Hohe Strafen bei Verstößen

Stiefkind Datenschutz - was Firmen riskieren

25.02.2009
Datenschutz wird in der Praxis oft vernachlässigt. Das ist gefährlich, sagen Thomas Feil und Alexander Fiedler.

Dass Unternehmen dem Thema Datenschutz nicht die Aufmerksamkeit zukommen lassen, die dem Thema eigentlich gebührt, liegt teils an der Nachlässigkeit der Verantwortlichen, teils aber auch an rechtlicher Unkenntnis. Der fehlerhafte Umgang mit personenbezogenen Daten wird gemäß dem Bundesdatenschutzgesetz und dem Telemediengesetz mit einem umfangreichen Bußgeld- und Strafvorschriftenkatalog geahndet (§§ 43, 44 BDSG, § 16 TMG). Die folgenden Beispiele stellen eine kleine Auswahl der zahlreichen tatsächlichen und rechtlichen Fragestellungen des Datenschutzes im Bereich der neuen Medien dar.

Datenschutzrechtliche Relevanz von IP-Adressen

Wenn ein Computer eine Verbindung mit dem Internet herstellt, wird ihm von Seiten des Internet-Providers (z.B. Telekom) eine sogenannte IP-Adresse zugewiesen. Eine IP-Adresse ist eine Zahlenkolonne (z.B. 123.456.24.1), die es dem Internet-Provider erlaubt, ein bestimmtes Endgerät für die Dauer der Verbindung eindeutig zu identifizieren und an dieses Daten zu versenden. Besucht nun ein Nutzer einen Internetauftritt, so wird die IP-Adresse des Endgeräts auch der Internetpräsenz bekannt gegeben. Häufig wird die IP-Adresse dort in sogenannten Logfiles gespeichert. Diese können dann für statistische Zwecke ausgewertet werden.

Es stellt sich dabei die Frage, ob bereits die IP-Adresse ein personenbezogenes Datum ist, denn jedenfalls theoretisch könnte mit ihrer Hilfe ermittelt werden, welche Websites ein bestimmter Nutzer aufgerufen hat. Bejahendenfalls wäre eine Speicherung und Auswertung nur in den strengen Grenzen des Datenschutzrechts möglich.

Juristisch umstritten

Diese Frage ist in der juristischen Literatur und Rechtsprechung sehr umstritten. Als personenbezogene Daten werden Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person verstanden (§3 I BDSG). Es kommt also darauf an, ob eine Person bereits mittels ihrer IP-Adresse identifizierbar ist. Eine Zuordnung der Person zu der IP-Adresse ist nur dem Internet-Provider und anderen Internetdienstleistern möglich, denen weitere Daten des Nutzers bekannt sind, z.B. Online-Banking-Dienste. Für sie ist eine IP-Adresse zweifelsohne ein personenbezogenes Datum.

Schwieriger wird es bei einer x-beliebigen Website. Deren Betreiber ist nur die IP-Adresse bekannt. Er kann ohne Mithilfe des Internet-Providers die Person hinter der IP-Adresse nicht ausmachen und der Internet-Provider wiederum darf die Identität des Nutzers nicht preisgeben. Daher ist es gut vertretbar, dass für einen normalen Website-Betreiber die IP-Adresse ohne verfügbare weitere Daten keinen Personenbezug aufweist (so auch AG München 30.09.2008, Az.: 133 C 5677/08). Anders sieht es dagegen das AG Berlin-Mitte (27.03.2007, Az.: 5 C 314/06, bestätigt durch das LG Berlin 06.09.2007, Az.: 23 S 3/07), das darauf abstellt, dass es rein technisch möglich ist, mit Hilfe weiterer Daten von Dritten, eine bestimmte Person zu identifizieren. Dass diese Möglichkeit nach geltendem Recht grundsätzlich verboten und in der Praxis auch eher fernliegend ist, störte das Gericht nicht. Daher urteilte das AG-Berlin Mitte, dass jede IP-Adresse ein personenbezogenes Datum ist.

Zwar sprechen die besseren Argumente dafür, IP-Adressen nur dann dem Datenschutzrecht zu unterwerfen, wenn eine tatsächliche Identifizierbarkeit des Nutzers möglich ist. Das beträfe nur den Internet-Provider oder Internetdienste, die durch Dateneingabe des Nutzers diesen identifizierbar machen. Da die Frage bisher noch nicht höchstinstanzlich geklärt ist, sollte einstweilen sicherheitshalber davon ausgegangen werden, dass IP-Adressen personenbezogene Daten darstellen und daher nur im Rahmen des Datenschutzrechts verwertet werden dürfen. Das bedeutet unter anderem, dass Logfiles von Internetpräsenzen keine IP-Adressen speichern sollten. Bei vielen Hosting-Providern kann man diese Funktion mittlerweile deaktivieren. Andernfalls sollte der Webspace-Provider schriftlich aufgefordert werden, Logfiles nicht mehr oder nur noch anonymisiert zu speichern.

Auskunftsanspruch gegenüber speichernden Stellen

Wer personenbezogene Daten speichert, ist dem Betroffenen gegenüber zur Auskunft verpflichtet. Dabei kann nicht nur Auskunft über die Daten, welche zur Person des Betroffenen gespeichert sind, verlangt werden, sondern es besteht regelmäßig auch ein Auskunftsanspruch, der sich auf die Herkunft der Daten und den Zweck der Speicherung bezieht. Für den Fall, dass die Daten weitergegeben worden sind, hat der Betroffene sogar ein Recht auf Kenntnis der Empfänger der Daten. Gemäß § 34 Abs. I S. 2 BDSG soll der Betroffene sein Auskunftsverlangen präzisieren. Diese "Soll"-Vorschrift ist nicht zwingend und der Betroffene kann auch schlicht "Auskunft" verlangen. Damit sind im Zweifel "alle" gespeicherten Daten gemeint.

Die vorbenannten Rechte können nicht nur gegenüber Unternehmen, deren Geschäftszweck das Sammeln von Daten ist (z.B. SCHUFA oder Adresshändler) geltend gemacht werden. Auch kleine Unternehmen, bei denen personenbezogene Daten eher nebenbei anfallen, sind verpflichtet, Auskunft zu erteilen. Diese Verpflichtung gilt auch für Online-Dienstleister (§ 13 Abs. VII TMG). Prinzipiell sind daher nebenberufliche Betreiber von kleinen Onlineshops und große Internet-Versandhäuser unterschiedslos betroffen. Die Auskunft ist grundsätzlich schriftlich (§ 34 Abs. III BDSG) und auch kostenfrei (§ 34 Abs. V S. 1 BDSG) zu erteilen. Nur ausnahmsweise kann davon abgewichen werden.

Unternehmen verweigern oft die Auskunft aus Unkenntnis ihrer Verpflichtung, wegen technischer Schwierigkeiten oder wegen unzumutbarer Zeitbelastung. Eine solche Argumentation läuft dem geltenden Recht zuwider und eine Weigerung ist schlicht rechtswidrig (Gola/Schomerus, § 34 Rn. 5 BDSG). Es ist Sache der speichernden Stelle, die technischen und organisatorischen Voraussetzungen für eine umfassende Auskunftserteilung gegenüber dem Betroffenen zu schaffen. Wenn ein Unternehmen der organisatorischen oder finanziellen Belastung nicht gewachsen ist, darf es eben keine Daten erheben.

Rechtliche Fallstricke der EDV-Wartung

Ein praxisrelevantes Sonderproblem des Datenschutzes betrifft vorrangig Ärzte, Anwälte, Amtsträger, Wirtschaftsprüfer sowie bestimmte Versicherungen und Abrechnungsstelle. Denn bei ihnen kann das Offenbaren eines fremden Geheimnisses mit einem Freiheitsentzug von bis zu einem Jahr bestraft werden (§ 203 StGB). Geheimnisse werden definiert als Tatsachen, die sich auf den Betroffenen beziehen, nur einem begrenzten Personenkreis bekannt sind und an denen ein sachlich begründetes Geheimhaltungsinteresse besteht. Schon das Bestehen eines Vertragsverhältnisses kann unter Umständen als Geheimnis angesehen werden und muss dann auch vertraulich behandelt werden (Heghmanns/Niehaus, NStZ 2008, 57, 58).

Was an sich eine Selbstverständlichkeit darstellt, kann im EDV-Bereich zu schwer lösbaren Konflikten führen. Der BGH hat entschieden, ein Offenbaren eines Geheimnisses könne bereits darin zu sehen sein, dass ein externer EDV-Dienstleister bei seinen Wartungsaufgaben Zugriff auf relevante Datensätze eingeräumt bekommt und dadurch ohne Weiteres eine Kenntnisnahme des Geheimnisses möglich ist (BGH NJW 1995, 2915, 2916). An dieser Beurteilung ändert sich selbst dann nichts, wenn der Dienstleister seinerseits vertraglich zur Geheimhaltung verpflichtet wird (vgl. Weidemann in: von Heintschel-Heinegg, Beck’scher Online-Kommentar, § 203, Rn. 32).

Das mag insofern verwundern, als dies bei fest angestellten Arbeitnehmern anders beurteilt wird, da dann zwischen Arbeitgeber und Arbeitnehmer eine Funktionseinheit vorliegt und daher EDV-Wartungen auch bei Zugriff auf geheimnisrelevante Daten möglich ist.

Im Einzelnen sind im Bereich der EDV-Wartung durch externe Dienstleister aber noch viele Fragen ungeklärt. Um eine Kenntnisnahme Dritter auszuschließen und den Straftatbestand zu umgehen, ist es daher betroffenen Auftraggebern in jedem Fall anzuraten, die maßgeblichen Daten unkenntlich zu machen oder einen zuverlässigen Verschlüsselungsmechanismus einzusetzen (Cierniak in: Münchener Kommentar zum StGB, § 203 StGB, Rn. 48).

Online-Communities und Suchmaschinen - Arbeitgeber auf Spurensuche im Netz

Ein erst seit wenigen Jahren zu beobachtendes Phänomen stellen Online-Plattformen wie studivz.de und facebook.com dar. Sie richten sich vor allem an jüngere Menschen und laden Nutzer dazu ein, sich und das eigene Privatleben öffentlich zur Schau zu stellen. Neben Hobbys, Bildungsabschlüssen und dem Beziehungsstatus kann man hier auch eigene Freunde "verlinken", private Fotos hochladen und öffentlich zur Diskussion freigeben.

Längst haben viele Arbeitgeber diese Communities als ergiebige Informationsquelle über neue Bewerber entdeckt. Hier können authentische Eindrücke über Personen gewonnen werden. Diese sind allerdings meist nicht nur vorteilhaft. Besonders dann, wenn Partyfotos hinterlegt sind, die den Bewerber alkoholisiert und in peinlichen Posen zeigen oder wenn als "Freunde" verlinkte Personen seltsam gestaltete Profilseiten haben, hinterlässt dies einen fragwürdigen Eindruck.

Vielen Nutzern solcher Websites ist überhaupt nicht bewusst, dass neben Bekannten und Freunden auch künftige Arbeitgeber Zugriff auf die Profile haben können. Dieses Bewusstsein entwickelt sich auch erst sehr langsam. Zwar hat beispielsweise studivz.de folgenden Passus in die AGB aufgenommen" Nicht gestattet ist (…) die Verwendung der Daten eines Nutzers zum Zwecke der Personaldatenerhebung durch Arbeitgeber (…)". Wirklich zu Ende gedacht ist das aber nicht, denn einerseits ändert dies nämlich nichts an der rein faktischen Möglichkeit, sich zahlreiche Informationen über Bewerber zu beschaffen. Andererseits ist der sich informierende potenzielle Chef-in-spe zu diesem Zeitpunkt noch gar kein "Arbeitgeber". Da Auslegungsschwierigkeiten in Allgemeinen Geschäftsbedingungen bekanntlich zu Lasten des Verwenders gehen (§ 305c Abs. 2 BGB), lässt es sich gut vertreten, dass sich ein -Noch-nicht-Arbeitgeber sehr wohl über studivz.de informieren darf.

"Das Internet vergisst nicht …"

Weitere Gefahren für Bewerber lauern auch außerhalb von Online-Communities. Man sagt oft, "das Internet vergisst nicht". Was einmal ins Internet gestellt worden ist, kann (einmal abgesehen von der urheberrechtlichen Zulässigkeit) frei kopiert werden, wird meist nicht mehr gelöscht und ist daher sehr lange Zeit abrufbar. Tippt man nun in Suchmaschinen den Namen eines Bewerbers ein, z.B. Frank Müller, so wird offenbar, wo diese oder eine gleichnamige Person überall Spuren hinterlassen hat. Setzt man den Namen dann auch noch in Anführungszeichen, "Frank Müller", so wird die Suche noch akkurater. Der gesuchte Name kann so z.B. auf Websites, Vereinspräsenzen, in Diskussionsforen oder Zeitungsartikeln auftauchen.

Diese Art von "Detektivarbeit" mittels Suchmaschinen ist rechtlich unbedenklich, denn die Informationen sind schließlich öffentlich für jedermann zugänglich. Die Frage, ob die Informationen von anderen Personen überhaupt ins Netz gestellt werden durften, ist davon unabhängig zu beurteilen. Oft dürfte es für Betroffene auch rein tatsächlich sehr schwer sein, die Informationen wieder aus dem Web zu löschen, denn oft sind die Inhaber der Websites mit den maßgeblichen Informationen (trotz Impressumspflicht und Nutzung von Registrierungsdatenbanken wie denic) nur schwer ermittelbar oder nur bedingt kooperativ.

Weitere Informationen und Kontakt:

Rechtsanwalt Thomas Feil, Fachanwalt für IT-Recht, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de, und Dipl.-Jur. Alexander Fiedler, Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover, E-Mail: fiedler@iri.uni-hannover.de, Internet: www.iri.uni-hannover.de