Datenschutz Archive - juraexamen.info

Schlagwortarchiv für: Datenschutz

Handyortung zur Viruseindämmung: Datenschutz in Zeiten drohender Triage

Lerntipps, Rechtsgebiete, Schon gelesen?, Startseite, Tagesgeschehen, Zivilrecht

Wir freuen uns, einen Beitrag von Prof. Dr. Gregor Thüsing, LL.M. (Harvard) zur aktuellen Frage der Viruseindämmung per Handyortung veröffentlichen zu können. Der Autor ist Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit in Bonn.

Verbreitete Skepsis
Der Bundesgesundheitsminister hat recht: „Wie können wir Handydaten nutzen, um Infektionsketten nachzuvollziehen – diese Debatte müsse geführt werden“. Und sie wird ja bereits geführt. Der ehemalige Bundesdatenschutzbeauftragte Schaar erklärt: „Ein totales Tracking aller Menschen in diesem Lande würde ich, jedenfalls nach dem derzeitigen Stand, nicht für verhältnismäßig halten,“ mehr noch: „Rechtlich hochgradig problematisch, im Zweifel auch nicht zulässig, wäre nach der Verfassungsgerichtsrechtsprechung, jeden Einzelnen jede Sekunde zu tracken. Das darf sicher nicht sein.“ Er steht damit nicht allein. Der aktuelle Bundesdatenschutzbeauftragte Kelber legt nach: „Das ist für mich ein unverhältnismäßiger Eingriff in die Grundrechte. Auch hält Kelber die Lösung für nicht praktikabel: „Erstens wären die Daten viel zu ungenau, zweitens könnten die Betroffenen ihr Handy einfach zu Hause lassen.“ Generell gibt er zu Bedenken: „Wenn personalisierte Standortdaten in Verbindung mit der Corona-Infektion eines Betroffenen gebracht werden, dann sind das Gesundheitsdaten. Solche Daten sind sehr sensibel und dürfen nur im Ausnahmefall verarbeitet werden.“ Die Bundesjustizministerin hat entsprechende Vorstöße erstmal abgeblockt. Sie mahnt: „Das ist ein weitreichender Eingriff in die Bürgerrechte“.
Der hohe Wert des Lebens als vitale Basis aller Grundrechte
Solcherlei Skepsis kann das Bundesverfassungsgericht sicherlich nicht für sich in Anspruch nehmen. Das betont nämlich nicht weniger deutlich den überragenden Wert des Lebens als vitale Basis aller Grundrechte. Das Recht auf Leben löst Schutzpflichten des Staates aus. Und die Datenschutz-Grundverordnung erlaubt ausdrücklich die Datenverarbeitung, wo sie erforderlich ist, um lebenswichtige Interessen zu schützen (Art. 6 Abs. 1 lit. d) DS-GVO). Was ist lebenswichtiger als das Leben selbst? Unbestritten: Die Verhältnismäßigkeit ist der Kern des Datenschutzes. Aber wir stehen vor der größten Herausforderung seit dem 2. Weltkrieg. Tausende von Menschenleben sind in Gefahr, der Wohlstand von Jahrzehnten kann in Monaten zunichte gemacht werden. „Wer ein Leben rettet, der rettet die Welt“ heißt es übereinstimmend in Koran und Talmud. Auch der, der den Wert des Lebens nicht so absolut setzt, wer es abwägen will gegen das Recht auf informationelle Selbstbestimmung, der wird im Rahmen der Verhältnismäßigkeit, die die Kritiker so nachdrücklich einfordern, all das berücksichtigen müssen. Der wird das ja endgültige Erlöschen der Existenz vielleicht auch nur weniger, das Bedürfnis nach Sicherheit von sehr vielen mehr, und wohl auch die verhaltenssteuernde Wirkung solcher Überwachung bei einigen in die Abwägung mit einbeziehen müssen. Man kann die Verarbeitung der Handydaten problemlos auf einen kurzen Zeitraum begrenzen. Für mich und für viele ist hier das Ergebnis dieser Abwägung klar, gerade weil ich Bürgerrechte ernst nehme.
Zur Geeignetheit der Handyortung
Wenn nun Taiwan, Korea und Israel vorgemacht haben, dass durch Handytracking Infektionsketten nachgewiesen werden können, dann hat diese Maßnahme gezeigt, dass sie geeignet ist. „Bisher fehlt jeder Nachweis, dass die individuellen Standortdaten der Mobilfunkanbieter einen Beitrag leisten könnten, Kontaktpersonen zu ermitteln“, twittert dessen ungeachtet der aktuelle Bundesdatenschutzbeauftragte. Aber es braucht hier keines Nachweises, sondern es reichen Regeln vernünftigen Vermutens. Ein Medikament darf auch gegeben werden, wenn es nur vielleicht hilft, wenn man nichts Besseres zur Hand hat. Das gilt auch im Datenschutz. In die Abwägung der Verhältnismäßigkeit darf dann eben nicht eine sichere Vermeidung der Ausbreitung eingestellt werden, sondern nur die hohe oder geringe Wahrscheinlichkeit. Und wenn Standortdaten nicht reichen, dann müssen bessere Daten her. Eben darauf sollte sich die Diskussion richten: Welche Daten können wir nutzen, welche haben wir zur Verfügung, was hilft? Und diese Daten sollten dann auch genutzt werden, wann immer es hilfreich ist zur Einschränkung der Pandemie.
Auch ohne Einwilligung der von der Datenverarbeitung Betroffenen?
Und das muss auch ohne Einwilligung der Betroffenen gelten, die nun der Bundesdatenschutzbeauftragte als Alternative vorschlägt. Es kommt auf die technische Machbarkeit an, nicht auf die Bereitschaft zur Kooperation. Wer auf die Freiwilligkeit einer Tracking-App setzt, der hofft auf ein Verantwortungsbewusstsein, das bei vielen gegeben sein mag – aber sicherlich nicht bei jedem. Die Einwilligung ist nach Art. 6 Abs. 1 lit. a) DS-GVO eine alternative Möglichkeit zur Rechtfertigung, aber sie kommt eben nur ins Spiel, wenn es nicht schon nach Art. 6 Abs. 1 lit d) DS- GVO zulässig ist. Um diese Prüfung kommt der Datenschütze nicht herum.
Das Tracking als im Verhältnis zu Ausgangsbeschränkungen milderes Mittel
Wer dagegen ist, und meint, das sei alles nicht erforderlich, der muss Maßnahmen benennen, die ähnlich schnell realisiert werden können und den gleichen Nutzen versprechen. Nur dann argumentiert er juristisch legitim. Nachverfolgung ist nach den Richtlinien des Robert-Koch-Instituts ein wesentlicher Pfeiler der Seuchenbekämpfung. Neben der Verbesserung der Versorgung und dem Schutz besonders vulnerabler Gruppen ist dies das einzige, was getan werden kann. Es ist ein Bürgerrecht, nicht überwacht zu werden, aber es ist auch ein Bürgerrecht, vor der Seuche bestmöglich geschützt zu werden. Das kann nicht vor der Einwilligung der Betroffenen abhängen. Wer sagt, das helfe nicht, denn der Betroffene könne das Handy ja zuhause lassen, der bedenkt nicht, dass es eine Verpflichtung geben kann, auch das Handy mitzunehmen – oder eben zuhause zu bleiben. Gerade das Tracking macht dann Freiheit möglich, die sonst ggf. beschränkt werden müsste. Wenn es verantwortbar ist, Einschränkungen der Bewegungsfreiheit zu lockern, eben weil nachverfolgt werden kann – dann ist dies ein wichtiges Argument für die Verhältnismäßigkeit, denn hier ist dann Datenverarbeitung das mildere Mittel.
Standortdaten als (besonders sensible) Gesundheitsdaten?
Und Gesundheitsdaten sind diese Standortdaten sicherlich nicht. Ganz bestimmt nicht. Gesundheitsdaten werden unter der DS-GVO definiert als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Wie krank ich bin sagt mir nicht die Standortmitteilung. Und selbst wenn man hier andere Meinung ist. Art. 9 Abs. 2 lit. i) DS-GVO erlaubt ausdrücklich die Verarbeitung auch von Gesundheitsdaten, wenn sie erforderlich ist „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren.“
Was bleibt?
Datenschutz lebt wie alles Recht von der gesellschaftlichen Akzeptanz. Die darf nicht verloren gehen. Jetzt müssen die gesetzlichen Grundlagen für eine zügige und effektive Bekämpfung der Pandemie geschaffen werden. Und diejenigen, denen der Datenschutz am Herzen liegt, sollten die Gesetzgebung dabei begleiten, Datennutzung zum Wohle aller und insbesondere der Schwächsten möglich zu machen, nicht abzuwehren. Mutiges Handeln ist jetzt erforderlich. Das Datenschutzrecht steht dem nicht entgegen.

02.04.2020/1 Kommentar/von Gastautor

Datenschutz: Der Schadensersatzanspruch nach Art. 82 DSGVO

Startseite, Verschiedenes

Wir freuen uns sehr, einen Gastbeitrag von Zsofia Vig veröffentlichen zu können. Zsofia Vig hat ihr Studium und Referendariat in Berlin absolviert. Sie arbeitet als wissenschaftliche Mitarbeiterin in einer Anwaltskanzlei und ist überwiegend im Bereich Datenschutzrecht tätig.

I. Einleitung
Die ab dem 25.05.2018 anwendbare DSGVO normiert in Art. 82 einen eigenständigen materiellen Schadensersatzanspruch des Betroffenen gegenüber dem Datenverarbeitenden (Verantwortlichen sowie Auftragsverarbeiter) bei Verletzung datenschutzrechtlicher Pflichten. Im Folgenden soll ein kurzer Überblick über die Anspruchsvoraussetzungen sowie über den Anspruchsumfang gegeben werden.
II. Charakter und Rechtsnatur
Art. 82 DSGVO stellt eine eigenständige, unmittelbar geltende, deliktsrechtliche Anspruchsgrundlage dar, die autonom nach den Regeln des Gemeinschaftsrechts auszulegen ist (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn.1). Sie gilt im Anwendungsbereich der DSGVO (vgl. Art.2,3 DSGVO) sowohl für den öffentlichen, als auch für den nichtöffentlichen Bereich (Neun/Lubitzsch, BB 2017, 2563, 2567; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 2). Zweck der Norm ist zum einen der Ausgleich für durch Datenschutzrechtsverletzungen erlittene materielle und immaterielle Schäden, zum anderen die mittelbare Sanktionierung der begangenen Verstöße sowie die Vermeidung weiterer Verstöße (Neun/Lubitzsch, BB 2017, 2563, 2567).
Art. 82 DSGVO steht mit anderen vertraglichen, quasi-vertraglichen und deliktischen Ansprüchen nach Unionsrecht oder nach dem Recht der Mitgliedstaaten in Anspruchskonkurrenz (Erwägungsgrund 146; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 2).
III. Aktiv-und Passivlegitimation
Trotz des weiten Wortlauts („jede Person“) wird überwiegend davon ausgegangen, dass Anspruchsinhaber nur der Betroffene ist, d.h. derjenige, dessen personenbezogene Daten rechtswidrig verarbeitet werden (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 3; Neun/Lubitzsch, BB 2017, 2563, 2568).
Anspruchsgegner ist grundsätzlich sowohl der Verantwortliche (vgl. Art. 4 Ziff. 7 DSGVO), als auch der Auftragsverarbeiter (vgl. Art. 4 Ziff. 8 DSGVO). Hierbei ist im Hinblick auf die Pflichtverletzung die Differenzierung des Abs. 2 zu berücksichtigen (Erwägungsgrund 146; Neun/Lubitzsch, BB 2017, 2563, 2568).
IV. Haftungsbegründender Tatbestand
1. Pflichtverletzung
Während der Verantwortliche für jeden Verstoß gegen die Bestimmungen der DSGVO, d.h. sowohl für formelle als auch für materielle Verstöße haftet, wobei grds. auch Verstöße gegen die allgemeinen Grundsätze des Art. 5 DSGVO erfasst werden, (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn.15) ist die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell ihm auferlegte Pflichten sowie auf die Nichtausführung bzw. nicht ordnungsgemäße Ausführung rechtmäßiger Anweisungen des Verantwortlichen begrenzt. Die jeweilige Verletzungshandlung kann sich nicht nur unmittelbar auf die Bestimmungen der DSGVO, sondern auch auf delegierte Rechtsakte, Durchführungsakte sowie Rechtsvorschriften der Mitgliedstaaten zur Präzisierung der Verordnung beziehen (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 22; Neun/Lubitzsch, BB 2017, 2563, 2568; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 3). Der Schaden muss darüber hinaus kausal auf der Verletzungshandlung beruhen, vgl. auch das Wort „wegen“ in Art. 82 DSGVO (Neun/Lubitzsch, BB 2017, 2563, 2568).
2. Verschulden
Der Verantwortliche bzw. der Auftragsverarbeiter wird gem. Abs. 3 von seiner Haftung befreit, wenn er nachweist, dass er für den Umstand, aufgrund dessen der Schaden eingetreten ist, in keiner Weise verantwortlich ist (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 47). Der Entlastungsbeweis kann sich hierbei sowohl auf die objektive Pflichtverletzung als auch auf das Verschulden beziehen. Im Hinblick auf die objektive Pflichtverletzung kann der Verantwortliche bzw. der Auftragsverarbeiter darlegen und beweisen, dass er sich im Rahmen der Datenverarbeitung an den für ihn jeweils geltenden Pflichtenkatalog gehalten hat, wobei in Fällen rechtswidriger Eingriffe Dritter insbesondere die Einhaltung des Stands der Technik (vgl. Art. 5 Abs. 1e DSGVO) von Relevanz ist (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 47, 48).
3. Weitere Tatbestandsvoraussetzungen
Für die übrigen Tatbestandsvoraussetzungen trägt zwar grds. der Betroffene nach den allgemeinen Regeln die Beweislast, jedoch werden auch hierbei diverse Beweiserleichterungen angenommen. Diese rechtfertigen sich unter anderem daraus, dass der Betroffene mangels Einblicks in die Datenverarbeitungsvorgänge in der Regel nicht in der Lage ist, den entsprechenden Beweis zu führen (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 8). Hieran ändert auch das Auskunftsrecht gem. Art. 15 DSGVO nichts, da aufgrund dessen lediglich punktuelle Informationen zur Verfügung gestellt werden müssen, d.h. ein umfassender, für die Beweisführung ausreichender Informationsstand nicht gewährleistet wird. In Anbetracht des Umstandes, dass der Verantwortliche gem. Art. 5 Abs. 2 DSGVO die Einhaltung der Datenschutzpflichten dokumentieren muss, wird im Hinblick auf die Verletzungshandlung eine Beweislastumkehr angenommen (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 46). Im Rahmen des Kausalitätsnachweises genügt indes die bloße Möglichkeit eines kausalen Verlaufs (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 47). Dies hat zur Folge, dass der Betroffene lediglich darlegen und beweisen muss, dass der Verantwortliche an der Verarbeitung beteiligt war, dass ein Schaden entstanden ist und dass die konkrete Datenverarbeitung geeignet war, den Schaden herbeizuführen (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 48; Neun/Lubitzsch, BB 2017, 2563, 2569).
Die weiteren Aspekte der Geltendmachung von Schadensersatzansprüchen wie bspw. Mitverschulden und Verjährung richten sich nach dem Recht der Mitgliedstaaten (Neun/Lubitzsch, BB 2017, 2563, 2569; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 8).
V. Haftungsausfüllender Tatbestand
Der Anspruch gem. Art. 82 DSGVO setzt im Rahmen des haftungsausfüllenden Tatbestandes einen kausalen Schaden voraus. Die Verordnung enthält zwar keine nähere Definition des Schadensbegriffs, jedoch lässt sich dem Wortlaut sowie dem Erwägungsgrund 146 entnehmen, dass dieser im Lichte der Rspr. des EuGH weit auszulegen ist und dementsprechend sowohl materielle als auch immaterielle Schäden umfasst (Neun/Lubitzsch, BB 2017, 2563, 2567; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 7). Als materieller Schaden sind sämtliche vermögensbezogene Nachteile des Betroffenen einschließlich Folgeschäden wie Kosten der Rechtsverfolgung ersatzfähig. Bei einer unbefugten Datennutzung ist darauf abzustellen, ob im Hinblick auf die konkret betreffenden Daten eine Kommerzialisierungsmöglichkeit besteht (Neun/Lubitzsch, BB 2017, 2563, 2567).
Ersatzfähig sind darüber hinaus auch immaterielle Schäden, die i.d.R. aus einer Verletzung des allgemeinen Persönlichkeitsrechts resultieren (Neun/Lubitzsch, BB 2017, 2563, 2567). Anders als bei § 8 Abs. 2 BDSG ist der Anspruch nicht auf schwere Verletzungen beschränkt (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 7). Eine solche, auch dem verfassungsrechtlichen Entschädigungsanspruch gem. § 823 Abs. 1 BGB i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG immanente Beschränkung auf schwerwiegende Verstöße, die auf andere Weise nicht wirksam abgeholfen werden können, dürfte nicht mit dem Effektivitätsgebot der EuGH-Rechtsprechung vereinbar sein (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 18; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 4; Neun/Lubitzsch, BB 2017, 2563, 2568).
VI. Prozessuale Durchsetzung
Mehrere Schädiger haften gem. Art. 82 Abs. 4 DSGVO als Gesamtschuldner, unabhängig davon, ob sie im konkreten Fall als Auftragsverarbeiter oder als Verantwortlicher anzusehen sind. Zwar führt dies dazu, dass die Einschränkung der Haftung des Auftragsverabeiters gem. Art. 82 Abs. 2 S. 2 DSGVO zumindest im Verhältnis zum Verletzten leer läuft, jedoch wurde dies vom europäischen Gesetzgeber im Interesse eines wirksamen Schadensersatzes bewusst in Kauf genommen. Auch steht es dem Auftragsverarbeiter frei, den Verantwortlichen gem. Abs. 4 in Regress zu nehmen (Erwägungsgrund 146).
Die internationale Zuständigkeit richtet sich nach Art. 79 Abs. 2 DSGVO. Demnach kann der Anspruch sowohl vor den Gerichten des Mitgliedstaates, in dem der Anspruchsgegner seine Niederlassung hat, als auch vor den Gerichten des Mitgliedstaates des (gewöhnlichen) Aufenthaltsortes des Verletzten geltend gemacht werden (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 8; Erwägungsgrund 145). Die sachliche und örtliche Zuständigkeit bestimmt sich nach dem nationalem Recht des jeweiligen Mitgliedstaates, im deutschen Recht nach §§ 23,71 GVG bzw. nach §§ 12 ZPO ff.
Da es sich bei Art. 82 DSGVO um einen deliktischen Anspruch handelt, ist für das anwendbare materielle Recht die Rom II-Verordnung maßgebend. Hierbei kommt insbesondere der Ort des Schadenseintritts gem. Abs.1, d.h. i.d.R. der Mitgliedstaat, in dem sich der Verletzte gewöhnlich aufhält, in Betracht (Neun/Lubitzsch, BB 2017, 2563, 2569).
VII. Fazit und Ausblick
Wie oben aufgezeigt, normiert Art. 82 DSGVO einen weiten, über die im deutschen Recht bislang vorhandenen deliktischen Ansprüchen hinausgehenden Anspruch. Dies gilt insbesondere im Hinblick auf die grundsätzliche Ersatzfähigkeit immaterieller Schäden ohne die aus dem deutschen Recht bekannten Einschränkungen. Welche praktischen Auswirkungen dies zur Folge haben wird, bleibt abzuwarten. Bei der Bewertung ist jedoch stets zu berücksichtigen, dass mit Umsetzung der Richtlinie über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher künftig auch die kollektive Geltendmachung des Anspruchs gem. Art. 82 DSGVO möglich sein wird.

28.06.2018/0 Kommentare/von Gastautor

Bitcoin, Blockchain, Legal Tech? – Eine Einführung in die Rechtsinformatik

Startseite, Verschiedenes

Es vergeht kaum ein Tag, an dem nicht die Rede von Bitcoins und Blockchain ist. Die Meldungen über massive Kursschwankungen, den hohen Stromverbrauch oder neue Einsatzmöglichkeiten der Blockchain-Technologie überschlagen sich förmlich. An allen Ecken und Enden wird das „disruptive Potential“ von Legal Tech geradezu beschrien. Wer sich jetzt fragt, was das alles soll, dem sei dieser Beitrag ans Herz gelegt. Im Folgenden sollen die neuesten Trends der Digitalisierung einmal näher beschrieben und aufgezeigt werden, welche Herausforderungen des Rechts damit verbunden sind.

I. Was ist eine Blockchain?
Im Grunde ist die Blockchain ein vollständig verteiltes Netzwerk gleichberechtigter Nutzer. Die einzelnen Nutzer, sog. „nodes“ nehmen ebenso eine Mehrfachrolle im Netzwerk ein und sind gleichzeitig Client und Server. Jede node ist Inhaber eines Abbilds des Datensatzes, das sich laufend aktualisiert. Daneben sind die nodeszuständig für die Validierung und Aufnahme neuer Informationen in den Datensatz. Neue Informationen werden nur mit Zustimmung der Mehrheit der nodes in den Datensatz aufgenommen. Das Vertrauen der Beteiligten wird also durch einen Konsensmechanismus hergestellt. Keine zentrale Instanz muss die Korrektheit der Daten überwachen. Daten, die im Widerspruch zu bereits bestehenden Informationen des Datensatzes stehen, werden erst gar nicht Bestandteil des Datensatzes.
Jede nodeerhält ein Schlüsselpaar aus private und public key. Der public key dient als öffentlich sichtbare Adresse, an die eine Information gesendet werden kann. Mithilfe des dazugehörigen private key kann die Information entschlüsselt werden. Zudem kann der Absender einer Information diese mithilfe seines private keyssignieren und somit seine Absendereigenschaft nach außen hin sichtbar machen. Der private key muss vom Inhaber, ähnlich wie ein Passwort, geheim gehalten werden.
Der aufwendige Validierungsvorgang, das sogenannte Proof-of-work-Verfahren wird nicht für jede Einzelinformation durchgeführt. Vielmehr werden mehrere Einzelinformationen in einem Block zusammengefasst. Ist die maximale Anzahl an Informationen erreicht, werden diese durch ein kompliziertes kryptographisches Verfahren unveränderlich in die Datenbank aufgenommen, das eigentliche proof of work. Jeder Block enthält dabei die Zusammenfassung der Informationen seines Vorgängers.
Die Irreversibilität des Datensatzes entsteht dadurch, dass das oben beschriebene proof of work jedes Mal durchgeführt werden muss, wenn die Daten eines Blocks verändert werden. Verändern sich jedoch die Informationen eines Blocks, wirkt sich dies auf den unmittelbaren Nachfolgerblock in der Kette aus, sodass auch für den Nachfolger das proof of work erneut gelöst werden muss.
Das Proof-of-work-Verfahren hat jedoch zwei große Schwachstellen. Kann eine node mehr als 50 % der gesamten Netzwerkrechenleistung auf sich vereinen, kann sie alleine über die Aufnahme oder Ablehnung entscheiden, sog. 51-%-Attacke. Zudem sind die damit verbundenen Stromkosten enorm, weswegen bereits länger nach Alternativen gesucht wird.

II. Smart Contracts
Ein weiteres Buzzword der aktuellen Diskussion sind die sog. smart contracts, also Intelligente Verträge.Dabei handelt es sich im Grunde nur „wenn, dann-Funktionen“ eines Algorithmus. Sie kommen dann zur Anwendung, wenn rechtlich erhebliche Funktionen automatisiert und digitalisiert werden sollen. Der einfachste Anwendungsfall ist die Implementierung in ein Mietverhältnis, bei dem die Benutzung der Sache nur solange und soweit (technisch) ermöglicht, wie der smart contract den Eingang des Mietzinses registriert.

III. Internet of Things
Eng mit dem Begriff der smart contractsverbunden ist das Internet of Things (IoT). Im Kern versteht man darunter die Vernetzung von Maschinen und Geräten des Alltags über das Internet, um eine unmittelbare Kommunikation zwischen den Endgeräten selbst herzustellen. Im o.g. Fall des Mietverhältnisses wäre also bspw. das Türschloss der Wohnung mit dem smart contract verbunden und würde sich nur dann öffnen, wenn der Mietzins auch bezahlt wurde.

IV. Bitcoins und andere Kryptowährungen
Der wohl bekannteste Anwendungsfall der Blockchain ist die sog. Kryptowährung Bitcoin. Sie geht zurück auf das wohl unter dem Pseudonym Satoshi Nakamoto im Jahre 2009 veröffentlichte Paper Bitcoin: A Peer to Peer Electronic Cash System zurück. Unter dem Eindruck der Finanzkrise sollte eine Lösung gefunden werden, eine Währung zu entwickeln, deren vertrauensstiftendes Moment nicht durch eine Zentralbank o.Ä. hergestellt wird, sondern bei den Beteiligten selbst liegt. Die Lösung hierfür bot die Blockchain-Technologie. Durch die Verbindung der Irreversibilität des Transaktionsdatensatzes und des Konsensmechanismus wird Vertrauen in die Authentizität und Integrität der „Währung“ geschaffen, ohne dass es einer zentralen Instanz bedarf. Vertrauen durch Algorithmus ist hier das Stichwort. Der Begriff der Kryptowährung entstammt der Tatsache, dass das kryptographische Verfahren des oben beschriebenen Hashings das Herzstück der Technologie bietet.
Neben Bitcoins sind jedoch zig andere Kryptowährungen entstanden, die alle ähnlich funktionieren. Die wohl bekannteste unter den Konkurrenten ist die sog. Ethereum-Blockchain. Diese zeichnet sich dadurch aus, dass die einzelnen Tokens im Netzwerk noch mit anderen Funktionalitäten versehen werden können. Durch Implementierung eigener smart contracts können beispielsweise Sachgüter durch einen digitalen Token repräsentiert werden und zwischen den nodesgehandelt werden.

V. Legal Tech
Die fortschreitende Digitalisierung des Alltags macht auch vor dem Rechtswesen keinen Halt. Immer mehr Applikationen drängen auf den Markt der Rechtsberater, um herkömmliche Beratungsprozesse zu automatisieren und digitalisieren. Solche Anwendungen bezeichnet man der Einfachheit halber als legal tech. Dem ein oder anderen sind solche digitalen Beratungsleistungen schon bekannt: Es gibt bereits mehrere Portale, die Fluggastrechte automatisch durchsetzen oder bei Geschwindigkeitsüberschreitungen die Auseinandersetzung mit den Behörden übernehmen. Grundgedanke aller legal tech-Anwendungen ist es, die Logik des Rechts auf Algorithmen zu übertragen, um so Beratungsleistungen vollständig digitalisieren zu können.

VI. Neue Herausforderungen für unsere Rechtsordnung
Anhand der legal tech – Applikationen zeichnet sich gut, inwieweit sich die Rechtslandschaft verändern wird. Denkt man diese noch einen Schritt weiter, und überträgt die Rechtsberatung auf selbstlernende und selbst denkende, künstliche Intelligenzen stellt sich schon die Frage, inwieweit diese dem RDG unterliegen. Zudem muss geklärt werden, ob eine solche künstliche Intelligenz überhaupt für ihr Verhalten in Anspruch genommen werden kann. Möglicherweise muss dafür sogar eine völlig neue Rechtspersönlichkeit mit eigenem Haftungsvermögen geschaffen werden.
Die Blockchain führt zu einer vollständigen Dezentralisierung bisher zentral organisierter Prozesse. Es stellt sich daher die Frage, ob die zentralisiert ausgestaltete Rechtsordnung bereit dafür ist, diese Entwicklung zu begleiten. Wenn jede nodeInhaber des gesamten Datensatzes ist, „gehören“ ihr dann auch alle Daten? Muss sie dafür einstehen, wenn Dritte illegale Informationen in das Netzwerk einspeisen ohne, dass sie darauf Einfluss hatte? Welches nationale Recht kommt zur Anwendung, wenn die nodesauf dem ganzen Erdball oder in Zukunft sogar dem Weltraum verteilt sind?
Zudem stellt sich die Frage, inwieweit smart contracts überhaupt zulässig sind. Können in Zukunft ganze Vertragstexte in Code anstelle von Sprache ausgefertigt werden? Sollte man dies annehmen, müssen Richter und Richterinnen in Zukunft auch Programmieren können?
Auf all diese Fragen sucht die Rechtsinformatik die Antwort zu finden. Nicht immer muss das Rad des Rechts dabei neu erfunden werden. Oft genügt die konsequente Anwendung des geltenden Rechts, häufig jedoch auch nicht. Dies zu identifizieren ist eine spannende Herausforderung und bietet viel Raum für eigene Ideen und interessante Forschungsvorhaben.

29.05.2018/0 Kommentare/von Dr. David Saive

Basics zur Datenschutz-Grundverordnung (DS-GVO)

Schon gelesen?, Startseite, Tagesgeschehen

Ab dem heutigen Tag (25.05.2018) gilt auf europäischer Ebene die Datenschutz-Grundverordnung, Art. 99 II DS-GVO. Damit erfährt das Datenschutzrecht eine grundlegende Änderung, auch wenn die DS-GVO auf altbewährten Grundsätzen aufbaut und nur an wenigen Stellen wirklich neue Instrumente zum Schutz personenbezogener Daten bereithält. Die wichtigsten Basics zur Datenschutzreform, die zur juristischen Allgemeinbildung zählen, zeigt der folgende Beitrag auf:
I. Ablösung der Datenschutz-RL sowie mitgliedstaatlicher Abweichungen
Die DS-GVO löst die bisherige Datenschutz-RL 95/46/EG, die eine Vollharmonisierung des europäischen Datenschutzniveaus intendierte, aber nicht vollends erreichte, ab. Da die DS-GVO nach Art. 288 II AEUV unmittelbare Geltung in den Mitgliedstaaten entfaltet – anders als die Datenschutz-RL, bei der nach Art. 288 III AEUV ein zweistufiges Umsetzungsverfahren notwendig war – trägt sie in höherem Maße zur Vereinheitlichung des Datenschutzrechts bei. Zugleich werden auf diese Weise bislang bestehende mitgliedstaatliche Umsetzungsgesetze (in Deutschland das alte Bundesdatenschutzgesetz) abgeschafft. Denn im Anwendungsbereich einer europäischen Verordnung sind mitgliedstaatliche Abweichungen grds. nicht zulässig.
II. Begriff der „Grundverordnung“
Nun mag sich allerdings der geneigte Leser die Frage stellen, was sich hinter dem Begriff einer Grundverordnung versteckt. Da Art. 288 AEUV hier keinerlei Anhaltspunkte bietet, sprach schon so mancher von einer Art europäischem Sekundärrecht sui generis. Da insoweit allein schon wegen des Prinzips der begrenzten Einzelermächtigung Bedenken gegen ein solches Sekundärrecht eigener Art bestehen sollten, setzte sich die Erkenntnis durch, dass es sich zwar um eine Verordnung handelt, der europäische Verordnungsgeber aber Öffnungsklauseln für bestimmte Bereiche eingefügt hat, die mitgliedstaatliche Abweichungen ermöglichen.
Derartige Bereichsausnahmen sind etwa

für den öffentlichen Sektor in Art. 23 DS-GVO (Pabst in Heidelberger Kommentar DS-GVO/BDSG, 2018, Art. 23 DS-GVO Rn. 3),
für das Medienrecht in Art. 85 DS-GVO (Frey in Heidelberger Kommentar DS-GVO/BDSG, 2018, Art. 85 DS-GVO Rn. 2),
für den Beschäftigungskontext in Art. 88 DS-GVO (dazu Thüsing/Traut in Heidelberger Kommentar DS-GVO/BDSG, 2018, Art. 88 DS-GVO Rn. 6) und
für die Datenschutzvorschriften der Kirchen in Art. 91 DS-GVO (dazu Thüsing/Rombey in Heidelberger Kommentar DS-GVO/BDSG, 2018, Art. 91 DS-GVO Rn. 8) zu finden.

Ob angesichts dieser bestehenden Öffnungsklauseln eine wirkliche Vollharmonisierung erreicht werden kann, bleibt indes abzuwarten.
III. Zweck
Die DS-GVO bezweckt neben der erwähnten Vollharmonisierung ausweislich des Art. 1 DS-GVO sowohl den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, der Grundrechte und Grundfreiheiten als auch den freien Fluss personenbezogener Daten in der EU. Das mag auf den ersten Blick wie ein Widerspruch in sich klingen, erklärt sich aber dadurch, dass der Verordnungsgeber klarstellen wollte, dass die DS-GVO kein Totalverbot der Verarbeitung personenbezogener Daten enthält, sondern allein einen angemessenen Ausgleich dieser gegensätzlichen Positionen anstrebt (dazu Plath in Plath, DS-GVO/BDSG, 2. Aufl. 2016, Art. 1 DS-GVO Rn. 6).
IV. Inhalt der DS-GVO
Inhaltlich hebt die DS-GVO die Rechte der von der Verarbeitung personenbezogener Daten Betroffenen im Vergleich zur vorherigen Rechtslage an, zudem werden die Aufsichtsbehörden gestärkt und nicht zuletzt effektivere Sanktionsmaßnahmen geschaffen, die sich auf bis zu vier Prozent des Jahresumsatzes des gegen die DS-GVO verstoßenden Unternehmens oder bis zu 20 Mio. Euro belaufen können.
Dennoch gilt das bewährte Prinzip fort, wonach jede Verarbeitung personenbezogener Daten der Rechtfertigung bedarf und einem Verbot mit Erlaubnisvorbehalt unterliegt, das sich aus einer Zusammenschau der Art. 5 und Art. 6 DS-GVO ergibt. Liegt kein Erlaubnistatbestand vor, bleibt sie verboten.
Wichtige Erlaubnistatbestände listet insbesondere Art. 6 I 1 DS-GVO auf. Dabei sind allerdings viele Begriffe auslegungsbedürftig. Ebenso stellt die jederzeit widerrufbare Einwilligung die Praxis vor Herausforderungen.
„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Soweit es um besondere Kategorien äußerst sensibler Daten geht (etwa Gesundheitsdaten), greifen spezielle Regelungen (auch solche des Bundesdatenschutzgesetzes).
V. Kontrollverlust des BVerfG in Teilbereichen

Nach der wegweisenden Entscheidung des BVerfG im sog. Volkszählungsurteil, wonach jeder selbst das Recht hat, „über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ (BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a., BVerfGE 65, 1, 43), hat sich das informationelle Selbstbestimmungsrecht fest im deutschen Grundrechtskanon etabliert. Soweit es allerdings allein um Regelungen der DS-GVO geht und nicht etwa um das ebenfalls ab dem heutigen Tag geltende neue Bundesdatenschutzgesetz, ist künftig der EuGH zuständig, auch wenn zugegebenermaßen die Aufsichtsbehörden primär über die Einhaltung der Datenschutzvorschriften wachen und auch vor deutschen Gerichten verhandeln können.
VI. Auflistung wichtiger Betroffenenrechte
Die – wie angesprochen gestärkten – Betroffenenrechte lassen sich wie folgt systematisieren:

Besonders wichtig: Der Betroffene hat ein Recht auf Auskunft, vor allem was die über ihn gespeicherten Daten und die entsprechenden Verarbeitungszwecke betrifft (Art. 15 DS-GVO). Dadurch wird die DS-GVO allerdings auch ein gutes Stück weit bürokratischer.
Der Betroffene hat ein Recht auf Berichtigung, was unrichtige oder unvollständige Daten anbelangt (Art. 16 DS-GVO).
Der Betroffene hat ein Recht auf Löschung, soweit seine personenbezogenen Daten unrechtmäßig verarbeitetet wurden oder ihre Speicherung nicht mehr erforderlich ist (Art. 17 DS-GVO).
Der Betroffene kann Widerspruch gegen die Verarbeitung einlegen (Art. 21 DS-GVO).

VII. Eine wirkliche Innovation
Eine wirkliche Neuerung enthält Art. 20 DS-GVO. Danach besteht ein Recht auf Datenportabilität. Demgemäß sollen Betroffene das Recht haben, ihre bei einem Verantwortlichen gespeicherten Daten auf einen anderen übertragen zu lassen. Dies soll u.a. den Wettbewerb unter den Verantwortlichen stärken und es den Betroffenen ermöglichen, den Verantwortlichen leichter zu wechseln. Zugeschnitten ist die Vorschrift ersichtlich auf Internetanbieter, insbesondere auf Social Media Plattformen. Ein Wechsel, etwa von Facebook zu Instagram oder Twitter, ist nun also unter Mitnahme der Daten einfacher möglich. Zugleich wird der ökonomisch genutzte Lock-In-Effekt, der Wechselhindernisse zu einem anderen Anbieter beschreibt, abgeschwächt.

25.05.2018/2 Kommentare/von Dr. Sebastian Rombey

Wem helfen Dashcams, wenn es kracht? Die aktuelle StPO-Zusatzfrage in der Verkehrsklausur

Rechtsprechung, Rechtsprechungsübersicht, Schon gelesen?, Startseite, StPO, Strafrecht, Strafrecht

Einführung in die Thematik
„Dashcams“ halten seit mehreren Monaten Einzug in die Gerichte – sowohl vor den Zivil- als auch den Strafgerichten. Dabei handelt es sich um kleine Kameras, die meistens in der Windschutzscheibe eines Autos angebracht werden, um den Verkehrsraum zu überwachen. Der Aufzeichnende schafft sich mittels einer Dashcam nicht selten eine gute Beweislage: Er hat alles auf Video. Die Rechtsprechung beschäftigte sich bisher nur in den unteren Instanzen mit der Verwertbarkeit solcher Aufnahmen. Nun bezieht das OLG Stuttgart (NJW 2016, 2280) Stellung in einem Ordnungswidrigkeitenverfahren. Inwiefern dessen Entscheidungsgründe auch für andere Verfahren von Bedeutung sein werden, bleibt abzuwarten.
Entscheidung des Gerichts
Im Ausgangspunkt – und das ist auch für eine Klausurbearbeitung wichtig – sind die Grundrechte und das Bundesdatenschutzgesetz (BDSG) in den Blick zu nehmen:

„Die Fertigung der Bildaufzeichnung stellte einen Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen aus Art. 2 I iVm Art. 1 I GG in seiner Ausprägung als Recht auf informationelle Selbstbestimmung dar. Dieses Recht umfasst die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden und daher grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen. Durch die Aufzeichnung des gewonnenen Bildmaterials wurden die beobachteten Lebensvorgänge technisch fixiert. Sie konnten später zu Beweiszwecken abgerufen, aufbereitet und ausgewertet werden. Eine Identifizierung des Fahrzeugs bzw. des Fahrers war beabsichtigt und technisch auch möglich (vgl. BVerfG, NJW 2009, 3293 = NZV 2009, 618 Rn. 15). Ob und unter welchen Umständen ein solcher Eingriff – auch durch Private – zulässig sein kann, regelt unter anderem § 6 b BDSG.“

Ein Gesetzesauszug des BDSG sollte dem Klausursachverhalt beigelegt sein. Wer die entsprechende Norm ansonsten selbst in die Diskussion der Verwertbarkeit einbringt, kann mit Zusatzwissen beeindrucken.
Die konkrete Abwägung fällt das OLG Stuttgart teilweise zugunsten der Verwertbarkeit, teilweise geht es der Beantwortung der Frage aus dem Weg, da nicht genug entscheidungserhebliche Feststellung durch die Vorinstanz getroffen wurden:

„Aus § 6 b BDSG, insbesondere dessen Absatz 3 Satz 2, folgt kein gesetzlich angeordnetes Beweisverwertungsverbot für das Bußgeldverfahren. Weder der Gesetzeswortlaut noch die Gesetzgebungsmaterialien geben Hinweise, dass der Gesetzgeber ein solches Beweisverwertungsverbot regeln wollte. Ein solches kennt das deutsche Strafprozessrecht – und über § 46 OWiG auch das Verfahrensrecht im Bußgeldverfahren (BVerfG, NJW 2011, 2783 Rn. 13; Seitz in Göhler, OWiG, 16. Aufl., § 46 Rn. 10 c) – ohnehin nur in Ausnahmefällen. In § 6 b III 2 BDSG ging es dem Gesetzgeber um eine Ausnahme von der strikten Zweckbindung des § 6 b III 1 BDSG für die durch Videoüberwachung gewonnenen Daten (BT-Drs. 14/5793, 62). Zur weitergehenden Frage eines Beweisverwertungsverbots im Straf- oder Bußgeldverfahren äußerte er sich jedoch gerade nicht, so dass auf die allgemeinen Grundsätze zurückzugreifen ist.“

Zudem hebt das Gericht die geringe Intensität des Eingriffs hervor, die zur Verwertbarkeit der Aufnahmen führen soll.

„Die Intensität und Reichweite des Eingriffs in das Recht auf informationelle Selbstbestimmung durch die Videoaufzeichnung des fließenden Verkehrs ist hier zudem sehr gering. Die aufgezeichneten Daten betreffen insbesondere nicht den Kernbereich privater Lebensgestaltung des Betroffenen oder seine engere Privat- oder gar Intimsphäre. Vielmehr setzte sich der Betroffene durch die Teilnahme am öffentlichen Straßenverkehr selbst der Wahrnehmung und Beobachtung durch andere Verkehrsteilnehmer wie auch der Kontrolle seines Verhaltens im Straßenverkehr durch die Polizei- und die Ordnungsbehörden aus. Der Betroffene selbst ist auf dem Video nicht bzw. allenfalls in Umrissen von hinten, sondern im Wesentlichen nur sein Fahrzeug abgebildet. Die Verpflichtung, als Halter die im öffentlichen Straßenverkehr verwendeten Kraftfahrzeuge mit Kennzeichen zu versehen (§§ 8 und 10 FZV) und gegebenenfalls ein Fahrtenbuch zu führen, wenn bei Verstößen der Fahrer nicht feststellbar ist (§ 31 a StVZO), zeigt, dass der Gesetz- und Verordnungsgeber eine Identifizierung von Regelverletzern zumindest grundsätzlich ermöglichen möchte und sich keiner auf eine anonyme Teilnahme am Straßenverkehr verlassen und berufen können soll.“

Auswirkungen auf das Examen
Eine in der Praxis so wichtige und technisch neue Erscheinung wird – mit einer hohen Wahrscheinlichkeit – Gegenstand von Examensklausuren sein, auch oder insbesondere für Referendare im Zweiten Examen. In Klausuren des Ersten Examens wird die Fragestellung wohl in Form einer strafprozessualen Zusatzfrage auftauchen. Thematisch lassen sich Verkehrsstraftaten hervorragend mitprüfen. Hier führen den Bearbeiter schon Grundzüge zu einer erfolgreichen Klausurbearbeitung.
Der Beitrag wurde uns von jur:next zur Verfügung gestellt. In Kooperation mit juraexamen.info stellt jur:next (Dein Partner für juristischen Einzelunterricht, Nachhilfe & Coaching; www.jurnext.de) jeweils ein Urteil des Monats aus den drei Rechtsgebieten vor. Diskutiere im Kommentarfeld direkt mit anderen die Entscheidung. Du suchst Erfolg und Spaß im Jurastudium und hervorragenden juristischen Einzelunterricht (Nachhilfe & Coaching) auf Augenhöhe? Weitere Informationen dazu findest Du auf www.jurnext.de.

07.09.2016/0 Kommentare/von Gastautor

Anzeige: Freshfields – Juristenalltag zwischen Digitalisierung und Datenschutz

Startseite, Verschiedenes

Targeted Advertising, vernetztes Fahren und Big Data beschäftigen Christoph Werkmeister täglich. Dabei ist er weder Ingenieur noch Informatiker. Im Interview erzählt er, was er als Jurist mit Digitalisierung zu tun hat und warum ohne seine Arbeit so manche Geschäftsidee platzen würde.

Christoph Werkmeister (30) hat in Bonn Jura studiert und dort auch promoviert. Nach einem LL.M. in Cambridge und seinem Referendariat mit Stationen in einer Großkanzlei, beim Bundeskartellamt und einem IT-Start-up in Neuseeland arbeitet er nun seit drei Jahren als Associate bei Freshfields.

Was machen Sie bei Freshfields?
Meine Abteilung befasst sich mit allem, was mit Daten oder Technologie zu tun hat. Darunter fällt das Telekommunikationsrecht ebenso wie Datenschutz-, IT- und wettbewerbsrechtliche Fragestellungen oder die Gestaltung von Verträgen. Und das alles zu Themen, die sich um die Digitalisierung drehen, das heißt zum Beispiel Vernetztes Autofahren, Big Data, OTT-Dienste … also alles, was irgendwie smart ist.

Was reizt Sie an diesem Arbeitsfeld?
Ich finde es sehr schön, dass wir nicht auf ein Rechtsgebiet beschränkt sind, sondern dass letztlich das jeweilige Produkt oder die Dienstleistung des Mandanten bestimmt, welche Punkte relevant sind. Wenn ein Unternehmen durch Big-Data-Analysen seine Produktionskette optimieren will, gilt es natürlich andere Rechtsgebiete und Interessenslagen zu berücksichtigen, als wenn man die neuesten Wearables bei der Markeinführung begleitet.
Bei einer Kanzlei wie Freshfields, welche die ganze Bandbreite an Rechtsgebieten abdeckt, hat man dann auch die Möglichkeit, sich entsprechende Spezialisten ins Boot zu holen. Wenn ich also beispielsweise bei der Nutzung von Daten ein kartell- oder steuerliches Problem sehe, dann kann ich diesen Fall mit Top-Anwälten aus anderen Abteilungen durchsprechen und gemeinsam Lösungen entwickeln. Außerdem ergeben sich viele Möglichkeiten, mit anderen Jurisdiktionen zusammenzuarbeiten, da es in unseren Projekten häufig um Markteinführungen oder die Einführung neuer Prozesse geht – nicht nur in Deutschland, sondern weltweit.

Wie sieht denn ein typisches Mandat aus und wie gehen Sie dabei vor?
Nehmen wir als Beispiel eines unserer Beratungsprodukte, Privacy by Design. Das Ziel dabei ist es, etwaige Datenschutzprobleme schon bei der Entwicklung neuer Technologien zu prüfen und nicht erst im Nachhinein. Ein Mandant kommt also auf uns zu und sagt uns, dass er ein bestimmtes Produkt an den Markt bringen will – beispielsweise ein selbstfahrendes Auto, ein neuartiges Medienangebot oder eine andere Innovation. Dann steigen wir schon in der Planungsstufe mit ein und geben bei der Konzeption unsere rechtliche Einschätzung zu eventuellen Risiken.
Diese Gedankenspiele sind sehr wichtig, denn bei physischen Produkten wie etwa einem Auto ist es im Nachhinein schwierig, Fehler zu beheben. Bei Software kann hingegen schnell ein Update nachgespielt werden. Wenn nun aber das ganze Geschäftsmodell auf einer bestimmten Verarbeitung von Daten basiert und der Mandant erst nach der Entwicklung erfährt, dass genau diese Verarbeitung nicht zulässig ist, betrifft das natürlich unabhängig von der Anwendung den gesamten Business Case des neuen Produkts .
Auch im Rahmen von unternehmensinternen Ermittlungenwie etwa der medienwirksamen DFB-Untersuchung sind wir gefragt.Bei derartigen Projektenwerden Unmengen von Daten zur Aufklärung compliance-relevanter Sachverhalteerhoben und ggf. an (ausländische) Behörden übermittelt.Wir kümmern uns dann um den Datenschutz, der letztlich den Rahmen und die Möglichkeiten der Untersuchung bestimmt.Wir befassen uns zudem mit neuenTechnologien, z.B. künstlicher Intelligenz, um Konzepte zur Automatisierung repetitiver Tätigkeiten, etwa dem Screening umfangreicher Datenpools, zu entwickeln.
Des Weiteren vertreten wir Mandanten im Telekommunikationssektor beratend und in behördlichen sowie gerichtlichen Verfahren oder bewerten Chancen und Risiken von technologiegetriebenen Transaktionen. Unser Team deckt somit ein weites Spektrum an Themen an. Die Abwechslung kommt nicht zu kurz.

Sie hatten sich ja in Ihrer Promotion schon auf Telekommunikationsrecht spezialisiert. Hilft Ihnen das bei Ihrer täglichen Arbeit?
An der Uni ging es bei mir vor allem um die Regulierung im Telekommunikationsbereich, also zum Beispiel um die Frage, welche Vorleistungen die Deutsche Telekom ihren Mitbewerbern zur Verfügung stellen muss. Zudem hatte ich mich viel mit Kartellrecht beschäftigt. Ähnliche Fragestellungen ergeben sich jetzt auch für OTT-Dienste oder die Nutzung von Daten. Öffentlichkeitswirksam sind in diesem Zusammenhang die aktuellen Verfahren gegen Google oder Facebook. Es gibt jedoch noch mehr Unternehmen, die mit ähnlichen Fragestellungen konfrontiert sind.
Mit dem Datenschutz hatte ich im Studium noch gar nichts zu tun, damit kam ich erstmals bei Freshfields in Kontakt. Datenschutz ist ein spannendes Thema, weil es nicht sektorspezifisch ist. Letztendlich hat jedes Unternehmen irgendwelche Daten, sei es von Mitarbeitern oder von Kunden, die alle dem Datenschutzrecht unterliegen. Und durch die politischen Entwicklungen – Stichwort Safe-Harbor-Abkommen – steigt auch das Bewusstsein der Mandanten für dieses Thema. 2018 wird ein neuer EU-Rechtsrahmen, die Datenschutzgrundverordnung, in Kraft treten und – ähnlich wie im Kartellrecht – Bußgelder gemessen am Unternehmensumsatz einführen. Das wird die Wichtigkeit des Themas noch geschäftskritischer machen und für neue spannende Themen im nationalen sowie internationalen Kontext sorgen.

Wie gehen Sie denn vor, wenn Sie bei Ihrer Arbeit mit einem Thema konfrontiert werden, mit dem Sie bislang noch nichts zu tun hatten?
In erster Linie ist das ein „Learning on the Job“. Wir arbeiten in einem Feld, wo ständig etwas passiert – selbst wenn man sich im Studium schon mit IT-Recht befasst hat, muss man immer wieder Neues dazu lernen. Da ist es sehr hilfreich, wenn man erfahrene Partner hat, die das schon ein bisschen länger machen und einem zeigen, wie man diese Themen angeht.
Was die technischen Sachverhalte betrifft, lernen wir natürlich auch sehr viel von den Mandanten. Wir lassen uns erklären, wie ein Produkt funktioniert, was technisch machbar ist und was nicht. Es gibt Mandanten, da bespricht man das direkt mit den jeweiligen technischen Fachabteilungen oder dem Management, und es gibt umgekehrt Mandanten, wo sehr viel durch die Rechtsabteilung vorgefiltert wird. Das ist immer abhängig von der Aufstellung des Kunden und auch von der Größenordnung des Projektes.

Angenommen ein e-fellow möchte in diesem Feld arbeiten. Welche Voraussetzungen müsste er mitbringen und wie könnte er sich vorbereiten?
Er oder sie müsste auf jeden Fall ein gewisses Interesse für technische Sachverhalte haben, nicht erforderlich ist eine technische Vorbildung. Hilfreich ist auch ein Grundinteresse für das Thema Medien, um sich in Geschäftsmodelle für neue Medienangebote hineindenken zu können. Vom Mindset her ist das wohl am ehesten vergleichbar mit Patentrechtlern – nur, dass man beim Patentrecht auf ein konkretes Rechtsgebiet und weniger ein Themengebiet, in diesem Fall die Digitalisierung, fokussiert ist. Bei uns geht es in erster Linie darum, herauszufinden, welche Rechtsgebiete überhaupt betroffen sein könnten. Oft ist dabei Kreativität gefragt. Es gibt keine klassischen Schemata, die man anwenden kann. Man muss sich immer überlegen, was der Mandant eigentlich braucht und wie man ihm mit juristischen Mitteln helfen kann.
Was ich damals gemacht habe und was sehr hilfreich war: Ich war einer der Mitgründer des juristischen Online-Portals juraexamen.info. So hatte ich schon Wissen darüber, was beim Betreiben einer Internetplattform eine Rolle spielt, welche Hürden es gibt, wie man Reichweite bekommt und wie man im Internet Geld verdienen kann.
Was immer hilft ist, wenn man sich die Themen schon einmal in der Praxis angesehen hat. Als wissenschaftlicher Mitarbeiter oder während des Referendariats kann man insofern schon wertvolle Erfahrungen sammeln. Da die Bedeutung der Digitalisierung wächst, sind wir bei Freshfields ständig auf der Suche nach neuen Köpfen für diesen Bereich. Wer sich hierfür interessiert, sollte sich bei uns bewerben oder kann sich gerne auch direkt bei mir melden. eMail

Das Interview wurde von unserem Kooperationspartner e-fellows geführt. Weitere Informationen über e-fellows und Freshfields findet Ihr hier.

Interesse geweckt? Freshfields sucht derzeit Volljuristen für den Bereich Digitale Wirtschaft. Zur Stellenanzeige

14.06.2016/0 Kommentare/von Redaktion

„Big Data“ in Alltag und Examen

Examensvorbereitung, Lerntipps, Schon gelesen?, Startseite, Tagesgeschehen, Verschiedenes

Wir freuen uns Euch einen Gastbeitrag von Stefan Glasmacher veröffentlichen zu können. Stefan arbeitete als wissenschaftlicher Mitarbeiter am Institut für Öffentliches Recht an der Universität Bonn bei Herrn Prof. Dr. Löwer. Derzeit ist er in Station bei Dr. Axel Spies (Morgan, Lewis & Bockius LLP) in Washington, D. C.

„Big Data“ in Deinem Alltag und Examen: Welche datenschutzrechtlichen Fragestellungen sind im Ersten und Zeiten Staatsexamen aktuell?
Der Umgang mit Deinen Daten begleitet Dich nicht nur im Alltag, sondern auch in beiden juristischen Examina. Er kann zum Gegenstand von Klausuren, aber aufgrund aktueller politischer Bezüge auch leicht der mündlichen Prüfung gemacht werden. Liest Du vor der mündlichen Prüfung die überregionalen Zeitungen? Dann wirst Du regelmäßig auf ein datenschutzrechtliches Thema stoßen. Wir machen einen „datenschutzrechtlichen Streifzug“ anhand aktueller Themen durch Deutschland und Europa und schlagen die transatlantische Brücke in die USA.[1]

„Verwertbarkeit von „Dash-Cam“-Aufzeichnungen im Zivil- und Strafprozess – Pro und Contra

Seit geraumer Zeit streiten die unterinstanzliche Rechtsprechung und Literatur über die Zulässigkeit von sog. „Dash-Cam“-Aufzeichnungen. Dann verwundert es kaum, dass das Thema auf die Agenda des 54. Verkehrsgerichtstages gesetzt wurde. Eine „Dash-Cam“ ist eine Kamera, die in einem Fahrzeug ständig oder anlassbezogen mitläuft und den Straßenraum aufzeichnet. Der Aufzeichnende verspricht sich von den Bildern der Kamera bessere Erfolgsaussichten in der Beweisführung. Doch genau diese Zulässigkeit in der Beweisführung wird im Zivil- und Strafprozess datenschutzrechtlich infrage gestellt. Eine Einladung an Studenten und Referendare beim Auslegungskanon aus dem Vollen zu schöpfen. Das Thema ist auch der Verwaltungsgerichtsbarkeit nicht fremd, wie ein Urteil des VG Ansbach[2] zeigt, in dem sich die Filmende gegen eine Unterlassungsverfügung des Ordnungsamts wehrt. Taucht das Thema der Verwertbarkeit von Dash-Cam Aufnahmen in der Prüfung auf, sollte anhand der folgenden Argumente Stellung zu den drei maßgeblichen Fragen genommen werden:

Ist der Eingriff in das allgemeine Persönlichkeitsrecht (APR) gem. Art. 2 I i.V.m. Art. 1 I GG gerechtfertigt?
Liegt ein Verstoß gegen § 6b I BDSG vor?
Liegt ein Verstoß gegen § 22 I KunstUrhG vor?

Hier sind die wesentlichen Argumente der Rechtsprechung und Literatur tabellarisch aufgearbeitet:

Pro Zulässigkeit	Contra Zulässigkeit
Gerechtfertigter Eingriff in das APR[3] · Kein absoluter Kernbereich · Keine wesentlichen Nachteile des Gefilmten, Daten werden mit der Zeit überschrieben · Aufklärung von Straftaten und materielle Wahrheit wird gestärkt	Nicht gerechtfertigter Eingriff in das APR[4] · Stetige und gezielte Überwachung ist ein heftiger Eingriff · Im Vorfeld unklar, ob Videoaufzeichnungen gebraucht werden (Möglichkeit nicht ausreichend)
Aufdeckung von provozierten Unfällen wird deutlich erleichtert[5] und Beweisnotstand der geschädigten Partei wird beseitigt	Verstoß gegen § 6b I BDSG · Anwendbar (nicht nur für stationäre Kameras) · Verbot von Videoaufzeichnungen ohne Grund · Datensammlung möglich ohne individuelle Einwilligung
Prozessrecht offen für technische Innovationen	Verstoß gegen § 22 S. 1 KunstUrhG, da Gefilmte insbes. nicht bloß „Beiwerk“ von Landschaften gem. § 23 I Nr. 2 KunstUrhG sind[6] und die Aufzeichnungen in einer öffentlichen Hauptverhandlung (vgl. § 169 GVG) wiedergegeben werden sollen
Personen in fremden Fahrzeugen oft nicht identifizierbar, wenn es nicht zu einem Unfall kommt[7]	Permanenter Überwachungsdruck auf Gefilmten[8]
Auch Anscheinsbeweise behalten im Kern eine signifikante Ungewissheit eines anderen Unfallhergangs

Der 54. Verkehrsgerichtstag hat sich für eine gesetzliche Lösung dieser Fragen ausgesprochen. Bis zu einer Novelle des Gesetzgebers werden sie aber in der Praxis virulent bleiben. Während sich eine „gefestigte“ einheitliche Meinung dort noch nicht gebildet hat, spricht eine Tendenz bei jedenfalls anlassbezogenen Aufzeichnungen für eine Verwertbarkeit. Bei dauerhaften nicht anlassbezogenen Aufzeichnungen hingegen nimmt die „herrschende Meinung“ eine Unverwertbarkeit an. Das Problem wurde bislang wenig aus einer europäischen Perspektive betrachtet, obwohl der Straßenverkehr in großen Teilen grenzübergreifend in Europa „rollt“.

WLAN-Gesetzgebungsverfahren

Ein anderes aktuelles Spannungsfeld betrifft das WLAN-Gesetzgebungsverfahren. Es lädt dazu ein, die staatsrechtlichen Grundlagen des Gesetzgebungsverfahrens abzufragen. Gleichzeitig stellt sich aber auch die Frage: Warum ist ein Gesetz notwendig geworden? Wie ist die Haftung überhaupt entstanden?
In seiner Entscheidung aus dem Jahre 2010 legte der BGH den Betreibern von WLAN eine hohe Verantwortung auf: Sie müssen das WLAN gegen die unbefugte Nutzung durch Dritte ausreichend absichern, um nicht in Haftung genommen werden zu können: „Der Inhaber eines WLAN-Anschlusses, der es unterlässt, die im Kaufzeitpunkt des WLAN-Routers marktüblichen Sicherungen ihrem Zweck entsprechend anzuwenden, haftet als Störer auf Unterlassung, wenn Dritte diesen Anschluss missbräuchlich nutzen, um urheberrechtlich geschützte Musiktitel in Internettauschbörsen einzustellen.“[9] Dabei umfasst „marktüblich“ eine ganze Menge an Pflichten: Absicherung durch Virenschutz, Aktualisierung des Virenschutzes, Nutzung einer Firewall und Aktualisierung des Systems durch Patches und Updates sowie die Verschlüsselung des WLAN.[10] Vor dem Hintergrund dieser umfangreichen Pflichten erscheint es für den Betreiber von WLAN nicht einfach, ein „marktüblich“ gesichertes Netzwerk zu unterhalten. Die Bundesregierung wollte Abhilfe schaffen und hat den Ausbau des kabellosen Netzwerks zum Ziel erklärt, ist dabei aber immer wieder auf Kritik gestoßen. Wie weit sollten die Pflichten der WLAN-Betreiber reichen? Solange diese Frage ungeklärt ist, kommt der Netzausbau in Deutschland jedenfalls nicht weiter.

Vorratsdatenspeicherung

Ein aus der politischen Diskussion und der (Prüfungs-) Praxis nicht mehr hinwegzudenkendes Thema betrifft die Vorratsdatenspeicherung. Seitdem die CDU die Ausweitung der Vorratsdatenspeicherung plant, kommt neue Bewegung in das Thema. Wo hat alles angefangen? Angefangen hat es bei der Idee, dass die europäischen Sicherheitsbehörden in der digitalen Welt neue Mittel zur Strafverfolgung an die Hand bekommen sollen. Dazu wurde eine europäische Richtlinie erlassen, die wiederum in deutsches Recht umgesetzt wurde. Im Jahre 2010 urteilte schließlich das BVerfG über die Vorratsdatenspeicherung: „Eine sechsmonatige, vorsorglich anlasslose Speicherung von TK-Verkehrsdaten durch private Diensteanbieter, wie sie die RL 2006/24/EG des Europäischen Parlaments und des Rates vom 15.3.2006 (RL 2006/24/EG) vorsieht, ist mit Art. 10 GG nicht schlechthin unvereinbar; auf einen etwaigen Vorrang dieser RL kommt es daher nicht an.“[11] Das BVerfG erkannte einen Eingriff in Art. 10 I GG, stellte aber gleichzeitig klar, dass weder dessen Menschenwürdekern (Art. 1 I GG) noch dessen Wesensgehalt (Art. 19 II GG) angetastet seien. Dennoch: „Der Grundsatz der Verhältnismäßigkeit verlangt, dass die gesetzliche Ausgestaltung einer solchen Datenspeicherung dem besonderen Gewicht des mit der Speicherung verbundenen Grundrechtseingriffs angemessen Rechnung trägt. Erforderlich sind hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes.“
Im Anschluss entschied der EuGH, dass die Vorratsdatenspeicherungsrichtlinie[12] ungültig sei.[13] Positiv gesprochen machte die Entscheidung den Weg frei für eine Novellierung. Das Ergebnis ist noch heute eine Rechtsunsicherheit, die in einem Dickicht an Entscheidungen und Vorgaben nach einer neuen Regelung sucht.

„Privacy Shield“ als neuer „Safe Harbor“ in den USA

Wer auf Facebook, Twitter & Co angemeldet ist, muss damit rechnen, dass seine Daten an Server in den Vereinigten Staaten weitergeleitet werden. Nach Art. 25 IV EG-Datenschutzrichtlinie[14] ist ein Datentransfer aus den Mitgliedstaaten der Union in ein Drittland nur möglich, wenn ein „angemessenes Schutzniveau“ besteht. Dies war in die Vereinigten Staaten, insbesondere unter dem Freedom Act, lediglich möglich, weil sich die Parteien mit „Safe Harbor“ auf einen besonderen Schutz europäischer Daten in den USA einigten. Dieser modus vivendi blieb solange bestehen bis der EuGH die Regelung in der vielbeachteten Schrems-Entscheidung[15] missbilligte. Was waren die Gründe des EuGH?
Durch die Veröffentlichung geheimer Dokumente durch Edward Snowden wurde evident, dass europäische Daten in den Vereinigten Staaten nicht in einem „sicheren Hafen“ waren. Diese Bedenken nahm der Generalanwalt auf und wurde durch den EuGH bestätigt. Dieser erkannte in den Vereinigten Staaten kein „angemessenes“ Schutzniveau der Daten und stellte Verstöße gegen Art. 7 „Achtung des Privat- und Familienlebens“, Art. 8 „Schutz personenbezogener Daten“ und Art. 47 „Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht“ EU-GrCH fest und verwarf die Angemessenheitsentscheidung der Kommission gegenüber den Vereinigten Staaten. Dazu heißt es in dem Urteil des EuGH lediglich: „Die Entscheidung 2000/520 ist ungültig.“
Mit Hochdruck wurde an einer neuen Regelung gearbeitet, die fortan den Namen „Privacy Shield“ trägt. An erster Stelle der Beratungen zu einer neuen Vereinbarung steht die Notwendigkeit einer Beschränkung des Zugangs der Daten durch US-Behörden. Darüber hinaus sollen US-Unternehmen transparenter machen, was sie über ihre Nutzer wissen und wie sie ihre Daten verwenden. Damit dies nicht in bloßen „Absichtserklärungen“ mündet, soll eine unabhängige Kontrolle durch einen Ombudsmann stattfinden und der Zugang zu den Gerichten vollumfänglich eröffnet werden. Damit gehen die Individualbeschwerde und die Streitschlichtung einher, die auch den einzelnen Nutzern offen stehen sollen. Schließlich wackelt noch die Rechtsgrundlage, auf der das Abkommen stehen soll. Derzeit wird dazu ein diplomatischer Briefwechsel fixiert, der spannende Fragen nach der Verbindlichkeit und den rechtlichen Anknüpfungspunkten aufwirft.

Zusammenfassung

Datenschutzrechtliche Fragen sind im Allgemeinen im Spannungsfeld zwischen dem (staatlichen) Sicherheitsinteresse und den (individuellen) Freiheitsrechten angesiedelt. Wie stark darf der Staat in die Sphäre der Bürger eingreifen, um seinem Strafverfolgungsauftrag gerecht zu werden? Wie weit dürfen die Bürger selbst gehen, um zur Aufklärung von Straftaten oder Fehlverhalten (Unfällen etc.) beizutragen? Diese Fragen wurden anhand aktueller Berichterstattung, Rechtsprechung und Literatur exemplarisch aufbereitet und dennoch stellen sie nur ein Fragment der aktuellen datenschutzrechtlichen Fragen dar. Technische Innovation durchzieht alle Lebensbereiche und wirft immer schneller neue juristische Fragen auf, die mehr nach einer internationalen und europäischen als nach einer deutschen Lösung rufen.
[1] Die Themen werden im Folgenden nur exemplarisch behandelt. Spannend bleiben auch Fragen zu der Ausrüstung von Polizisten mit Kameras sowie die Videoüberwachung von Demonstrationen, um nur einige weitere Beispiele zu nennen.
[2] AG Ansbach, Urt. v. 12.8.2014, AN 4 K 13.01634.
[3] In diese Richtung: Greger, NZV 2015, 114 (115f.).
[4] LG Heilbronn, Urt. v. 3.2.2015, I 3 S 19/14, 3 S 19/14.
[5] Franzke/Nugel, NJW 2015, 2071 (2076f.).
[6] AG München, Beschl. v. 13.8.2014, 345 C 5551/14.
[7] AG Nürnberg, Urt. v. 8.5.2015, 18 C 8938/14.
[8] LG Memmingen, Urt. v. 14.1.2016, 22 O 1983/13.
[9] BGH, Urt. v. 12.5.2010, I ZR 121/08.
[10] Aufzählung nach: Borges, NJW 2010, 2624 (2624) m. w. N.
[11] BVerfG, MMR 2010, 356.
[12] Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG.
[13] EuGH, Urteil vom 08.04.2014, C-293/12.
[14] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
[15] EuGH, ZD 2015, 549 (m. Anm. Spies)

22.02.2016/1 Kommentar/von Gastautor

Neuestes zur Vorratsdatenspeicherung

BVerfG Leitentscheidungen & Klassiker, Europarecht, Europarecht Klassiker, Öffentliches Recht, Rechtsgebiete, Startseite, StPO, Strafrecht, Tagesgeschehen, Verfassungsrecht

Sie ist wieder da. Gestern diskutierte der Bundestag erstmalig den vom Bundeskabinett am 27.05.2015 beschlossenen Gesetzesentwurf zur Wiedereinführung der Vorratsdatenspeicherung (abrufbar unter http://www.bundesrat.de/bv.html?id=0249-15). Zu diesem einige erste Gedanken:
I. Zur Erinnerung
Mit Urteil vom 2. März 2010 hat das BVerfG die §§ 113a und 113b des TKG und auch § 100g Abs. 1 S. 1 StPO, soweit danach Verkehrsdaten nach § 113a TKG erhoben werden durften, wegen Verstoßes gegen Art. 10 Abs.1 GG (unverhältnismäßiger Eingriff) für nichtig erklärt (BVerfG, Urt. v. 02.03.2010 – 1 BvR 256/08 u.a.). §§ 113a und b TKG sahen eine Verpflichtung für Diensteanbieter vor, Verkehrsdaten ihrer Teilnehmer für sechs Monate zu speichern und diese Daten auf Anforderung den Strafverfolgungsbehörden zur Verfügung zu stellen. Die Strafverfolgungsbehörden waren gem. § 100g StPO u.a. bei einem Verdacht des Vorliegens einer Straftat von auch im Einzelfall erheblicher Bedeutung zum Abruf der Daten befugt. Die den §§ 113a und b TKG und § 100g Abs. 1 S. 1 StPO zugrundeliegende europäische Richtlinie 2006/24/EG hat der EuGH mit Urteil vom 8. April 2014 wegen Verstoßes gegen Artt. 7 und 8 EUGRC für unwirksam erklärt (EuGH, Urt. v. 08.04.2014 – C-293/12 u.a.).
II. Die drei Kernregelungen des Gesetzesentwurfs
Die Vorratsdatenspeicherung soll im Wesentlichen in Umsetzung folgender drei Kernregelungen wieder eingeführt werden:
1. Neuregelung der Erhebung von Verkehrsdaten nach § 100g StPO-E
Während in § 100g Abs. 1 StPO-E die Erhebung von Verkehrsdaten geregelt wird, die aus geschäftlichen Gründen bei den Erbringern öffentlich-zugänglicher Telekommunikationsdienste gespeichert werden, legt § 100g Abs. 2 StPO fest, unter welchen Voraussetzungen die nunmehr durch die neue Speicherpflicht nach § 113b TKG-E (dazu sogleich II. 2.) gespeicherten Daten erhoben werden dürfen. Die Erhebung der nach § 113b TKG-E gespeicherten Verkehrsdaten soll nach Maßgabe des § 100g Absatz 2 StPO-E nur unter engen Voraussetzungen möglich sein, nämlich zur Verfolgung besonders schwerer, in § 100g Absatz 2 Satz 2 StPO-E im Einzelnen benannter Straftaten, die auch im Einzelfall besonders schwer wiegen müssen. Bei der Erhebung von Verkehrsdaten sind in der Begründung ihrer Anordnung oder Verlängerung die wesentlichen Erwägungen zur Verhältnismäßigkeit gesondert darzulegen (§ 101a Absatz 1 StPO-E).
2. Neuregelung der Speicherpflicht nach §§ 113a, b TKG-E
113a TKG-E bestimmt den Kreis der zur Speicherung von Verkehrsdaten Verpflichteten und sieht aus Gründen der Verhältnismäßigkeit eine Entschädigungsregelung vor, wenn die Speicherpflicht zu unbilligen Härten führen würde. In § 113b TKG-E wird die Speicherung von genau bezeichneten Verkehrsdaten angeordnet. Dabei wird hinsichtlich der Speicherdauer differenziert. Während die Verbindungsdaten für zehn Wochen zu speichern sind, ist die Speicherung der besonders sensiblen Standortdaten auf vier Wochen beschränkt.
3. Einführung des neuen Straftatbestandes der Datenhehlerei, § 202d StGB-E
Gemäß § 202d StGB-E soll sich strafbar machen, wer nicht öffentlich zugängliche Daten, die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen. Die Tat soll mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bedroht werden, wobei die Strafe nicht schwerer sein darf als die für die Vortat angedrohte Strafe.
Die Tat soll nur auf Antrag verfolgt werden, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält (§ 205 Abs. 1 S. 2 StGB-E).
III. Zweifel an der Verfassungs- und Europarechtskonformität des Gesetzesentwurfs
Der Gesetzesentwurf wird bisweilen für »grundrechtlich nicht vertretbar« gehalten (so der ehemalige »oberste deutsche Datenschützer« Peter Schaar, vgl. hier). Er ignoriere klare Vorgaben des EuGH, meint Renate Künast, die Vorsitzende des Ausschusses für Recht und Verbraucherschutz im Deutschen Bundestag ist (vgl. hier). Auch der AK Vorrat (vgl. hier), der DAV (vgl. hier) und nicht zuletzt der Wissenschaftliche Dienst des Bundestages (vgl. hier) hat Zweifel an der Vereinbarkeit des Gesetzesentwurfs mit dem Europa- und Verfassungsrecht geäußert. Diese teilt der DRB wohl nicht, attestiert dem Entwurf aber fehlende Praktikabilität (vgl. hier).
1. Vorratsdatenspeicherung nicht per se verfassungs- oder europarechtswidrig
Zunächst ist festzuhalten, dass eine anlasslose, vorsorgliche Speicherung von Telekommunikationsverkehrsdaten nach Auffassung des BVerfG nicht schlechthin mit Art. 10 Abs. 1 GG unvereinbar ist (BVerfG, Urt. v. 02.03.2010 – 1 BvR 256/08 u.a., Ls. 1 – juris). Entsprechendes lässt sich nach der Rechtsprechung des EuGH für Artt. 7, 8 EUGRC, die gem. Art. 51 Abs. 1 EUGRC i.V.m. Art. 15 Abs. 1 der RL 2002/58/EG für nationale Vorschriften zur Vorratsdatenspeicherung einschlägig sind, feststellen (vgl. Simitis, NJW 2014, S. 2158, 2160). Die mit der Vorratsdatenspeicherung einhergehenden Eingriffe könnten grundsätzlich durch die legitimen Zwecke der Strafverfolgung und Gefahrenabwehr gerechtfertigt werden. Um jedoch auch verhältnismäßig im engeren Sinne zu sein, müssten sie sich auf das »absolut Notwendige« beschränken, mithin besonderen Anforderungen an die Datensicherheit, den Umfang der Datenverwendung, die Transparenz und den Rechtsschutz genügen (vgl. BVerfG, Urt. v. 02.03.2010 – 1 BvR 256/08 u.a., Rn. 220 ff. – juris; EuGH, Urt. v. 08.04.2014 – C-293/12 u.a., Rn. 52 ff. – juris)
2. Aber: Unzureichender Schutz von Berufsgeheimnisträgern und fehlende Normenklarheit?
Die Kritiker des Gesetzesentwurfs machen ihre Zweifel an dessen Verfassungs- und Europarechtskonformität im Wesentlichen an zwei Punkten fest: Erstens berücksichtige er den Schutz von Berufsgeheimnisträgern nicht ausreichend. Zweitens sei die Vorratsdatenspeicherung nicht »normenklar« formuliert.
Der Schutz von Berufsgeheimnisträgern wird nach dem Gesetzesentwurf zweistufig gewährleistet. Gem. § 113b Abs. 6 TKG-E dürfen Verbindungsdaten i.S.v. § 99 Abs. 2 S. 2 TKG nicht gespeichert werden. Betroffen sind Verbindungen zu Anschlüssen von Personen, Behörden und Organisationen in sozialen oder kirchlichen Bereichen, die grundsätzlich anonym bleibenden Anrufern ganz oder überwiegend telefonische Beratung in seelischen oder sozialen Notlagen anbieten und die selbst oder deren Mitarbeiter insoweit besonderen Verschwiegenheitspflichten unterliegen. Gespeichert aber von den Ermittlungsbehörden nicht erhoben werden dürfen gem. § 100g Abs. 4 StPO-E Verkehrsdaten der in § 53 Abs. 1 Nrn. 1 – 5 StPO genannten Berufsgeheimnisträger (Rechtsanwälte, Ärzte, Psychologen etc.). Ob es im Gegensatz hierzu verfassungs- oder europarechtlich geboten ist, Berufsgeheimnisträger in ihrer Gesamtheit von der Speicherung ihrer Verkehrsdaten auszunehmen, ist unsicher.
Mit Blick auf die RL 2006/24/EG kritisierte der EuGH zwar:

»Zudem sieht sie keinerlei Ausnahme vor, so dass sie auch für Personen gilt, deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften dem Berufsgeheimnis unterliegen« (EuGH, Urt. v. 08.04.2014 – C-293/12 u.a., Rn. 58 – juris).

Das BVerfG führte in seiner Entscheidung zu §§ 113a, b TKG und § 100g Abs. 1 S. 1 StPO hingegen aus:

»Angesichts der hohen Schwellen, die nach den vorstehenden Maßgaben schon grundsätzlich für die Verwendung vorsorglich gespeicherter Telekommunikationsverkehrsdaten gelten, hat der Gesetzgeber bei der näheren Regelung des Umfangs der Datenverwendung allerdings einen Gestaltungsspielraum. Insbesondere steht es ihm grundsätzlich auch frei, solche Verhältnismäßigkeitserwägungen dem zur Entscheidung über die Anordnung eines Datenabrufs berufenen Richter bei der Prüfung im Einzelfall zu überlassen. Verfassungsrechtlich geboten ist als Ausfluss des Verhältnismäßigkeitsgrundsatzes jedoch, zumindest für einen engen Kreis von auf besondere Vertraulichkeit angewiesenen Telekommunikationsverbindungen ein grundsätzliches Übermittlungsverbot vorzusehen. Zu denken ist hier etwa an Verbindungen zu Anschlüssen von Personen, Behörden und Organisationen in sozialen oder kirchlichen Bereichen, die grundsätzlich anonym bleibenden Anrufern ganz oder überwiegend telefonische Beratung in seelischen oder sozialen Notlagen anbieten und die selbst oder deren Mitarbeiter insoweit anderen Verschwiegenheitsverpflichtungen unterliegen (vgl. BVerfG, Urt. v. 02.03.2010 – 1 BvR 256/08 u.a., Rbn. 238 – juris).«

Mit Händen zu greifen ist dagegen die fehlende, vom BVerfG verlangte »Normenklarheit« des Gesetzesentwurfs (vgl. BVerfG, Urt. v. 02.03.2010 – 1 BvR 256/08 u.a., Ls. 2 – juris). Hierzu zwei Beispiele:

Wie gesehen dürfen nach dem Gesetzesentwurf Verbindungen zu Anschlüssen von Personen in kirchlichen Bereichen, die grundsätzlich anonym bleibenden Anrufern ganz oder überwiegend telefonische Beratung in seelischen oder sozialen Notlagen anbieten gem. § 113b Abs. 6 TKG-E i.V.m. § 99 Abs. 2 S. 2 TKG nicht gespeichert werden. Diesem Speicherverbot unterliegen jedoch gem. § 100g Abs. 4 StPO-E i.V.m. § 53 Abs. 1 Nrn. 1 StPO nicht solche Verkehrsdaten, die die seelsorgerische Arbeit von Geistlichen betreffen. Ein offener Widerspruch.
Plastisch ist auch die Formulierung von § 100g Abs. 1 StPO-E: »Begründen bestimmte Tatsachen den Verdacht, dass jemand als Täter oder Teilnehmer eine Straftat […] begangen hat, so dürfen Verkehrsdaten (§ 96 Absatz 1 des Telekommunikationsgesetzes) erhoben werden, soweit dies zur Erforschung des Sachverhalts erforderlich ist und die Erhebung der Daten in einem angemessenem Verhältnis zur Bedeutung der Sache steht. Im Fall des Satzes 1 Nummer 2 ist die Maßnahme nur zulässig, wenn die Erforschung des Sachverhalts auf andere Weise aussichtslos wäre […]«. Die Vorschrift ordnet im Ergebnis eine (unvollständige) Verhältnismäßigkeitsprüfung an, wobei scheinbar die Anforderungen an die Erforderlichkeit der Datenerhebung in den Fällen von § 100g S. 1 Nr. 2 StPO-E verschärft sein sollen. Ob diese Verschärfung mit dem formulierten Maßstab eintritt, ist zweifelhaft. Die Datenerhebung nach § 96 Abs. 1 TKG darf ohnehin nur durchgeführt werden, wenn sie das mildeste der gleich geeigneten Mittel zur Sachverhaltsaufklärung darstellt (»erforderlich«). Im Übrigen ist unklar, wann die Erforschung des Sachverhaltes auf andere Weise »aussichtlos« ist.

IV. Fazit
Die Wiedereinführung der Vorratsdatenspeicherung ist ein rechtlich heikles Unterfangen. Zweifel an der Europarechts- und Verfassungskonformität des aktuellen Gesetzesentwurfes sind nicht von der Hand zu weisen. Die letzten Worte werden wohl das BVerfG und der EuGH haben. Spannung(en) ist (sind) garantiert.

13.06.2015/0 Kommentare/von Florian Wieg

BAG: Zulässigkeit der verdeckten Videoüberwachung am Arbeitsplatz

Arbeitsrecht, Rechtsprechung, Referendariat, Schon gelesen?, Schwerpunktbereich, Startseite, Zivilrecht, Zivilrecht

Das Bundesarbeitsgericht (BAG) hat in einem Urteil vom 21.06.2012 – 2 AZR 153/11 Stellung zu der Frage genommen, unter welchen Voraussetzungen die heimliche Videoüberwachung des Arbeitnehmers am Arbeitsplatz durch den Arbeitgeber zulässig ist. In den Entscheidungsgründen wird Stellung genommen erstens zu den Voraussetzungen eines Kündigungsgrundes, zweitens zu den Voraussetzungen der Zulässigkeit einer heimlichen Videoüberwachung durch den Arbeitgeber und drittens zum Bestehen eines Beweisverwertungsverbotes bei einer Videoüberwachung im Hinblick auf § 6b Abs. 2 BDSG.

Die Frage der Zulässigkeit einer Videoüberwachung am Arbeitsplatz stellt sich in einer Klausur bei der Prüfung eines wirksamen Kündigungsgrundes. Wenn die Videoüberwachung unzulässig ist und das einzige Beweisstück für die Verfehlung darstellt, so darf der Arbeitgeber diese nicht im Prozess verwerten und die Kündigung ist unwirksam.

1. Sachverhalt

Die Klägerin arbeitete seit 1990 als Verkäuferin bei der Filiale des beklagten Einzelhandelsunternehmens. Da im Bereich „Tabakverkauf“ Inventurdifferenzen auftraten, ließ die Beklagte für drei Wochen mit Zustimmung des Betriebsrats eine verdeckte Videoüberwachung unter anderem im Kassenbereich durchführen. Die Aufzeichnungen ergaben, dass die Klägerin an zwei Tagen nach Geschäftsschluss Zigaretten entwendete. Nach Anhörung des Betriebsrates kündigte ihr die Beklagte. Hiergegen erhob die Klägerin rechtzeitig Klage und bestritt die ihr vorgeworfenen pflichtwidrigen Handlungen.

Vor dem BAG streiten die Parteien nunmehr über die Wirksamkeit der hilfsweise ausgesprochenen ordentlichen Kündigung.

2. Verhaltensbedingte Kündigung gemäß § 1 Abs. 2 KSchG sozial gerechtfertigt

Das BAG hat festgestellt, dass im vorliegenden Fall die ordentliche Kündigung gemäß § 1 Abs. 2 KSchG aus verhaltensbedingten Gründen sozial gerechtfertigt war.

[Zur Erinnerung: grundsätzlich ist bei einer ordentlichen Kündigung ein Kündigungsgrund entbehrlich. Anderes gilt aber, wenn die Voraussetzungen des Kündigungsschutzgesetzes (KSchG) erfüllt sind. Ist das KSchG anwendbar, muss die Kündigung im Sinne von § 1 Abs. 2 KSchG sozial gerechtfertigt sein. Hierunter fällt auch ein verhaltensbedingter Kündigungsgrund. Bei der Prüfung der verhaltensbedingten Kündigung ist dann an erster Stelle abstrakt zu prüfen, ob das Verhalten des Arbeitnehmers grundsätzlich dazu geeignet ist, eine Kündigung auszusprechen. Auf zweiter Stufe folgt eine Interessenabwägung, in der die tatsächlichen Umstände des Einzelfalls einbezogen werden müssen. Die Prüfung der verhaltensbedingten ordentlichen Kündigung folgt damit dem Prüfungsschema der außerordentlichen Kündigung gemäß § 626 Abs. 1 BGB. Der wesentliche Unterschied zur außerordentlichen Kündigung ist, dass die Gründe bei der ordentlichen Kündigung nicht so schwer sein müssen. Da die außerordentliche Kündigung als „ultima-ratio“ Maßnahme zu verstehen ist, muss der wichtige Grund so schwer wiegen, dass dem Arbeitgeber noch nicht einmal das Abwarten der ordentlichen Kündigungsfrist zugemutet werden kann. Im Gegensatz dazu ist eine verhaltensbedingte ordentliche Kündigung schon dann sozial gerechtfertigt, wenn ein verständig urteilender Arbeitgeber bei Abwägung der wechselseitigen Interessen kündigen würde. Maßstab ist insoweit das Prognoseprinzip. Eine negative Prognose liegt vor, wenn die Vertragsstörung so geartet war, dass daraus geschlossen werden kann, der Arbeitnehmer werde auch zukünftig seine Vertragsplichten nicht ordnungsgemäß erfüllen.]

Das BAG führte auf erster Stufe aus, dass die Klägerin durch die heimliche Wegnahme der Zigaretten am Arbeitsplatz eine rechtswidrige und vorsätzliche Handlung unmittelbar gegen das Vermögen der Arbeitgeberin begangen habe. Sie habe in schwerwiegender Weise die schuldrechtliche Pflicht zur Rücksichtnahme gemäß § 241 Abs. 2 BGB verletzt und das in sie gesetzte Vertrauen missbraucht. Ein solches Verhalten sei daher grundsätzlich geeignet, eine Kündigung auszusprechen. Dieses Verhalten sei sogar dann zum Ausspruch einer Kündigung geeignet, wenn die rechtswidrige Handlung Sachen von nur geringem Wert betrifft oder zu einem geringfügigen Schaden geführt hat. Maßgebend sei der mit der Pflichtverletzung verbundene Vertrauensbruch (dies entspricht der ständigen Rechtsprechung, wie auch im Fall „Emmely“ – BAG, 10. Juni 2010 – 2 AZR 541/09 Rn. 27- wo die Klägerin in unzulässiger Weise Leergutbons im Wert von 0,48 Euro und 0,82 Euro einlöste, siehe hierzu auch hier).

Auf zweiter Stufe stellte der Senat fest, dass das Verhalten der Klägerin auch unter Berücksichtigung einer Interessenabwägung dazu geeignet war, die Kündigung auszusprechen. Die Klägerin habe heimlich und vorsätzlich das in sie gesetzte Vertrauen als Verkäuferin zu einer Schädigung des Vermögens der Beklagten missbraucht. Eine Wiederherstellung des Vertrauens sei auch angesichts der unbeanstandeten Betriebszugehörigkeit der Klägerin von 18 Jahren und des geringen Wertes der entwendeten Gegenstände nicht zu erwarten. Dem Senat kommt es vorliegend entscheidend darauf an, wie die schädigende Handlung durchgeführt wurde. Er führt aus:

„Für den Grad des Verschuldens und die Möglichkeit einer Wiederherstellung des Vertrauens macht es objektiv einen Unterschied, ob es sich bei einer Pflichtverletzung um ein Verhalten handelt, das insgesamt auf Heimlichkeit angelegt ist – […} – oder nicht.“

Weil das Verhalten der Klägerin „auf Heimlichkeit angelegt“ war, wertete das BAG die Interessen der Beklagten am Ausspruch der Kündigung als höherrangig.

Exkurs: Mit dieser Entscheidung hält der Senat an seiner im Fall „Emmely“ (BAG, 10. Juni 2010 – 2 AZR 541/09) eingeschlagenen Linie fest. Hiernach sind rechtswidrige Handlungen gegen das Vermögen des Arbeitgebers nur abstrakt auf erster Stufe geeignet, eine Kündigung auszusprechen. Auf zweiter Stufe muss trotz der schweren Verfehlung eine Interessenabwägung vorgenommen werden. Siehe dazu hier.

3. Voraussetzungen für eine heimlichen Videoüberwachung durch den Arbeitgeber

Der Senat hat die Frage, ob den Videoaufzeichnungen ein prozessuales Verwertungsverbot wegen einer Verletzung des allgemeinem Persönlichkeitsrecht der Klägerin aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG entgegenstand, nicht abschließend beantwortet. Hinsichtlich dieser Frage hat der Senat den Fall zurück an das Landesarbeitsgericht verwiesen. Dennoch wurden Ausführungen zu den Kriterien einer zulässigen Videoüberwachung gemacht.

Im Rahmen der Zulässigkeit einer heimlichen Videoüberwachung ist danach grundsätzlich zu prüfen, ob die Verwertung von heimlich beschafften persönlichen Daten mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar ist. Es ist also eine Abwägung zwischen den Interessen an einer funktionstüchtigen Rechtspflege und dem Schutz des informationellen Selbstbestimmungsrechts als Ausfluss des allgemeinen Persönlichkeitsrechts (siehe hierzu Palandt, § 823 BGB Rn. 112) vorzunehmen. Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers können durch die Wahrnehmung überwiegender schutzwürdiger Interessen des Arbeitgebers gerechtfertigt sein. Das BAG hat sich – einer früheren Entscheidung folgend (BAG, 27. März 2003, 2 AZR 51/02) – auf Kriterien berufen, nach denen eine heimliche Videoüberwachung durch den Arbeitgeber gerechtfertigt (und deshalb zulässig) ist. Dies ist der Fall, wenn:

der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht
weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft sind, die verdeckte Videoüberwachung damit praktisch das einzige verbleibende Mittel darstellt und
sie insgesamt nicht unverhältnismäßig ist.

Diese Kriterien hat das BAG dahingehend ergänzt, dass der Verdacht sich gegen einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern richten muss. Auch darf der Verdacht keine allgemeine Mutmaßung darstellen, es könnten Straftaten begangen werden. Er muss sich jedoch nicht notwendig nur gegen einen einzelnen, bestimmten Arbeitnehmer richten. Im Hinblick auf die Möglichkeit einer weiteren Einschränkung des Kreises der Verdächtigen müssen weniger einschneidende Mittel als eine verdeckte Videoüberwachung zuvor ausgeschöpft worden sein.

Aufgrund der Zurückweisung muss das Landesarbeitsgericht nun feststellen, ob die von der Beklagten vorgetragene Inventurdifferenz tatsächlich vorgelegen hat. Auch muss geklärt werden, auf welche Tatsache sich der Verdacht gründete, dass Mitarbeiterdiebstähle erheblichen Einfluss auf die behauptete Inventurdifferenten gehabt hätten und welcher eingrenzbare Kreis von Mitarbeitern von diesem Verdacht betroffen war. Auch muss beurteilt werden, ob nicht weniger einschneidende Mittel zur Aufklärung in Betracht gekommen wären.

4. Videoüberwachung im öffentlich zugänglichen Raum, § 6b Abs. 2 BDSG

Darüber hinaus stellte das BAG ausdrücklich fest, dass ein Beweisverwertungsverbot nicht schon aus einer Verletzung des Gebots des § 6b Abs. 2 BDSG folgt. Siehe zu Videoauszeichnung im öffentlich zugänglichen Raum bereits hier.

Zwar schreibt § 6b Abs. 2 BDSG vor, dass bei der Beobachtung von öffentlich zugänglichen Räumen der Umstand der Beobachtung und die verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen sind. Hieraus könne aber nicht gefolgert werden, dass die verdeckte Videoüberwachung in öffentlich zugänglichen Räumen ausnahmslos unzulässig sei. Vielmehr will das BAG die Rechtmäßigkeit der Videoüberwachung ausschließlich am Verhältnismäßigkeitsgrundsatz messen. Das Kennzeichnungsgebot sei weder nach verfassungskonformer Auslegung im Lichte der grundrechtlich geschützten Interessen des Arbeitgebers aus Art. 12 Abs. 1 und Art. 14 Abs. 1 GG noch nach der Gesetzesbegründung Voraussetzung für die materiell rechtliche Zulässigkeit der Videoüberwachung.

[Das BAG hat auch klar gestellt, dass sich ein Beweisverwertungsverbot nicht aus dem am 01.09.2009 in Kraft getretenen § 32 Abs. 1 S. 2 BDSG ergebe, weil die Videoaufzeichnung im vorliegenden Fall aus dem Jahr 2008 stammte. In einer Klausur neueren Datums sollte jedoch auf diese Norm eingegangen werden. Danach ist eine personenbezogene Datenerhebung zur Aufdeckung von Straftaten nur dann zulässig wenn:

„tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Diese Regelung erscheint enger als die des § 6b Abs. 2 BDSG. Es bleibt abzuwarten, ob das BAG die Voraussetzungen der Videoüberwachung aufgrund dieser Vorschrift verschärfen wird. Aufschlussreich zur Auslegung des § 32 Abs. 1 S. 2 BDSG ist der in Kürze erscheinende Beitrag in der EzA von Thüsing/Pötters, Anmerkung zu BAG v. 21.6.2012 – 2 AZR 153/11.]

5. Fazit

Die Entscheidung des BAG bestätigt die kündigungsschutzrechtlichen Maßstäbe bei einer verhaltensbedingten Kündigung, die im Fall einer rechtswidrigen Handlung gegen das Vermögen des Arbeitgebers gelten. Der Senat hält an seiner im Fall „Emmely“ eingeschlagenen Linie fest, wonach bei rechtswidrigen Handlungen gegen das Vermögen des Arbeitgebers auf zweiter Stufe trotz der schweren Verfehlung eine Interessenabwägung vorzunehmen ist.

Im Hinblick auf die heimliche Videoüberwachung hat sich das BAG auf Kriterien berufen, die eine Überwachung zulässig machen. Zwar ist eine heimliche Videoüberwachung nicht grundsätzlich unzulässig, jedoch sind die Kriterien aufgrund des Eingriffs in das Persönlichkeitsrecht des Arbeitnehmers sehr scharf, so dass nur in seltenen Fällen eine Videoüberwachung als zulässig zu beurteilen ist. Daneben wurde klargestellt, dass § 6b Abs. 2 BDSG einer heimlichen Videoüberwachung am Arbeitsplatz nicht entgegensteht. Vielmehr will das BAG die Rechtmäßigkeit der Videoüberwachung ausschließlich am Verhältnismäßigkeitsgrundsatz messen.

Es bleibt abzuwarten, welchen Einfluss der § 32 Abs. 1 S. 2 BDSG auf die Rechtsprechung des BAG in diesem Zusammenhang haben wird.

19.10.2012/1 Kommentar/von Dr. Deniz Nikolaus

Update: Reform des Beschäftigtendatenschutzes

Startseite, Verschiedenes

Seit den sogenannten „Datenskandalen“ bei der Bahn, Aldi, Lidl und anderen in den Jahren 2009 und danach hat der Beschäftigtendatenschutz in der Theorie und in der Praxis einen erheblichen Bedeutungszuwachs erfahren. Eine erste Reaktion des Gesetzgebers bestand darin, mit § 32 BDSG auf die Schnelle eine Vorschrift in das BDSG einzufügen, die die Gemüter beruhigen sollte, ohne jedoch an der Rechtslage selbst etwas zu ändern. Bei der Norm handelt es sich also – wie der Berliner Beauftragte für den Datenschutz, Alexander Dix, es ausdrückte – um ein „Baustellenschild“. Wie zu erwarten war, verstummten die Forderungen nach einer umfassenden Neuregelung denn auch nicht. Seit gut zwei Jahren befasst sich nun die Politik mit dem Thema. Neuerdings mischt sich hier auch die EU-Kommission ein, so dass es Zeit für ein kleines Update in Sachen Beschäftigtendatenschutz ist, damit unsere Leser nicht den Überblick verlieren:
I. Entwurf der Bundesregierung vom 25.8.2010
Nachdem seit dem Frühjahr 2010 mehrere nicht veröffentlichte Referentenentwürfe diskutiert worden waren, legte die Bundesregierung am 25.8.2010 einen Entwurf zur Neuregelung des Beschäftigtendatenschutzes vor. Dieser soll nicht in einem eigenen Gesetz geregelt sein, sondern es sollen 13 neue Paragraphen in das BDSG eingefügt werden (§§ 32 bis 32l BDSG). Nicht alles kann hier im Detail besprochen werden. Eine der wichtigsten Neuregelungen besteht darin, dass eine Einwilligung (§§ 4, 4a BDSG) nach § 32l Abs. 1 BDSG nur noch ausnahmsweise eine Grundlage für die Verarbeitung von Beschäftigtendaten soll bilden können. Dagegen wurde in der Literatur unter anderem eingewandt, dass dies mit der Richtlinie 95/45/EG unvereinbar sei. Auch hinsichtlich anderer Detailregelungen wurde Kritik geäußert. Beispielweise wurde bemängelt, dass es kein „Konzernprivileg“ gebe. Auch soll die heimliche Videoüberwachung künftig ganz verboten sein. Das BAG hat sie bislang in bestimmten Konstellationen ausnahmsweise zugelassen.
Der Vorschlag der Bundesregierung kann hier heruntergeladen werden.
II. Vorschlag des Innenministeriums vom September 2011
Im September 2011 hat das Innenministerium auf die Kritik reagiert und eine Reihe von Änderungen an dem Vorschlag der Bundesregierung vorgeschlagen. Dieser Vorschlag ist nicht amtlich freigegeben und wird deshalb hier nicht veröffentlicht. Er sieht aber unter anderem in einem § 32m BDSG ein „Konzernprivileg“ vor. Die Verarbeitung von Beschäftigtendaten innerhalb eines Konzern soll dadurch erleichtert werden. Auch wurde § 32l Abs. 1 BDSG entschärft. Weiterhin verboten sein soll allerdings die heimliche Videoüberwachung. Derzeit ringt man in Berlin um eine politische Einigung auf der Grundlage dieses Vorschlags.
III. Entwurf einer EU-Datenschutzverordnung
Im Januar 2011 hat schließlich die EU-Kommission den Entwurf einer EU-Datenschutzverordnung vorgelegt. Bislang war der Datenschutz in der EU durch eine Richtlinie (Art. 288 Abs. 3 AEUV) geregelt. Diese muss durch die Mitgliedstaaten umgesetzt werden, das heißt, es müssen mitgliedstaatliche Gesetzeerlassen werden. Die Verordnung wirkt hingegen nach Art. 288 Abs. 2 AEUV unmittelbar verbindlich. Der Wechsel des Rechtsinstruments hängt mit dem neuen Kompetenztitel in Art. 16 AEUV zusammen.
Hinsichtlich des Beschäftigtendatenschtzes enthält der Verordnungsvorschlag nur wenige Regelungen. Er erlaubt den Mitgliedstaaten ausdrücklich, hier selber regelnd tätig zu werden. Vorgegeben ist allerdings, dass eine Einwilligung grundsätzzlich auch im Beschäftigungsverhältnis möglich ist. Damit weicht der Entwurf von einer Arbeitsfassung („Version 56“) der EU-Kommission ab, die noch einen Ausschluss der Einwilligung im Beschäftigungsverhältnis vorsah. Schwächen weist der Entwurf wiederum bei dem „Konzenrprivileg“ auf. Die EU-Kommission wird lediglich ermächtigt, hierzu Durchführungsverordnungen zu erlassen.
Den Verordnungsvorschlag kann man hier, die „Version 56“ hier herunterladen.
IV. Ausblick
Voraussichtlich wird sich noch im Februar 2012 entscheiden, ob der deutsche Gesetzgeber den Beschäftigtendatenschutz einer umfassenden Neuregelung zuführen wird oder nicht. Die EU-Datenschutzverordnung soll hingegen erst zwei Jahre nach ihrer Veröffentlichung im Amtsblatt in Kraft treten. Rechnet man zwei bis drei Jahre für das Gesetzgebeungsverfahren hinzu, wird sie nicht vor 2017/2018 den Beschäftigtendatenschutz prägen.

22.02.2012/0 Kommentare/von Dr. Gerrit Forst

Internetsperren Verfassungswidrig? Hoffmann-Riem äußert Bedenken bzgl. des Gesetzes zur Bekämpfung der Kinderpornographie

Öffentliches Recht, Verfassungsrecht, Verwaltungsrecht

Heftige Kritik im Web 2.0
In vielen Internet-Communities, Foren und Blogs gibt es seit Monaten kein wichtigeres politisches Thema als die durch das Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen ermöglichten Internetsperren („Stoppschilder“). Ministerin von der Leyen wird als Zensursula verhöhnt und es gibt Sticker, Shirts usw. mit dem Konterfei Wolfgang Schäubles und der Aufschrift „Stasi 2.0“.
Das Gesetzes zur Bekämpfung der Kinderpornographie – Ein Dammbruch?
Allgemein wird befürchtet, dass hier ein nur allzu verständlicher Anlass zum Vorwand genommen wird, um einen Dammbruch zu ermöglichen, der zu einer kontinuierlichen Aufweichung der Persönlichkeitsrechte und des Datenschutzes führen könne. Ob dies wirklich die Intention der beteiligten Ministerien war (häufig wird das Wirtschaftsministerium hier bei den Schimpfkanonaden verschont), sei hier einmal dahingestellt.
Hoffmann-Riem: Bedenken bzgl. der Gesetzgebungskompetenz
Jedenfalls äußert nun auch ein prominenter Jurist Zweifel an der Verfassungskonformität des Gesetzes: der ehemalige Bundesverfassungsrichter Wolfgang Hoffmann-Riem kritisierte die Regelung im ZDF-Magazin aspekte (31.7.2009). Interessanterweise ging er dabei in erster Linie auf kompetenzrechtliche Probleme ein. Thematisch ginge es bei dem Gesetz um Straftatverhütung und um die Einwirkung auf die Inhalte von Medienangeboten. Dies sind aber beides Problemkomplexe, die in den Kompetenzbereich der Länder (nach der Grundregel des Art. 70 GG) fallen.
Naja, dass der Bund keine Gesetzgebungskompetenz hatte, haben wir von Juraexamen.info schon um EINIGES früher gerochen (siehe dazu unseren Artikel, der damals zeitgleich mit der Beschlussfassung online ging). Derzeit liegt das Gesetz aber erstmal bei Bundespräsident Horst Köhler und wartet auf seine Unterschrift…

03.08.2009/0 Kommentare/von Dr. Stephan Pötters

Arbeitnehmerdatenschutz: Neuer § 32 BDSG tritt am 1.9.2009 in Kraft

Arbeitsrecht, Zivilrecht

Nach den (echten und vermeintlichen) Datenskandalen bei Deutscher Bahn, Lidl und Telekom hat der Gesetzgeber den Arbeitnehmerdatenschutz auf die politische Agenda gesetzt. Fraktionsvorschläge aus dem Bundestag, die noch in dieser Legislaturperiode eine umfassende Kodifizierung des Arbeitnehmerdatenschutzes erreichen wollten, haben sich aber vorläufig nicht durchgesetzt.

Vielmehr hat die Bundesregierung einen Vorschlag für einen neuen § 32 BDSG unterbreitet (BT-Drucks. 16/13657, S. 34 ff.), der am 3.7.2009 die parlamentarische Hürde genommen hat. Der neue § 32 BDSG tritt zum 1.9.2009 in Kraft. Die Neuregelung lautet:

§ 32 BDSG – Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.

(3) Die Beteiligungsrechte der Interessenvertretung der Beschäftigten bleibt unberührt.

Was ist neu?

Nach der Regierungsbegründung (BT-Drucks. 16/13657, S. 34 f.) ändert sich gegenüber der bisherigen Rectslage wenig. Zwar stellt § 32 BDSG eine Spezialregelung zu den §§ 28 ff. BDSG dar, die aber lediglich das geltende Richterrecht kodifiziert. Im einzelnen gilt:

§ 32 Abs. 1 S. 1 Alt. 1 BDSG = BAG NZA 1984, 321; NZA 1985, 57; NZA 1996, 637,

§ 32 Abs. 1 S. 1 Alt. 2 BDSG = BAG DB 1987, 1048; NZA 1996, 637,

§ 32 Abs. 1 S. 2 BDSG = BAG NZA 2003, 1193; NZA 2008, 1187,

§ 32 Abs. 2 BDSG = BAG DB 1987, 2571; NZA 2006, 269.

In der Literatur ( Deutsch/Diller, DB 2009, 1462 f. ) wird bemängelt, dass unklar ist, wann eine Datenerhebung i.S.d. § 32 Abs.1 S.1 BDSG „erforderlich“ ist. Richtigerweise wird man das Merkmal ähnlich dem bisher geltenden § 28 Abs. 1 Nr. 1 BDSG zu verstehen haben. Weiter fehlt eine Regelung zur Datenweitergabe an Dritte (etwa im Konzern). Da nicht anzunehmen ist, dass diese fortan gänzlich verboten sein soll, wird man die Regelungend es BDSG hierzu analog anwenden müssen.

S. auch:

Arbeitnehmerdatenschutz: Videoüberwachung am Arbeitsplatz

§ 32 BDSG tritt heute in Kraft

Arbeitnehmerdatenschutz: Blutentnahme bei Bewerbern?

11.07.2009/1 Kommentar/von Dr. Gerrit Forst

Schlagwortarchiv für: Datenschutz

Handyortung zur Viruseindämmung: Datenschutz in Zeiten drohender Triage

Datenschutz: Der Schadensersatzanspruch nach Art. 82 DSGVO

Bitcoin, Blockchain, Legal Tech? – Eine Einführung in die Rechtsinformatik

Basics zur Datenschutz-Grundverordnung (DS-GVO)

Wem helfen Dashcams, wenn es kracht? Die aktuelle StPO-Zusatzfrage in der Verkehrsklausur

Anzeige: Freshfields – Juristenalltag zwischen Digitalisierung und Datenschutz

„Big Data“ in Alltag und Examen

Neuestes zur Vorratsdatenspeicherung

BAG: Zulässigkeit der verdeckten Videoüberwachung am Arbeitsplatz

Update: Reform des Beschäftigtendatenschutzes

Internetsperren Verfassungswidrig? Hoffmann-Riem äußert Bedenken bzgl. des Gesetzes zur Bekämpfung der Kinderpornographie

Arbeitnehmerdatenschutz: Neuer § 32 BDSG tritt am 1.9.2009 in Kraft

Weitere Artikel

Auch diese Artikel könnten für dich interessant sein.

OLG Karlsruhe: Medizinische Instrumente als gefährliche Werkzeuge im Sinne des § 224 Abs. 2 Nr. 2 Alt. 2 StGB

VG Berlin zum Carsharing: Gemeingebrauch oder Sondernutzung?

Versammlungsfreiheit: Auch die Infrastruktur unterfällt dem Schutz des Art. 8 Abs. 1 GG

Support