Das Innenministerium in Baden-Württemberg als Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich hat Hinweise für den Einsatz von Webanalysetools herausgegeben.

Es verweist u.a. auf den Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
vom 26./27. November 2009.

In diesem Beschluss wurde festgehalten, dass das Nutzerverhalten unter Verwendung der vollständiger IP-Adresse wegen der Personenbeziehbarkeit nur dann erlaubt ist, wenn der Nutzer zuvor bewusst und eindeutig seine Einwilligung dazu erteilt hat.
Folglich ist von der Nutzung von Google Analytics und ähnlichen Tools abzuraten.
Google bietet nun die Möglichkeit, den Google Analytics-Code um die Funktion „_anonymizeIp()“ zu erweitern. Dadurch werden vor der Verarbeitung der anfragenden IP-Adresse die letzten 8 Bit gelöscht, wodurch eine Identifizierung des Webseiten-Nutzers nicht mehr möglich ist.
Allerdings ist zu beachten, dass die Nutzung von Analysetools in der Datenschutzerklärung der Website zu erwähnen ist.
Schließlich ist dem Betroffenen die Möglichkeit einzuräumen, seinen Widerspruch gegen die Erstellung von Nutzungsprofilen zu erklären. Google bietet hierfür keine Cockies sondern ein „Deaktivierungs-Add-on für Browser von Google Analytics“. Hier ist zu klären, ob dies für alle Browser-Typen funktioniert.

Fazit:
Wer ein Analysetool wie Google-Analytics einsetzen will muss beachten:
- Dass nicht die komplette IP-Adresse protokolliert wird,

- dass die Datenschutzerklärung auf der Website die tatsächlichen Gegebenheiten wiedergibt und

- dass auf das Widerrufsrecht ordnungsgemäß hingewiesen wird.

Heute hat der Bundesbeauftragte für den Datenschutz Peter Schaar seinen Tätigkeitsbericht vorgestellt.

Hinerin kritisiert er das zögerliche Verhalten der Bundesregierung beim Thema Datenschutz.

Wörtlich hat er formuliert:

“Immer mehr Bürgerinnen und Bürger sind nicht damit einverstanden, in ihrem alltäglichen Verhalten registriert und überwacht zu werden. Ich fordere die Bundesregierung und den Deutschen Bundestag daher auf, diesen Bürgerwillen ernst zu nehmen und die angekündigten datenschutzrechtlichen Vorhaben nun umzusetzen”.

Es bleibt nicht zuletzt aktuell beim Thema Arbeitnehmerdatenschutz spannend.

Das LG Berlin (Az.: 91 O 25/11) hat entschieden, dass die Einbindung des “Gefällt mir”-Buttons von Facebook nicht wettbewerbsrechtlich zu beanstanden ist.

Das Gericht stellte fest, dass es sich bei den Regeln über den Datenschutz nicht um Marktverhaltensnormen gem. § 4 Nr. 11 UWG handelt.

In diesem Zusammenhang ist jedoch darauf hinzuweisen, dass dies keine höchstrichterliche Entscheidung ist. Nach der Auffassung anderer Gerichte können Datenschutzverletzungen durchaus abmahnfähige Wettbewerbsverstöße darstellen (OLG Stuttgart und LG Stuttgart).

Nicht geklärt wurde die datenschutzrechtliche Zulässigkeit der Verwendung des “Gefällt mir”-Buttons.

In diesem Punkt ist eine höchstrichterliche Klärung wünschenswert.

Entscheidung via telemedicus.info

Nach einer Befragung des Wirtschafts- und Sozialwissenschaftlichen Instituts (WSI) in der Hans- Böckler- Stiftung gaben 14 Prozent der Betriebsräte (befragt als Belegschaftsvertreter) an, dass es durch das Management im Betrieb zur Missachtung von Datenschutzvorschriften gekommen war, wobei die Mehrheit der Befragten davon ausging, dass von den Verstößen ausschließlich die Belegschaft betroffen war.

Die Befragung kann hier abgerufen werden.

Die Europäische Kommission beabsichtigt, im Jahr 2011 einen Vorschlag für eine Neuordnung der Regelungen auf dem Gebiet des europäischen Datenschutzes.  Ziele der geplanten Neuregelung sind:

- Stärkung des Schutzes der Daten des Einzelnen

- Verringerung des bürokratischen Aufwands für Unternehmen

- freier Datenverkehr im EU-Binnenmarkt

- Anpassen des europäischen Datenschutzrechtes an die Herausforderungen der digitalen Welt und der Globalisierung

- Stärkung der Betroffenenrechte

- Vereinfachungen beim Datenaustausch innerhalb und außerhalb des Binnenmarktes

- Stärkung der Aufsichtsbehörden

Bis zum 15. Januar 2011 gibt es ein öffentliches Anhörungsverfahren hierzu.

Die Stellungnahme kann hier abgerufen werden.

Am 17. Dezember 2010 hat der Europäische Datenschutzbeauftragte (EDSB) eine Stellungnahme zur Mitteilung der Kommission über die EU-Strategie der inneren Sicherheit veröffentlicht. Diese Strategie enthält Vorschläge für Maßnahmen, um in Europa die dringendsten Sicherheitsbedrohungen wie z. B. organisierte Kriminalität, Terrorismus und Cyberkriminalität abzuwehren, die EU-Außengrenzen besser zu sichern sowie unsere Widerstandsfähigkeit gegenüber natürlichen und vom Menschen verursachten Katastrophen zu erhöhen (*).
In seiner Stellungnahme betont der EDSB, dass - angesichts der potenziell die Privatsphäre verletzenden Maßnahmen, die im Rahmen der Strategie ergriffen werden sollen - sichergestellt sein muss, dass zwischen dem Ziel der Gewährleistung der Sicherheit der Bürger und dem wirksamen Schutz ihrer Privatsphäre und Daten ein ausgewogenes Verhältnis besteht. Der EDSB bedauert, dass, obwohl die Mitteilung auf Privatsphäre und Datenschutz als Grundrechte verweist, die Kommission nicht erklärt, wie dies in der Praxis umgesetzt werden soll.
Der EDSB unterstreicht ebenfalls, dass die Strategie der inneren Sicherheit aus datenschutzrechtlicher Sicht offensichtliche inhaltliche Verbindungen mit anderen derzeit auf EU-Ebene entwickelten EU-Strategien aufweist, wie dem Informationsmanagement und der Überprüfung des Rechtsrahmens für den Datenschutz. Er fordert daher einen umfassenderen und stärker integrierten Ansatz, der explizite Verknüpfungen und Wechselwirkungen zwischen diesen verschiedenen Initiativen bieten soll.
Peter Hustinx, EDSB, erklärt hierzu: “Die innere Sicherheit ist ein Bereich, in dem es klare Risiken für Eingriffe in die Privatsphäre der Bürger gibt. Deshalb sollten Gedanken zur Sicherheit und zum Datenschutz gleichermaßen ernst genommen werden. Ich bin der Überzeugung, dass eine wirksame Strategie der inneren Sicherheit nicht ohne die Unterstützung einer soliden und ergänzenden Datenschutzregelung erarbeitet werden kann. Um es anders auszudrücken, geht es nicht um Schutz der Privatsphäre oder Sicherheit, sondern brauchen wir sie beide!”
Was die Konzeption und Umsetzung der Strategie angeht, legt der EDSB den Nachdruck insbesondere auf folgende Schwerpunkte:

Rechte der betroffenen Personen: Der EDSB stellt fest, dass die Mitteilung nicht ausdrücklich die Frage der Rechte der betroffenen Personen betrachtet, die ein wesentliches Element des Datenschutzes darstellen. Er fordert die Kommission deshalb auf, die Frage der besseren Ausrichtung der Rechte der betroffenen Personen auf EU-Ebene im Kontext der Umsetzung der Strategie genauer zu analysieren;

eingebauter Datenschutz: Der EDSB hebt die Bedeutung des Konzepts des eingebauten Datenschutzes (Privacy by Design) hervor, das derzeit sowohl für den privaten als auch den öffentlichen Sektor entwickelt wird und ebenfalls eine wesentliche Rolle im Zusammenhang mit der inneren Sicherheit der EU und im Bereich Polizei und Justiz spielen soll;

Folgenabschätzung im Bereich Datenschutz: Der EDSB empfiehlt, dass bei der Umsetzung künftiger Rechtsvorschriften eine eingehende Bewertung der Auswirkungen auf Privatsphäre und Datenschutz - entweder als separate Bewertung oder als Teil der allgemeinen von der Kommission durchgeführten Folgenabschätzung der Grundrechte - durchgeführt wird.
Der EDSB erinnert schließlich an die Notwendigkeit einer echten Bewertung aller bestehenden Rechtsvorschriften, die im Rahmen der Strategie zur Anwendung kommen sollen, bevor neue vorgeschlagen werden.
(*) Mitteilung der Kommission vom 22. November 2010 an das Europäische Parlament und den Rat: “EU-Strategie der inneren Sicherheit: Fünf Handlungsschwerpunkte für mehr Sicherheit in Europa”, KOM (2010) 673 endg.

Quelle: Pressemitteilung des EDSB vom 20.12.2010  Der Europäische Datenschutzbeauftragte

Bundesinnenminister Dr. Thomas de Maizière hat am 22.06.2010 14 Thesen zu den Grundlagen einer gemeinsamen Netzpolitik der Zukunft veröffentlicht.
Unter http://www.e-konsultation.de/netzpolitik kann man bis Freitag, 23.07.2010 seine Meinung zu den Thesen abgeben.

Die Thesen lauten:
These 1: Bewusstsein für gemeinsame Werte schärfen
These 2: Rechtsordnung mit Augenmaß weiterentwickeln
These 3: Freie Entfaltung im Netz und Ausgleich zwischen kollidierenden Freiheitsrechten Privater ermöglichen
These 4: Selbstbestimmung und Eigenverantwortung stärken
These 5: Anonymität und Identifizierbarkeit abwägen
These 6: Verantwortung zwischen Anbietern und Nutzern gerecht aufteilen
These 7: Staatliche Grundversorgung sicherstellen
These 8: Die gesamte Bandbreite des Ordnungsrechts nutzen
These 9: Auf bewährte Eingriffsbefugnisse zurückgreifen
These 10: Realistische Erwartungen an die Sicherheitsbehörden formulieren und ihre IT-Kompetenz verbessern
These 11: Technologische Souveränität wahren
These 12: Online-Angebote nutzerorientiert und kostengerecht ausbauen
These 13: Elektronische Behördendienste am Nutzen ausrichten
These 14: Staatliche IT-Systeme attraktiv und sicher ausgestalten

Die Thesen können als Anstoss dienen, sich mit verschiedenen Aspekten der Netzpolitik zu befassen. Es bleibt jedoch abzuwarten, in welcher Form und in welchem Umfang sie sich in einem künftigen Gesetzestext wiederfinden werden.

Unternehmen sind grundsätzlich gemäß § 4d (1) BDSG verpflichtet, ihre “automatisierten Verarbeitungen” bei der zuständigen Aufsichtsbehörde anzumelden, bevor sie diese in Betrieb nehmen. Die meldepflichtigen Angaben ergeben sich aus § 4e Satz 1 BDSG. Die Angaben der Meldung führt die Aufsichtsbehörde in einem für jedermann einsehbaren Register (auch “Jedermann- Verfahrensverzeichnis” genannt).

Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz1 Nr.1 bis 8 BDSG auf Antrag gem. § 4g Abs. 2 BDSG jedermann in geeigneter Weise verfügbar. Dies erfolgt in Form des „Jedermann-Verfahrensverzeichnisses“, welches die Angaben gem. § 4 e Satz 1 Nr. 1-8 BDSG enthält:

Öffentliches Verfahrensverzeichnis

Dieses Verfahrensverzeichnis wurde zuletzt geändert am:

1. Name oder Firma der verantwortlichen Stelle:

2. Inhaber, Vorstände, Geschäftsführer:

2.1. Leitung der Datenverarbeitung:

2.2. Bestellter Datenschutzbeauftragter:

3. Anschrift der verantwortlichen Stelle:

4. Zweckbestimmung der Datenerhebung, -verarbeitung oder –nutzung:

5. Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Kategorien von Daten:

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:

7. Regelfristen für die Löschung der Daten:

8. Geplante Datenübermittlung in Drittstaaten: geplant/nicht geplant

Personenbezogene Daten von Beschäftigten dürfen nach der Neufassung des Bundesdatenschutzgesetzes BDSG nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 32 Abs. 1 Satz 1 BDSG).

Unter personenbezogenen Daten versteht man Daten, die eindeutig einer bestimmten natürlichen Person zugeordnet sind oder eine solche Zuordnung mittelbar möglich ist.

Der Schutzumfang erstreckt sich auf „Beschäftigte“ und ist somit nicht auf Arbeitnehmer beschränkt.

§ 32 Abs. 2 BDSG regelt nun auch die Datenerhebung, die nicht automatisiert bzw. nicht mit Bezug auf die Verarbeitung oder Nutzung in automatisierten Dateien erfolgt. Dies bedeutet, dass nun auch personenbezogene Daten der Mitarbeiter z. B. auf einem Fragebogen oder in einer manuell geführten Akte den datenschutzrechtlichen Beschränkungen unterliegen.

Gem. § 32 Abs. 1 Satz 2 BDSG können personenbezogene Daten eines Beschäftigten zur Aufdeckung von Straftaten dann erhoben, verarbeitet oder genutzt werden, “wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.”

Die Überprüfung der erfolgten Interessenabwägung wird der Rechtsprechung überlassen bleiben.

Allerdings ist bereits die Erhebung der personenbezogenen Daten eines Beschäftigten nur dann zulässig, wenn schon vor Beginn dieser Erhebung die zu dokumentierenden tatsächlichen Anhaltspunkte für den Verdacht einer begangenen Straftat bestehen. Problematisch ist, dass gem. § 32 Abs. 2 BDSG das Dokumentieren der Verdachtsmomente selbst bereits eine Datenerhebung darstellt, auch wenn dies vom Arbeitgeber handschriftlich erfolgte. Somit ist eine Datenerhebung zulässig, wenn eine dokumentierte Datenerhebung bereits erfolgt ist. Eine solche dokumentierte Datenerhebung wäre jedoch nur zulässig, wenn dort nicht personenbezogene Daten erhoben werden. Dies wäre beispielsweise bei einer anonymisierten Erhebung der Fall. Im Falle einer anonymisierten Erhebung kann jedoch kein Bezug zu einer konkreten Straftat eines bestimmten Mitarbeiters hergestellt werden. Eine dokumentierte Datenerhebung mit personenbezogenen Daten wäre rechtswidrig, da in diesem Fall bereits diese Erhebung ein Erheben von Mitarbeiterdaten darstellt. Zulässig dürfte die Erhebung sein, wenn § 32 Abs.1 BDSG dahingehend versteht, dass dieser auf zusätzliche Erhebungen zur erfolgten Straftat gerichtet ist.

Unzulässig wäre es, lediglich auf Verdacht präventive Kontrollen aller Mitarbeiter durchzuführen. Eine Straftat muss bereits begangen worden sein und zudem ist ein Verdacht gegen einen bestimmten Mitarbeiter erforderlich.

Von einem umfassenden “Arbeitnehmerdatenschutz” kann noch lange nicht gesprochen werden. Insbesondere der Datenschutz im Zusammenhang mit der Frage der Internet- und E-Mail-Nutzung sind noch nicht gesetzlich geregelt.

Es bleibt nur zu hoffen, dass der Gesetzgeber die Problematik nicht aus den Augen verliert und zu klaren, verständlichen und eindeutigen Regelungen findet.