website design software

 

___________________________________________________________

    Die wichtigsten Datenschutzrechte

Datenschutzrecht ist wieder aktuell geworden. Insbesondere für Arbeitsverhältnisse wurde genauer bestimmt, welche personenbezogenen Daten verarbeitet werden dürfen. Aber auch in anderen Lebensbereichen muss genauer auf die Einhaltung des Datenschutzes geschaut werden. Für Datenverarbeiter wie für von der Datenverarbeitung Betroffene ist es also wichtig, einen Überblick über Rechte und Pflichten zu behalten. Im vorliegenden Rahmen können nur einige Grundzüge aufgezeigt werden.

 

Wer ist zur Einhaltung des Datenschutzes verpflichtet

  • Jeder, der auf Personen bezogene Daten verarbeitet, ist “verantwortliche Stelle” (§ 3 VII Bundesdatenschutzgesetz (BDSG)) und verpflichtet. Das gilt für öffentliche Stellen (wie Behörden) und nichtöffentliche Stellen (wie Unternehmen).
  • Nicht selten übersehen wird aber, dass auch jeder Internet-Nutzer verpflichtet sein kann, so etwa, wenn er in sozialen Netzwerken Daten Dritter speichert und im Web zugänglich macht, etwa in einer Liste von “Freunden”. Deren Namen darf er nur dann speichern und an andere Nutzer übermitteln, wenn diese Dritten eingewilligt haben. Die Dritten sollten prüfen, ob sie damit einverstanden sind, dass ihr Name mit dem der Nutzers in Verbindung gebracht wird. Sie sollten auch prüfen, ob sie mit einer solchen Nennung in einer Liste möglicherweise zu einer Zielgruppe für Marketing gehören wollen. Wer nicht eingewilligt hat, kann die Entfernung des Namens vom anbietenden Nutzer verlangen und gerichtlich durchsetzen.
  • Wer Mitteilungen in Netzwerken wie Facebook, in Blogs oder in Twitter web-öffentlich macht, gilt außerdem als Anbieter eines Telemediendienstes (§ 2 S. 1 Nr. 2 Telemediengesetz, TMG). Keine Rolle spielt, dass ein Netzwerk oder Twitter-Dienst etwa von einem Unternehmen verwaltet wird. Der einzelne Blog oder Twitter-Account eines Nutzers gilt selbst als “Telemediendienst”, wenn der Nutzer ihn eigenständig verwalten, also etwa Mitteilungen frei hinzufügen, ändern oder löschen kann. Keine Rolle spielt, dass etwa Unternehmen als Erfüllungsgehilfen Infrastruktur bereithalten und verwalten..Diensteanbieter müssen besondere Pflichten erfüllen:
    • Impressumspflicht: Angabe von Namen und Anschrift, E-Mail-Anschrift (§ 5 I TMG).
    • Volle Haftung für bereitgehaltene eigene Informationen (§ 7 I TMG). Diese Haftung umfasst auch fremde Informationen, die etwa als Kommentare von Dritten an einen Blog gerichtet sind. 
    • Einhaltung der Bestimmungen des Datenschutzes in Telemediendiensten (§§ 11 - 15 TMG)
  • Die Informationspflichten bestehen auch dann, wenn Nutzer das Angebot nicht über PC/Notebook, sondern im WAP-Format über das Mobiltelefon abrufen (OLG Hamm 4 U 225/09).
  • Welche Datenschutzrechte haben Betroffene ?
  • Jedem gegenüber, der ihre personenbezogenen Daten verarbeitet, können Betroffene folgende Rechte geltend machen: (§§ sind solche des BDSG; die erste Angabe bezieht sich auf öffentliche Stellen, die zweite auf nichtöffentliche):
    • Benachrichtigung (§§ 19 a; 33) bei (erstmaliger) Datenerhebung ohne Kenntnis der Betroffenen.
    • Auskunft (§§ 19;34),
    • Berichtigung unrichtiger Daten (§§ 20 I; 35 I)
    • Sperrung (§§ 20 III, IV, IV; 35 III und IV) und
    • Löschung (§§ 20 II, 35 II).
  • Mit Ausnahme des Benachrichtigungsrechts und der Informationspflicht (§ 42 a BDSG) dürfen diese Rechte der Betroffenen nicht vertraglich eingeschränkt oder ausgeschlossen werden (§ 6 I BDSG)..
  • Den Datenschutz insgesamt erfasst das Grundrecht auf “informationelle Selbstbestimmung” (BVerfG NJW 1984, S. 419 - Volkszählung; BVerfG NJW 1991, S. 2129 - Quellensteuer).  Ergänzend greift das “Computer-Grundrecht” auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ein (BVerfG, NJW 2008, S. 822). Die Grundrechte wirken mittelbar auch zwischen nichtöffentlichen Datenverwendern und Nutzern.
  • Personendaten dürfen nicht uneingeschränkt verarbeitet werden. Allgemein gilt das Gebot der Datenvermeidung und Datensparsamkeit (§ 3 a).
  • Öffentliche Stellen dürfen Personendaten nur dann erheben, speichern, verändern und nutzen, soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist  (§§ 13 - 16). Nichtöffentliche Stellen dürfen Personendaten  nur in dieser Weise verwenden, wenn dies zur Erfüllung eines Vertrags erforderlich ist, ein berechtigtes Interesse des Datenverarbeiters besteht oder die Daten allgemein zugänglich sind (§ 28).
  • Die Betreiber sozialer Netzwerke dürfen die Daten ihrer Mitglieder nur für Zwecke der Kommunikation der Mitglieder untereinander verwenden und nicht externen Dritten (etwa zu Marketing-Zwecken) übermitteln

 

Beschäftigungsverhältnisse

  • Arbeitgeber dürfen Daten ihrer Beschäftigten nur erheben, speichern oder verwenden, wenn dies für die Begründung oder Durchführung eines Beschäftigungsverhältnisses erforderlich ist (§ 32 I 1). Die Bindung ist hier noch strenger, da berechtigte Interessen des Arbeitgebers nicht ausreichen und außerdem allgemein zugängliche Daten nicht mit Beschäftigtendaten verknüpft werden dürfen.  Keinesfalls darf der Arbeitgeber Verzeichnissse ihrer Beschäftigten im Web zugänglich machen.
  • Nützen Beschäftigte betriebliche Telefon- oder E-Mail-Systeme oder auch Internet-Zugänge zulässig zu privaten Zwecken, so ist § 32 nicht anwendbar. Der Arbeitgeber ist vielmehr an die engen Zulässigkeitsgrenzen des Telemedien- und des Telekommunikationsrechts gebunden. Der Arbeitgeber tritt insoweit wie ein sonstiger Dienstleister auf

___________________________________________________________

    Aktuelles

    Rechtsfragen um Facebook

    Die Nutzung von Facebook kann für Facebook wie für Webseitenbetreiber zu Haftung aus rechtswidriger Verarbeitung von Nutzerdaten führen. Dies ergibt sich recht eindeutig aus einer Ausarbeitung des Wissenschaftlichen Dienstes des Bundestages (WD3-3000-306/11 neu vom 7.10.2011).                                      www.datenschutzzentrum.de/facebook/material/WissDienst-BT-Facebook-ULD.pdf                    

     Die Ausarbeitung stellt fest: “Insbesondere fehlt es an der notwendigen Transparenz bezüglich Art, Umfang und Dauer der Datenverarbeitung sowie des Zwecks der Verwendung und an der Kenntnis, ob die Übermittlung innerhalb der EU oder in einen Drittstaat erfolgt.” (S. 13) Es kommt also nicht darauf an, ob die Nutzerdaten in die USA übermittelt werden (was etwa vom Unabhängigen Datenschutzzentrum angenommen wird). Entscheidend ist, dass keine Klarstellung über die Verarbeitungsvorgänge erfolgt. Deshalb wird die von Facebook fingierte Einwilligungserklärung als unwirksam eingestuft.

    Außerdem reicht es nicht aus, nur auf englischsprachige Nutzungsbedingungen zu verweisen (S. 14). Gleiche Probleme bestehen bei dem Reichweitenanalysedienst “Facebook Insight”. 

    Rechtlich problematisch ist auch das Setzen von Social Plugins wie dem Like-Button durch Webseitenbetreiber. Als Telemedienanbieter müssen sie die Nutzer auf deren Widerspruchsrecht (§ 13 I TMG) hinweisen, jedoch ist die erforderliche Widerspruchserklärung durch die Nutzer über die Webseite schon rein technisch gar nicht vorgesehen. (S. 14)

    Aktuelle Orientierungshilfe zum Datenschutz in der Cloud   

    Eine aktuelle, übersichtliche und nützliche  Orientierungshilfe zum Thema Datenschutz in der Cloud wurde von den Arbeitskreisen Technik und Medien der Konferenz der Datenschutzbeauftragten von Bund und Ländern erarbeitet. Stand der Version 1.0: 26.9.2011                                                                                www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf

     Diese Orientierungshilfe liefert neben wichtigen rechtlichen Hinweisen für Cloud-Anbieter und -Anwender die wesentlichen Kriterien für die Prüfpraxis der Datenschutzbehörden. Deshalb ist es von besonderer Bedeutung, dass die Cloud-Anbieter als Auftragnehmer einer Auftragsdatenverarbeitung eingestuft werden. Cloud-Anwender und -Anbieter müssen deshalb einen schriftlichen Vertrag über die Cloud-Dienstleistungen schließen. Außerdem müssen die Anwender die Anbieter und die Anbieter wiederum ihre Subunternehmer auf Einhaltung des Datenschutzrechts kontrollieren.

    Die Orientierungshilfe bietet also allen Anlass, die Verträge zwischen Cloud-Anbietern und -Anwendern an die Rechtslage anzupassen, und zwar auch in den sonstigen Anforderungen an die Auftragsdatenverarbeitung. Werden diese Verträge nicht oder nicht vollständig abgeschlossen, droht ein Bußgeld bis zu 50.000 Euro  (§ 43 I Nr. 2 b BDSG).

    Unzulässige Videoüberwachung eines Mitarbeiters: € 7000 Schmerzensgeld

    Eine fortlaufend durch Videokamera überwachte Arbeitnehmerin erhielt vom LAG Hessen, Urt.v.25.10.2010 - 7Sa 1586/09 (IT-Rechtsberater 2011, 182) ein Schmerzensgeld wegen schwerwiegender Verletzung ihres Persönlichkeitsrechts zugesprochen. Selbst wenn die Kamera nicht (ständig) aktiviert ist, kann durch eine sichtbar angebrachte Videokamera ein ständiger Anpassungsdruck entstehen.

    Gleiches wird entsprechend gelten müssen, wenn der Arbeitgeber die Überwachung nicht mit einer Videokamera durchführt, sondern mit einer Webcam am Arbeitsplatzrechner. Außerdem können jeweils Unterlassungsansprüche des betroffenen Mitarbeiters bestehen..

    Ortung mit iPhone

    Während staatliche Vorratsdatenspeicherung auch nach Auffassung der Befürworter nur unter bestimmten gesetzlichen Voraussetzungen und nur zeitlich beschränkt zulässig sein soll, sind über Mobiltelefone und Kameras mit GPS-Empfängern grundsätzlich zeitlich und räumlich unbegrenzt Ortungen und das Erstellen von Bewegungsprofilen möglich I(Beispiel). Dies ist grundsätzlich zulässig, wenn die Betroffenen selbst eine entsprechende Geräteeinstellung wählen. Probleme bestehen, wenn Nutzer Geräte einsetzen, die schon mit einer Geotagging-Funktion voreingestellt sind, ohne dass die Nutzer dies erkennen müssen. Vorzuziehen ist eine Lösung, bei der der Nutzer diese Funktion aktivieren (anstatt deaktivieren, wie bisher beim iPhone) muss. Außerdem sollte für den Nutzer stets klar erkennbar sein, an wen die Nutzungsdaten übertragen werden. Keinesfalls darf ein Nutzer andere Nutzer heimlich in dessen Bewegung überwachen (Persönlichkeitsrechtsverletzung).

     

    Ist Cloud Computing verfassungswidrig ?

    Die Frage mag überraschen. Sie lässt sich aber nicht abweisen. Beim Cloud Computing werden Datenverarbeitungsvorgänge weltweit auf Rechner verteilt, die jeweils gerade freie Rechenkapazität haben. Der Wechsel zwischen den Rechnern kann sekundenschnell erfolgen, so etwa in die USA, wenn dort Nacht ist und Rechner nicht voll ausgelastet sind.

    Werden nun personenbezogene Daten derart über die Kontinente wechselnd verarbeitet, ist keineswegs immer sichergestellt, dass die in die Cloud einbezogenen IT-Systeme nur an Standorten stehen, an denen ein mit dem EU-Recht vergleichbarer Schutzstandard besteht. Vielmehr kann in vielen Staaten ein “Datenschutzleck” zu Lasten der von dieser Verarbeitung Betroffenen entstehen.

    Gibt nun die für die Personendatenverarbeitung verantwortliche Stelle die Daten ohne Einwilligung der Betroffenen in eine datenschutzbezogen derart lückenhafte Public Cloud, werden nicht nur die Datenschutzrechte der Betroffenen verletzt, sondern auch Grundrechte dieser Betroffenen. Hierzu gehört primär das Recht auf informationelle Selbstbestimmung (BVerfGE NJW 1984, 419). Der Schutz aus diesem Recht greift nicht nur gegenüber dem Staat, sondern auch zwischen Privaten und im Geschäftsverkehr (mittelbare Drittwirkung des Grundrechts, BVerfG NJW 1991, 2129 ). Alle Personendaten sind geschützt, gleich, ob sie (etwa als medizinische) sensibel sind oder nicht. Werden die Personendaten auf Rechner in Drittstaaten ohne vergleichbaren Datenschutz ausgelagert, in denen Betroffene nicht oder nur unzureichend ihre Datenschutzrechte durchsetzen können, wird dieses Grundrecht verletzt.

    Außerdem kann diese Auslagerung in eine offene und für die verantwortliche Stelle nur eingeschränkt kontrollierbare Cloud das  Grundrecht des Betroffenen auf Gewährleistung der Vertraulichkeit und Integrität der verwendeten IT-Systeme verletzen (BVerfG NJW 2008, 822), wenn bzw. soweit die auslagernde Stelle keine volle Kontrolle über die Systeme in den Drittstaaten hat und etwa einen Weiterverkauf oder beliebige Veränderungen der Datenbestände nicht ausschließen kann.

    Bei Verletzung dieser Grundrechte kann der Betroffene aus´seinen Grundrechten Abwehransprüche durchsetzen und Unterlassung jeder weiteren Verarbeitung verlangen. Ob eine Grundrechtsverletzung vorliegt, muss freilich im jeweiligen Einzelfall geprüft werden.

       

     

    Neues Arbeitnehmer-Datenschutzrecht beschlossen. Zwei Updates

    Presse berichtet, dass das Kabinett ein neues Datenschutzrecht für Arbeitnehmer (“Beschäftigte”) vorbereitet. Es soll enthalten:  

  • Umfassende Regelung des Bewerbungsverfahrens,
  • Eingeschränkte Zulässigkeit des Abgleichs von Mitarbeiterdaten zur Korruptionsbekämpfung.
  • UPDATE: Der Entwurf wurde im Kabinett am 25.8.2010 beschlossen, enthält aber noch Regelungslücken. Beispiele:

    (1)  § 32 f-Entwurf regelt das Verbot der heimlichen Überwachung durch “optisch-elektronische Einrichtungen”, die in § 6 b I BDSG als “Videoüberwachung” bezeichnet werden. Unklar bleibt damit, ob auch die Überwachung durch aktivierte Webcams im Rechner erfasst wird.

    (2)  Nicht erhoben werden dürfen Daten aus sozialen Netzwerken (§ 32 VI -E). Was unter “sozialem Netzwerk” zu verstehen ist, wird im Gesetz nicht definiert. Damit ist der Regelungsumfang  das Erhebungsverbots nicht ausreichend bestimmt.

    (3)  Ortungssysteme dürfen nach der Begründung des Gesetzentwurfs nicht während der Freizeit oder im Urlaub eingesetzt werden. Klärungsbedürftig erscheint, ob der Beschäftigte also das Ortungssystem während der Mittagspause abschalten darf.

     UPDATE  5.11.2010: Eine Einigung zwischen Bundesrat und Bundesregierung zeichnet sich ab, jedoch soll dem Bundesrat zufolge eine Personalisierung von Beschäftigtendaten nur bei konkretem Verdacht zulässig sein und ein “flächendeckendes Screening” nicht erfolgen dürfen.

    eet View am Start, Street View-Recht,

    www.vz-nrw.de/mediabig/100691A.rtf). Deutsches Datenschutzrecht ist anwendbar, da die Daten in Deutschland (durch Abfahren der Straßen) erhoben wurden. Dem steht nicht entgegen, dass die Google Inc. ihren Sitz in den USA hat.

    a) Street View

    Wurden zufällig von den umherfahrenden Aufnahme-Fahrzeugen Personen ohne deren Einwilligung fotografisch erfasst, die erkennbar sind, stellt dies eine Verletzung ihres Persönlichkeitsrechts (Art. 1, 2 GG; § 823 BGB) dar. Eine “Verpixelung” des Bildteils, der die Person zeigt, reicht nicht aus, wenn deren Identität durch andere Anhaltspunkte feststellbar ist.

     Werden die Rohdaten außerdem unverpixelt in die USA übertragen, werden durch diese unzulässige Erhebung und Übermittlung der Bilddaten auch die Datenschutzrechte (aus dem Bundesdatenschutzgesetz, BDSG) der abgebildeten Personen verletzt.

    Keine generelle Fotografierfreiheit gewährt die sog. “Panoramafreiheit”, also das Recht, Bilder von öffentlich zugänglichen Straßen, Wegen oder Plätzen herzustellen (§ 59 Urheberrechtsgesetz). Zwar dürfen Bilder von Bauwerken erstellt werden, auf denen zufällig vorbeigehende Personen mit abgebildet werden, also (in der wenig überzeugenden Gesetzessprache von 1907) nur “Beiwerk” zur Landschaft sind (§ 23 I Nr. 2 Kunsturheberrechts- gesetz KUG). Das gilt aber nicht, wenn die jeweilige Person aus der Anonymität herausgehoben wird. Erst recht gilt es nicht für Bildteile, die etwa durch offene Fenster Innenräume und deren Bewohner erfassen, etwa im Wartezimmer von Arztpraxen. Und schließlich gilt die Panoramafreiheit nicht weltweit (etwa nicht in Frankreich); erst recht erlaubt § 59 KUG nur für Deutschland die entgeltfreie Nutzung der Abbildungen. Folge: Nicht vergütete Abbildungen dürfen nicht weltweit kostenlos im Web zugänglich gemacht werden, da die Berechtigten so an der Durchsetzung ihrer Vergütungsansprüche gehindert werden. 

    b) Google-Drohnen

    Die “Street View”-Fotos sind nicht selten Monate alt. Google soll nun den nächsten Schritt planen, nämlich die Bilderfassung aus der Luft in Echtzeit durch sog. “Drohnen” (Wirtschaftwoche v. 9.8.2010, S. 62). Diese Fluggeräte können Live-Bilder erzeugen und etwa Bewegungsprofile von Personen (z.B. Kriminellen)  herstellen. Möglich werden Aufnahmen auch von Innenhöfen von Gebäuden oder durch Fenster in Innenräume, sogar mit Nachtsicht- und Wärmebildkameras (Wirtschaftwoche, aaO, S. 63).

    Datenschutzrechtlich läge hier eine Beobachtung öffentlich zugänglicher Räume iSv § 6 b BDSG vor. Sie ist nur zulässig zur Verfolgung berechtigter Interessen für konkret festgelegte Zwecke, wenn zugleich keine Anhaltspunkte dafür sprechen, dass schutzwürdige Interessen der derart Beobachteten entgegenstehen. Dies wird jedoch zumeist der Fall sein, da eine gezielte Überwachung tief in das Persönlichkeitsrecht eingreift. Berechtigt wäre hier der Drohneneinsatz etwa, um im Brandfall auf einem Grundstück nach Verletzten zu suchen, sicherlich unberechtigt aber die drohnengestützte Überwachung des Nachbarn. Erst recht wäre eine Überwachung von nichtöffentlichen Innenräumen unzulässig (etwa eine Beobachtung von Beschäftigten am Arbeitsplatz), nämlich eine Verletzung des Persönlichkeitsrechts.

    Auch die Panoramafreiheit greift hier nicht ein, wenn die Drohnen Bilder elektronisch aufzeichnen und übermitteln, da § 59 UrhG nur Lichtbild oder Film als Abbildungsmedium erlaubt.

    c) Rechte der Betroffenen

    Jedermann kann von Google Auskunft verlangen, ob und welche Daten zu seiner Person gespeichert wurden (§ 34 BDSG). Auskunftspflicht besteht zu Daten, die Einzelangaben über persönliche oder sachliche Verhältnisse einer “bestimmten oder bestimmbaren” (natürlichen) Personen sind (§ 3 I BDSG).”Bestimmt” ist im vorliegenden Zusammenhang eine Person, die etwa mit ihrem Gesicht abgebildet wird. “Bestimmbar” ist eine Person, in deren Abbildung das Gesicht zwar “verpixelt” wird, aber erkennbar bleibt oder die auf der Fahrerseite in einen PKW einsteigt, dessen amtliches Kennzeichen lesbar ist.

    Ist eine Person erkennbar und hat sie nicht eingewilligt, kann sie Löschung ihrer Abbildung verlangen (§ 35 II Nr. 2 BDSG).

    Dies gilt aber nicht nur für Abbildungen, sondern auch generell für von Google rechtswidrig mitaufgezeichnete Daten von WLAN-Verbindungen oder Teile von E-Mails. Auch hier können Auskunfts- und Löschpflichten bestehen. Außerdem kann ein Sich-Kenntnis-Verschaffen vorliegen, das das Fernmeldegeheimnis verletzt (§ 88 TKG) und strafbar ist (§ 206 StGB).

    Update 7.9.2010):

    2. Update 23.11.2010: Zwischenzeitlich teilte Google mit, bei der Drohne handele es sich um ein Experiment eines Mitarbeiters, kein Google-Projekt.

    Allerdings bieten bereits mehrere Unternehmen unbemannte kleine Helikopter- Drohnen für unterschiedliche Einsatzzwecke an, die mit Nutzlasten bis zu 50 kg beladen werden und sechs Stunden ununterbrochen fliegen können.

    Für diesen Überwachungseinsatz Doch greifen die allgemeinen Bestimmungen zum Datenschutz- und Persönlichkeitsrecht. Bürger müssen also nicht dulden, wenn, vereinfacht gesagt, Drohnen vor ihren Wohnzimmerfenstern schweben und sie beobachten.

    d) Bilder-”Stalker”

    Einige Netzaktivisten haben angekündigt, alle diejenigen Häuser zu fotografieren und “in das Netz zu stellen”, die ihre Bewohnern bei Google haben sperren lassen. Zweifelhaft ist, ob die Bewohner hier Abwehrrechte haben.  Wenn Google den Bewohnern ein Widerspruchsrecht einräumt, verpflichtet der Widerspruch nur Google, nicht auch sonstige Fotografen. Diese dürfen weiter im Rahmen der “Panoramafreiheit” Aufnahmen erstellen.

 

    Auskunft über Nutzer von dynamischen IP-Adressen

    Das OLG Zweibrücken, Beschluss v. 26.9.2008 - 4 W 62/08, MMR 2009, S. 45 hat festgestellt, dass die Mitteilung, wer zu einem bestimmten Zeitpunkt eine dynamische (mit jeder Internet-Sitzung zugeordnete) IP-Adresse genutzt hat, weder das Grundrecht des Anschlussinhabers auf Wahrung des Post- und Fernmeldegeheimnisses  (Art. 10 GG) noch das Grundrecht auf informationelle Selbstbestimmung verletzt (Art. 2 I i.V.m Art 1 I GG) verletzt. Diese Auskunft enthalte keine darüber hinausgehenden Daten etwa zur Häufigkeit der Nutzung der IP-Adresse noch zu etwaigen Kommunikationspartnern oder -inhalten.

    Über die Häufung der Nutzung der IP-Adresse  kann die Auskunft allerdings bei dynamischen IP-Adressen schon deshalb keine Informationen enthalten, weil diese mit jeder Sitzung neu zugeteilt werden. 

    ELENA hat keine ausreichende Rechtsgrundlage

    Update 30.11.2010

    Die ELENA-Testphase wurde bis 2014 verlängert. Der Bundestag sprach sich gegen ein Moratorium aus.

 

    ELENA (für "Elektronischer Entgeltnachweis") ist das größte Datenerfassungsprojekt in der deutschen Geschichte (Stoffels, http://blog.beck.de v. 02.01.2010). 3 Millionen Arbeitgeber müssen über etwa 40 Millionen Beschäftigte Auskunft geben. Grundlage ist das "Gesetz über das Verfahren des elektronischen Entgeltnachweises v. 28.03.2008, BGBl I 2008, 634( kurz: ENG).

Allerdings gibt es hier ein grundsätzliches Problem: Das Gesetz verlangt die Mitteilung von Daten zu Versicherungsnummer, Name und Vorname, Tag der Geburt und Anschrift des Beschäftigten (und die Betriebsnummer und Anschrift des Arbeitgebers), § 97 I Nr. 1 - 3 ENG. Im ENG nicht genannt sind Krankheitstage, Abmahnungen und Kündigungen.

Ersatzweise sollen "Kündigungen/Entlassungen", "Abmahnungen" und die "Schilderung des vertragswidrigen Verhaltens als Kündigungsgrund" aus den Nummern 3.14 und 2.1 der Gemeinsamen Grundsätze Anlage Datenbeschreibung zu § 28 b II SGB IV verlangt werden können. Diese sozialrechtliche Regelung für einzelne Auskunftserteilungen kann aber eine ausdrückliche gesetzliche Regelung im ENG nicht ersetzen.

Eine ausdrückliche Regelung im Gesetz ist erforderlich, da in das Grundrecht der Beschäftigten auf informationelle Selbstbestimmung eingegriffen wird (BVerfGE 80, 367, 374). Dies gilt umso mehr, als diese Daten Teil einer bisher nicht bestehenden, bundesweit einheitlichen Datensammlung werden sollen. Bisher besteht hierfür keine ausreichende gesetzliche Grundlage. Damit könnte eine Vorratsdatenspeicherung vorliegen, die dem Bundesverfassungsgericht (Teilziff. 206) unzulässig ist.

Dem kann auch nicht entgegengehalten werden, dass die Beschäftigten der Datenübermittlung oder jedenfalls -auswertung zustimmen müssten, da im Arbeitsverhältnis nicht ohne weiteres von der erforderlichen Freiwilligkeit der Einwilligung ausgegangen werden kann.

Hinzu kommt, dass das ENG sogar ausdrücklich jede Übermittlung anderer Daten als im Gesetz genannter Daten ausdrücklich untersagt (§ 97 I Satz 3 ENG). Dies entzieht jeder möglichen analogen Anwendung der Grundsätze  auf nicht im ENG genannte Daten(typen) den Boden. Vielmehr kann auf die Gemeinsamen Grundsätze nur zu Konkretisierung derjenigen Daten zurückgegriffen werden, die zulässig übermittelt werden dürfen (und müssen).

 

 

 

 
[Computerrecht] [F&E-Recht] [Computerrecht-Kanzlei] [IT-Recht/Projektverträge] [Internet-Recht] [Datenschutz] [Publikationen] [Downloads] [Ihre Computerrechte] [Entwicklerrechte] [IT-Rechtsstreit] [Cloud Computing-Vertrag] [Vertrags-Check im Web] [Gentechnikrecht] [IT-Recht Kanzlei RA Dr. Koch] [Vergaberecht] [FDA-Konformität von IT] [KRITIS] [IT-Sicherheitsrecht] [Gesetze] [Erneuerbare Energien] [Produktsicherheitsrecht]