Das Arbeitnehmerdatennutzgesetz

Vor zwei Tagen nahm ich an einer Vortragsveranstaltung zum Thema Arbeitnehmerdatenschutz im DGB-Haus in München teil. Unter dem Motto „ArbeitnehmerDATENSCHUTZ – geht anders!“ stellte Rechtsanwalt Rüdiger Helm die rechtlichen Details des aktuellen Gesetzesentwurfs der Regierung zum Arbeitnehmerdatenschutz vor. Bereits in den letzten Monaten war dieser Entwurf Gegenstand zahlreicher Artikel in der informationstechnischen und rechtlichen Fachpresse und wurde mal mehr, mal weniger kritisch interpretiert. Auch der DGB ließ seine Rechtsabteilung in einer Form Stellung nehmen, die sich am ehesten als juristisch fundierter Totalverriss des Vorhabens zusammenfassen lässt.

Die wohl positivste Aussage, die man über den Gesetzesentwurf machen kann, besteht darin, dass aktuell datenschutzrelevante Themen wie Biometrie, Geoinformations- und Ortungsdienste, soziale Netzwerke, Videoüberwachung oder medizinische Tests an Arbeitnehmern überhaupt mal zum Gegenstand gesetzlicher Regelungen werden. Statt wie bisher in einer datenschutzrechtlichen Grauzone betrieben zu werden.

Bereits seit mehreren Legislaturperioden beinhaltete jeder Koalitionsvertrag auch eine Absichtserklärung zum Thema Arbeitnehmerdatenschutz. Und so findet man auch im Koalitionsvertrag der aktuellen CDU/CDSU/FDP-Regierung auf S. 106 diesen Absatz:

Privatheit ist der Kern persönlicher Freiheit. Wir setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam schützen. Es dürfen nur solche Daten verarbeitet werden, die für das Arbeitsverhältnis erforderlich sind. Datenverarbeitungen, die sich beispielsweise auf für das Arbeitsverhältnis nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante Gesundheitszustände beziehen, müssen zukünftig ausgeschlossen sein. Es sollen praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden. Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.

Inhaltlich ist das geplante Arbeitnehmerdatenschutzgesetz jedoch zum wirtschaftsliberalen Arbeitnehmerdatennutzgesetz geworden, dass deshalb auch bezeichnenderweise mit „Der Arbeitgeber darf …“ eingeleitet wird. Es ersetzt den bisherigen § 32 im BDSG durch eine neue Formulierung mit zwölf Unterabschnitten sowie Einzelanpassungen in einigen anderen Gesetzen.

Das grundlegende Problem mit dem jede Form von Regelung zum Thema Daten im Arbeitsverhältnis umzugehen hat, ist das potentielle Misstrauen der Arbeitnehmer und Arbeitgeber einander gegenüber zu Beginn des potentiellen Arbeitsverhältnisses. Fehlendes Vertrauen soll durch Offenlegung bestimmter Informationen vor dem Eingehen eines Arbeitsverhältnisses ersetzt werden – das Geschäftsmodell der Wirtschaftsauskunfteien.  Dabei besteht jedoch ein beträchtliches Machtungleichgewicht. Während ein Bewerber bis kurz vor Abschluss des Arbeitsvertrages oft nicht mal über Elementarien wie Gehalt, Zusatzleistungen, Arbeitszeit, Urlaubsanspruch, Tarifbindung, Arbeitsumfeld, Chef und Kollegen, versprochene und tatsächliche Entwicklungschancen verbindlich aufgeklärt wird, hätten Unternehmen und Personaler gerne eine Offenlegung sämtlicher Details des Vorlebens aller Bewerber in einem Umfang, von der sonst Geheimdienste träumen.

Doch beginnen wir mit den fragwürdigen „Highlights“ des Gesetzesentwurfs:

§32c räumt dem Arbeitgeber erstmals ein Recht auf Nutzung von Daten zur Leistungs- und Verhaltenskontrolle ein. Er wird ergänzt durch § 32i, der stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrollen anhand von Telekommunikationsdaten ermöglicht. Damit könnten sämtliche Betriebsvereinbarungen zum Thema betriebliche IT-Systeme, die entsprechende Ausschlussklauseln enthalten, demnächst zur Diskussion gestellt werden. Die Wertigkeit des § 87.6 BetrVG, auf den sich Betriebsräte diesbezüglich meist stützen und mit dem sich eine Leistungs- und Verhaltenskontrolle praktisch ausschließen lässt, dürfte deutlich abnehmen. Damit wird ein Eckpfeiler der betrieblichen Mitbestimmung in Frage gestellt.

§32d räumt den Unternehmen eine Recht zur Massendatenverarbeitung zum Zwecke der „Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen“ ein. Mit ihm werden die diversen Datenskandale der letzten Jahre künftig legalisiert.  Gleichzeitig erhalten private Unternehmen so Befugnisse, die derzeit Ermittlungsbehörden und Staatsanwaltschaften vorbehalten sind. Ein besonderes Augenmerk hat dabei der Begriff der „schwerwiegenden Pflichtverletzung“ verdient. Er taucht häufiger im Gesetzestext auf und bedeutet mangels Inhalt das, was Arbeitgeber und Rechtsprechung im Laufe der Zeit daraus machen werden. Der Rechtsprechung zu Bagatellkündigungen kann man entnehmen, dass bereits der Verzehr von zum Wegwerfen bestimmten Nahrungsmitteln des Arbeitgebers eine solche „schwerwiegenden Pflichtverletzung“ darstellen kann.

Überhaupt ist der ganze Text gespickt mit unbestimmten Rechtsbegriffen wie „berechtigten“ oder „schutzwürdigen“ Interessen, „zulässigen“, „erforderlichen“, „geeigneten“ oder „verhältnismäßigen“ Dingen, „betrieblichen Gründen“, „tatsächlichen Anhaltspunkten“ sowie den bereits erwähnten „schwerwiegenden Pflichtverletzungen“. Das liest sich fluffig und sagt so gut wie nichts aus. Im Zweifel ist es somit den Entscheidern in den Unternehmen, ihren Rechtsabteilungen und Anwälten sowie den Gerichten überlassen, konkretere Bedeutungen in den Text hineinzulesen und herauszuurteilen. Eine Sprache, die an die Auswirkungen ausgiebigen THC-Konsums erinnert.

Auch in den weiteren Paragraphen lassen sich ähnliche Dinge finden, so z.B. die Pflicht für Beschäftigte an ärztlichen Untersuchungen und Eignungstests teilzunehmen (§ 32c) oder der erlaubte Einsatz von Ortungssystemen zur Koordinierung des Einsatzes der Beschäftigten (§ 32g).

Regierungen hatten in der Vergangenheit im Bereich des öffentlichen Rechts, welches die Beziehungen zwischen Staat und Bürger regelt, bereits häufiger versucht, ihre gesetzlichen Zugriffsmöglichkeiten auf Informationen über die Bevölkerung immer weiter auszudehnen. In Folge kam es auch etliche Male zu Urteilen des Bundesverfassungsgerichtes, dass ihnen dann Grenzen hinsichtlich der Zweckbindung, der Verhältnismäßigkeit, der Transparenz sowie der Sicherheit staatlicher Datensammelei setzte und dabei stets auch Normenklarheit forderte. So manches bewusst unklar formulierte Gesetz wanderte dann in den Shredder oder musste nachgebessert werden. Doch Bundestagsabgeordnete besitzen anscheinend leider oftmals den Intellekt und das Lernvermögen von Stubenfliegen, so dass es immer wieder zu solchen Gesetzen kommt.

Zumal dem Verfassen verfassungswidriger Gesetze seitens des Verfassungsschutzes weniger Aufmerksamkeit zufließt als dem Publizieren grundgesetzlich fragwürdiger Parteiprogramme. Zumindest fehlen in den jährlichen Verfassungsschutzberichten regelmäßig die Seiten über beobachtete Aktivitäten von Regierungsparteien, deren Abgeordnete häufiger grundgesetzwidrige Gesetze verfassen und beschließen.

In wie weit jedenfalls an Gesetze die das Verhältnis von Bürgern  und Unternehmen ähnliche Qualitätsansprüche anzulegen sind, wie an das Verhältnis zwischen Bürgern und Staat, wäre sicherlich eine interessante Rechtsfrage. Daher sehen Juristen wie z.B. Referent Helm durchaus Ansatzpunkte für Verfassungsklagen, sollte dieses Gesetz so in Kraft treten.

Zumal man auch ohne juristischen Sachverstand rasch erkennen kann, dass der Anspruch auf Verwirklichung der eigenen Persönlichkeit (Art 2 GG) mit einer solchen Rahmensetzung für betriebliches Datensammeln zur Hohlphrase verkommt.

Welche Formen des Widerstandes gegen das wirtschaftsliberale Arbeitnehmerdatennutzgesetz wären auf welcher Ebene denkbar?
•    Betrieblich Ebene: Abschluss entsprechend restriktiver Betriebsvereinbarungen sowie Information und Aufklärung der Beschäftigten im Rahmen von Betriebsversammlungen und Betriebsratspublikationen.
•    Arbeitsrechtliche Ebene: Klagen, die auf die Auslegung der zahlreichen unbestimmten Rechtsbegriffe abzielen.
•    Politische Ebene: Die bereits erwähnten Verfassungsklagen. Sowie Unterstützung von Organisationen sowie Mitarbeit bei Initiativen, die sich gegen Gesetze dieser Art einsetzen (Piratenpartei, Arbeitskreis Vorratsdatenspeicherung, Chaos Computer Club, Deutsche Vereinigung für Datenschutz, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, AK Elena beim DGB München …).

Bezüglich des Arbeitnehmerdatennutzgesetzes halte ich es mit Sarah Palin: „Don’t retreat – reload!“ (nicht zurückziehen – nachladen!)

Regierung legt erneut Entwurf zum Arbeitnehmerdatenschutz vor

Als vor einigen Wochen der erste Referentenentwurf eines Arbeitnehmerdatenschutzgesetzes vorgelegt wurde, zerrissen Experten das Papier förmlich in der Luft, da es in vielen Teilen Verschlechterungen des Datenschutzes für Beschäftigte vorsah, anstatt ihn zu verbessern.

Wir erinnern uns: Die ganze Debatte wurde in den letzten beiden Jahren erst durch zahlreiche Datenschutzskandale in der deutschen Wirtschaft ausgelöst. Es wurde immer mehr klar, dass in Sachen Datenschutz etwas grundsätzlich falsch läuft in den Unternehmen. Und dass man sich dort den Äußerungen diverser Entscheider nach wohl als rechtsfreien exterritorialen Raum ansah.

Nun wurde ein überarbeiteter Entwurfstext vorgelegt. Das Bundeskabinett will ihn in den nächsten Tagen auf den Gesetzgebungsweg bringen. Oberflächlich gelesen verspricht der Entwurf tatsächlich Verbesserungen. Allerdings wird er bereits mit den Worten „Mit den Neuregelungen werden Mitarbeiter an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen geschützt und gleichzeitig den Arbeitgebern verlässliche Grundlagen für die Durchsetzung von Compliance-Anforderungen und den Kampf gegen Korruption an die Hand gegeben“ eingeleitet, d.h. er wurde wohl bereits sehr deutlich wirtschaftslobbyistisch weichgespült.

Sehr intensiv hat man sich darin u.a. mit dem Thema Verarbeitung von Beschäftigtendaten zur Korruptionsbekämpfung befasst. Denn diese wurde in den Datenskandalen der Vergangenheit meist als Ausrede bemüht, wenn es galt Massenscreenings, Profiling und Arbeitnehmerüberwachung im Nachhinein halbwegs zu rechtfertigen. Auch wenn sich faule Deals auf Managerebene, Mauscheleien im Rahmen von Übernahmeverhandlungen, Bilanzbetrug, „goldene Handschläge“ bei der Entsorgung managerialer Altlasten, Kursmanipulationen zum Pushen eigener Aktienoptionen, Kartellvergehen sowie die meisten anderen Formen der Wirtschaftskriminalität so nicht nachweisen lassen. Massenscreenings werden nun wieder zulässig, sofern der Arbeitgeber „tatsächliche Anhaltspunkte“ für einen Verdacht auf Ordnungswidrigkeiten, Straftaten und andere Vergehen hat, die ggf. eine Kündigung aus wichtigen Grund rechtfertigen können. Die ergriffenen Maßnahmen der innerbetrieblichen „Horch & Guck“-Abteilung im Dienste der Compliance dürfen dabei „nicht unverhältnismäßig“ und sollten auch „erforderlich“ sein, um die Vergehen „aufzudecken oder um weitere schwerwiegende Vertragsverletzungen zu Lasten des Arbeitgebers, oder weitere Ordnungswidrigkeiten und Straftaten zu verhindern“. Da dürfte bald die windelweiche Rechtsprechung zur Verdachtskündigung, für die es auch keinen substanziell belastbaren Grund bedarf, durch die Hintertür hereinschwappen.

Als Fortschritt wird z.B. das ausnahmslose Verbot der heimlichen Videoüberwachung dargestellt sowie das Verbot des Ausspähen von Betriebsstätten, die überwiegend der privaten Lebensführung dienen (Toiletten, Umkleiden usw.). Tatsächlich schreibt das nur den Ist-Stand weiter fort. Das das den Unternehmen gesetzlich ins Stammbuch geschrieben werden muss, spricht eigentlich bereits Bände.

Offene Videoüberwachung beispielsweise an Firmeneingängen oder zur Qualitätskontrolle soll dagegen möglich sein – „soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich“ ist, Interessen der Angestellten nicht entgegenstehen und sie auf die Kameras hingewiesen werden. Damit wird der Ist-Stand klar zugunsten der Unternehmen aufgeweicht, denn derzeit gilt: Offene Videoüberwachung widerspricht Grundrechten der Beschäftigten und ist daher nur auf der Basis aufwendiger Mitbestimmungsprozesse möglich. Zudem hat der Unternehmer im Rahmen einer Grundrechteabwägung („geeignet – erforderlich – angemessen“) darzulegen, dass andere (ggf. auch teurere) Mittel, die weniger stark in die Grundrechte der Beschäftigten eingreifen, nicht ausreichen. Das muss er jetzt nicht mehr.

Tendenzbetrieben (Kirchen, politische Organisationen) werden erweiterte Zugriffsmöglichkeiten auf Beschäftigtendaten eingeräumt. So erhalten sie nun eine Rechtsgrundlage auf deren Basis sie Dinge wie Religionszugehörigkeit, Partei- und Gewerkschaftsmitgliedschaft oder auch Details zur Weltanschauung von Bewerbern abfragen und nutzen können.

Arbeitgeber könnten auf Basis des Entwurfes ganz legal Daten von Bewerbern aus sozialen Netzwerken recherchieren, sofern sie „für die Feststellung der Eignung des Beschäftigten für eine in Betracht kommende Tätigkeit oder für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich“ sind. Also auch wieder sehr auslegungsfähig. Bislang bewegten sie sich dabei in einer Art rechtlichen Grauzone, da nur klassische Business-Netzwerke wie XING den Schluss nahe legen, dass die darin veröffentlichten Daten der Nutzer zur Anbahnung von Geschäftskontakten verwendet werden können. Und soziale Netzwerke sind im Gegensatz zu Websites und Blogs nicht öffentlich, da man zu ihnen i.d.R. eine Nutzerkennung benötigt.

Auch das leidige Thema der regulierten Privatnutzung von Internetdiensten und die damit zusammenhängende Providereigenschaft des Unternehmens i.S.d. TKG wird neu geregelt, bestehende Unschärfen im Zusammenspiel von BDSG und TKG beseitigt. Allerdings wird dem Arbeitgeber auch eine Möglichkeit zur „stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle, einschließlich der Verhinderung oder Aufdeckung von Vertragsverletzungen zu Lasten des Arbeitgebers, Ordnungswidrigkeiten oder Straftaten im Beschäftigungsverhältnis“ eingeräumt. An jeder betrieblichen Mitbestimmung vorbei und als Standard.

In etlichen Bereichen des Textes werden den Unternehmen Rechte an Beschäftigtendaten eingeräumt, deren Reichweite an unbestimmte Rechtsbegriffe mit Auslegungsspielräumen gebunden wird. Beispiel: Häufig darf dem Text nach der Arbeitgeber etwas nur dann tun, wenn es „zur Wahrung seiner berechtigten Interessen erforderlich“ ist. Welcher Unternehmer wird im Zweifel seine Interesse nicht als berechtigt und die ergriffene Maßnahme als erforderlich ansehen? Und wer will ihm im Einzelfall als Lohnabhängiger widersprechen? Zumal die heute noch oftmals vorgesehenen rechtlich anspruchsvollen Güterabwägungen entfallen. Da kommt Arbeit auf die Herausgeber von Gesetzeskommentierungen sowie die Gerichte zu. Dementsprechend enthält der Text auch zu 12 Seiten Gesetzesentwurf bereits 23 Seiten Erläuterungen.

Zusammenfassend kann man sagen, dass dieser Entwurf zwar keine komplette Themenverfehlung ist, wie der zuletzt vorgelegte. Man sieht ihm aber sehr deutlich an, dass Unternehmer- und Arbeitgeberinteressen bei Abfassen des Textes Vorrang hatten während Grund- und Bürgerrechte sowie der Gedanke der informationellen Selbstbestimmung außen vor blieben.

Auch dieser Text ist in der vorliegenden Form unbrauchbar und sollte zurückgewiesen werden. Obgleich er streckenweise zumindest gute Ansätze aufweist, die in einem dritten Entwurf aufgegriffen werden können.

Sollte das Gesetz in ähnlicher Form in Kraft treten, dürften Betriebs- und Personalräte es mit als Erstes bemerken. Denn vieles was Arbeitgeber zuvor mit ihnen mühsam und unter Inkaufnahme von Kompromissen aushandeln mussten, stünde ihnen dann einfach so zu. An jeder Mitbestimmung elegant vorbei.

Datenlecks durch Green IT – Arbeitnehmerüberwachung per Steckdose

Grüne Informationstechnik, kurz auch Green IT genannt, ist immer mehr im Kommen. In der Regel allerdings nicht, weil Lohas und grüne Gutmenschen das IT-Management in den Unternehmen übernommen hätten. Sondern weil der Ausgabenposten für die Energieversorgung von Rechenzentren,  dezentralen Serverclustern und Arbeitsplatzrechnern einen immer größeren Teil des IT-Budgets der Unternehmen wegfrisst. Das macht es Firmen zunehmend schwerer in innovative Technik zu investieren oder den Investitionsstau an anderer Stelle abzubauen um so Wettbewerbsvorteile zu gewinnen.

Energie sparen wird so zur schlichten Notwendigkeit in den Unternehmen. Ein Hilfsmittel dafür ist die bereits erwähnte grüne Informationstechnik, bei der eine Kombination aus energieeffizienterer Technik, verbrauchsbewussterem Nutzungsverhalten sowie Konsolidierung und Abbau ungenutzter Gerätekapazitäten die Stromrechnung senken soll.

Allerdings kann grüne Informationstechnik auch Datenlecks an Stellen aufreißen, an denen man bislang nicht damit gerechnet hatte. Dazu zählt z.B. das Smart Metering, also die sog. „intelligenten Stromzähler“ in Haushalten und Firmen. Mit ihnen ist es möglich den Stromverbrauch  eines Haushaltes in kurzen Abständen und teilweise gerätespezifisch zu messen. Da diese Daten z.T. an Energieversorger gehen und dort die Bildung verhaltensabhängiger persönliche Lastprofile aus den gesammelten Kundendaten ermöglichen würden, werden sie von Datenschützern sehr kritisch gesehen. So ist es für die Versorger z.B. möglich personen- und gruppenbezogene Verbrauchsmuster zu bilden und in der Folge tageszeitabhängige Stromtarife anzubieten. Über kurz oder lang wäre der feste Strompreis abgeschafft und der Verbraucher verlöre jeden Überblick über das dann explosionsartig wachsende Chaos an Stromtarifen. Das Einschalten der Waschmaschine zur Unzeit könnte dann ähnliche Folgen haben wie das unüberlegte Nutzen des Handys im Auslandsurlaub, wenn sich durch Roaming mal eben die Telefongebühren orts- und zeitabhängig unbemerkt völlig legal verfünfzigfachen.

Inzwischen gibt es spezielle Energiemanagementsoftware für Unternehmen wie z.B. das auf der letzten CeBit vorgestellte Produkt „Greentrac“, mit der sich das Verbrauchsverhalten von PCs und damit indirekt das Arbeitsverhalten der Nutzer davor „managen“, d.h. in erster Linie überwachen lässt. Schließlich zieht ein PC an dem intensiv gearbeitet wird und auf dem mehrere Programme laufen auch mehr Strom aus dem Netz als ein Rechner im Leerlauf. Eine Software aber, die Daten über Aktiv- und Leerlaufphasen von PCs erhebt und auswertet, kann damit auch für Aussagen über die Arbeitszeiten an den Geräten genutzt werden. Wenn man weitere Umstände heranzieht, lassen sich auch präzise Angaben über die jeweilige Leistung und das Arbeitsverhalten der PC-Nutzer machen. Denn in Verbindung mit anderen Daten aus betrieblichen Informationssystemen, etwa einem Terminkalender, können so Rückschlüsse über die Anwesenheit am Arbeitsplatz und die Arbeitsleistung gegeben werden.

Damit wird das fortgeschrittene Energiesparen „mit Zusatznutzen“ zum Fall für die betriebliche Mitbestimmung. Denn § 87 Abs. 1 BetrVG räumt dem Betriebsrat weitreichende Mitbestimmungsrechte beim Einsatz von Programmen ein, die zur Überwachung der Arbeitnehmer geeignet ist. Zumindest dort wo er existiert.

In der Fachliteratur wird zudem kontrovers diskutiert in wie weit eine Betriebsvereinbarung zudem überhaupt als „andere Rechtsvorschrift“ i.S.d. §4 BDSG zu werten ist, die eine individuelle Einwilligung jedes einzelnen Betroffenen ersetzen kann. Zumal es Betriebsräten bei Ausgestalten von Betriebsvereinbarungen rechtlich gar nicht erlaubt ist, gesetzliche Schutzstandards zu unterlaufen oder zu verringern (Ausnahme: das Gesetz sieht hierfür eine Öffnungsklausel vor). Arbeitgeber gehen also das Risiko ein, im Konfliktfall ggf. mit einer zwar ordnungsgemäß abgeschlossenen aber inhaltlich nichtigen Betriebsvereinbarung dazustehen.

Arbeitgeberorientierte Rechtsberater empfehlen ihren Klienten daher, die Betriebsvereinbarung so auszuformulieren, dass sie eine „Erlaubnis für Zwecke des Beschäftigungsverhältnisses“ nach § 32 Abs.1 BDSG enthält und die Arbeitnehmerüberwachung per Steckdose über die neu ins BDSG gekommene Regelung zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses legitimiert.

Ob sich allerdings Arbeitnehmerüberwachung damit rechtlich wirksam begründen lässt, bezweifle ich. Der Paragraph ist allerdings erst 2009 in Gesetz gekommen und es gibt dazu noch kaum Aussagen im Schrifttum oder gefestigte Rechtsprechung.

Es zeigt sich einmal mehr, dass auch Betriebs- und Personalräte ohne fundierte Kenntnisse der Entwicklungen im Bereich der Informationstechnik auf aktuellem Stand der Dinge immer weniger auskommen.

Wie halten es Kommunen mit dem Datenschutz?

Das fragte sich vor einiger Zeit wohl auch der Thüringer Landesdatenschutzbeauftragte Harald Stauch und lies stichprobenartig 40 Kommunen seines Zuständigkeitsbereiches überprüfen. Die Ergebnisse sind geeignet, seinen kürzlich vorgelegten achten Tätigkeitsbericht zu einem für die Ratshäuser ziemlich blamablen Dokument zu machen.

Stauch ließ in den Jahren 2008 und 2009 den Grunddatenschutz in den Kommunen überprüfen. Also die Erfüllung grundlegender datenschutzrechtlicher Standards wie die Bestellung eines behördeninternen Datenschutzbeauftragten, die Erstellung eines Verfahrensverzeichnisses, die rechtskonforme Regelung und Umsetzung der Verarbeitung personenbezogener Daten durch Dritte (Auftragsdatenverarbeitung) sowie die Erstellung und Umsetzung eines IT-Sicherheitskonzeptes einschließlich entsprechender Dienstvereinbarungen und Anordnungen.

Die Umsetzung solcher Dinge erfordert Sachkenntnisse, ist aber nicht schwieriger als die Umsetzung anderer (z.B. verwaltungsrechtlicher) Aufgaben der Kommunen.

Hinzu kamen spezielle punktuelle Kontrollen, etwa zum Thema elektronische Ausweise, zum Postlauf innerhalb der Behörden sowie zum Umgang mit Sozialdaten für die ein höheres Schutzniveau gilt.

An Mängelfreiheit litt keine der Kommunen, so der Datenschutzbeauftragte in seinem Bericht. Daher nennt Stauch die Kommunen mit echten Mängeln in seinem Bericht auf Seite 31 auch namentlich. Die Beseitigung der beanstandeten Mängel gestaltete sich bisweilen zäh, was Stauch auf fehlende Sachkunde in den Kommunen sowie auf die so erforderlich werdende kosten- und zeitintensive Inanspruchnahme externer Sachverständiger zurückführt, seltener auf den fehlenden Willen in den Kommunalverwaltungen.

Das Hauptproblem jedoch war, dass in vielen Gemeinden Datenschutzbeauftragte und Sicherheitskonzepte fehlten. Die Möglichkeit für kleinere Kommunen, gemeinsam einen Datenschutzbeauftragten zu bestellen und sich so dessen Expertise zu teilen, wurde kaum genutzt. Daher waren es auch meist die kleineren Kommunen und weniger Städte und Landkreise mir personell ausdifferenzierten Verwaltungen, die bei der Datenschutzrevision patzten.

Ursache war nicht ein einzelnes Problem sondern eine Vielzahl meist organisatorischer Defizite in den Rathäusern. Strauch führt in seinem Bericht u.a. Folgendes auf:

Mangelnde Aktivitäten der Kommunalaufsichtsbehörden im Bereich des Datenschutzrechts, fehlender Blick der kommunalen Leitungsebene für den Datenschutz, relativ schwache rechtliche Stellung des behördlichen Datenschutzbeauftragten und Überlastung mit anderen Aufgaben, für die Belange des Datenschutzes unzureichende Personal- und Finanzausstattung der Kommunen, mangelndes datenschutzrechtliches  Problembewusstsein, fehlende (Rechts-) Kenntnisse und wenig ausgeprägte Motivation, (Wissens-) Lücken zu schließen.

Die Zahl der noch unkontrollierten Kommunen und damit die Dunkelziffer datenschutzrechtlicher Verstöße ist mit Sicherheit hoch, so der Thüringer Datenschutzbeauftragte.

Die Aufgaben der Kommunen sind vielfältig. Daher finden sich in Stauchs Datenschutzbericht auch Verstöße aus allen Bereichen kommunaler Tätigkeit: Kommunalverwaltung, Personal, Polizei- und Meldewesen, Umsetzen verfassungsschutzrechtlicher Vorgaben, kommunales Finanzwesen, Justiz, Gesundheits- und Sozialdatenschutz, Wirtschaft, Arbeit, Bau und Verkehr, Bildung, Wissenschaft, Forschung, IT-Infrastruktur.

Einen besonders dicken Bock hatte die Stadtverwaltung Leinefelde-Worbis geschossen, als sie versuchte einen Mitarbeiter verhaltensbedingt zu kündigen. Und zwar mit der Begründung, dass er sich in der Vergangenheit bei verschiedenen Behörden u. a. auch beim Landesdatenschutzbeauftragten über seinen Dienstherrn beschwert hatte. Stauch beanstandete dies. Behörden dürfen Mitarbeiter, die sich beim Landesdatenschutzbeauftragten wegen der Verletzung datenschutzrechtlicher Vorschriften beschweren, nicht benachteiligen und schon gar nicht deswegen kündigen.

Schließlich sah die Stadtverwaltung Leinefelde-Worbis ein, dass eine solche Verfahrensweise nicht rechtens ist und wies ihre Mitarbeiter an, das künftig zu beachten. Ob die rechtlich unzulässige Kündigung zurückgezogen wurde, ist dem Datenschutzbericht jedoch nicht zu entnehmen.

Stauch forderte die Landesregierung dazu auf, das Thüringer Datenschutzgesetz zu modernisieren. Denn das ist mit ein Problem der Landes- und Kommunalbehörden: Hier gilt nicht das (noch relativ aktuelle) Bundesdatenschutzgesetz sondern spezielle Landesdatenschutzgesetze. Manche davon seit den 90er Jahren unverändert.

Verschlimmbessert die Regierung den Arbeitnehmerdatenschutz?

Mit der Datenschutzreform 2009 kam auch der verschärfte § 32 BDSG in das Gesetz der die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Er wird von Fachleuten als die Keimzelle eines noch zu schaffenden Arbeitnehmerdatenschutzgesetzes gesehen, d.h. er reicht zwar nicht aus, ist aber besser als nichts. Zumal ein echtes Arbeitnehmerdatenschutzgesetz bereits seit mehr als vier Legislaturen in den jeweiligen Koalitionsverträgen versprochen wurde. Und die zahlreichen Datenschutzskandale der Wirtschaft – Lidl, Schlecker, Siemens, Deutsche Bahn, Telekom und Bank sowie zahlreiche andere Unternehmen lassen grüßen – zeigen dessen Notwendigkeit klar und deutlich.

Tatsächlich wird im Innenministerium an einem solchen Gesetz gearbeitet. Und erst Ende März hat Bundesinnenminister de Maizière Eckpunkte zur Neuregelung des Beschäftigtendatenschutzes vorgelegt. Außerdem sickerten einige inoffizielle Referentenentwürfe durch, die aber allesamt nicht Gutes verheißen. Die wirtschaftsliberal geprägte CDU/FDP-Regierung plant offenbar eher ein Arbeitnehmerdatennutzgesetz als ein wirksames Schutzgesetz zu etablieren.

Angeblich soll der Entwurf noch vor der Sommerpause vom Kabinett verabschiedet werden. Der geplante Ablauf legt den Schluss nahe, dass die Bundesregierung eine öffentliche Diskussion über das geplante Gesetz vermeiden möchte. Man erinnert sich offenbar noch an die heftigen Reaktionen auf das Zensursula-Gesetz zur Internetzensur.

Im Zentrum der Überlegungen der Regierung steht anscheinend nicht die Sicherung des allgemeinen Persönlichkeitsrechts der Arbeitnehmer, sondern das Ziel Unternehmen eine einfache und legale Möglichkeit zur Nutzung von Beschäftigtendaten zu Korruptionsbekämpfung und Compliance-Überwachung zu verschaffen.

Dumm nur, dass die Wirtschaft diese Möglichkeit auch vor der Verschärfung des BDSG zwar hatte. Aber niemals zur Überprüfung ihrer Vorstände und Führungskräfte einsetze, wie uns die Finanz- und Wirtschaftskrise ganz deutlich zeige. Stattdessen wurde allenfalls per Videokameraüberwacht, was Kassenkräfte im Discounter so tun. Oder per Massendatenabgleich geprüft, ob einer der 20.000 Bahnbeschäftigten ein Konto hat, das der nicht nur der Lohnabrechnung sondern auch Einkaufsabteilung bekannt wäre. Ober belauscht, was Gewerkschafter im Aufsichtstat so tun.

Die Unternehmen sind nicht vertrauenswürdig. Genauso wenig wie die Regierung. Und daher muss beiden auf die Finger gesehen werden und beide müssen bzgl. ihrer Machtbefugnisse gegenüber dem Volk kurzgehalten werden.

Die ganze Richtung der bisherigen Arbeit am Arbeitnehmerdatenschutz stimmt daher nicht! Nicht was Personalabteilungen gerne hätten oder wovon Arbeitgeberverbände träumen, sondern was zum Schutz der informationellen Selbstbestimmung der Beschäftigten erforderlich ist, muss Gegenstand der Überlegungen zu diesem Gesetz sein.

Ziel einer eigenständigen gesetzlichen Regelung muss es sein, für Arbeitgeber und Beschäftigte klare und möglichst verständliche Regelungen zu schaffen. Dass nützt Arbeitnehmern und Arbeitgebern gleichermaßen: Ein eindeutiger Rechtsrahmen schafft Sicherheit bei der praktischen Umsetzung im Betrieb und für die Betroffenen.

Daher haben Fachverbände wie die Deutsche Vereinigung für Datenschutz, das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), der FoeBuD sowie mehrere Einzelpersonen und Unternehmen eine gemeinsame Erklärung herausgegeben, in der sie die Mindestinhalte eines Arbeitnehmerdatenschutzgesetzes aus ihrer Sicht klar benennen. Dazu zählen:

•    Einwilligungen im Arbeitsverhältnis dürfen nur dann als Zulässigkeitsgrundlage gelten, wenn die Erteilung nachweisbar freiwillig und ohne Druck erfolgen kann und erfolgt ist.

•    Datenerhebungen müssen immer beim Beschäftigten erfolgen. Unrechtmäßig erworbene Daten müssen einem Beweisverwertungsverbot unterliegen.

•    Das Fragerecht des Arbeitgebers bei der Einstellung muss streng an der Bedeutung und Erforderlichkeit für die angestrebte Beschäftigung orientiert sein.

•    Die „berechtigten Interessen“ des Arbeitgebers müssen in Bezug auf Vorhaben konzernweiter Verarbeitung von Beschäftigtendaten (z. B. Personaldatenverarbeitung in einer Konzernzentrale) gem. § 28 Abs. 1 Nr. 2 bzw. § 28 Abs. 2 Nr. 1 BDSG präzisiert und konkretisiert werden.

•    Wenn der Arbeitgeber Beschäftigtendaten im Rahmen einer Auftragsdatenverarbeitung durch einen Dienstleister verarbeiten lässt, von dem er wirtschaftlich abhängt (z. B. die Konzernmutter), muss die gem. § 11 BDSG vorgesehene Kontrolle des Auftragnehmers mangels realer Durchsetzbarkeit durch eine externe, unabhängige Instanz ausgeübt werden.

•    Es ist klarzustellen, dass der Arbeitgeber gegenüber seinen Beschäftigten kein Diensteanbieter im Sinne der Telekommunikationsgesetzgebung ist. Zum Schutz privater E-Mails müssen klare, dem Schutzniveau des Telekommunikationsgeheimnisses entsprechende Regeln definiert werden, die eine Einsichtnahme und Verwendung durch den Arbeitgeber ausschließen.

•    Die Beobachtung und Überwachung von Beschäftigten mittels Video- oder Tonaufnahmen ist grundsätzlich zu untersagen. Der Schutz gilt am Arbeitsplatz und im privaten Umfeld gleichermaßen. Ausnahmen sind nur in streng begrenzten Gefährdungslagen zuzulassen.

•    Verbote und Informationspflichten beim Umgang mit Beschäftigtendaten, die für den Arbeitgeber gelten, sind auch beim Einsatz externer Dienstleister einzuhalten.

•    Die Auskunftspflicht des Arbeitgebers gegenüber den Beschäftigten bzgl. der über sie automatisiert verarbeiteten Daten ist so zu konkretisieren, dass eine wirksame Umsetzung garantiert ist.

•    Ärztliche Untersuchungen dürfen nur angeordnet werden, wenn sie gesetzlich vorgeschrieben sind. Die ärztliche Schweigepflicht für Betriebsärzte darf nicht aufgeweicht werden.

•    Die Arbeitnehmervertretung muss das Recht erhalten, im Namen von Beschäftigten in Datenschutzfragen zu klagen.

•    Die Arbeitnehmervertretung ist an der Auswahl des betrieblichen oder behördlichen Datenschutzbeauftragten zu beteiligen.

•    Die verbindlich bereitzustellende Arbeitskapazität und Ressourcen des betrieblichen oder behördlichen Datenschutzbeauftragten müssen systematisch an der Zahl der Beschäftigten orientiert sein.

•    Die gesetzlichen Schutzvorgaben dürfen durch Betriebs- oder Dienstvereinbarungen nicht unterschritten werden.

Es werden also Konkretisierungen und Nachbesserungen im Datenschutz, Klarstellungen und Bereinigungen bisheriger gesetzlicher Mängel beim Zusammenwirken von BDSG und TKG, wirksamere Rechte für die betriebliche Mitbestimmung sowie eine Verbesserung der Position des betrieblichen Datenschutzbeauftragten gefordert.

So notwendig diese Dinge sind, so sehr dürfte Bundeskanzlerin Angela Merkel recht haben, wenn sie sich in einer Rede vor dem DGB wie folgt dazu äußert: „Ich glaube, darüber wird es eine heiße Diskussion geben. Aber dass wir ein entsprechendes Gesetz brauchen, ist unbestritten.“

Es gilt also für alle am wirksamen Arbeitnehmerdatenschutz und am Abbau von Wirtschaftswillkür und Datenlecks Interessierten, dran zu bleiben am Thema. Und Druck auf die Regierung zu machen, wo immer möglich.

Wie bereits die Wahl in NRW zeigte, fällt es den beiden Volksparteien CDU und SPD immer schwerer tragfähige politische Mehrheiten zu organisieren, da das Vertrauen in ihr Handeln seit Jahren schwindet.

Der Konflikt hinter Googles Street View-Datenpannen

Schon seit längerem kurven die auffälligen Google-Fahrzeuge mit ihren gut zwei Meter hohen Kameramasten durch ganz Deutschland, um Bildmaterial für Google Street View einzusammeln. Ist dieser Dienst schon datenschutztechnisch nicht unumstritten, so wurde vor einiger Zeit auch noch bekannt, das Google dabei Daten von WLAN-Routern scannt (Wardriving). Zwar sind Funknetzname (SSID) und Routerkennung (MAC-Adresse) in etwa so öffentlich wie ein Briefkasten mit Namensschild und Einwurfsschlitz. Aber da Google dazu nie etwas äußerte bis es von Dritten entdeckt wurde, trug nicht gerade dazu bei dem US-Konzern mehr Vertrauen entgegenzubringen.

Und nun räumte Google ein, dass man aufgrund eines Fehlers in der eingesetzten Software sogar Verkehrsdaten laufender WLAN-Kommunikation (Payload-Data) im Vorbeifahren quasi „mit aufgeschnappt“ habe. Zwar nur fragmentarisch, da der Empfänger angeblich mehrmals pro Sekunde die Frequenz wechselt und das Fahrzeug weiterfährt. Für Google wären die so gesammelten Kommunikationsfragmente allenfalls Datenmüll und es erstaunt, dass sie diesen nach der Entdeckung nicht schlicht gelöscht und das Programm umkonfiguriert haben. Immerhin muss das ja jemand mal so eingestellt haben.

Das eigentliche Problem ist aber in den Augen vieler das häppchenweise Bekanntwerden diverser Datenschutz-und Sicherheitsprobleme bei Google. Es macht sich der Eindruck breit: Die haben ihren Laden nicht im Griff! Und das obwohl Google wohl auf einer der größten privaten Datensammlungen der Welt sitzen dürfte. Eine Datensammlung die durch ihr schlichtes Existieren und Weiterwachsen immer mehr an Brisanz gewinnt. Wie auch Google bereits feststellen musste, nachdem es zunehmend von Hackern angegriffen wird, die der chinesischen Regierung zugeordnet werden.

Zudem hat sich Google in der Vergangenheit bei Fragen zum Datenschutz bei einzelnen Vorhaben nicht eben vorbildlich hervorgetan. Anfragen der Datenschutzbeauftragten wurden verschleppt, ignoriert oder unzureichend beantwortet, wie der Bundesbeauftragte für den Datenschutz Peter Schaar in seinem Blog berichtet.

Schon seit Wochen kann man daher heftige Kritik an Google lesen, vorgetragen von diversen Politikern wie z.B. Verbraucherschutzministerin Ilse Aigner aber auch von Datenschützer Schaar. Letztlich laufen aber die Probleme mit Google alle auf einen grundsätzlichen Wertekonflikt hinaus:

Der Philosophie seines US-Managements folgend, verfahren Google-Entscheider nach der Devise „Lieber um Entschuldigung bitten als um Erlaubnis fragen“ und setzen sich schon mal über die Rechte Dritter einfach hinweg. So geschehen z.B. bei Google Books wo es zu einer nachträglichen Lizenzierungsdebatte (dem Google Books Settlement) kam. Oder bei urheberrechtlichen Detailfragen bei der Umsetzung der Google Bildersuche.

Ein elementarer Grundsatz der europäischen Datenschutzgesetzgebung lautet aber: „Erst um Erlaubnis fragen, dann loslegen“. Und im Zweifel bleiben lassen, falls zwischen den Betroffenen keine Einigung zustande kommt. Fast alle Konflikte um Datenschutzthemen zwischen Staat und Internetwirtschaft laufen letztlich auf diesen kulturellen Dissens raus. Auch Ministerin Aigner kritisierte bei ihren Attacken gegen Google und Facebook eigentlich immer nur deren „erst eigenmächtig loslegen, dann bei Geschrei den Dreck wegräumen“-Mentalität. Politik und Zivilgesellschaft wollen von der Wirtschaft nicht übergangen werden, während Unternehmen lieber schnell sein wollen als über ihr Tun gründlich zu reflektieren.

So manch innovativer Dienst wäre aber realistisch betrachtet gar nicht umsetzbar, wenn man jeden denkbar Beteiligten in allen Rechtsräumen vorab kontakten und mit ihm Vorverhandlungen aufnehmen würde. Zu vielfältig, verteilt und partikular wären die Interessen. Die Leute deswegen aber zu übergehen und ihnen lediglich die Option zu lassen, sich zu beschweren und auf eigenes Kostenrisiko den Rechtsweg gegen einen Konzern zu beschreiten ist deswegen aber auch keine akzeptable Alternative.

Letztlich zeigt sich darin ein Regulierungsdefizit zwischen Rechtslage und gelebter Internet-Realität, wie wir es ja auch im Bereich der Immaterialgüterrechte zunehmend beobachten können. Es liegt an uns – den Netzbewohnern – unserem Nutzungs- und Konsumverhalten aber auch unserem politischen Wahlverhalten, daran etwas zu verändern. So betrachtet können uns Vorkommnisse wie die diversen Google-Pannen dabei helfen, das Internet- und IT-Recht angemessen auszugestalten.

Bundesverfassungsgericht stoppt Vorratsdatenspeicherung

Etwa 36.000 Klagen (darunter auch eine von mir) brachten heute das umstrittene Gesetz zur Vorratsdatenspeicherung – eine Altlast aus Schäubles Zeiten – vor dem Bundesverfassungsgericht zu Fall. Die Richter kassierten das Gesetz und ordneten an, die damit erhobenen Daten unverzüglich zu löschen. Allerdungs enthielt ihr Urteil keine generelle Absage an die Idee der staatlichen Vorratsdatenspeicherung sondern verwarf lediglich deren Umsetzung in Form des Gesetzes als null und nichtig.

Der Gesetzgeber sei seiner Verantwortung für die Begrenzung und Verwendungszwecke der Speicherung nicht gerecht geworden, so Gerichtspräsident Hans-Jürgen Papier in der Begründung des Urteils. Über die europarechtliche Zielsetzung der Datenspeicherung sei man mit dem deutschen Gesetz (zu) weit hinausgegangen. In der Urteilsbegründung heißt es weiter, die anlasslose Speicherung von Telekommunikationsverkehrsdaten sei geeignet, ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann.

Eine Ansicht die zahlreiche Bürgerrechtler teilen dürften.

Das Karlsruher Urteil war lange erwartet worden. Hatten doch die BVerG-Richter bereits 2008 in einer einstweiligen Anordnung das Abrufen der Daten durch staatliche Stellen erschwert. Bis zur Entscheidung in der Hauptsache durften die Behörden nur noch bei schweren Straftaten wie Mord und Totschlag, aber auch Kinderpornografie, Urkundenfälschung oder Bestechung auf die Vorratsdaten zurückgreifen.

Das Bundesverfassungsgericht formulierte auch Anforderungen, die an ein überarbeitetes Gesetz zur Vorratsdatenspeicherung zu stellen seien. Dazu zählen anspruchsvolle und normenklare Regelungen was Datenschutz, Datensicherheit, Transparenz und Zugriffsrechte angeht sowie eine anspruchsvolle Verschlüsselung und getrennte Speicherung der so erhobenen Verkehrsdaten. Es müsse zudem eine transparente Kontrolle darüber geben, was mit den Daten geschehe, wobei auch der Bundesdatenschutzbeauftragte einbezogen werden müsse.

Mit gemischten Gefühlen sehen die Provider die ganze Sache. Mussten sie doch gesetzlich gezwungen in teure Speicher- und Überwachungshardware investieren. Gut möglich, das ein neues Gesetz auch neue Investitionszwänge enthält. Seltsam nur, dass der Staat sich zwar die Vorratsdatenspeicherung von den Providern (und deren Kunden) bezahlen lässt, es aber bis heute nicht hinbekommen hat, sie über eine neue Universaldiensteverordnung zu einem Breitbandausbau in der Fläche zu zwingen.

An sich geht die Idee der Vorratsdatenspeicherung auf die EU-Richtlinie 2006/24/EG zurück. Um das Problem endgültig vom Tisch zu bekommen wäre es demnach auch erforderlich, auch diese EU-Richtlinie zu Fall zu bringen.

„Das Urteil ist eine schallende Ohrfeige für die bürgerrechtsfeindliche Gesetzgebung der letzten Jahre“, so Jens Seipenbusch, Vorstandsvorsitzender der Piratenpartei. „Unser Etappenziel ist gemeinsam mit unseren Verbündeten erreicht. Jetzt gilt es, den Schwung auf europäischer Ebene zu nutzen, um die zugrundeliegende EU-Richtlinie für unrechtmäßig zu erklären, damit die Vorratsdatenspeicherung nicht über diesen Umweg eingeführt werden kann.“

Netzpolitik.org beschreibt die veränderte politische Lage so:

Der Kampf gegen die Vorratsdatenspeicherung geht also weiter in die Verlängerung. Wir müssen Druck auf die Bundesregierung und vor allem auf die FDP aufbauen, dass diese unsere digitalen Bürgerrechte Ernst nehmen. Im Vergleich zum Beschluss der Vorratsdatenspeicherung durch die Große Koalition ist das gesellschaftliche Klima ein wenig anders. Die Medienberichterstattung ist größer und kritischer geworden. Und mehr Bürger sind sensibilisiert. Das Klima müssen wir nutzen, um auch zukünftig die Vorratsdatenspeicherung national und auf europäischer Ebene zu bekämpfen und endgültig zu kippen.

Heute ist ein guter Tag für die Datenschutz- und Bürgerrechtsbewegungen Europas.

Gleichwohl bleibt noch viel zu tun, um alleine die zahlreichen Altlasten vergangener Regierungen zu entsorgen. Auch dem Bundesverfassungsgericht wird die Arbeit so schnell nicht ausgehen. Produzieren doch die Abgeordneten im Bundestag mehr grundgesetzwidrige Ideen als alle vom Verfassungsschutz wegen potentieller Gefährdung der freiheitlich-demokratischen Grundordnung beobachteten Organisationen zusammengenommen.

Datensaugstelle Krankenkasse

Mit einer heiklen Datenpanne der besonderen Art hat es zur Zeit die Krankenkasse „BKK Gesundheit“ zu tun. Denn heute Abend wird im ARD die Sendung „Kontraste“ laufen, in der u.a. berichtet wird, wie die Krankenkasse durch Datendiebe erpresst wird, wie sie inzwischen auch selbst in einer Pressemeldung einräumen musste. Sie hätten sich Zugriff auf sensible Gesundheits- und Sozialdaten in größerem Umfang verschafft und drohen nun damit, diese zu veröffentlichen, wenn die Kasse sie nicht „zurückkauft“.

Keine Frage – Datendiebstahl hat Hochkonjunktur. Da sich inzwischen sogar der Staat mehrmals an Datenhehlerei beteiligt und Millionenbeträge für gestohlene Datenbestände bezahlt hat (Steuer-CD-Affären), dürfte Cyberkriminelle weltweit begriffen haben, dass Datendiebstahl selbst von Regierungen als lässliches Kavaliersdelikt angesehen wird, dessen man sich fallweise sogar selbst bedient, wenn es opportun erscheint

Allerdings fanden die „Kontraste“-Rechercheure heraus, dass die BKK Gesundheit ziemlich lax mit ihren Patientendaten  umgegangen sein muss. Denn sie hatte den Betrieb ihres Call-Centers an eine Fremdfirma vergeben. Die wiederum hatte einen Subunternehmer mit eingebunden, der ungelernte Hilfskräfte beauftragte. Diese Billiglöhner hätten mit privaten Computern (!) oder Laptops Daten wie medizinische Diagnosen abrufen und speichern können. Und sich wohl rasch etwas „dazuverdient“, indem sie die wertvollen Daten abgegriffen und zum späteren Verkauf mitgenommen haben.

Schlecht bezahltes Leihpersonal, der Wunsch nach möglichst wenig arbeitsvertraglicher Bindung, unkontrolliertes Subunternehmertum sowie ganz allgemein Dummheit und Schlamperei wurden so wohl wieder einmal zum Fall für den Staatsanwalt, bei dem die Krankenkasse inzwischen Strafanzeige erstattet hat.

Und der wohl nicht nur gegen die noch unbekannten Datendiebe ermitteln muss, sondern sicher auch unangenehme Fragen bzgl. der Wahrnehmung gesetzlich vorgeschriebener Kontroll- und Prüfpflichten der Kasse bei Auftragsdatenverarbeitung stellen wird. Und warum die Kasse für Stellen, bei denen mit Gesundheits- und Sozialdaten der höchsten Schutzklassen hantiert wird, Billiglöhner und Subunternehmer oder Leiharbeiter als Erfüllungsgehilfen zulässt. Das dürft wieder interessanten Stoff für den nächsten Tätigkeitsbericht des Bundesdatenschutzbeauftragten ergeben.

Wem gehören die Daten der World-of-Warcraft-Spieler?

World-of-Warcraft-Spieler waren bereits häufiger Ziel cyberkrimineller Aktivitäten, was einige unter ihnen inzwischen datenschutztechnisch sensibilisiert hat. Als daher der Betreiber des Spiels Blizzard Entertainment vor einiger Zeit dem Spiel mit der sog. „Armory“ eine Funktion hinzufügte, die es um Social-Network-Funktionen erweiterte, wurden sie so allmählich wach. Die Armory ist eine allgemein, d.h. nicht nur für Spielteilnehmer erreichbare Suchfunktion, die neben zahlreichen Informationen zu Spieldetails auch Profile der teilnehmenden Charaktere liefert. Wer also wissen will, was ein bestimmter Avatar so erlebt hat, bekommt es mit dieser Suchfunktion heraus. Und kann damit sogar nachvollziehen, wann und wie häufig jemand im Spiel aktiv ist. Zwar liefert die Funktion keine Zuordnung von Spielern zu Avataren. Aber wenn ein Spieler zu einem früheren Zeitpunkt die Namen seiner Avatare preisgegeben hat, lassen sich mit der Armory leicht Rückschlüsse auf sein Spielverhalten ziehen.

Was z.B. Arbeitgeber bzgl. krankgemeldeter Arbeitnehmer und Auszubildende durchaus interessieren könnte (vgl. Beispielfall einer wegen privater Facebook-Nutzung gekündigten Arbeitnehmerin). Datenhungrigen Unternehmen ist ja inzwischen praktisch alles zuzutrauen. Und mit Recht und Gesetz wird es da oft ebenso wenig genau genommen wie mit Ethik und Moral (vgl. die zunehmenden Fälle von inszenierten Bagatellkündigungen zur Umgehung des Kündigungsschutzgesetzes)

Netzsherriff.de zum Thema Armory im WoW:

Jetzt koennen Eltern ihre Kinder, Freunde ihre Freunde, Arbeitgeber ihre Azubis oder Arbeitnehmer noch einfacher ueberwachen. Sobald ich weiss wer welchen Charakter spielt kann ich ab sofort und je nach Aktivitaet auch noch auf Jahre zurueck nachvollziehen was wann gemacht wurde. Nicht jeder Login und jede verspielte Minute aber immer noch genug fuer ein interessantes Profil. Vermutlich wird es nicht mehr lange dauern bis Blizzard die /played Information integriert – die insgesamt aufaddierte Spielzeit in Stunden/Tagen/Monaten pro Charakter.

Zudem ist nicht vorgesehen, dass WoW-Spieler die Veröffentlichung ihrer Spieldaten deaktivieren können. Was sie inzwischen zunehmend auf die Palme bringt und zu Protesten in Spielerforen veranlasst.

Zumal anzunehmen ist, dass diese eigenmächtige und mit niemandem abgestimmte Aktion von Blizzard rechtlich durchaus angreifbar ist, wie z.B. Florian Kretzer in einer lesenswerten Kommentierung im IT-Sicherheitsblog datenschutzrechtlich und vertragsrechtlich erläutert.

(die in seinem Artikel erwähnte EU-Datenschutzrichtlinie 95/46/E, das Fundament des europäischen Datenschutzrechts, gibt es hier im Volltext)

Es bleibt also abzuwarten, ob Blizzard die Armory freiwillig entschärft. Oder ob Spieler Beschwerden bei Datenschutzbeauftragten gegen Blizzard einreichen und diese Überprüfungen veranlassen, Bußgelder verhängen und Gewinne abschöpfen.

Einmal mehr zeigt sich ein Phänomen, das man „digitale Konvergenz“ nennen könnte. Reale und virtuelle Welt kommen einander immer näher. Was  in der einen Welt geschieht, hat zunehmend Auswirkungen auf das Geschehen in der anderen. Sich in eine virtuelle Welt zurückzuziehen, um sich der Misslichkeiten der Realität zu entledigen, klappt immer weniger.

Andererseits soll es ja tatsächlich engagierte WoW-Spieler geben, die ihr so generiertes Spielerprofil als gutes Mittel zum Beleg ihrer Kompetenzen als Raidleiter für ihre Bewerbung auf dem Arbeitsmarkt sowie als Bestandteil ihrer generellen Online-Reputation ansehen. Allerdings ist die Anzahl der zu besetzende Positionen in Wirtschaft und Verwaltung, in denen es auf nachweisbare WoW-Handlungskompetenz ankommt, noch recht überschaubar.

Können Sicherheitsexperten zum Sicherheitsrisiko werden?

Diese Frage warf vor ein paar Tagen der Newsletter des Fachinformationsdienstes „Datenschutz-Praxis“ auf. Denn gerade in Unternehmen ist es keineswegs immer so, dass der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte stets an einem Strang ziehen. Zwar werden diese beiden Funktionen der Einfachheit halber und wegen der inhaltlichen Schnittpunkte gerne in einer Person zusammengelegt. Das aber kann Interessenskonflikte mit sich bringen, da der Datenschutzbeauftragte die Arbeit des IT-Sicherheitsbeauftragten bzgl. des Datenschutzes zu bewerten hätte. Und sich als „Doppelbeauftragter“ dann selbst zu kontrollieren hätte.

Zumal es z.B. Sachverhalte geben kann, bei denen z.B. aus Sicht der IT-Sicherheit manche Auswertungen, Datenzugriffe und Überwachungsfunktionen unerlässlich scheinen, während der Datenschutzbeauftragte vor einem anlasslosen, massenhaften Screening von Mitarbeiteraktivitäten warnt.

Doch zum eigentlichen Sicherheitsproblem kann der IT-Sicherheitsbeauftragte vor allem dann werden, wenn er sich bei der „internen Vermarktung“ berechtigter Anliegen der IT-Sicherheit vor Entscheidungsträgern im Unternehmen schwertut. Gerne verfallen IT-Sicherheitsbeauftrage dabei in Verhaltensmuster wie diese:

• Sie geben viel zu detaillierte technische Informationen, deren Aufnahme viel Zeit in Anspruch nimmt und die Entscheidungsträger eher verwirren oder abschrecken.
• Dagegen können sie für Entscheidungsträger wichtige technische Zusammenhänge nur unzureichend oder gar nicht erläutern.
• Sie verbreiten Horrorbotschaften über die neuesten Gefahren für die interne IT, ohne einen echten Bezug zur konkreten Situation im Unternehmen herzustellen.
• Sie liefern rein problemorientierte Sicherheitsberichte ab, denen weder realistische Bewertungen noch Lösungsvorschläge für bestehende Probleme entnommen werden können.
• Sie verfassen Sicherheitsrichtlinien, die unverständlich und umständlich in der Umsetzung sind, deren Ausführung eher den Betrieb lahmlegen würde als die Sicherheit zu verbessern, mit denen sie Betriebsräte und Beschäftigte gegen sich aufbringen und an die sich dann letztlich keiner hält.

So bekommen Datensicherheit und IT-Sicherheit letztlich doch nicht den erforderlichen Stellenwert und das Thema IT-Sicherheit wird in den Augen der Geschäftsleitung zum unverständlichen, lästigen und produktivitätshemmenden Sitzungsballast, der mit einer fadenscheinigen Begründung aufgeschoben oder weggekürzt wird. Bis es dann zu einem echten Problem kommt und Datenschutzlöcher oder ausgespähte Firmengeheimnisse eingestanden werden müssen (und Schuldige gesucht und gefunden werden sollen).

Der Fachinformationsdienst Datenschutz-Praxis rät daher Datenschutzbeauftragten das kollegiale Gespräch zu den Sicherheitsbeauftragen zu suchen, sie für Belange des Datenschutzes zu sensibilisieren und ihnen bei der Darstellung und Vermittlung der berechtigten Anliegen von IT-Sicherheit und Datenschutz im Unternehmen zu helfen.