sich dies in Zukunft durch den Dash Button ändern wird, bleibt abzuwarten.
Allerdings bringt der Dash Button für das Unternehmen dahinter viele Vorteile, die durchaus zum Nachteil des Nutzers ausfallen können. Durch das Benutzerprofil kann der Unternehmer gezielt zu bestimmten Zeiten für bestimmte Produkte werben und die Kaufentscheidung des Kunden beeinflussen. Auch ist es dem Unternehmen möglich, die Preise für das vom Dash Button bestellte Produkt dynamisch zu verändern. Das Problem hierbei ist, dass die Preisänderung nur über das Smartphone erkennbar ist. Eine gesonderte Mitteilung erhält der Nutzer erst dann, wenn der Preis um mehr als 10% steigt.
Das System hinter den Amazon Dash Buttons ist verlockend einfach und auch für andere Unternehmen höchst interessant. Es erleichtert den Onlinekauf enorm und macht es dem Nutzer besonders schmackhaft um einen möglichst hohen Umsatz zu generieren. Nach der derzeitigen Rechtslage ist die Nutzung der Buttons ein grenzwertiger Bereich. Welche Haltung die Gerichte in Zukunft im Bezug auf auftretende Fragen einnehmen werden, bleibt abzuwarten.
Das AG Hersfeld in Hessen hat mit einer aktuellen Entscheidung vom 20. März 2017 (Az.: 111/17 EASO) Stellung zur elterlichen Kontrollpflicht bei der kindlichen Nutzung eines Smartphones genommen. Nutzt das eigene noch minderjährige Kind dauerhaft ein Smartphone mit der Kommunikationsanwendung „WhatsApp“, so obliege den Eltern eine Kontroll- und Überwachungspflicht.
Im Fall den das AG Hersfeld zu entscheiden hatte nutzte ein minderjähriges Kind WhatsApp. So konnte es mit seinem Vater und weiteren 20 Kontakten mehr oder wenig intensiv in Kontakt bleiben. Seine Mutter beaufsichtigte die Nutzung des Smartphones weitestgehend nicht.
Eine solche Aufsichts- und Überwachungspflicht sei bei der Nutzung von WhatsApp durch das minderjährige Kind allerdings essentiell. Grund dafür sei, dass der Dienst WhatsApp in nicht transparenter Weise Informationen zu den im eigenen Adressbuch hinterlegten Personen an sich selbst übermittle. Damit ist das Kind ggf. Unterlassungs- und Schadensersatzansprüchen der Betroffenen ausgesetzt. Damit einhergehen kann die Gefährdung des Vermögens des Minderjährigen.
Die Sorgeberechtigten – also die Eltern – müssen daher entsprechende Schutzmaßnahmen ergreifen, um das Wohl des Kindes zu schützen. Eine solche Schutzmaßnahme ist auch die geforderte Kontroll- und Überwachungspflicht.
Bei der Nutzung von WhatsApp müssen daher die Elternteile eine schriftliche Zustimmungserklärung aller Kontaktpersonen auf dem Smartphone des Kindes einholen. Ist dies innerhalb eines Zeitraums von 2 Monaten nicht möglich, so müssen die Eltern die Applikation von Smartphone des Kindes entfernen.
Darüber hinaus legte das AG Hersfeld der Mutter des Kindes auf, sich monatlich über den Umgang mit den digitalen Medien zu informieren. Dazu heißt es im Urteil:
Der Kindesmutter wird aufgegeben, sich auf der Internetplattform “Klicksafe” -EU-Initiative für mehr Sicherheit im Netz- zum Themenbereich der digitalen Mediennutzung weiterzubilden.Die Kindesmutter wird hierzu verpflichtet, monatlich mindestens drei Themen-Berichte nach ihrer freien Wahl vollständig zu lesen (dies unter der Internet-Adresse (URL) www.klicksafe.de/themen/ ; dort zunächst Anwahl per Mausklick in der Spalte links zu einem Thema nach Wahl, sodann Auswahl eines konkreten Berichts in der Themenbox mittig unterhalb der jeweiligen weißen Überschrift auf grünem Grund “klicksafe informiert”).Die Einhaltung der Verpflichtung wird in den Fristen gemäß Ziffer 4. mit kontrolliert.
Der Kindesmutter wird aufgegeben, sich auf der Internetplattform “Klicksafe” -EU-Initiative für mehr Sicherheit im Netz- zum Themenbereich der digitalen Mediennutzung weiterzubilden.
Die Kindesmutter wird hierzu verpflichtet, monatlich mindestens drei Themen-Berichte nach ihrer freien Wahl vollständig zu lesen (dies unter der Internet-Adresse (URL) www.klicksafe.de/themen/ ; dort zunächst Anwahl per Mausklick in der Spalte links zu einem Thema nach Wahl, sodann Auswahl eines konkreten Berichts in der Themenbox mittig unterhalb der jeweiligen weißen Überschrift auf grünem Grund “klicksafe informiert”).
Die Einhaltung der Verpflichtung wird in den Fristen gemäß Ziffer 4. mit kontrolliert.
Mit dem Urteil knüpft das AG Hersfeld an seine Entscheidung vom 22. Juli 2016 (Az.: F 361/16 EASO) an. Auch hier hatte es sich für eine Kontroll- und Überwachungspflicht der Eltern ausgesprochen. Nach Sexting-Vorfällen musste der Familienvater die Handys seiner Töchter kontrollieren und die Applikation WhatsApp löschen.
Augmented-Reality-Spiele bezeichnet eine computergestützte Wahrnehmung, bei denen sich die reale mit der virtuellen Welt vermischt. Bei den Spielen wird häufig über mobile Endgeräte – wie Smartphones oder Tablets – die Sicht auf die reale Welt in Echtzeit mit digitalen Informationen und Grafiken vermischt.
Seit dem Start des Spieles Pokémon Go in Deutschland (Juli 2016) erfuhr diese Art der Spielewelt einen regelrechten Hype. Doch nicht nur Spieler befassten sich mit dem Spiel, sondern auch Datenschützer. Ihr Urteil fällt allerdings nicht so positiv aus, wie das der oft jungen Spieler.
Die Verbraucherzentrale warnt: Neben datenschutzrechtlichen Problemen bei der Nutzung und Speicherung der Standortdaten besteht auch die Gefahr von Persönlichkeits- und Bildrechtsverletzungen, soweit der Spieler die Kamerafunktion innerhalb der Augmented-Reality-Spiele nutzt.
Die größte Gefahr für die Macher von Augmented-Reality-Spiele birgt damit der Datenschutz. Gerade im Hinblick auf die Positionsdaten bzw. Geolokalisierung ist äußerste Vorsicht geboten. Denn das Spiel funktioniert nur dann, wenn die Macher, während der Nutzer spielt – ständig bestimmen können, wo sich das mobile Endgerät befindet.
Um in einem Spiel erfolgreich zu sein, muss der Nutzer es meist so oft wie möglich laufen lassen. Am einfachsten ist dies auf dem Schulweg, dem Weg zur Arbeit oder zum Sport, oder gar bei einem Einkaufsbummel. Doch genau darin liegt die Gefahr: Der Spieler wird zum gläsernen Kunden der Spielemacher, welcher nunmehr über ein detailliertes Bewegungsprofil verfügt.
Die gesammelten Daten geben nicht nur Auskunft über die zurückgelegten Wege, sondern erstellen mit weiteren Daten anderer Spieler ein breites Sozialprofil. Zudem sind diese Profile oftmals (wie beispielsweise bei Pokémon Go) nicht verschleiert oder anonymisiert sondern mit dem echten Namen der Spieler verknüpft. Denn um das Spiel nutzen zu können ist meist eine Registrierung mit Klarnamenzwang vorgesehen. Damit haben alle so erhobenen Positionsdaten einen Personenbezug.
Allerdings dürfen Standortdaten (die Lokalisierung mittels Mobilfunknetz) gemäß § 98 Telekommunikationsgesetz (TKG) für zusätzliche Dienste mit Zusatznutzen nur im erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden. Aber nur wenn sie anonymisiert wurden oder der Spieler dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat.
Für eine Ortung mittels GPS oder WLAN gelten die Regelungen des TKG nicht. Dieses Schlupfloch wird somit oftmals von den Spieleherstellern genutzt, um umfassendere Bewegungsdaten zu erheben und zu speichern. Denn auch das Telemediengesetz (TMG), das Bundesdatenschutzgesetz (BDSG) und die bald in Kraft tretende Datenschutzgrundverordnung (DS-GVO) sehen keinerlei besondere Regelungen für die Nutzung von Positionsdaten vor. Der Umgang mit den Positionsdaten bestimmt sich demnach nach den allgemeinen Bestimmungen (§ 15 Abs. 1 TMG).
Sind die allgemeinen Bedingungen allerdings zu eng für den reibungslosen Lauf des Spieles, so kann die Einwilligung der Nutzer eingeholt werden. Allerdings ist dann darauf zu achten, dass die verwendeten Einwilligungserklärungen klar und bestimmt genug sind und keine überraschenden Klauseln enthalten.
Zukünftig wird die neue DS-GVO die Regelungen in §§ 11 ff. TMG ablösen. Denn diese genießt als Unionsrecht Anwendungsvorrang. Standortdaten einer identifizierbaren Person gelten auch in dieser als personenbezogene Daten (Art. 4 Nr. 1 DS-GVO). Ausführlichere Regelungen sieht die DS-GVO allerdings nicht vor, weshalb sich die Rechtmäßigkeit der Verarbeitung und Speicherung nach den allgemeinen Bestimmungen des Art. 6 DS-GVO richtet.
Die gesetzliche Regelung der Nutzung von Positionsdaten im deutschen Recht ist oftmals unübersichtlich und für den Verbraucher unverständlich. Spieleherstellern sei es daher empfohlen vor dem Start eines Spieles ihre Datenschutzbestimmungen überprüfen zu lassen. So können teure Abmahnungen vermieden werden. Gerade im Hinblick auf die bald in Kraft tretende DS-GVO und das weiterhin geltende Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. b DS-GVO) ist Vorsicht geboten.
Nicht zuletzt kann die Verknüpfung der Spiele mit Fotos von verschiedenen Orientierungspunkten Urheberrechte verletzen, soweit die Aufnahme nicht von der Panoramafreiheit gedeckt ist (§ 59 UrhG).
Zudem kann die Spiele durch die Verknüpfung von bestimmten realen Orten mit Spielerfolgen dazu führen, dass die Spieler möglicherweise unerlaubt fremde Grundstücke begehen und damit sich eines Hausfriedensbruchs strafbar machen.
Cloud-Computing befindet sich auch in Deutschland auf dem Vormarsch und bildet den Grundstein für technische Neuerungen aller Art. Immer mehr Unternehmen und auch Private nutzen die Online-Speicherdienste. Bereits 2020 sollen rund 80 Prozent des weitweiten Datenverkehrs aus der Cloud kommen.
Mit Ausbreitung des Cloud-Computing wird auch der Ruf nach Datenschutz immer lauter. Die am 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DS-GVO) soll entsprechende Abhilfe schaffen. Ab diesem Zeitpunkt genießt die DS-GVO zwar keinen Geltungsvorrang, aber Anwendungsvorrang gegenüber nationalem Recht.
Dem nationalen Gesetzgeber wird durch sog. Öffnungsklauseln die Möglichkeit gegeben, bestimmte Problemfälle selbst zu regeln. Allerdings können aufgrund des Normwiederholungsverbots und der unmittelbaren Anwendbarkeit der DS-GVO keine abweichenden Regelungen über bereits detailliert geregelte Fragestellungen getroffen werden.
Das Cloud-Computing ist als Auftragsverarbeitung zukünftig ausführlich in Art. 28 DS-GVO geregelt. Auch die Haftung des Auftragnehmers für verordnungswidrig handelnde Unterauftragnehmer sowie die Verantwortlichkeit bei Datenpannen werde zukünftig durch die DS-GVO ausdrücklich geregelt.
Die DS-GVO wird in Zukunft in einer Vielzahl von Fällen räumlich anwendbar sein. Besteht ein Bezug zur EU oder dem europäischen Wirtschaftsraum (EWR), so muss sie beachtet werden.
Während das deutsche Recht im BDSG noch auf die verantwortliche Stelle abstellt, so lässt die DS-GVO es zur Anwendbarkeit genügen, wenn der Cloud-Anbieter oder Kunde eine Niederlassung innerhalb der EU oder dem EWR hat und personenbezogene Daten verarbeitet werden. Die eigentliche Verarbeitung der Daten muss dabei nicht innerhalb der Union stattfinden. Die DS-GVO ist sogar schon dann anwendbar, wenn Daten einer Person verarbeitet werden, die sich in der EU aufhält.
Damit gilt die DS-GVO zukünftig auch für ausländische Cloud-Anbieter, soweit diese auf dem EU-Markt tätig sind.
Verarbeitet ein Auftragsverarbeiter (Cloud-Anbieter) die Daten eines Kunden zukünftig entgegen des erteilten Auftrags, so trägt er für die Verarbeitung und die Sicherheit der Daten selbst die Verantwortung. Dies kann sogar zu Haftungsansprüchen des Betroffenen führen.
Entdeckt der Cloud-Anbieter als Auftragsverarbeiter Datenschutzpannen, so hat er diese umgehend dem Kunden (dem Auftraggeber) zu melden. Auch trifft ihn eine umfassende Dokumentationspflicht aus Art. 30 Abs. 2 DS-GVO für alle datenschutzrechtlich relevanten Vorfälle.
Zudem muss der Auftragsverarbeiter einen datenschutzrechtlich verantwortlichen Repräsentanten (Datenschutzbeauftragter) bestellen, Art. 37 Abs. 1 DS-GVO. Hinzu kommt, dass der Auftragsverarbeiter mit den Datenschutzbehörden kooperieren muss.
Doch auch der Cloud-Kunde hat umfassende Pflichten. Ist zugleich der Cloud-Kunde Verantwortlicher im datenschutzrechtlichen Sinne, so muss er selbstständig auf das Sicherheitsniveau des Cloud-Anbieters achten und diesen sorgfältig auswählen.
Der Anbieter muss gemäß Art. 28 DS-GVO
hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Datenschutzzertifikate (Art. 42 DS-GVO) helfen den Kunden entsprechend zuverlässige Cloud-Anbieter schnell zu identifizieren.
Beauftragt der Cloud Kunde trotz mehrfacher Mitteilung über Datenschutzrechtsverstöße denselben Cloud-Anbieter wieder mit der Verarbeitung seiner Daten, so drohen auch ihm Bußgelder, Art. 83 Abs. 4 lit. a DS-GVO. Denn auch der Cloud-Kunde trägt die Verantwortung über die von ihm herausgegeben Daten. Missachtet er seine Sorgfaltspflichten, ist er für den Datenschutzverstoß genauso verantwortlich, wie auch schon der Cloud-Anbieter.
Um solche Bußgelder zu vermeiden ist der Kunde berechtigt seinen Cloud-Anbieter zu überwachen. Zudem müssen zukünftig alle Weisungen an den Cloud-Anbieter in Textform dokumentiert werden, Art. 28 Abs. 9 DS-GVO.
Kunde und Anbieter wachsen durch die DS-GVO noch mehr zusammen, wenn es um die Übernahmen der Verantwortung zum Schutz der personenbezogenen Daten geht. Im Ergebnis sorgt die neue Datenschutz-Grundverordnung daher für mehr Datenschutz im Bereich des Cloud-Computing. Entgegen der Meinung vieler, der Datenschutz sei ein Bremsklotz im Bereich des Cloud-Computing, ist er wohl eher ein Grundstein für die Ausbreitung der Dienstleistungen.
Vorratsdatenspeicherung ist ein kritisches Thema für jeden Datenschützer. Nun plant die Bundesregierung die Liste der Delikte zu verlängern, bei denen die Polizei Vorratsdaten abrufen darf. Zukünftig soll es selbst bei Einbrüchen möglich sein, Kommunikations- und Standortdaten abzufragen.
Die Bundesregierung hat am 10. Mai 2017 den Gesetzesentwurf zur Änderung des Strafgesetzbuches beschlossen. Dieser Entwurf sieht zugleich die Ausweitung des Straftatenkataloges in § 100g StPO vor, der die Möglichkeit zum Abrufen von Vorratsdaten regelt.
Neben besonders schweren Delikten wie Völkermord, Gefährdung der äußeren Sicherheit, Mord, schwerem Raub und Straftaten gegen die sexuelle Selbstbestimmung sollen Ermittler zukünftig auch bei „Einbruchdiebstahl in eine dauerhaft genutzte Privatwohnung“ auf die Vorratsdaten zugreifen können.
Ziel des Gesetzes sei es, den Einbruchsdiebstahl in eine dauerhaft genutzte Privatwohnung gesondert unter Strafe zu stellen. Der Strafrahmen solle sodann zwischen einem und zehn Jahren liegen. Die Ausweitung der Vorratsdatenspeicherung wird in dem Entwurf damit begründet, dass die Strafverfolgungsbehörden den Zugriff auf Standortdaten bräuchten. Nur so könne eine wirkungsvolle Aufklärung der Delikte gewährleistet werden.
Da eine „retrograde Standortdatenabfrage“ nur für bestimmte Delikte erlaubt sei, müsse der § 100g StPO im Rahmen der Gesetzesänderung mit ergänzt werden. Die Auswertung der vier Wochen lang gespeicherten Standortdaten von Mobiltelefonen könne den Ermittlungsbehörden die Arbeit sehr erleichtern.
Bei der Verabschiedung des Gesetzes zur Vorratsdatenspeicherung 2015 wies die große Koalition darauf hin, dass der Zugriff auf die Daten nur bei schwersten Straftaten möglich sei. Volker Ullrich äußerte sich in der Bundestagsdebatte vom 16. Oktober 2015 mit den Worten: “Er darf nur dann zugreifen, wenn es der Aufklärung oder Verhinderung schwerster und allerschwerster Straftaten dient, wenn es um die Gefahrenabwehr, zum Beispiel die Abwehr von terroristischen Anschlägen, oder um Bestrebungen gegen den Bestand des Bundes oder der Länder geht.“
Datenschützer sehen den neuen Gesetzesentwurf kritisch. Die einst erstellten Vorschriften werden Stück für Stück aufgeweicht. Der Abruf von Vorratsdaten sei nunmehr in immer mehr Fällen von nicht besonders schweren Straftaten möglich.
Ob der aktuelle Entwurf mit dem Grundgesetz vereinbar ist, wird sich in Zukunft zeigen. Nach den abgewiesenen Eilanträgen wird die finale Entscheidung der Richter des Bundesverfassungsgerichts für Sicherheit sorgen.
Nachdem Wearables zunächst den privaten Fitness und Life-Style-Bereich erobert haben, findet man die mit Sensoren ausgestatteten Mini-Computer (Wearables) nun auch immer häufiger in Unternehmen. Sie ermöglichen es, eine Vielzahl von Daten zu erheben. Es können Vitalfunktionen erfasst werden, der Standort ermittelt sowie Bild und Ton aufgezeichnet werden. Unter den Begriff der Wearables fallen nicht nur Fitness-Tracker, sondern auch moderne Smartwatches und sogar die Smartphones und Tablets.
Ein Paradebeispiel für die Nutzung von Wearables im Beschäftigtenverhältnis ist die dauernde oder regelmäßige Lokalisierung der Mitarbeiter. So können Arbeitsabläufe verkürzt und Dienstwege optimiert werden. Doch nicht nur bei älteren, hoch technologisierten Unternehmen wie der Deutschen Post werden solche Daten erhoben, sondern auch bei jungen Unternehmen wie z.B. Foodora.
Auch die Deutsche Bahn überlegt, sein Unternehmen mit Wearables auszustatten. So sollen zukünftig etwa Kontrolleure – wie auch schon die Polizei in NRW und Hessen – mit sogenannten Bodycams ausgestattet werden. Das soll potentielle Angreifer abschrecken und helfen, ihre Missetaten aufzuklären.
In erster Linie soll die neue Technik der Wearables also zur Produktivitätssteigerung, Verbesserung der Arbeitssicherheit und des Arbeitskomforts beitragen. Doch eignen sich die Wearables auch bestens zur Überwachung und Kontrolle der Beschäftigten. Das Thema des Beschäftigtendatenschutzes spielt bei der Ausstattung der Mitarbeiter daher eine zentrale Rolle.
Sowohl für den Arbeitgeber als auch für den Arbeitnehmer gibt es zahlreiche Punkte zu beachten, um sich im Rahmen der rechtlichen Vorgaben zu bewegen.
Die Nutzung von Wearables im Beschäftigtenverhältnis geht grundsätzlich nur mit der ausdrücklichen aktiven Einwilligung durch den Arbeitnehmer. Er muss frei entscheiden können, ob und inwiefern er ein Wearable nutzen möchte.
Wenn die Einwilligung im Arbeitsvertrag pauschal erklärt wird, ist das kritisch. Denn der Arbeitnehmer muss gegebenenfalls befürchten, die Stelle nicht zu bekommen, wenn er die Einwilligung nicht erteilt. Einwilligungen, die unter Ausnutzung eines beachtlichen Verhandlungsungleichgewichts erfolgten, sind nicht freiwillig und damit unwirksam. Häufig wird auch ein sogenanntes ausdrückliches Nachteilsverbot für den Arbeitnehmer vereinbart, um diesen nicht unverhältnismäßig stark zu belasten und unter Druck zu setzen.
Doch der Einsatz von Wearables kann auch durch den Arbeitgeber angeordnet werden, wenn und soweit das noch vom arbeitsvertraglichen Direktionsrecht erfasst ist. Die Anforderungen an die Verwendung von Wearables im Rahmen eines Direktionsrechts durch den Arbeitgeber sind deutlich höher als bei der freiwilligen Einwilligung. Denn die technische Ausstattung des Arbeitsplatzes bildet den Grundstein für die digitale Überwachung.
So muss die Ausstattung des Arbeitnehmers mit Wearables geeignet und erforderlich zur Optimierung der Arbeitsabläufe sein und darf nicht zu dessen Lasten gehen. Zulässig sind somit nur Geräte, die im Hinblick auf das Persönlichkeitsrecht des Beschäftigten auch angemessen sind (Art. 88 II DSGVO). Es muss also letztlich eine Interessenabwägung im Einzelfall vorgenommen werden.
Weiter gilt zu beachten, dass die auf dem allgemeinen Markt verfügbaren Wearables oft noch zu unpräzise und fehleranfällig für die Nutzung im Arbeitsverhältnis sind. Diese liefern in der Regel nur unzureichende und ungenaue Sensorik, die zusätzlich in vagen und teils falschen Kausalitätsannahmen enden. Denn wenn der Arbeitgeber die Wearbles per Direktionsrecht einführen will, müssen die Geräte speziell auf die Arbeitssituation angepasst sein und eine Arbeitsplatzrelevanz aufweisen. Geräte, die auf den Privatgebrauch ausgelegt sind, sind dies oftmals nicht.
Besteht ein Konflikt zwischen Arbeitsoptimierung und dem Persönlichkeitsschutz, muss eine Abwägung im Einzelfall vorgenommen werden. Besondere Vorsicht ist vor allem bei Wearables geboten, die dauerhaft und regelmäßig Daten ermitteln und übertragen. Der Arbeitnehmer muss stets die Kontrolle behalten und die Erfassung abstellen oder zeitlich/räumlich beschränken können. Nur auf diesem Weg kann ein angemessenes Schutzniveau erreicht werden. Allerdings darf das Abschalten der Wearables dem Beschäftigten sodann selbstverständlich nicht negativ angerechnet werden.
Der Einsatz von Wearbles mit Lokalisierungsfunktion bedarf besonderer Voraussetzungen. Einerseits ist z. B. die Nutzung von Wearables mit Lokalisierungsfunktion zum Zwecke der Nothilfe grundsätzlich zulässig. Doch eben diese Funktion bietet dem Arbeitgeber die Möglichkeit, ein genaues Bewegungsprofil zu erstellen und lässt den Arbeitnehmer „gläsern“ werden.
Um dieser stetigen Überwachung einen Riegel vorzuschieben, sehen das Bundesdatenschutzgesetz (§ 3a BDSG) und die Datenschutzgrundverordnung (Art. 5 Abs. 1 Buchst. c DSGVO) eine Einschränkung bei der Verarbeitung von Standortdaten vor. So gelte das Gebot der Datenminimierung, welches sich auf die Speicherintervalle, die Speicherdauer und die Verknüpfung mit weiteren Ereignisdaten bezieht. Auf diesem Wege sollen umfassende Bewegungsprofile vermieden werden.
Neben der Erstellung von Bewegungsprofilen, begründet auch die Erfassung von Bild- und Tonaufnahmen ein Risiko für das allgemeine Persönlichkeitsrecht. Neben der Erfassung von relevanten Arbeitsabläufen werde zugleich das private und beiläufige Verhalten der Arbeitnehmer erfasst.
Die dauerhafte Bild- und Ton-Überwachung ermöglicht eine nicht hinzunehmende Realzeit-Totalkontrolle durch den Arbeitgeber. Um dies zu verhindern, sollte der Arbeitgeber technische und organisatorische Vorkehrungen treffen.
Ferner bedarf die Aufnahme von Bild und Ton stets einer gesonderten Zweckfeststellung und muss vom Betroffenen abgeschaltet werden können. Werden die Bild- und Ton-Daten zusätzlich mit anderen Daten verknüpft, so steigen die Anforderungen an die Zweckmäßigkeit.
Nutzt der Arbeitnehmer ein privates Gerät im Arbeitszusammenhang („Bring your own Device“ = BYOD) muss der Arbeitgeber für eine saubere, technisch klare Trennung zwischen der Erfassung von privaten und dienstlichen Daten sorgen. Ansonsten gelten hier dieselben datenschutzrechtlichen Vorgaben wie auch bei der Nutzung von vom Arbeitgeber zur Verfügung gestellten Wearables.
Häufig ist die Erhebung der Daten durch die Wearables nicht transparent genug, obwohl sie dies sein müsste (Art. 5 Nr. 1 Buchst a DSGVO). Auch wenn die Geräte oft nur über begrenzte Darstellungs- und Informationsmöglichkeiten verfügen, muss transparent erkennbar sein, wer die für die Datenerhebung verantwortliche Stelle ist und wie sie erreicht werden kann. Auch Kommunikations- und Übertragungsvorgänge müssen auf dem Medium eindeutig erkennbar sein.
Deshalb ist der Auskunftsanspruch auch die Grundlage der informationellen Selbstbestimmung (§ 34 BDSG, Art. 15 DSGVO). Stellt der Arbeitgeber die Wearables zur Verfügung ist aber oftmals unklar gegen wen sich der Auskunftsanspruch richtet. Je nach Verantwortlichkeit (Art. 24 DSGVO) und Programmierung der Wearables kann sich der Anspruch gegen den Arbeitgeber oder einen datenverarbeitenden Drittanbieter richten. Verfügt der Arbeitgeber nicht über die Daten, so hat er dennoch dafür zu sorgen, dass diese Daten von den Drittanbietern jederzeit bereitgestellt werden.
Die rasante technische Entwicklung fordert auch die stetige Weiterentwicklung des Datenschutzes. Bislang haben Arbeitnehmer im Beschäftigtenverhältnis ein weitgehendes Mitspracherecht und können in einer Vielzahl von Fällen den Einsatz von Wearables steuern oder gar ablehnen. Unternehmen sollten unbedingt stetig überprüfen, ob die Datenschutzbestimmungen eingehalten werden und eine Mitwirkung der Mitarbeiter in Erwägung ziehen. Denn Wearables können Segen und Fluch zugleich sein.
Mit Urteil vom 15. Mai 2017 greift der BGH (Az.: VI ZR 135/13, Pressemitteilung) die Vorgaben des EuGH in Sachen dynamischer IP-Adressen (C-582/14) auf.
Dynamisch vergebene IP-Adressen seien „personenbezogene Daten“ im Sinne des Datenschutzrechts. Folglich darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden.
Grundlage für die Entscheidung war eine Auseinandersetzung des Piraten-Politikers Patrick Breyer gegen die Bundesrepublik Deutschland. Breyer war der Ansicht, die Speicherung der dynamischen IP-Adressen durch den Bund über einen Zeitraum vom drei Monaten sei rechtswidrig. Dies ermögliche ein Tracking, auch ganz ohne eine Einwilligung durch die betroffenen Internetnutzer.
Die Bundesregierung stellte sich gegen die Ansicht der Datenschützer. Eine Speicherung der dynamischen IP-Adresse sei gerade notwendig, um einen sicheren Betrieb der Webserver zu ermöglichen und bereits frühzeitig Angriffe abzuwehren. Auch die Identifizierung der Angreifer spiele eine wichtige Rolle im Kampf gegen die Cyberkriminalität. Zur Verteidigung führte sie weiter an, dass ohne die Hilfe der Zugangsanbieter bei dynamisch vergeben IP-Adressen keine Möglichkeit der Identifizierung bestehe.
Das Landgericht Berlin war noch 2013 (Urteil v. 31.01.2013 – 57 S 87/08) davon ausgegangen, dass die Speicherung nur dann unzulässig sei, wenn der Betreiber der Webseite selbst durch die IP-Adressen die Besucher identifizieren könne. Daraufhin legten allerdings sowohl Breyer als auch die Bundesregierung Revision beim BGH ein. Dieser legte die Rechtssache dem EuGH vor.
Mit dem Urteil vom 15. Mai 2017 beruft sich der BGH auf das Urteil des EuGH und bestätigt die Ansicht Breyers. Dynamisch vergebene IP-Adressen seien personenbezogene Daten im Sinne des § 12 Abs. 1 und 2 Telemediengesetzes (TMG) in Verbindung mit § 3 Abs. 1 BDSG. Diese dürfen nur unter besonderen Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden.
Anbieter von Online-Mediendiensten dürfen personenbezogene Daten eines Nutzers ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden, soweit dies zur Gewährleistung der generellen Funktionsfähigkeiten der Dienste notwendig ist. Notwendig sei dabei eine Abwägung zwischen dem Interesse des Anbieters und den Grundrechten sowie Grundfreiheiten der Internetnutzer.
Die Abwägung konnte im Streitfall allerdings vom BGH nicht abschließend vorgenommen werden. Das Berufungsgericht hatte keine hinreichende Feststellung getroffen, ob die Speicherung der dynamischen IP-Adressen über den Zeitraum der Nutzung hinweg nötig seien, um die Funktionsfähigkeit der Dienste zu gewährleisten. Insbesondere zum Gefahrenpotential bei den Online-Mediendiensten liegen dem BGH keine umfassenden Informationen vor, die eine Abwägung ermöglichen würden.
Dementsprechend war die Revision der Parteien erfolgreich und der BGH hat die Rechtssache an das Berufungsgericht zurückverwiesen. Auch die Gesichtspunkte der Generalprävention und der Strafverfolgung müsse nun vom LG Berlin neu verhandelt werden.
Arbeitgeber dürfen ihre Mitarbeiter nicht heimlich und dauerhaft mit Keyloggern überwachen. Das ist nach dem Bundesdatenschutzgesetz (BDSG) unzulässig.
EuGH: Die Datenschutzrichtlinie steht der Herausgabe von personenbezogenen Daten Minderjähriger zur Verfolgung zivilrechtlicher Ansprüche nicht entgegen.
Der Bundesrat hat am 12. Mai 2017 einem Gesetzesbeschluss zugestimmt. Damit wird die Nutzung vollautomatisierter Autos auf deutschen Straßen zulässig.
Seit 2016 ist der Amazon Dash Button auch in Deutschland erhältlich. Für den Verbraucher ist aus datenschutzrechtlicher Sicht Vorsicht geboten.
Soweit dem Kind ein Smartphone mit WhatsApp zum dauerhaften Gebrauch überlassen wird, obliege den Eltern eine Kontroll- und Überwachungspflicht.
Dem Datenschutz kommt mit der neuen DS-GVO eine noch größere Bedeutung zu. Doch kann er auch bei Augmented-Reality-Spielen ausreichend beachtet werden?
Die Datenschutz-Grundverordnung (DS-GVO) bringt einige Änderungen für die Betreiber und Nutzer von Cloud-Computing mit sich. Die wichtigsten Neuerungen lesen Sie hier!
Die Bundesregierung will die Liste der Delikte verlängern, bei denen Vorratsdaten von der Polizei abgefragt werden dürfen. Dazu sollen auch Einbrüche zählen.
Wearables sind als moderne Form der Sensordatenerhebung nun auch im Beschäftigtenverhältnis angekommen. Sowohl für Arbeitnehmer als auch Arbeitgeber gibt es allerdings einiges zu beachten.
BGH: Dynamische IP-Adressen gehören zu den personenbezogenen Daten und dürfen nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden.
