> externer Datenschutzbeauftragter > Datenschutz-Urteile

Wirkungsbereich der Datenschutzgesetze – Datenschutz bei juristischen Personen

Datenschutz bei juristischen PersonenMit stetig neuen Verfahren und Services, wie Facebook, Twitter und Co., die die Privatsphäre des Einzelnen immer mehr einschränken, drängt sich nicht zuletzt die die Frage nach dem Datenschutz auf. Das Recht auf  informationelle Selbstbestimmung / Datenschutz dient dazu, dem Einzelnen die Möglichkeit zu geben, über seine eigenen (persönlichen) Daten und wie mit diesen zu verfahren ist, zu bestimmen. Informationen (spezifische Daten) werden jedoch nicht nur von natürlichen Personen (Menschen) erzeugt, sondern ebenso von öffentlichen Stellen, von juristischen Personen der öffentlichen Hand (z.B. Anstalten, Körperschaften des öffentlichen Rechts) und der Privatwirtschaft (Unternehmensformen, wie GmbH, AG, OHG, etc.). Diese Stellen haben, ebenso wie natürliche Personen, regelmäßig ein Interesse daran, dass ihre Daten den gleichen Schutz genießen.

Ob die deutschen Datenschutzbestimmungen auch für juristische Personen anwendbar sein sollten, steht seit längerem im Diskurs. Ihr externer Datenschutzbeauftragter informiert im Folgenden, inwieweit eine Ausweitung des Datenschutzrechts auf juristische Personen möglich ist oder zukünftig denkbar sein könnte.

Geltungsbereich der deutschen Datenschutzbestimmungen

Geregelt ist der Geltungsbereich der deutschen Datenschutzbestimmungen im § 1 des Bundesdatenschutzgesetztes (BDSG). Nach diesem werden personenbezogene Daten geschützt, welche in den weiteren Bestimmungen des § 3 Abs. 1 BDSG näher erläutert sind. Nach dieser Legaldefinition sind „personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

So ergibt sich nach dem § 3 Abs. 1 BDSG eine Zuweisung des Schutzes personenbezogener Daten auf natürliche Personen.  Hinter der Begrifflichkeit der natürlichen Person steckt das Rechtssubjekt Mensch, als Träger von Rechten und Pflichten. Rechtsubjekte, die ebenso Träger von Rechten und Pflichten sind, jedoch keine Menschen darstellen, z. B.  Unternehmen, werden unter dem Begriff der juristischen Personen geführt und fallen nach dem Wortlaut des § 3 Abs. 1 BDSG nicht in den Schutzbereich des Bundesdatenschutzgesetzes.

Das Recht auf informationelle Selbstbestimmung

Es besteht jedoch das Recht auf informationelle Selbstbestimmung, welches sich aus den Artikeln 1 und 2 des Grundgesetzes ergibt. Dieser Schutz der informationellen Selbstbestimmung wird wiederum ausgeformt durch die deutschen Datenschutzbestimmungen. Die Datenschutzbestimmungen beziehen sich nach § 3 Abs. 1 BDSG jedoch nur auf natürliche Personen. Das impliziert, dass der deutsche Datenschutz, der durch das Grundgesetz konkretisiert wird, nur auf natürliche Personen Anwendung findet. Eine Anwendung auf juristische Personen ist jedoch nicht auszuschließen, da Art. 19 Abs. 3 GG eine Geltung der Grundrechte auch auf inländische juristische Personen ausweitet. Die Anwendung der Datenschutzbestimmungen auf juristische Personen kann folglich nicht direkt aus dem deutschen Datenschutzgesetz entnommen werden. Der Umweg der Ausweitung des Datenschutzes auf juristische Personen über das Grundgesetz könnte zielführend sein, da juristische Personen des öffentlichen Rechts (z.B. Anstalten, Stiftungen) wie auch des Privatrechtes (z.B. AG, GmbH) ein Interesse daran haben könnten, über ihre unternehmensbezogenen Daten selbst bestimmen zu können.

Datenschutz bei juristischen Personen – Träger der informationellen Selbstbestimmung

Das Oberlandesgericht Niedersachsen hat in seiner Entscheidung 10 ME 385/08 v. 15.05.2009 festgestellt, dass juristische Personen auch Träger informationeller Selbstbestimmung sein können. Dies soll sich aus dem Teilbereich des Persönlichkeitsrechts erschließen, welches juristische Personen innehaben, jedoch sei die Schutzschwelle sehr hoch anzusetzen und daher nicht immer gegeben. Die besagte Schutzschwelle ist erreicht, wenn ein starker Bezug von der natürlichen Person zu der juristischen Person vorliegt, was im folgenden Abschnitt näher erläutert wird.

Datenschutzrechtlicher Schutz der Mitglieder

Eine juristische Person agiert an sich nicht, sondern die dahinterstehenden natürlichen Personen (z.B. Geschäftsführer, Angestellte etc.). Aus diesem Grund wäre eine Ausweitung des Datenschutzes auf die juristische Person denkbar. Wie bereits festgestellt, fallen nur natürliche Personen unter den Geltungsbereich des deutschen Datenschutzes, allerdings kann der Schutz nicht direkt aus der Konstellation „natürliche Person agiert für juristische Person“ entnommen werden. Der Schutz erstreckt sich lediglich auf Belange der natürlichen Person. Die Daten der juristischen Person müssen somit einen unmittelbaren Bezug zu der natürlichen Person aufweisen, um in den Schutzbereich des deutschen Datenschutzes zu gelangen. Somit fallen beispielsweise Angaben über Beschäftigte, die in einem Unternehmen agieren („Der Geschäftsführer Max Mustermann ist seit 2007 zum Geschäftsführer berufen worden.“), oder Angaben über die Gesellschafter des Unternehmens („Der Gesellschafter X ist Wohnhaft in Stadt Y.“),  in den Schutzbereich des deutschen Datenschutzrechtes, allerdings bestehen hier regelmäßig Sondersituationen, da z. B. der Name des Geschäftsführers einer Veröffentlichungspflicht unterliegt.

Anwendbarkeit der Datenschutzgesetze auf Ein-Mann-GmbH und Einzelfirma

Ebenso kann eine Unternehmensbezeichnung unter den Schutzbereich des deutschen Datenschutzgesetzes fallen, indem sie ein personenbezogenes Datum nach dem § 3 Abs. 1 BDSG bildet. Ein solcher Zustand liegt nach der Erklärung des Verwaltungsgerichts Wiesbaden vom 07.12.2007 im Verfahren Az. 6E 928/07 vor, sofern die dahinter agierende natürliche Person Alleinaktionär oder Gesellschafter ist. Diese personelle und finanzielle Verflechtung muss dabei eine so starke Bindung aufweisen, dass die Aktivitäten des Unternehmens direkt der dahinter agierenden natürlichen Person zugewiesen werden kann. Eine solche finanzielle und personelle Verflechtung tritt vermehrt bei Ein-Mann-GmbHs und Einzelfirmen auf. Der Europäische Gerichtshof (EuGH) bestätigte den vom Verfassungsrecht Wiesbaden dargelegten Schutzumfang in dem Urteil vom 9. November 2016, Az. C 92/09 und 93/09, Rz. 54, jedoch besteht nach der Ansicht des Europäischen Gerichtshofes keine Gleichwertigkeit von personenbezogenen Daten und der Daten der juristischen Person.

Differenzierte Betrachtungsweisen des Geltungsbereiches in Nachbarländern

Eine strikte Zuweisung des datenschutzrechtlichen Geltungsbereiches nur auf natürliche Personen, ist jedoch nicht aus der RL 95/46/EG zu entnehmen. Dies gab den Mitgliedstaaten der EU einen Handlungsspielraum, die darin enthaltenen Vorgaben in eigenes Recht umzusetzen. Aus diesem Grund besteht in einigen EU-Ländern (z.B. Österreich, Luxemburg, Dänemark) auch für juristische Personen die Anwendungsmöglichkeit der Datenschutznormen. Der deutsche Gesetzgeber hat die Anwendung der datenschutzrechtlichen Regelungen jedoch auf natürliche Personen beschränkt. Eine Ausnahme von dieser Regelung besteht lediglich dann, wenn ein starker Personenbezug vorliegt, wie bei Ein-Mann-GmbHs und Einzelfirmen, der den Anwendungsbereich des deutschen Datenschutzrechtes auf juristische Personen ausweitet.

Regelungen im Telekommunikationsgesetz (TKG)

Während das Bundesdatenschutzgesetz (BDSG) lediglich auf natürliche Personen anzuwenden ist, erstreckt sich der Anwendungsbereich des Telekommunikationsgesetzes (TKG) auch auf juristische Personen (§ 91 Abs. 1 TKG). Nach diesem werden Daten von juristischen Personen (z.B. AG) oder Personengesellschaften (z.B. OHG) denen von natürlichen Personen gleichgestellt und nach Abschnitt 2 des TKG geschützt. Nach diesem erstreckt sich der Schutzbereich des Telekommunikationsgesetzes auch auf Daten, welche beim Telekommunikationsvorgang von juristischen Personen erzeugt werden oder wurden (Verbindungsdaten).

Anpassung des Geltungsbereiches durch die EU-DSGVO

Mit der Einführung der Europäischen Datenschutzgrundverordnung ist mit einigen Änderungen zu rechnen. Die Verordnung, die 2016 verabschiedet wurde und ab 2018 in allen Mitgliedstaaten der EU gelten soll, hat einen klaren Duktus in Bezug auf den Schutzumfang. Demnach enthält die Europäische Datenschutzverordnung nach Art. 1 DSGVO Vorschriften zum Schutz natürlicher Personen. Ein vollkommener Ausschluss der Anwendung des Datenschutzes für juristische Personen ist fraglich, da die derzeitige Rechtsprechung unter bestimmten Vorrausetzungen den Datenschutzbereich auch auf juristische Personen ausweitet.

Fazit

Die europäische Grundverordnung vereinheitlicht in Europa den Schutzbereich des Datenschutzrechtes und weist diesen nur natürlichen Personen zu. Für Länder außerhalb der EU (z.B. Schweiz) kann ein Schutz der juristischen Person in datenschutzrechtlichen Belangen bestehen. Die Beschränkung des Datenschutzbereiches auf natürliche Personen ist indes nicht fesselndes Paradigma, da derzeit eine richterliche Ausformung des Gesetzes besteht, welches einen Bezug des Datenschutzes auf juristische Personen unter bestimmten Voraussetzungen (Ein-Mann-GmbH und Einzelfirmen) nicht vollkommen ausschließt. Inwiefern sich dies durch die Einführung der Europäischen Datenschutzgrundverordnung im Jahr 2018 ändern wird, bleibt abzuwarten.

Es ist daher ratsam, sich kompetente Unterstützung im Bereich des Datenschutzes einzuholen, um einen Überblick über datenschutzrechtliche Themenbereiche zu bekommen und einer möglichen Haftung wegen Missachtung oder inkorrekter Anwendung des Datenschutzrechts entgegenzuwirken.

Haben Sie weitere Fragen zu Datenschutz bei juristischen Personen oder wollen Sie sich im Datenschutz dauerhaft besser positionieren? Brands Consulting bietet Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

„ IP-Adressen Datenschutz “ – Die Entscheidung des Europäischen Gerichtshofs und seine Auswirkungen

IP-Adressen DatenschutzDer europäische Gerichtshof (EuGH) hat vor wenigen Tagen eine bedeutende Entscheidung hinsichtlich „ IP-Adressen Datenschutz “ getroffen. Jedes Gerät innerhalb eines Computernetzwerkes benötigt eine IP-Adresse, wobei die Kurzform IP für Internet Protocol, zu deutsch Internet Protokoll steht. Die IP-Adresse ist notwendig, damit jedes Gerät eindeutig identifizierbar ist und Daten versendet sowie empfangen werden können. Die Frage, ob IP-Adressen personenbezogene Daten sind, beschäftigt Datenschutzbeauftragte und Datenschützer schon seit Jahren. Nun hat der EuGH eine Entscheidung getroffen.

Ihr externer Datenschutzbeauftragter informiert, wie sich der EuGH bezüglich „ IP-Adressen Datenschutz “ entschieden hat und welche Auswirkungen zu erwarten sind.

„ IP-Adressen Datenschutz “ – Die Entscheidung des EuGHs

Die IP-Adresse ist mit einer Wohnanschrift vergleichbar. Wird eine Bestellung im Internet durchgeführt, benötigt der Online-Shop die Lieferanschrift, damit der Postbote die Ware abliefern kann. Ähnlich verhält es sich mit der IP-Adresse, die es ermöglicht, dass Daten vom Versender an den korrekten Empfänger übermittelt werden können.

Ist die Rede von IP-Adressen, so darf zwischen statischen und dynamischen IP-Adressen unterschieden werden.  Bei der sogenannten dynamischen IP-Adresse handelt es sich um eine Internetprotokoll-Adresse, die sich anders als die statische IP-Adresse, regelmäßig ändert. Wählt man sich ins Internet ein, bekommt man vom Provider, z. B. der Telekom oder durch 1&1, eine IP-Adresse zugewiesen.

Trennt man die Internetverbindung und wählt sich erneut ein, so erhält man eine neue IP-Adresse, wodurch die Privatsphäre etwas höher ist als bei einer statischen IP-Adresse.

Bei der Frage, ob es sich bei IP-Adressen, um personenbezogene Daten handelt, herrschte bisher Uneinigkeit, insbesondere wenn es um dynamische IP-Adressen ging. Der Rechtsstreit zwischen dem Abgeordneten der Piratenpartei, Patrick Breyer, und der Bundesrepublik Deutschland, der seit fast zehn Jahren andauert, verdeutlicht die Unklarheit bzw. Uneinigkeit hinsichtlich der Klassifizierung von IP-Adressen.

Patrick Breyer hatte 2007 die Bundesrepublik Deutschland verklagt, weil die Bundesministerien IP-Adressen der Webseiten-Besucher speicherten. Die Frage, ob die Bundesministerium Protokolldateien, wie unter anderem die IP-Adresse der Besucher und den Zeitpunkt des Aufrufs, speichern dürfen, beschäftigte zunächst die deutschen Instanzen bis der Rechtsstreit vor dem Europäischen Gerichtshof landete.

„ IP-Adressen Datenschutz “ – Handelt es sich bei dynamischen IP-Adressen um personenbezogene Daten?

Der Europäische Gerichtshof hat hinsichtlich „IP-Adressen Datenschutz“ entschieden, dass es sich bei der sogenannten dynamischen IP-Adresse unter gewissen Voraussetzungen um ein personenbezogenes Datum handelt. In der Pressemitteilung Nr. 112/16 des Europäischen Gerichtshofs vom 19. Oktober 2016 zur Rechtssache C-582/14 heißt es: „Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zulassen.“

Zwar kann zunächst nur der Provider in Erfahrung bringen, wer hinter der dynamischen IP-Adresse steckt, allerdings können Webseiten-Betreiber für die Strafverfolgung, zum Beispiel bei Cyberattacken oder bei Urheberrechtsverletzungen, Informationen zu den IP-Adressen in Erfahrung bringen. Aus diesem Grund sollten dynamische IP-Adressen als personenbezogene Daten angesehen werden.

„ IP-Adressen Datenschutz “ – Dürfen die Daten vom Betreiber einer Webseite gespeichert werden?

EuGH DatenschutzAufgrund der Entscheidung, dass es sich bei IP-Adressen um personenbezogene Daten handelt, sollten Webseiten-Betreiber das Telemediengesetz (TMG), insbesondere § 15 TMG berücksichtigen. Im Sinne von § 15 TMG ist eine Erhebung und Verarbeitung von personenbezogenen Daten des Betroffenen nur für Abrechnungszwecke erlaubt. Die Erhebung der IP-Adressen dürfte – für andere Zwecke als für die Abrechnung – nur erfolgen, wenn informierte Einwilligungen der Betroffenen eingeholt werden.

Der EuGH sieht dies allerdings an. Laut dem Urteil des europäischen Gerichtshofs vom 19.10.2016 in der Rechtssache C-582/14 steht das Verbot, die IP-Adressen zu einem anderen Zweck als der Abrechnung zu erheben, der EU-Richtlinie entgegen. Im Sinne von Art. 7 Buchst. f der Richtlinie 95/46/EG (EU-Richtlinie) dürfen personenbezogene Daten verarbeitet werden, wenn die Verarbeitung „zur Verwirklichung des berechtigten Interesses“ notwendig ist und die Grundrechte der Betroffenen nicht überwiegen.

Laut dem EuGH liegt im Fall der Bundesministerien ein „berechtigtes Interesse“ vor, da sie die IP-Adresse zum Schutz gegen Cyberangriffe und somit zur Aufrechterhaltung der Webseiten erheben und verarbeiten.

Fazit

Das Urteil des europäischen Gerichtshofes widerspricht teilweise dem deutschen Datenschutzrecht bzw. der überwiegenden Auslegungen der deutschen Lehre, da eine Erhebung und Verarbeitung der IP-Adressen bei „berechtigtem Interesse“ erlaubt werden soll, wobei – anderes als im deutschen Datenschutzrecht – ein berechtigtes Interesse bei der generellen Funktionsfähigkeit der Webseite vorliegen könnte. Des Weiteren heißt es in der Pressemitteilung Nr. 112/16 des EuGH, dass das deutsche Datenschutzrecht dadurch die Tragweite der EU-Richtlinie einschränkt.

Die Entscheidung zum Thema „IP-Adressen Datenschutz“, respektive zum Umgang mit personenbezogenen Daten, könnte vor allem in Hinblick auf die EU-Datenschutzgrundverordnung (EU-DSGVO) interessant sein. Die EU-DSGVO ist am am 25.05.2016 in Kraft getreten und ist nach einer zweijährigen Übergangsfrist ab dem 25.05.2018 in Kraft anwendbar. Das Ziel ist es den Datenschutz in der EU zu vereinheitlichen, allerdings sieht auch die EU-DSGVO in Art. 6 Buchst. f die Verarbeitung bei „berechtigten Interessen“ vor. Es bleibt zunächst abzuwarten, inwieweit das deutsche Datenschutzrecht diesbezüglich angepasst wird.

Haben Sie Fragen zum Thema „IP-Adressen Datenschutz“ oder möchte Sie mehr zur EU-Datenschutzgrundverordnung erfahren? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

datenschutz camsVideoüberwachungsanlagen können die Privatsphäre von Betroffenen erheblich einschränken, weshalb das Thema „ Videoüberwachung Datenschutz “ sowohl Privatpersonen als auch Organisationen beschäftigt. Was bzw. wer ist hier mit Organisationen gemeint?

Verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes (BDSG). Hierzu zählen:

  • Unternehmen (Firmen, Einzelunternehmen, Gesellschaften eines Konzerns usw.),
  • Behörden,
  • Vereine/Verbände,
  • oder Stiftungen.

Der Einsatz von Videoüberwachungsanlagen kann im Hinblick auf die Sicherheit zu vielen Vorteilen führen. Diese wären z. B.:

  • Abschreckung von Straftätern,
  • die leichtere Suche bei Straftaten nach den „Übeltätern“,
  • Sicherung von Beweisen.

Aus diesem Grund ist es wenig verwunderlich, dass nicht nur Organisationen, sondern auch Privatpersonen zu Videoüberwachungsanlagen zurückgreifen. Hörte man früher eher bei eskalierten Nachbarschaftsstreitigkeiten von einem Einsatz, so werden verstärkt Videoüberwachungsanlagen präventiv von Privatpersonen angebracht. In diesem Zusammenhang sieht man vermehrt den Einsatz von sogenannten „Klingel-Cams“ bzw. „Türspion-Kameras“.

Bei „Klingel-Cams“ handelt es sich üblicherweise um Kameras, die an der Klingel angebracht werden. Wird die Klingel betätigt, so können die Bewohner – bevor sie die Tür öffnen – feststellen, wer geklingelt hat. Daneben existieren auch „Klingel-Cams“ auf die sich die Bewohner jederzeit „aufschalten“ können. Auch gibt es bereits „Türspion-Kameras“, die das Einsehen von Aufnahmen mit dem Smartphone ermöglichen. Hierbei tritt natürlich unweigerlich die Frage nach der Zulässigkeit auf, die sowohl Betroffene als auch Eigentümer betrifft. Ist der Einsatz von „Türspion-Kamers“ erlaubt?

Ihr externer Datenschutzbeauftragter informiert im Folgenden über das Thema „ Videoüberwachung Datenschutz “, wobei nicht nur der Einsatz von „Klingel-Cams“, sondern die Videoüberwachung in Organisationen thematisiert werden.

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

Die Thematik rund um „Klingel-Cams“ beschäftigte seit Jahren nicht nur Betroffene, eher unfreiwillig die Eigentümer bzw. Verantwortlichen, Datenschützer und Datenschutzbeauftragte, sondern auch die Instanzen der deutschen Gerichte, sogar den Bundesgerichtshof (BGH).

Um kurz das Thema „Nachbarschaftsstreitigkeiten“ aus der Einleitung aufzugreifen. Ja, die dauerhafte Videoüberwachung aufgrund eines Nachbarschaftsstreits von weiteren Wohnungseigentümern sollte unterlassen werden (Urteil des AG München vom 4.12.2013 – Az. 413 C 26749/13).

Grundsätzlich ist Privatpersonen anzuraten, von „Klingel-Cams“ die Finger wegzulassen, allerdings liegen Ausnahmen vor, die im Einzelfall den Einsatz erlauben könnten. Möchten Wohnungseigentümer bzw. der Vermieter des Hauses eine solche Kamera anbringen, so sollten einige Maßnahmen ergriffen werden.

  • Unter anderen sollte sichergestellt werden, dass die Kamera erst bei Betätigung der Klingel aktiv wird und sich zeitnah wieder automatisiert ausschaltet,
  • wobei die Aufnahmen nur vom Bewohner eingesehen werden dürfen, bei dem geklingelt wurde.
  • Des Weiteren sollten die Aufnahmen nicht gespeichert werden,
  • der Betroffene sollte mit Hilfe eines Hinweisschildes informiert werden
  • und die Kamera sollte so eingestellt werden, dass möglichst nur die Person, die geklingelt hat, gefilmt wird.

Zwischen dem Verbot und der Erlaubnis ist nur ein „schmaler Grat“, weshalb sich Privatpersonen vor Anbringung von Überwachungskameras ausreichend mit dem Thema „ Videoüberwachung Datenschutz “ auseinanderzusetzen sollten. Spätestens beim beruflichen Einsatz von „Klingel-Cams“ bzw. allgemein von Videoüberwachungsanlagen sollte auf fachkundige Beratung keinesfalls verzichtet werden. Dies gilt übrigens auch für Kameraattrappen, da diese die „informationelle Selbstbestimmung“ von Betroffenen ebenfalls einschränken können.

„Videoüberwachungsanlagen Datenschutz“ – Worauf Organisationen achten sollten

Planen „verantwortliche Stellen“, wie z. B. Unternehmen, das Anbringen von Videoüberwachungsanlagen, so sollten sich diese dringend von einem Datenschutzbeauftragten beraten lassen, dabei spielt es keine Rolle, ob es sich um Videoüberwachungsanlagen handelt, die nichts aufnehmen (Kameraattrappen), die ausschließlich aufnehmen (auch bekannt unter „verlängertes Auge“) oder auch das Speichern von Aufnahmen ermöglichen.

Im Datenschutzrecht steht die „informationelle Selbstbestimmung“ im Vordergrund. Das Ziel ist es, dass natürliche Personen selbst über die Erhebung, Verarbeitung und Nutzung ihrer Daten entscheiden können, damit diese sich frei entfalten können. Bei Anbringung einer Kameraattrappe passen sich Betroffene, wie Mitarbeiter und Kunden, automatisch an, weil sie nicht wissen, dass es nur eine Attrappe ist. Eine Kameraattrappe ließe sich zudem, wenn sich ein Betroffener an diese gewöhnt hat, recht unkompliziert durch eine funktionstüchtige Videoüberwachungsanlage ersetzen. Dies verletzt das Grundrecht der Persönlichkeitsentfaltung sowie die informationelle Selbstbestimmung. Daher greift – rein logisch – das Datenschutzrecht auch bei Kameraattrappen.

Organisationen sollten bei der Planung der Videoüberwachungsanlagen Maßnahmen, wie die Vorabkontrolle durch einen Datenschutzbeauftragten, ergreifen sowie klare Regelungen aufstellen. Ist ein Datenschutzbeauftragter extern oder intern bestellt, so kontrolliert er die geplanten Videoüberwachungsmaßnahmen und unterstützt „verantwortliche Stellen“ bei der Erstellung von Betriebsvereinbarungen zu Videoüberwachungsanlagen, Video-Dienstvereinbarungen bzw. Richtlinien und sonstige Regelwerke rund um Videokameras und sonstige Datenschutz-Regelwerke.

Das fehlerhafte Anbringen von Videoüberwachungsanlagen kann für „verantwortliche Stellen“ zu erheblichen Konsequenzen führen. Neben der Demontage von teuren Anlagen drohen sogar Bußgelder und ein erheblicher Imageverlust.

Möchten Sie mehr zum Thema „ Videoüberwachung Datenschutz “ erfahren, dann lesen Sich doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Wenn Sie sich im Datenschutz dauerhaft besser positionieren möchten, dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Datenschutzbeauftragter Kündigungsschutz“ – Ausweitung des Kündigungsschutzes auch auf den stellvertretenden Datenschutzbeauftragten möglich?

Datenschutzbeauftragter KündigungsschutzIn der Praxis wird man als externer Datenschutzbeauftragter und Datenschutzberater häufig zu dem Thema „ Datenschutzbeauftragter Kündigungsschutz “ befragt.  Der Datenschutzbeauftragte ist, gemäß § 4f Abs. 3 Satz 1 Bundesdatenschutzgesetz (BDSG), direkt der Leitung des Unternehmens unterstellt. Diese besondere Position, insbesondere die damit verbundene Weisungsfreiheit, gewährt dem Datenschutzbeauftragten bestimmte Mitspracherechte und Handlungsfreiheiten in Bereichen, die personenbezogene Daten betreffen. Zwischen der leitenden Stelle, zum Beispiel der Geschäftsführung, und dem Datenschutzbeauftragten kann es deshalb zu Meinungsverschiedenheiten kommen. Um zu verhindern, dass der Datenschutzbeauftragte benachteiligt wird, steht dem Datenschutzbeauftragten ein besonderer Kündigungsschutz zu. Dieser besondere Kündigungsschutz richtet sich nach § 4f Abs. 3 BDSG.

Ihr Datenschutzbeauftragter informiert Sie im Folgenden über das Thema „ Datenschutzbeauftragter Kündigungsschutz “ und welche Besonderheiten bei dem stellvertretenden Datenschutzbeauftragten zu beachten sind.

„ Datenschutzbeauftragter Kündigungsschutz “ – Welche Besonderheiten Sie beachten sollten

Der Kündigungsschutz eines Datenschutzbeauftragten wirkt vergleichbar mit der eines Betriebsratsmitgliedes. Selbst nach Beendigung der Tätigkeit als Datenschutzbeauftragter wirkt der Kündigungsschutz gemäß § 4f Abs. 3 Satz 6 BDSG für die Dauer eines Jahres fort. Eine ordentliche Kündigung scheidet folglich aus, wenn sie innerhalb eines Jahres nach Tätigkeitsende erfolgt. Durchbrochen wird der Schutz nur, wenn Gründe vorliegen, die eine fristlose Kündigung begründen.  So kann der allgemeine Spruch „Betriebsratsmitglieder sind unkündbar!“ ebenfalls auf den internen Datenschutzbeauftragten übertragen werden, da in der Praxis die Kündigung eines internen Datenschutzbeauftragten, ebenso langwierig ist, wie der eines Betriebsratsmitgliedes.

„ Datenschutzbeauftragter Kündigungsschutz“ – Was gilt für den stellvertretenden Datenschutzbeauftragten?

Grundsätzlich findet sich im Gesetz keine ausdrückliche Regelung zu diesem Thema. Das BDSG selbst sieht, anders als mache Landesdatenschutzgesetze, keine Regelung für die Verpflichtung eines Vertreters vor, praxistauglich kann diese Maßnahme jedoch sein. Zum Kündigungsschutz des stellvertretenen Datenschutzbeauftragten erklärte das Arbeitsgericht Hamburg in seinem Urteil vom 13.04.2016, dass ein besonderer Kündigungsschutz auch für den stellvertretenden Datenschutzbeauftragten gilt.

In dem Streitfall wollte eine Betriebskrankenkasse eine ordentliche Kündigung des stellvertretenden Datenschutzbeauftragten erringen. Der stellvertretende Datenschutzbeauftragte sollte die kranke Kollegin innerhalb eines Zeitraums von 6 Monaten ersetzen. Als der Vertrag auslief, folgte eine ordentliche Kündigung. Gegen diese legte der Beklagte innerhalb der Frist Wiederspruch ein.

Die Entscheidung für die Gültigkeit des besonderen Kündigungsschutzes auch für den Vertreter des Datenschutzbeauftragten begründete das Gericht damit, dass es bei Ausfällen des internen Datenschutzbeauftragten zu kontrollfreien Situationen kommt. Sollen diese verhindert werden, ist eine kompetente Vertretung auschlaggebend. Der Vertreter ersetzt den Datenschutzbeauftragten vollumfänglich während dieser Zeit und sollte aus diesem Grund identische Rechte wie dieser besitzen. Hierdurch entsteht auch kein Kompetenzkonflikt, da der Vertreter nur für den Datenschutzbeauftragten eintritt, sofern dieser in seiner Amtsausführung verhindert ist.

Auch, wenn keine Pflicht der Bestellung eines stellvertretenden Datenschutzbeauftragten durch das BDSG für nicht-öffentliche verantwortliche Stellen besteht, ist dieser kein freiwilliger Datenschutzbeauftragter, bei dem folglich kein besonderer Kündigungsschutz greifen würde. Besonders, weil der Vertreter die Aufgaben des Datenschutzbeauftragten vollständig übernimmt, gebührt ihm ein besonderer Schutz, um ihn vor der Degradierung zum „Datenschutzbeauftragter zweiter Klasse“ zu schützen.

Der Kündigungsschutz des Datenschutzbeauftragten greift allerdings nicht ein, wenn der Stellvertreter keine Aufgaben als Datenschutzbeauftragter während des Vertretungszeitraumes wahrgenommen hat.

„ Datenschutzbeauftragter Kündigungsschutz “ – Wann gilt der besondere Kündigungsschutz?

Aus der Entscheidung können folgende wichtige Punkte entnommen werden.

(1)      Ist eine Stelle verpflichtet einen Datenschutzbeauftragten zu bestellen (§ 4f Abs. 1 BDSG), genießt dessen Vertreter denselben Kündigungsschutz nach § 4f Abs. 3 BDSG.

(2)      Der stellvertretende Datenschutzbeauftragte ist kein freier Datenschutzbeauftragter, für ihn gilt deshalb grundsätzlich immer der Kündigungsschutz nach § 4f Abs. 1 BDSG, unabhängig ob das Unternehmen verpflichtet ist, einen Stellvertreter zu bestellen, oder nicht.

(3)      Hat der Stellvertreter während des Vertretungsfalls keine Aufgaben als Datenschutzbeauftragter tatsächlich ausgeübt, so gelten für ihn auch keine besonderen Kündigungsschutzvorschriften nach § 4f Abs. 1 BDSG.

Gibt es Alternativen?

Es erscheint für nicht-öffentlich verantwortliche Stellen (insbesondere Unternehmen) wenig attraktiv, einen Stellvertreter für einen Datenschutzbeauftragten zu bestellen. Gerade weil der Stellvertreter innerhalb einer begrenzten Zeit agiert, besteht der Bedarf für einen stellvertretenden Datenschutzbeauftragten lediglich für diese Dauer. Durch das Gesetz ist es für den Arbeitgeber nicht möglich, den Vertrag auf diese Dauer zu beschränken, da der nachwirkende Kündigungsschutz nach § 4f Abs. 3 BDSG eingreift.

Sie möchten sich im Datenschutz besser positionieren und einen Datenschutzbeauftragten bestellen, haben allerdings nicht die Zeit bzw. Lust sich mit dem Thema „ Datenschutzbeauftragter Kündigungsschutz “ auseinandersetzen? Ein „externer Datenschutzbeauftragter“ kann die Lösung für dieses Problem sein.

In der Regel wird bei der Bestellung eines externen Datenschutzbeauftragten kein Vertrag mit einer Einzelperson vorgenommen, sondern mit einem Unternehmen. Das Unternehmen, welches die Position „externer Datenschutzbeauftragter“ stellt, gewährleistet, dass eine kompetente Vertretung für diesen bereitsteht, sofern Bedarf besteht. Folglich entfällt/entfallen:

  • die Suche nach einem geeigneten internen Vertreter für den Datenschutzbeauftragten,
  • die vertragliche Bindung einer weiteren Person (stellvertretender Datenschutzbeauftragter),
  • die Probleme rund um das Thema „ Datenschutzbeauftragter Kündigungsschutz “, da ein externer Datenschutzbeauftragter keinen bzw. „nur den des Vertrages“ besitzt und eine kürzere Bestellungsdauer in diesem Kontext leichter zu realisieren ist.

Zusätzlich ergeben sich weitere Vorteile, die für die Bestellung eines externen Datenschutzbeauftragten sprechen. Der externe Datenschutzbeauftrage:

  • besitzt eine zertifizierte bereits vorhandene Fachkunde, auf die man sofort zugreifen kann,
  • ist eine Person, die sich vollumfänglich nur mit datenschutzrechtlichen Themen befasst,
  • ist unvoreingenommen bei der Bearbeitung von Sachverhalten und hat somit den Blick fürs Detail,
  • besitzt Datenschutz Know-how aus anderen Unternehmen und Branchen,
  • nimmt eine neutrale Position innerhalb und außerhalb des Unternehmens ein und kann diese zum Nutzen des Auftraggebers / der verantwortlichen Stelle einsetzen
    (das „Wer trägt welchen Hut“ -Problem entfällt),
  • weiterhin kann sich bei der Beauftragung eines externen Dienstleisters, z. B. auch in der Funktion des Datenschutzberaters, die Möglichkeit der Beratungsförderung aus Mitteln des Europäischen Sozialfonds (ESF) eröffnen.

Fazit

Mit dem Urteil des Arbeitsgerichtes Hamburg wurde der Kündigungsschutz des Datenschutzbeauftragten nach § 4f Abs. 3 BDSG auf dessen Stellvertreter ausgeweitet.  Dies birgt für nicht-öffentliche verantwortliche Stellen (insbesondere Unternehmen) das Risiko, dass eine ordentliche Kündigung bei Ablauf der Vertretungsdauer erst innerhalb eines weiteren Jahres Geltung erlangen kann. Umgangen werden kann der besondere Kündigungsschutz mit der Bestellung eines „externen Datenschutzbeauftragten“. Ein „externer Datenschutzbeauftragter“ kann entweder als Datenschutzbeauftragter oder als Vertretung für den internen Datenschutzbeauftragten eingesetzt werden. Zudem können die gewonnenen Kenntnisse auch in der Zukunft durch eine Unterstützung des internen Datenschutzbeauftragten einen klaren Mehrwert bieten. Der „externe Vertretungsdatenschutzbeauftragte“ fungiert dann als Datenschutzberater für das Unternehmen.

Haben Sie Fragen zum Thema „ Datenschutzbeauftragter Kündigungsschutz “, dann nehmen Sie direkt Kontakt mit uns auf oder holen Sie sich ein unverbindliches Angebot zum Datenschutz , z. B. zur Dienstleistung „externer Datenschutzbeauftragter“, ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Beschäftigtendatenschutz und Briefgeheimnis in Unternehmen – Wann darf die Post geöffnet werden?

Briefgeheimnis in UnternehmenKaum werden Mitarbeiter beschäftigt kommt die Frage über das Briefgeheimnis in Unternehmen auf. Es ist hierbei absolut nebensächlich, ob es sich um Unternehmen (von der kleinen Firma bis zum großen Konzern), Behörden, Vereine oder sonstige sogenannte Verantwortliche Stellen handelt. Eingehende Briefe werden regelmäßig von einem Mitarbeiter bzw. der Poststelle geöffnet und an die Kollegen ausgegeben bzw. weitergeleitet. Die geöffnete Post durchläuft hierbei schnell eine Vielzahl an Stationen im Hause des Arbeitgebers bis sie dann schließlich irgendwann im Postfach oder auf dem Schreibtisch des Empfängers landet.  Der Zugriff bzw. die Einsicht in die Post durch die Mitarbeiter oder die Geschäftsführung und das Aufbewahren der Post in offenen Postfächern führen oftmals zu Konflikten, da Unbefugten bzw. Nicht-Berechtigten der Zugriff auf personenbezogene Daten, vertrauliche Daten sowie Betriebsgeheimnisse viel zu leicht ermöglicht wird.

Wissen Sie, welchen Weg die Post in Ihrem Hause durchläuft?

Der Grund für entstehenden Streitigkeiten kann z. B. das Briefgeheimnis sein. Gemäß Artikel 10 des Grundgesetzes (GG) ist das Briefgeheimnis unverletzlich, wobei das unbefugte Öffnen und die unbefugte Kenntnisnahme eines Briefes oder eines anderen Schriftstücks, laut § 202 Strafgesetzbuch (StGB),  zu einer Geld- oder Freiheitsstrafe von einem Jahr führen können. Um gegen § 202 StGB zu verstoßen, reicht das bloße Öffnen des Briefes oder eines anderen Schriftstücks. Aus diesem Grund ist die Wahrung des Briefgeheimnisses, Unternehmen, Vereinen, Behörden sowie anderen verantwortlichen Stellen sowie ihren Beschäftigten dringendst anzuraten. In der Praxis sind sich Arbeitgeber und Arbeitsnehmer allerdings oft uneinig, wann das Öffnen erlaubt bzw. rechtswidrig ist.

Die Adressierung der Post ist entscheidend!

Bei der Entscheidung, ob ein Brief oder ein anderes Schriftstück geöffnet werden darf, spielt zunächst die Adressierung des Briefes eine große Rolle.

Unsere Berater greifen auf das „Ampelsystem“ nicht nur für die Tätigkeitsberichte des externen Datenschutzbeauftragten, sondern auch für Berichte eines Datenschutzaudits zurück.  Einen Auszug der Ampel „rot“ – „Finger weg“ und grün – „alles im grünen Bereich“ haben wir für die nachfolgenden Handlungsempfehlungen für Sie verwendet.

Bildschirmfoto 2016-08-15 um 12.28.12Richtet sich die Post an das Unternehmen, wie in dem aufgeführten Beispiel, so können die Briefe bzw. Schriftstücke ohne Bedenken von dem zuständigen Mitarbeiter bzw. der Posteingangsstelle geöffnet werden.

Bildschirmfoto 2016-08-15 um 12.28.22Das zweite Beispiel sollte in der Praxis ebenfalls zu keinen bzw. wenigen Konflikten führen, da in diesen Fällen das Öffnen üblich ist und der aufgeführte Name lediglich als Hilfestellung für die interne Verteilung der Briefe bzw. Schriftstücke angesehen wird.

Bildschirmfoto 2016-08-15 um 12.28.32Steht der Empfänger über dem Unternehmen, so wird häufig erwartet, dass die Briefe dem Empfänger ungeöffnet überreicht werden. Aus dem Urteil des Landgerichts Hamm vom 19. Februar 2003 (Az.  14 Sa 1972/02) geht allerdings hervor, dass die Post ohne einen Vertrauensvermerk, wie zum Beispiel „persönlich“, geöffnet werden kann.

Bildschirmfoto 2016-08-15 um 12.28.41Auch der Vermerk „zu Händen“ bzw. „z. Hd.“ schützt nicht vor dem Öffnen. Briefe mit dem Vermerk, der zur Erleichterung der Verteilung dient, dürfen vom zuständigen Mitarbeiter bzw. der Poststelle geöffnet werden. (LG Arnsberg, Urteil vom 27. Oktober 1989 – 1 O 367/89)

Bildschirmfoto 2016-08-15 um 12.28.49Bei der Adressierung mit dem Hinweis „care off“, kurz „c/o“, bzw. „per Adresse“, kurz „p. Adr.“, ist vom Öffnen der Post abzuraten. Der Vermerk lässt sich zwar nicht eindeutig zuordnen, allerdings sollte von einem privaten Vorhaben des Absenders ausgegangen werden.

Bildschirmfoto 2016-08-15 um 12.29.02Briefe und weitere Schriftstücke mit Vertraulichkeitsvermerken, wie „Persönlich“, „Vertraulich“, „Privat“ etc.  sollten ebenfalls ungeöffnet ausgehändigt werden. Beim Öffnen der Briefe liegt in diesem Fall ein klarer Verstoß gegen das Briefgeheimnis vor (LAG Hamm, Urteil vom 19. Februar 2003, Az. 14 Sa 1972/02).

Des Weiteren sollten Briefe bzw. andere Schriftstücke, die zum Beispiel an den Betriebsrat, die Personalabteilung, den Betriebsarzt gerichtet sind, ebenfalls nicht durch andere Mitarbeiter, z. B. in der Poststelle, geöffnet werden, da diese sensible Daten enthalten könnten (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz bzw. Personaldatenschutz). Darüber hinaus sollten auch Mitarbeiter der Poststelle auf das Datengeheimnis, gemäß § 5 Bundesdatenschutzgesetz (BDSG), verpflichtet werden.

Benötigen Sie Unterstützung bei der Verpflichtung auf das Datengeheimnis gemäß § 5 BDSG oder bei einer Verpflichtungserklärung auf das Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz (TKG)? Gerne stehen Ihnen unsere Berater als externer Datenschutzbeauftragter oder Datenschutzberater unterstützend und bedarfsgerecht zur Seite. Nehmen Sie Kontakt zu uns auf oder fordern Sie bequem ein unverbindliches Datenschutz-Angebot an.

Nach Öffnen der Post sollte zudem sichergestellt werden, dass die Briefe dem Empfänger, ohne Einsicht durch Dritte (Unbefugte), übergeben werden. Es sind geschlossene Postfächer zu empfehlen, da mit dieser Maßnahme der Zugriff auf sensible Daten/Informationen erschwert und somit Risiken minimiert werden können. Hierdurch ist es nicht nur leichter das Briefgeheimnis zu wahren, sondern generell etwas für mehr Datenschutz zu erreichen.

Schutz der elektronischen Post (E-Mail)

Neben dem Briefgeheimnis sieht der Gesetzgeber einen Schutz für die elektronische Post vor. Erlaubt oder duldet der Arbeitsgeber eine Privatnutzung des dienstlichen E-Mail-Postfachs, so tritt er als Telekommunikationsanbieter auf und muss sich an das Fernmeldegeheimnis, gemäß § 88 TKG halten. Das Fernmeldegeheimnis ist, laut § 10 GG, wie das Post- und Briefgeheimnis unverletzlich. Aus diesem Grund darf der Arbeitgeber bei der erlaubten oder geduldeten Privatnutzung unter anderem nicht auf die E-Mail-Postfächer der Mitarbeiter zugreifen.

Wird bei Ihnen jegliche Post vom Personal der Poststelle geöffnet oder habe Sie Fragen zur Privatnutzung des dienstlichen E-Mail-Postfachs? Dann nehmen Sie Kontakt zu uns auf.

Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

 

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

LG Düsseldorf: Facebook Like-Button und Social-Plugins sind rechtswidrig

Like Buttons Datenschutz konform einsetzen

In seinem aktuellen Urteil vom 09.03.2016 (AZ: 12 O 151/14) hat das Landgericht Düsseldorf (LG Düsseldorf) entschieden, dass allein die Integration des Facebook Like-Button und anderer Social-Plugins auf Websites ohne die Einwilligung der betroffenen Seitenbesucher und ohne Angabe über Zweck und Funktionsweise des Buttons rechtswidrig ist. Selbstverständlich nimmt dies Einfluss auf die Datenschutzabteilungen in Unternehmen und Behörden, insbesondere auf die Tätigkeit des Beauftragten für den Datenschutz (kurz Datenschutzbeauftragter).

 

Folgen des Urteils

Bei direkter Integration des Like-Button von Facebook setzt dieser auf dem Rechner des Nutzers sogenannte Cookies. Durch diese sendet der Browser sofort bei Aufruf der jeweiligen Webseite dessen Daten, u.a. die IP-Adresse, an den europäischen Facebook-Serverstandort in Dublin (Irland) und i. d. R. von dort aus weiter in die USA. Hierbei spielt es keine Rolle, ob der Nutzer bei Facebook registriert ist oder nicht. Sollte der Nutzer Mitglied bei Facebook sein und ist während des Besuchs der Seite bei diesem Dienst eingeloggt, werden dessen Informationen und Aktivitäten auf der besuchten Seite mit dem Profil bei Facebook verknüpft und gespeichert. Ähnlich verhält es sich mit anderen sozialen Netzwerken wie Google+, Twitter oder Xing.

Hierfür bedarf es jedoch -nach Ansicht des Gerichts-, neben einer ausführlichen Information des Nutzers, auch dessen ausdrücklicher Einwilligung. Das Urteil (mit Sachstand: 09.03.2016) ist noch nicht rechtskräftig. Zudem stehen noch weitere Entscheidungen in diesem Zusammenhang aus, wie etwa die Entscheidung, ob es sich bei IP-Adressen überhaupt um personenbezogene Daten handelt. Der Bundesgerichtshof hat diese Frage bereits dem Europäischen Gerichtshof vorgelegt. Rein vorsorglich sollte bei internen Prozessen und Verfahren (in Unternehmen und behördlichen Organisationseinheiten) davon ausgegangen werden, dass IP-Adressen als personenbezogene Daten zu sehen sind. Das aktuelle Urteil des Landgerichts Düsseldorf erhöht jedoch zweifellos das Risiko einer Abmahnung durch den Einsatz des Facebook Like-Button.

 

Möglichkeiten für Webseitenbetreiber

Um das Abmahnungsrisiko zu minimieren, könnte auf eine Erweiterung der sog. 2-Klick-Lösung umgestellt werden. Die Anwendung des sog. „Shariff“ gilt derzeit als rechtssicherste und trotzdem nutzerfreundliche Methode zur Einbindung des Facebook Like-Buttons und anderen Social-Plugins. Dabei handelt es sich um eine von dem Computermagazin c’t entwickelte technische Lösung, die es ermöglicht, dass Social-Plugins erst aktiviert werden, wenn der Nutzer auf diese klickt. Auf diese Weise werden, ohne aktives Handeln des Nutzers, keine Daten an Anbieter von Social-Plugins übertragen. Darüber hinaus muss natürlich auch die Datenschutzerklärung der Websites entsprechend angeglichen bzw. ggf. erweitert werden. Ob diese Lösung gänzlich rechtskonform ist, hat das Gericht zwar ausdrücklich offen gelassen, sie bietet aber in jedem Fall die derzeit beste und sicherste Alternative, sofern nicht generell auf eine Einbindung von Social-Plugins verzichtet werden soll oder aus betriebswirtschaftlichen Gründen der Einsatz nahezu gefordert wird.

Fast schon unterstützt, könnte man meinen, wird die Anwendung „Shariff“ sogar von Seiten der Aufsichtsbehörde Schleswig-Holstein, die sie als „datenschutzfreundliche Technologie, (..) die für jeden Webseitenbetreiber obligatorisch sein sollte“ beschreibt. Andere Lösungen, wie etwa ein „Pop-Up-Fenster“ mit entsprechender Information und Einwilligungsmöglichkeit, dürfte dagegen nicht ausreichen, da auch hier die Informationen bereits durch das bloße Laden der Seite an die Anbieter übertragen werdenBetroffene (Nutzer) sind allerdings bereits vor der Erhebung, Verarbeitung oder Nutzung Ihrer Daten zumindest zu unterrichten. Denn schon bei der Erhebung personenbezogener Daten muss der Betroffene über wichtige Aspekte der Verarbeitung personenbezogener Daten informiert werden.

Fazit

Eine Einschränkung der intransparenten Datenerhebung durch soziale Netzwerke wie Facebook, Google+, Twitter, Xing und Co ist grundsätzlich begrüßenswert. Dass dies vielfach auf dem Rücken der Webseitenbetreiber ausgetragen wird, ist für dagegen bedauerlich. Sind Sie oder Ihr Arbeitgeber Webseitenbetreiber?  Haben Sie Fragen zur Integration von Social-Plugins auf Ihrer Webseite?

Falls Sie einen Datenschutzbeauftragten haben, lassen Sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt zu uns auf und klären Sie durch professionelle Beratung alle Fragen rund um die Einbindung von Social-Plugins auf Ihrer Webseite.