People Performance Management – wenn die elektronische Leistungssteuerung ins Unternehmen einzieht

In den Personalabteilungen großer Unternehmen beginnt sich eine neue Klasse von Businessanwendungen auszubreiten: Die People Performance Management Systeme (PPM) bzw. Business Performance Management Systeme. Sie sollen Methoden, Tools und Prozesse zur Verbesserung der Leistungsfähigkeit und Profitabilität von Unternehmen durch effizientere Bewirtschaftung ihres Personals bereitstellen. Anbieter wie Stepstone Solutions sprechen auch etwas euphemistisch von „Talent Management“. Es ist also wohl noch offen, welche Bezeichnung sich letztlich für diese Form der Personalverwaltung durchsetzen wird.

Schon seit Jahren versuchen Unternehmen die Leistungsabgabe ihrer Beschäftigten zunehmend zu steigern und gleichzeitig besser verwaltbar zu machen, so dass sie gezielt gemanagt werden kann. Ein Instrument dazu ist die indirekte Steuerung als Managementprinzip. Die mit Hilfe evidenzbasierter Personalplanung und damit letztlich IT-gestützt umgesetzt wird.

Dabei fallen naturgemäß zahlreiche Daten an und es bedarf zum Managen der Mitarbeiterleistung definierter Prozesse, was es naheliegend erscheinen lässt, dazu spezielle Anwendungen einzusetzen. Zielvereinbarungen, freiwillige / ergebnisabhängige Entgeltbestandteile, Beurteilungen und Leistungsbewertungen, Fortbildungsmaßnahmen und Personalentwicklungsprogramme – alles was zur Potentialentwicklung, Selektion und optimalem Einsatz der Beschäftigten im Unternehmen eben so getan wird, soll mit dieser neuen Klasse von Anwendungen erfasst, verwaltet und gemanagt werden.

Mögliche, durch PPM-Systeme zu unterstützende Einsatzbereiche wären u.a. Leistungsbeurteilungen, Zielvereinbarungen sowie deren Monitoring, Auswahl von Beschäftigten für Schulungen, Personalentwicklungsprogramme oder interne Versetzungen. Aber auch interne Vergleiche mit anderen Beschäftigten oder Beschäftigtengruppen zur Optimierung der Leistung durch Wettbewerb und Auslesemechanismen. Wie es auch Stephen Baker bereits in seinem Buch „Die Numerati – Datenhaie und ihre geheimen Machenschaften“ beschreibt. Dort erläutert er einen neuen Ansatz von HR-Planungswerkzeugen zur evidenzbasierten Personalplanung, basierend auf mathematischen Modellen in Kombination mit Data-Mining-Technologien.

Klar ist jedoch, dass solche Systeme nur dann sinnvoll eingesetzt werden können, wenn Arbeitgeber darin weitaus mehr Daten  über ihre Beschäftigen ablegen und auswerten, als es zum Zwecke der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses „erforderlich“ i.S.d. BDSG ist. Zumal der Gesetzgeber aufgrund der zahlreichen Datenskandale in der Wirtschaft den einschlägigen § 32 BDSG neu und deutlich enger gefasst hat.

Das bringt insbesondere für betriebliche Datenschutzbeauftragte und Betriebsräte Arbeit mit sich, wenn ihr Unternehmen ein solches System zur besseren Leistungsbewirtschaftung des Personals einführen will, wie es z.B. die Fachzeitschrift „Computer & Arbeit“ in ihrer aktuellen Ausgabe 10/2009 in einem Artikel erläutert.

(der auf der Homepage des Autors Achim Thannheiser auch als PDF heruntergeladen werden kann)

Zumindest die Betriebsräte werden vor der Aufgabe stehen, ob sie die Einführung von PPM-Systemen gestalten oder verhindern wollen. Letzteres wäre durchaus möglich, da das BDSG solche Systeme bei entsprechend enger Auslegung des § 32 eigentlich unmöglich macht.

Gestalten wird auf jeden Fall bedeuten, zahlreiche Funktionen abzuschalten, einzuschränken sowie ihre Nutzung an klare nachprüfbare Regularien zu binden. Und so kommt auch Arbeitsrechtler Thannheiser zu dem Schluss, dass PPM-Systeme die Möglichkeit bieten, den gesamten arbeitenden Menschen zu durchleuchten. Und daher rät er den Mitbestimmungsorganen, Positivlisten mit zulässigen Nutzungen festzulegen, die alles sonst noch Mögliche als unzulässig ausschließen.

Vom Standpunkt der IT-Sicherheit sind PPM-Systeme dagegen nur ein weiterer Teil der Personaldatenverarbeitung, die denselben Schutzbedarf hat wie alle anderen HR-Systeme.

Wie die Rechtsprechung zum erst kürzlich reformierten Datenschutzgesetz mit dieser Art der Personaldatennutzung verfahren wird, ist derzeit noch offen. Es bleibt also spannend …

Helfershelfer räumen ein: Abmahnungen einträglicher als verkaufte Musik

Was Kritiker des deutschen Abmahnrechts schon länger vermuteten, gesteht nun auch eine Firma ein, die potentiellen Abmahnbetrügern das technische Handwerkszeug zur Verfügung stellt: Durch Abmahnbetrug, also das missbräuchliche Nutzen der zivilrechtlichen Abmahnung um gezielt Geld abzuzocken, lässt sich schneller und leichter Geld verdienen als durch den regulären Vertrieb von Immaterialgütern.

Darüber berichtet Gulli.com, nachdem man auf (inzwischen aus dem Netz genommenen) Werbepräsentationen von Digi Rights Solutions GmbH aufmerksam wurde. Einer Firma die Tauschbörsen nach potentiellen Rechteverletzern und möglichen Abmahnkandidaten ausspäht. Oftmals mit durchaus fragwürdigen Methoden. Und die auf ihrer Website etliche Abmahnkanzleien als „Partner“ aufführt.

So Gulli.com:

Eine PowerPoint-Präsentation des Unternehmens könnte den Eindruck erwecken, als wären Abmahnungen nicht vom Gesetzgeber dafür geschaffen worden, um eine formale Aufforderung zu verschicken, damit ein bestimmtes Verhalten zukünftig unterbunden wird. Vielmehr erscheint es fast so, als wäre der Vertrieb von urheberrechtlich geschützten Werken überflüssig. Man veröffentlicht sie und wartet auf die Filesharer, die sich wie Goldfische auf das Brot stürzen, das man ins Wasser wirft.

So wird möglichen Kunden vorgerechnet, wie man mit Hilfe von Abmahnungen bedeutend mehr Geld „verdienen“ (eher abgreifen) kann, als mit ehrlichen und redlichen Geschäftspraktiken sowie ohne Anwaltskanzlei und digitalen Helfershelfern im Hintergrund.

Der Gulli-Artikel zeigt einmal mehr wie reformbedürftig das deutsche Immaterialgüterrecht an sich inzwischen geworden ist. In seiner jetzigen Form verkommt es zunehmend zu einer Grauzone in der sich Nepper, Schlepper, Bauerfänger – kurz Wirtschaftskriminelle aller Art tummeln.

Gleichzeitig ist dies einmal mehr ein Warnsignal an allzu sorglose Tauschbörsennutzer, sich der Datenspur bewusst zu sein, die sie dort hinterlassen. Und sich rechtzeitig um persönlichen Datenschutz und informationelle Selbstverteidigung zu kümmern.

Die von Gulli.com ausgewerteten Werbematerialien sind inzwischen nicht mehr abrufbar. Sie wurden der Firma wohl doch zu heikel bzw. werden wohl nur noch an persönlich bekannte Interessenten herausgegeben.

Update vom 15.10.2009:
Inzwischen ist die im Artikel erwähnte Präsentation über Wikileaks erreichbar geworden und hat auf internet-law.de zu einem Artikel geführt, dessen Autor meine Ansicht zu teilen scheint. Zum „Geschäftsmodell Filesharing-Abmahnungen“ hat sich zudem im XING-Forum „Gewerblicher Rechtsschutz“ eine Diskussion dazu entwickelt, in der sich Anwälte darüber austauschen, wie mit Abmahnbetrügern rechtlich verfahren werden kann.

Datenschutzverband fordert Update für Betriebsvereinbarungen

Mit dem zum 01.09.2009 reformierten Bundesdatenschutzgesetz wurden im neuen § 32 Abs. 1 erste Ansätze eines Arbeitnehmerdatenschutzes implementiert. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur noch verwendet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

Bislang mussten diese Daten für ein Vertragsverhältnis lediglich dienlich sein. In der betrieblichen Praxis gab es dazu immer wieder unterschiedliche Auffassungen. Oftmals wurde dabei die Grenze des für das Beschäftigungsverhältnis wirklich Erforderlichen überschritten, so die Erfahrung der Datenschutzpraktiker des Arbeitskreises „Datenschutz in Recht und Praxis“ im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Für Unternehmen und Behörden besteht jetzt Handlungsbedarf, um die neuen Regelungen zur Stärkung der Persönlichkeitsrechte der Beschäftigten umzusetzen und Vorwürfen nunmehr unrechtmäßiger Datenverarbeitung vorzubeugen. Der Datenschützer-Arbeitskreis empfiehlt daher, die bestehenden Betriebs- und Dienstvereinbarungen zu IT-Anwendungen bezüglich der genutzten Daten, Infotypen, Auswertungen und Zugriffsberechtigungen zu überprüfen und ggf. zu ändern.

So sind Bewerberfragebögen – sowohl in Papierform als auch in Webformularen – auf das für das jeweilige Beschäftigungsverhältnis unbedingt Notwendige zu beschränken. Problematisch sind nach neuem Recht alle Fragen, die weder für die Ausübung der beabsichtigten Tätigkeit noch für die Eingliederung im Betrieb erforderlich sind.

Neben den Personal- und IT-Verantwortlichen sind insbesondere die betrieblichen Interessenvertretungen gefordert, deren Mitbestimmungsrechte bei vielen Personalfragen tangiert werden. Für die betrieblichen und behördlichen Datenschutzbeauftragten sind Prüfungen mit den strengeren Maßstäben der Erforderlichkeit geboten. Alle bisherigen (und künftigen) Vereinbarungen müssen sich an den tatsächlichen Erfordernissen für das Beschäftigungsverhältnis orientieren. Hier sind nach Meinung des Arbeitskreises vielerorts Korrekturen notwendig.

Früher oderspäter dürften sich dann auch IT-Revisoren und Wirtschaftsprüfer für solche Dinge interessieren, da es zu ihren Aufgaben zählt, auf das Entdecken und Abstellen von berichtsrelevanten Compliance-Probleme hinzuwirken.

Die neuen Bestimmungen gelten auch für alle nicht automatisierten Datenerhebungen wie Listen, Karteikarten und sogar Notizen mit personenbezogenen Inhalten in Schubladen oder Zettelkästen. Die Reichweite des neuen Datenschutzgesetzes wurde damit auf nichtelektronische Datenverarbeitung (z.B. in Form von „Nebenakten“ und „Handapparaten“ in den Schubladen mancher Vorgesetzter) ausgedehnt.

Zur Aufdeckung von Straftaten dürfen jetzt personenbezogene Daten eines Beschäftigten nur noch dann verwendet werden, wenn der nachweisbare Verdacht auf eine Straftat im Beschäftigungsverhältnis besteht. Zudem muss die Verwendung dieser Daten zur Aufdeckung der Straftat erforderlich sein. Das schutzwürdige Interesse des Beschäftigten muss hierbei gewahrt bleiben. Insbesondere dürfen Art und Ausmaß der Überwachung im Hinblick auf den Anlass nicht unverhältnismäßig sein. Auf der Suche nach korrupten Einkäufern und gesprächsfreudigen Führungskräften per Massendatenabgleich jeden HiWi im Betrieb durchleuchten zu wollen, wäre in jedem Falle unverhältnismäßig.

Die neuen Bestimmungen zum Beschäftigtendatenschutz sind ein erster Schritt in die richtige Richtung; sie ersetzen aber nicht das dringend notwendige und überfällige Arbeitnehmerdatenschutzgesetz.

Kopiergeschützte Produkte verkaufen kann teuer werden

Vor einigen Jahren sorgte Sony für viel Ärger als man dort auf die schräge Idee kam, Musik-CDs mit einen auf Schadsoftware basierenden Kopierschutzverfahren (XTP – extended copy protection) auszuliefern. Wer eine solche CD auf einem Computer abspielen wollte, musste dazu einen proprietären Player installieren, der dem Rechner u.a. ein Rootkit unterschob. Zumal es rasch Exploits und Trojaner gab, die das Sony-Rootkit für eigene Zwecke nutzten. Der Einsatz von XTC  zog weltweit Klagen und Prozesse gegen Sony nach sich, so dass andere Firmen die Finger von der Idee des Einsatzes von Schadsoftware zum Zwecke der Rechtedurchsetzung ließen.

Doch damit ist das Problem nicht vom Tisch. Denn kürzlich verkaufte ein CD-Fan eine solche Schad-CD von Sony und verursachte so ungewollt die Verseuchung eines Rechnernetzes mit Schadsoftware des Typs „rootkit.b“.

Als Folge davon forderte der CD-Käufer vom Verkäufer Schadensersatz in Höhe von 1.500 € für die Wiederinstandsetzung von drei verseuchten Rechnern, Wiederherstellung von Daten, nötige Zuarbeiten durch einen IT-Spezialisten sowie Anwaltskosten und einen durch die Störung entgangenen Gewinn als Freiberufler. Das Amtsgericht Hamburg-Wandsbek verurteilte den Wiederverkäufer der Schad-CD letztlich dazu 1.200 € zu zahlen (Az. 712 C 113/08).

Vor allem in der ersten Hälfte des Jahrzehnts setzte die Musikindustrie großflächig „Kopierschutztechnologien“ ein, von denen sich das Sony-Rootkit am tiefsten in Windowssysteme einnistete. Aber auch einige andere Verfahren versuchten, ohne Wissen des Nutzers Software zu installieren oder Konfigurationen zu verändern, was teilweise zu Funktionseinschränkungen, Sicherheitslücken und diversen anderen Problemen führte. Inzwischen sind „technische Schutzmaßnahmen“ solcher Art, für welche die Rechteverwerter sogar eine EU-Richtlinie und ein Verbot von „Umgehungsmethoden“ im deutschen Urheberrecht erwirkten, zumindest bei Musik-CDs seltener anzutreffen.

Um es klar herauszustellen: Kopierschutzmethoden, die die Verwendbarkeit von Produkten einschränken (fehlende Gebrauchstauglichkeit) oder gar Abspielgeräte des Kunden schädigen, sind Sachmängel und berechtigen den Kunden zur Rückerstattung des Kaufpreises (Umtausch gegen ein mängelfreies Produkt ist i.d.R. ja nicht möglich). Solche Produkte sind im Grunde genommen „defective by design“, d.h. Ausschussware.

Es sein denn der Verkäufer weist klar auf die Nutzungsvoraussetzungen und Defekte hin. Dann darf auch ein schadhaftes Produkt legal verkauft werden. Das genau hatte der CD-Verkäufer nicht getan und deswegen bekam er den Ärger.

So sieht § 95d des Urheberrechts vor, dass Werke, die mit technischen Maßnahmen geschützt werden, sind deutlich sichtbar mit Angaben über die Eigenschaften der technischen Maßnahmen zu kennzeichnen sind.  Aber auch dann haftet ein Verkäufer auf Basis von Schuldrecht und Vertragsrecht sowie dem Produkthaftungsgesetz immer für Schäden, die sein Produkt bei bestimmungsgemäßer Nutzung anrichtet.

Es empfiehlt sich daher, grundsätzlich auf den Kauf kopiergeschützter Produkte zu verzichten. Dort wo das nicht möglich ist, sollten die Produkte nach dem Erreichen des Endes ihres Lebenszyklusses nicht weiterverkauft sondern entsorgt werden. Auf die Nutzung kommerzieller Unterhaltungsprodukte auf betrieblich genutzten Produktivsystemen sollte gänzlich verzichtet werden.

Das neue Bundesdatenschutzgesetz

Am 01.09. dieses Jahres trat eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die zahlreichen Datenschutzskandale in der Wirtschaft hatten eine lang andauernde und noch keineswegs abgeschlossene Diskussion über strengere Datenschutzstandards sowie das Schließen von Lücken in der Datenschutzgesetzgebung ausgelöst.

Allerdings sorgten Lobbydruck aus der Wirtschaft (speziell der kommerziellen Datenhändler) sowie ein genereller politischer Unwillen dafür, dass bei Fragen der Neuregelung der Datennutzung zum Zwecke der Werbung sowie der Markt- oder Meinungsforschung großzügige Übergangsfristen festgeschrieben werden. Manche im Gesetz enthaltene Veränderungen werden daher erst im Laufe der kommenden Jahre rechtswirksam.  Nicht zuletzt hatte ja auch das Finanzministerium Steuergelder zum Ankauf gestohlener Daten ausgegeben, um so geheime Auslandskonten deutscher Steuerzahler in Staaten mit starkem Bankgeheimnis aufspüren zu können.

Bereits zum 01.04. waren Veränderungen im Datenschutzgesetz in Kraft getreten, mit dem Ziel ausufernden Datenhandel und Scoring mit Hilfe intransparenter Geheimverfahren in den Griff zu bekommen. Gegenstand des nun zweiten Änderungspaketes im Datenschutz sind vor allem die Themen

•    Stärkung der Rechte des Datenschutzbeauftragten (§ 4f Abs. 3)
•    Ordnungsgemäße Auftragsdatenverarbeitung (§ 11 Abs. 2)
•    Umgang mit Adresshandel und Werbung (§ 28 Abs. 3, § 34 Abs. 1a)
•    Elementarer Arbeitnehmerdatenschutz (§ 32)
•    Mitteilungspflichten bei Datenschutzverstößen (§ 42a)
•    Erhöhung der Bußgelder (§ 43 Abs. 3)

Stärkung der Rechte des Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter genießt jetzt ähnlich starken Kündigungsschutz wie ein Betriebsrat. Um sicherzustellen, dass seine Kenntnisse auf dem aktuellen Stand der Technik bleiben, muss er sich regelmäßig fortbilden. Sein Arbeitgeber muss ihm dazu die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten übernehmen.

Auftragsdatenverarbeitung
Von Auftragsdatenverarbeitung spricht man, wenn jemand im Auftrag und nach Weisung eines anderen dessen Datenbestände erhebt, verarbeitet oder nutzt. Ein gutes Beispiel hierfür ist die betriebliche Lohnabrechnung, die von vielen kleineren und mittleren Unternehmen an Dienstleister abgegeben wird. Dabei verbleibt die Verantwortung für das korrekte Tun des Auftragnehmers beim Auftraggeber. Er muss durch entsprechende vertragliche Vereinbarungen und tatsächliche Prüfungen sicherstellen, dass der Auftragnehmer datenschutzrechtlich korrekt arbeitet.  Im Gegensatz zur bisherigen Rechtslage können Nachlässigkeiten hierbei nun mit Bußgeldern von bis zu 50.000 € pro Fall geahndet werden.

Adresshandel und Werbung
Bislang genossen Adresshändler das sogenannte „Listenprivileg“. Sie durften Verbraucherdaten in Tabellenform zu Werbezwecken und zu Zwecken der Markt- und Meinungsforschung an Dritte weitergeben, wenn darin nur bestimmte Kategorien von Daten enthalten waren. Das umstrittene Listenprivileg bleibt auch weiterhin erhalten. Allerdings müssen Unternehmen künftig den Empfänger eines Werbeschreibens darüber informieren, woher sie die über ihn vorhandenen Daten haben. Die Werbung zwischen Unternehmen (B2B) ist davon allerdings nicht betroffen.

Weitere Erleichterungen wurden für Werbemaßnahmen an Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten normiert.

Zudem sind Adresshändler nun verpflichtet, die Herkunft der von ihnen verwendeten Daten sowie die Identität des Empfängers für zwei Jahre zu speichern. Denn bisher scheiterten datenschutzrechtliche Anfragen von Verbrauchern bei Adresshändlern häufig daran, dass diese über die Herkunft ihrer Daten keine Auskunft geben konnten (oder wollten). Dem soll so ein Ende gemacht werden.

Arbeitnehmerdatenschutz
Spitzelskandale wie z.B. die bei Lidl oder der Deutschen Bahn wurden von Verantwortlichen im Nachhinein mit dem Bedürfnis nach präventiven Maßnahmen gegen Wirtschaftskriminalität begründet. Auch wenn hier oftmals Zielsetzung und Vorgehensweise auch bei wohlwollender Betrachtung nicht zusammenpassen wollten. Jetzt dürfen Beschäftigtendaten nur noch bei konkretem und nachweisbarem Anfangsverdacht zur Aufdeckung von Straftaten verwendet werden. Es muss zudem eine Interessensabwägung zwischen den schutzwürdigen Interessen des Beschäftigten und denen des Arbeitgebers stattfinden und dokumentiert werden, die im Zweifel einer rechtlichen Überprüfung standhält.

Mitteilungspflichten
Kommt es in Unternehmen künftig zu einem datenschutzrechtlich relevanten Vorfall und wird dieser bemerkt, so müssen die davon Betroffenen sowie die Datenschutzaufsichtsbehörden informiert werden. Ein solcher Vorfall tritt stets dann ein, wenn es um folgende, besonders sensible Informationsarten geht:

1. Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben,
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder den Verdacht auf solches beziehen,
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Inhaltlich muss diese Information bestimmten Mindestanforderungen genügen und unverzüglich herausgegeben werden. Lediglich laufende Ermittlungen der Polizei dürfen die Benachrichtigung Betroffener zeitlich verzögern. Würde die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen, können statt persönlicher Kontaktierung auch eine (mindestens) halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder andere vergleichbare Maßnahmen eingesetzt werden.

Fallbeispiel :
Dem Bereichsleiter Vertrieb wird auf einer Dienstreise der Laptop mit darauf gespeicherten Kunden- und Abrechnungsdaten gestohlen (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Er muss den Vorfall der zuständigen Aufsichtsbehörde melden. Sobald eine Information an die Betroffenen im Falle einer Strafanzeige einen polizeilichen Ermittlungserfolg (Diebstahl) nicht mehr gefährdet, müssen diese ebenfalls über den unrechtmäßigen Datenabfluss informiert werden.

Erhöhung der Bußgelder
Der Bußgeldrahmen für Verstöße gegen den Datenschutz wurde für einfache Verstöße auf 50.000 € und für schwerwiegende Verstöße auf 300.000 € pro Fall aufgestockt. Wurden aus Datenmissbrauch Gewinn gezogen, kann dieser durch höhere Bußgeldansätze eingezogen werden, da künftig der Grundsatz gilt, dass die Geldbuße den wirtschaftlichen Vorteil aus den Datenschutzverstößen übersteigen soll.

Zusammenfassend lässt sich sagen, dass ein Teil der Forderungen, den Datenschutzexperten bereits seit Jahren erheben, nun nach offensichtlichem Handlungsbedarf tatsächlich umgesetzt wurde. Es bleibt abzuwarten, in wie weit die personell nur sehr sparsam ausgestatteten Datenschutzaufsichtsbehörden jedoch überhaupt in der Lage sein werden, das Gesetz angemessen umzusetzen.

Allerdings halte ich es nur für eine Frage der Zeit, bis z.B. Verbraucherschutzverbände und Gewerkschaften öffentliche Datenbanken einrichten, in denen meldepflichtige Datenschutzverstöße allgemein zugänglich gesammelt werden. Der damit verbundene Reputationsverlust dürfe speziell große Unternehmen und Markenfirmen erheblich mehr treffen, als das (gewinnmindernde und daher steuerlich absetzbare) Bußgeld.

Wie so etwas aussehen könnte, ist unter http://datalossdb.org/, einer von der Open Security Foundation betriebenen öffentlichen Datenbank für datenschutzrelevante Sicherheitsprobleme, zu sehen (auch als RSS-Feed sowie über Twitter abonnierbar).

Neues Hoeren-Skript zum Internetrecht

Der bekannte IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münsterund Richter am Oberlandesgericht Düsseldorf, hat eine neue Fassung des Skripts Internetrecht vorgelegt. Die neue Ausgabe liegt auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster zum kostenfreien Download als PDF-Datei (3,2 MB) bereit.

Obwohl „Skript“ für dieses umfassende, gut 550 Seiten starke Standardwerk zum deutschen IT- und Internetrecht eigentlich heftig untertrieben ist.

Thomas Hoeren gab kürzlich der ZEIT ein Interview, in dem er die überkommenen Strukturen des deutschen Urheberrechts sowie die fragwürdige Praxis des sogenannten „fliegenden Gerichtsstands“ kritisierte und sich zu Ideen wie der Kulturflatrate äußerte.

Arbeitsgericht stellt klar: Cheffe’s E-Mails sind tabu!

Fälle wie dieser werden in der Fachliteratur regelmäßig zitiert, wenn es um die (Un)zulässigkeit des administrativen Ausspähens anderer Leute Mailboxen in der Firma geht: So wies das Landesarbeitsgericht München kürzlich die Kündigungsschutzklage eines Systemadministrators ab (Az. 11 Sa 54/09), der bereits 2007 wegen diverser dienstlicher Pflichtverletzungen gekündigt wurde. Konkret hatte er seine Admin-Rechte dazu genutzt, Dateien der Personalstelle zu lesen und in der Mailbox eines Geschäftsführers zu schnüffeln.

Erwischt wurde der Mann allerdings nicht durch wachsame Datenschützer sondern weil er auch noch so naiv war, mit den ausgedruckten Mails des einen Geschäftsführers zu einem anderen Geschäftsführer Firma zu gehen, um ihn dort anzuschwärzen.

Er brachte zu seiner Verteidigung u.a. vor, es habe zu seinen Aufgaben gehört, die Mails des betroffenen Geschäftsführers zu lesen. Die Firma bestritt dies.

Das Landesarbeitsgericht folgte dem und verwarf die Klage des Ex-Admins. Es begründete sein Urteil damit, dass nach herrschender Auffassung  der Missbrauch von Zugriffsrechten durch Systemadministratoren regelmäßig eine fristlose Kündigung ohne vorherige Abmahnung rechtfertigt. Dies wird fast immer als schwerwiegender Verstoß gegen arbeitsvertragliche Pflichten gewertet.

Die Richter bestätigten damit die vorinstanzliche Entscheidung des Arbeitsgerichts München sowie eine vergleichbare Entscheidung des Arbeitsgerichts Aachen, die bereits 2005 erging.

Daraus folgt das eigentlich Selbstverständliche: Als Admin wird nicht in den Daten anderer Leute geschnüffelt! Denn neben den unangenehmen arbeitsrechtlichen Folgen macht man sich auch strafbar, wenn man es ohne konkrete Anweisung von Berechtigten täte.

Und falls es dazu ausdrückliche Anweisungen von Vorgesetzten gibt, es doch zu tun, lässt man sich diese schriftlich und vom dafür Zeichnungsberechtigten unterschrieben geben.  Die Anweisung wird dann im Beisein eines Zeugen (z.B. des Betriebsrats oder des Datenschutzbeauftragten) umgesetzt, um sicherzugehen, dass nichts Illegales ohne Wissen der dafür Verantwortlichen geschieht.

Datenschutz beim Onlinemarketing – haben Sie eingewilligt?

Die Häufung von Datenschutzschlampereien in zahlreichen deutschen Firmen haben in diesem Jahr zu einer Verschärfung des Datenschutzgesetzes geführt. Zwar nicht in dem Maße wie es Datenschutzexperten forderten, um illegalem Datenhandel, betrügerischen Praktiken oder Krankendatensammelei in Firmen entgegentreten zu können. Aber doch deutlich genug, um die allgemeine Schlamperwirtschaft im Umgang mit personenbezogenen Daten zu einem ernstzunehmenden juristischen Haftungsrisiko für Unternehmen zu machen.

Insbesondere für zahlreiche Formen des Internet-Marketings (database marketing, permission marketing, afiliate marketing, user targeting, profiling, e-mail  & newsletter marketing usw.) bedeutet das größere Veränderungen der Abläufe und in der Software, um hier wieder compliant zu werden. Oft rächen sich jetzt konzeptionelle Nachlässigkeiten der letzten Jahre.

Ein Schlüsselelement bilden dabei die Einwilligungen zur Datenverarbeitung i.S.d. § 4 BDSG. Die sollten Unternehmen nicht nur einholen sondern auch bei entsprechenden Prüfungen nachweisen können. Oft beginnen da schon die Probleme, weil nicht mehr klar ist, welchen firmeninternen Datenschutzbestimmungen in welcher Version der Kunde mal zugestimmt hat, da nicht ausreichend dokumentiert wurde.

Typisch war in der Vergangenheit auch oft, dass den betroffenen Unternehmen nicht klar war, dass die rechtmäßige Nutzung von personenbezogenen Daten regelmäßig eine schriftliche Einwilligung der Betroffenen erforderlich machte. Ohne eine solche Einwilligung ist und bleibt die Verwendung personenbezogener Daten aber grundsätzlich verboten (sog. Verbot mit Erlaubnisvorbehalt).

Neben dem Datenschutzrecht kommen aber auch auch wettbewerbsrechtliche Regeln zum Tragen: „Bei Bestandskunden (B2C und B2B) ist ausnahmsweise eine Bewerbung eigener Angebote auch ohne Einwilligung erlaubt, sofern die Daten im Zusammenhang mit Begründung oder Durchführung der Kundenbeziehung erlangt wurden und der Kunde der Zusendung von E-Mails nicht widerspricht“, so Burkhard Danckert, Rechtsanwalt der Kanzlei LDM Lehner, Dänekamp & Mayer in einem Interview mit der Internet-Marketing-Firma Artegic AG in derem Newsletter.

Und weiter: „Das neue Datenschutzrecht enthält ein so genanntes Listenprivileg, nach welchem Werbung sowohl im Hinblick auf die berufliche Tätigkeit des Betroffenen als auch für eigene Angebote der verantwortlichen Stelle erlaubt ist. Letzteres aber nur dann, wenn die Daten beispielsweise aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben wurden. Unbedingt zu beachten ist, dass im Bereich B2B (ohne Einbeziehung der Bestandskunden) Werbung im Hinblick auf die berufliche Tätigkeit nach dem Datenschutzgesetz zwar erlaubt, genau dieselbe E-Mail-Werbung in der Regel nach den wettbewerbsrechtlichen Vorschriften aber unzulässig ist. Nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ist wie schon bei Bestandskunden die E-Mail-Werbung ohne Einwilligung nur in Ausnahmefällen zulässig. Und bei Nicht-Bestandskunden ist die E-Mail-Werbung ohne explizite Einwilligung generell unzulässig.“

Ein zentrales Thema für das richtige Einholen von Einwilligungen sind juristisch korrekte Angaben zum Datenschutz. Doch hier werden häufig nur Vorlagen von Dritten übernommen ohne eine Prüfung für die inhaltliche Eignung im eigenen Geschäftskontext.

Anwalt Danckert hierzu: „Ich schätze, dass über 90 % der Datenschutzbelehrungen fehlerhaft sind“, so Anwalt Danckert  und erläutert rechtlich umfassend was in einer solchen Datenschutzbelehrung mindestens stehen muss: „Die verpflichtenden Angaben ergeben sich aus § 13 Telemediengesetz (TMG). Danach hat der Unternehmer in der Datenschutzbelehrung über Art, Umfang und Zweck der Erhebung sowie über die Verwendung personenbezogener Daten und die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten. Welche Angaben konkret zu machen sind, hängt immer auch vom konkreten Angebot des Unternehmens ab. Als Leitgedanke gilt, dass der Nutzer mit der Belehrung unmissverständlich in Kenntnis gesetzt wird, was mit seinen Daten passiert. Bei Newslettern ist der Kunde somit z.B. auch über die Häufigkeit der Versendung des Newsletter aufzuklären. Weiter ist der Nutzer unbedingt auf die Widerrufsmöglichkeit hinzuweisen, sofern er eine Einwilligung zur Datenverwendung gegeben hat. Dieser Hinweis muss selbstverständlich auch beim E-Mail-Abonnement gegeben werden. Es muss in diesem Zusammenhang dann auch dargestellt werden, wie das Widerrufsrecht ausgeübt werden kann.“

Es gibt also viel zu tun beim Datenschutz der Online-Marketeers. Daher haben deren Berufsverbände bereits erstes Material zur weiteren Information herausgegeben, mit dessen Lektüre man beginnen sollte.

Richtlinie Online-Marketing des Verbandes der deutschen Internetwirtschaft e.V. (eco)

Überblick über die Datenschutznovellen 20009 vom deutschen Dialogmarketing Verband e.V.

Und es zeigt sich einmal mehr, dass im Geschäftsleben das konsequente Durchsetzen der eigenen Interessen gegenüber anderen Gruppen in der Gesellschaft letztlich zu enormen Widerständen und in deren Folge zu weiterer Komplexität durch die dann notwendig gewordene härtere Regulierung führt. Die jetzt jammernden Firmen müssen einem daher nicht wirklich leid tun.

DVD-Rezension: Meine Daten und Ich – Wenn die Sicherheit die Bürgerrechte bedroht

Dieser Dokumentarfilm greift das Thema Versicherheitsstaatlichung und Abbau der Bürgerrechte in Deutschland auf und stellt die wichtigsten politischen Themen der letzten drei Jahre dazu dar.

Er besteht hauptsächlich aus Interviewausschnitten, in denen Politiker, Experten, Aktivisten und andere aus Sicht der Befürworter oder Gegner zu den „heißen“ Themen digitaler Bürgerrechte Stellung nehmen. Also zu Dingen wie der Online-Durchsuchung, dem BKA-Gesetz, zur Vorratsdatenspeicherung oder Telekommunikationsüberwachung.

So kommen u.a. Politiker wie Wolfgang Bosbach (CDU/CSU), Ralf Göbel (CDU/CSU), Michael Hartmann (SPD), Wolfgang Wieland (Grüne) oder Gisela Piltz (FDP) zu Wort. Ebenso Experten wie Prof. Dr. Andreas Pfitzmann, Constanze Kurz, Peter Schaar und Dr. Thilo Weich oder Aktivisten wie Ricardo Cristof Remmert-Fontes und padeluun vom Foebud e.V.

Ein Interview mit Innenminister Wolfgang Schäuble wäre ebenfalls interessant gewesen, scheiterte jedoch an dessen Unwilligkeit vor die Kamera zu treten und zum Thema Datenschutz und Bürgerrechte Stellung zu nehmen (auch eine Aussage!). Dank YouTube ist aber auch Schäuble mit auf der DVD.

Als Leitfaden durch den Film dient die Geschichte des fiktiven (?) hoffnungsvollen Nachwuchsregisseurs Axel Ranisch, der im Film eben diesen Film mit wenig Geld und viel Motivation zu drehen versucht. Erst nachdem er seine Personalprobleme lösen konnte (woher nimmt man einen Kameramann, der „auf Rückstellung“, also für lau arbeitet?) geht es nach etwa 20 min inhaltlich richtig los. Und auch im Weiteren zeigen die Finanzprobleme des Filmemachers, wie weit das Wissen des Überwachungsstaates und der Datenwirtschaft bereits  reichen.

Etwa als er beim Versuch einen Bankkredit zu beantragen, mit der Thematik Rating und Scoring konfrontiert wird („Was sind Scoring-Punkte und warum habe ich nur so wenige?“). Oder als er beim Beantragen von Sozialleistungen nach SGB II (Hartz IV) nicht nur stapelweise Papier mit Anforderungen nach Belegen aller Art mitbekommt. Sondern ihm der ArGe-Mitarbeiter auch noch detailliert zu einzelnen Girokontenbuchungen befragt, nachdem er eine (legale) Kontendatenabfrage nach § 31 AO i.V.m. § 52 SGB II durchgeführt hat.

Nicht nur der Staat sondern auch die Wirtschaft ist hinter unseren Daten her. Und das nicht nur beim Scoring für Bonitätsbestimmung bei Kreditgeschäften. Wie Videoüberwachung, Krankendatendossiers, detektivische Schnüffeleien und andere Skandale der letzten 18 Monate zeigten, herrschen in deutschen Unternehmen bzgl. Datenschutz und Compliance oft Sitten wie in Schurkenstaaten. Nicht umsonst spricht der Chaos Computer Club hier recht deutlich von Datenschlampen, wenn er den Umgang mit Daten seitens Lidl, Telekom, Deutscher Bank und anderen kritisiert.

Als Bonusmaterial sind noch ein begleitender Audiokommentar sowie weitere Interviews zu den Themen Vorratsdatenspeicherung, biometrischer Reisepass und Onlinedurchsuchung enthalten.

Der Film mag als Dokumentation etwas trocken daherkommen. Manches hätte anschaulicher anhand von Beispielen aufbereitet werden können. Und die ersten 20 Minuten Laufzeit kann man folgenlos überspringen. Nichtsdestotrotz ist „Meine Daten und Ich“ ein Werk, dem ich insbesondere den Einsatz im Unterricht der Sekundarstufe oder in Berufsschulen wünsche, um gerade Jugendliche für die Thematik Datenschutz und Bürgerrechte zu sensibilisieren.

Der Film „Meine Daten und Ich – Wenn die Sicherheit die Bürgerrechte bedroht“ ist bei GM Films für 9,95 € erhältlich.

Lawrence Lessig erklärt den Kampf gegen „Piraterie“ für gescheitert

Der Playboy veröffentlichte kürzlich ein Interview mit dem US-Rechtsgelehrten und Copyright-Kritiker Lawrence Lessig. Ein ungewöhnlicher Ort für so ein Interview, zumal auch der Playboy von der Content-Verwertung lebt. Soviel Progressivität hätte ich dem Bunny-Magazin nicht zugetraut.

In dem Interview kritisiert Lessig das (amerikanische) Urheberrecht und dem Kampf gegen illegalisiertes Filesharing. Er sieht das Heraufziehen einer weiteren Prohibition (diesmal gegen die Nutzung von Kulturgütern). Und die hat ja auch beim letzten Mal nicht funktioniert, als es noch um Alkohol ging.

Lessig: „Im vergangenen Jahrzehnt haben Urheberrechtsextremisten einen zunehmend bösartiger werdenden Krieg gegen unsere Kinder geführt, um das Heiligtum des Urheberrechts zu schützen. Sie hatten mindestens ein Dutzend Mal Erfolg dabei, die Gesetze zu verschärfen.“

Zudem kritisiert er, dass diese prohibitive Haltung der Verwerterlobby zu völlig unangemessenen Effekten führt, wie beispielsweise dem Ausschluss Einzelner von der Internetnutzung (Three-Strikes-Regelungen) oder dem Rauswurf aus dem College wegen von der Industrie aufgezwungener „Anti-Piracy-Regeln“.

Sind der Verlust von Bildung und die Mittel, um an einem demokratischen Staat mitwirken zu können, wirklich die vermeintlichen Verluste durch Filesharing bei der Musik- und Filmindustrie wert, hinterfragt Lessig kritisch. Eine Frage, die sich angesichts stetig verschärfter Regeln zum Immaterialgüterrecht auch die Europäer stellen müssen.

„Ein wichtiger Test, ob ein Gesetz existieren sollte, besteht darin, ob es funktioniert. Nicht weil wir das Gesetzbuch nicht mit sinnlosen oder ineffektiven Regelungen füllen sollten, sondern weil eine Gesellschaft, die in Gesetzen schwimmt, die sie nicht respektiert, eine Kultur darstellt, die Verachtung für das Gesetz und die Rechtsstaatlichkeit entwickelt.

Das ist genau dass, was mit unseren Kindern passiert. Seit dem Jahrzehnt, in dem wir diesen Urheberrechtskrieg begonnen haben, erreichten wir keine Reduzierung von P2P-Filesharing. Stattdessen  hat es weiter zugenommen. Wir haben auch nicht die Masse der Kinder reduziert, die dieses Verhalten praktizieren, wissend das es falsch ist. Wir haben nur dafür gesorgt, dass diese Masse gewachsen ist, weil immer mehr Menschen erfahren haben, dass dieses Verhalten illegal ist, und trotzdem daran teilhaben“, so Lessig.

Dabei geht der anerkannte Professor auf einige wichtige Dinge ein, die bislang in der Urheberrechtsdebatte noch selten so klar zur Sprache kamen: „Gemessen am Erfolg, war dieser Krieg ein Fehlschlag: Die Künstler haben nicht mehr Geld, die Wirtschaft hat keine klaren Regeln für ihr Geschäft bekommen. Und eine ganze Generation an Kindern wuchs heran, die denken, dass das Gesetz für den Arsch ist und deshalb ignoriert werden kann. … Aber nach zehn Jahren des Versagens mit buchstäblich Millionen von Leuten, die außerhalb des Rechts leben, ist es an der Zeit für den Gesetzgeber zu erkennen, dass diese Fantasiepolitik zugunsten Hollywoods ein Ende finden muss.“

Und er fordert daher den US-Kongress dazu auf, das Immaterialgüterrecht grundlegend zu reformieren und dabei Lösungen für Remixing, standardisierte Kollektiv-Lizenzen (z.B. creative commons) sowie Entlohnung von Künstlern für Filesharing-Nutzung vorzusehen.

Desweiteren soll klarer gefasst werden, „wem eigentlich was gehört“. Kreativ Schaffende sollen mehr Rechte erhalten, Knebelverträge und Monopole des „korrupten Copyright-Regimes“ (gemeint ist die Verwerterlobby) verschwinden.

Sein treffender Schluss-Satz: „Diese Reformen werden uns helfen, ein System aufzubauen indem Künstler bezahlt werden, anstatt dass nur unsere Kinder kriminalisiert werden“.

Lawrence Lessig ist Herausgeber des Buches „Remix – Making Art and Commerce thrive in the Hybrid Economy”, dass er zum kostenfreien Download ins Internet gestellt hat. (PDF, 4,8 MB – zu finden bei Bloomsbury Academic).