Nach einem Bericht des BMELV (Bundesministerium für Ernährung, Landwirtschaft und Verbraucherchutz) sind zahlreiche Scoring-Verfahren fehlerhaft.

Die Ergebnisse von Scoring-Verfahren sind insbesondere für Banken und Unternehmen relevant, da diese hiermit vor einem Vertragsabschluss den Scorewert eines Kunden erhalten und somit Rückschlüsse auf dessen Kreditwürdigkeit ziehen können oder glauben, solche ziehen zu können. Den Scorwert erstellen Auskunfteien.

Der vom Bundesverbraucherministerium in Auftrag gegebene Bericht zeigt, dass bis zu 45 Prozent der Verbraucherdaten fehlerhaft gespeichert wurden. Zudem offenbart der Bericht teilweise schlechte Auskunftsqualität.

Es bleibt abzuwarten, welche Schlussfolgerungen der Gesetzgeber daraus ziehen wird.

Bei einem Hackerangriff auf das Playstation-Netzwerk von Sony sind vermutlich Daten von mehr als 70 Millionen Nutzern gestohlen worden.  Sony hat auf einer Website auf den Umstand hingewiesen.

Vor dem Hintergrund dieses Falles sollen an dieser Stelle die gesetzlichen Anforderungen an die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten dargestellt werden.

Seit dem 1. September 2009 wurde die “Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten” in das deutsche Datenschutzrecht aufgenommen.
Dies bedeutet, dass im Fall einer Datenpanne die Daten verarbeitende Stelle unter bestimmten Voraussetzungen verpflichtet ist, die Datenschutz-Aufsichtsbehörde und die von der Panne Betroffenen über die Datenpanne zu informieren.

I. Gesetzliche Regelung
Die datenschutzrechtlichen Informationspflichten finden sich in § 42a BDSG, § 15a TMG sowie § 93 Abs. 3 TKG.
Am 19.12.2009 ist die Richtlinie 2009/136/EG in Kraft getreten, deren Art. 2 Nr. 1 und 4 eine Ergänzung von Art. 4 RL 2002/58/EG bzgl. einer Informationspflicht für den Fall einer “Verletzung des Schutzes personenbezogener Daten” vorsieht. Die Informationspflicht gemäß der Richtlinie ist weitergehend als die bisherigen deutschen Regelungen. Da die Richtlinie bis zum 25. Mai 2011 in nationales Recht umzusetzen ist, werden hier noch Anpassungen an das deutsche Recht erfolgen.

II. Arten von Daten
1. § 42a BDSG
Die Informationspflicht in § 42a BDSG beschränkt sich auf die dort genannten Arten von Daten. Dies sind:
besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG
personenbezogene Daten, die einem Berufsgeheimnis unterliegen
personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten bzw. den Verdacht solcher beziehen,
personenbezogene Daten zu Bank- oder Kreditkartenkonten.

2. § 15a TMG, § 93 Abs. 3 TKG
§ 15 a TMG dagegen betrifft sämtliche Bestands- und Nutzungsdaten (§§ 14 und 15 TMG). Dies gilt auch für § 93 Abs. 3 TKG. Dies hat zur Folge, dass jedes Unternehmen mit einer Website entsprechende Daten vorhält und von einer Informationspflicht betroffen sein kann.

III. Verpflichteter
§ 42a BDSG betrifft nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG und öffentlich-rechtliche Wettbewerbsunternehmen gem. § 27 Abs. 1 Satz 1 Nr. 2 BDSG.
§ 15 TMG und § 93 Abs. 3 TKG dagegen enthalten keine solche Einschränkung und betreffen somit alle Diensteanbieter. Gem. § 2 Nr. 1 TMG ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies können auch öffentlich-rechtliche Körperschaften sein. § 1 Abs. 1 Satz 2 TMG stellt zudem klar, dass das TMG für alle Anbieter “einschließlich der öffentlichen Stellen” gilt.

IV. Unrechtmäßige Übermittlung oder Kenntniserlangung
Eine Übermittlung liegt vor, wenn die Daten verarbeitende Stelle selbst aktiv und zielgerichtet Daten an Dritte weitergibt.
Kenntniserlangung genügt, so dass kein aktives Handeln der verantwortlichen Stelle erforderlich ist, sondern auch Hackerangriffe etc. erfasst werden.
Unrechtmäßig ist eine Kenntniserlangung dann, wenn sie gegen § 4 Abs. 1 BDSG verstößt, also keine rechtliche Grundlage hat und der Betroffene nicht eingewilligt hat.
Eine unrechtmäßige Kenntniserlangung kommt in folgenden Fällen in Betracht:
datenschutzwidrige Entsorgung von Altgeräten
Diebstahl oder Verlust einer Daten-CD-ROM, Notebooks, Tablet-PCs, USB-Sticks oder anderen mobilen Devices
Hack einer Datenbank
unberechtigter Weiterverkauf von Daten

Es ist nicht erforderlich, dass eine Kenntnisnahme bewiesen werden kann, bloße Anhaltspunkte hierfür genügen.

V. Drohende schwerwiegende Beeinträchtigung
Zudem müssen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Zur Gewichtung der Beeinträchtigung werden Kriterien wie Art und Umfang der betroffenen Daten wie auch die potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung herangezogen.
In der Regel dürfte bei den in § 42a BDSG genannten Daten von einer schwerwiegenden Beeinträchtigung auszugehen sein.
Bei reinen Bestandsdaten nach TMG oder TKG (z. B. Name, Anschrift des Nutzers) ist von einer geringeren Beeinträchtigung auszugehen.
Gem. Art. 4 Abs. 3 RL 2002/58/EG kann man diskutieren, ob im Falle einer sicheren Verschlüsselung eine Informationspflicht entfällt, da demnach keine Benachrichtigung zu erfolgen hat, wenn zur Zufriedenheit der zuständigen Behörde nachgewiesen wurde, dass geeignete technische Schutzmaßnahmen getroffen wurden.

VI. Inhalt und Umfang der Informationspflicht
Wenn eine Informationspflicht besteht, so muss die verantwortliche Stelle unverzüglich (also ohne schuldhaftes Zögern) sowohl die zuständige Aufsichtsbehörde als auch die Betroffenen informieren, § 42a S. 2 - 5 BDSG.

1. Benachrichtigung der Behörde
Vor dem Betroffenen ist zunächst die Aufsichtsbehörde zu informieren. Gem. § 38 Abs. 1 S. 2 BDSG sind die Aufsichtsbehörden zur Beratung und Unterstützung des Benachrichtigungspflichtigen verpflichtet. Folglich kann es im Einzelfall ratsam sein, die Aufsichtsbehörden möglichst frühzeitig einzuschalten.

2. Benachrichtigung der Betroffenen
Auch der von der Datenpanne Betroffene ist unverzüglich zu informieren.
Die Benachrichtigungsfrist verlängert sich jedoch gem. § 42a S. 2 BDSG um den Zeitraum,
(1) der nötig ist, um unverzüglich angemessene Maßnahmen zur Sicherung der Daten zu ergreifen, und
(2) der abgewartet werden muss, damit eine etwaige Strafverfolgung nicht mehr gefährdet ist.

3. Anforderungen an die Information
Die Anforderungen an die Information der Aufsichtsbehörden und der Betroffenen sind unterschiedlich ausgeprägt, § 42a Satz 3 - 5 BDSG.
Nach § 42a S. 3 BDSG muss die Benachrichtigung des Betroffenen
(1) eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und
(2) Empfehlungen zur Vermeidung nachteiliger Folgen
enthalten.
Auch auf die Art der betroffenen Daten ist hinzuweisen.
Eine Benachrichtigung in Form einer E-Mail ist ausreichend.
Die Betroffenen sind einzeln zu benachrichtigen, es sei denn, eine Ausnahme gem. § 42a S. 5 BDSG liegt vor, also die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Dies kann insbesondere dann der Fall sein, wenn eine Vielzahl von Betroffenen existiert. In einem solchen Fall soll es gestattet sein, Anzeigen zu schalten, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen abgedruckt werden. Dieser Maßnahme vergleichbar geeignete Maßnahmen sind ebenfalls möglich. Entscheidend ist der betroffene Personenkreis.
Ein Hinweis auf der Website kann ausreichend sein, wenn nur die Anmeldedaten der Nutzer bekannt sind. Der Hinweis ist dann jedoch gut sichtbar auf der Website zu positionieren.
Sowohl im Rahmen der Benachrichtigung der Betroffenen als auch der Aufsichtsbehörden müssen gesetzliche Geheimhaltungspflichten sowie Berufsgeheimnisse gewahrt bleiben.

VII. Bußgeld
Ein Bußgeld von bis zu 300.000 Euro droht gem. § 43 Abs. 2 Nr. 7, Abs. 3 BDSG für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt. Eine Bußgeldandrohung bei einem Verstoß gegen § 15a TMG oder § 93 Abs. 3 TKG ist vom Gesetz dagegen nicht vorgesehen.

VIII. Fazit
Ob tatsächlich eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten im konkreten Fall vorliegt bedarf einer gründlichen Prüfung.

Am 3. Mai 2011 ist das De-Mail-Gesetz in Kraft getreten. Interessierte Anbieter können damit beim Bundesamt für Sicherheit in der Informationstechnik die Akkreditierung als De-Mail-Diensteanbieter (”De-Mail-Provider”) beantragen. Im Rahmen der Akkreditierung müssen alle künftigen De-Mail-Provider nachweisen, dass sie die durch das De-Mail-Gesetz geforderten hohen Anforderungen an die organisatorische und technische Sicherheit der angebotenen De-Mail-Dienste erfüllen.

Jeder Anbieter, der diese Anforderungen erfüllt, kann sich als De-Mail-Provider akkreditieren lassen. Bis jetzt haben United Internet (GMX, WEB.DE), Mentana Claimsoft, die Deutsche Telekom AG und die Deutsche Post AG angekündigt, sich akkreditieren zu lassen.

Quelle: Pressemitteilung des BMI vom 04.05.2011

Seit 2007 konnten Werbekunden auf die Profile von Facebook-Anwendern zugreifen. Sie konnten z. B. Fotos ansehen und Chats mitlesen.
Nun wurde die Datenlücke geschlossen.
Quelle: Spiegel Online

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen  des 12. Deutschen IT-Sicherheitskongresses  die finale Fassung des Eckpunktepapiers “Sicherheitsempfehlungen für Cloud Computing Anbieter” veröffentlicht.

Hierin finden sich die Mindestanforderungen zur Informationssicherheit bei Cloud Computing Diensten.

Das Eckpunktepapier Cloud Computing kann als Grundlage für Verhandlungen und Empfehlungen zwischen Cloud Computing-Anbietern und Anwendern dienen.

Es deckt elf als kritisch identifizierte Bereiche (Eckpunkte) der Cloud Computing Sicherheit ab.

Das Eckpunktepapier kann hier abgerufen werden.

Heute hat die Gesetzesvorlage den Rechtsausschuss des Deutschen Bundestages passiert.
Demnach soll der Anspruch eines Unternehmers gegen einen Verbraucher auf Zahlung von sogenanntem Nutzungswertersatz bei Widerruf eines Warenlieferungsvertrags im Fernabsatz eingeschränkt werden. Künftig sollen Unternehmer vom Verbraucher nur dann Wertersatz erhalten, ”soweit dieser die gelieferte Ware in einer Art und Weise genutzt hat, die über die Prüfung der Eigenschaften und die Funktionsweise hinausgeht“.

Zudem muss der Unternehmer den Verbraucher auf diese Regelung hingewiesen und auf dessen Widerrufsrecht aufmerksam gemacht haben.

Geplant ist der neue § 312e BGB: Wertersatz bei Fernabsatzverträgen
(1) Bei Fernabsatzverträgen über die Lieferung von Waren hat der Verbraucher abweichend von § 357 Absatz 1 Wertersatz für Nutzungen nach den Vorschriften über den gesetzlichen Rücktritt nur zu leisten,

1. soweit er die Ware in einer Art und Weise genutzt hat, die über die Prüfung der Eigenschaften und der Funktionsweise hinausgeht, und

2. wenn er zuvor vom Unternehmer auf diese Rechtsfolge hingewiesen und entsprechend § 360 Absatz 1 oder 2 über sein Widerrufs- oder Rückgaberecht belehrt worden ist oder von beidem anderweitig Kenntnis erlangt hat.

§ 347 Absatz 1 Satz 1 ist nicht anzuwenden.

(2) Bei Fernabsatzverträgen über Dienstleistungen hat der Verbraucher abweichend von § 357 Absatz 1 Wertersatz für die erbrachte Dienstleistung nach den Vorschriften über den gesetzlichen Rücktritt nur zu leisten,

1. wenn er vor Abgabe seiner Vertragserklärung auf diese Rechtsfolge hingewiesen worden ist und

2. wenn er ausdrücklich zugestimmt hat, dass der Unternehmer vor Ende der Widerrufsfrist mit der Ausführung der Dienstleistung beginnt.

Zudem soll auch § 357 Abs. 3 BGB wie folgt geändert werden:
(3) Der Verbraucher hat abweichend von § 346 Absatz 2 Satz 1 Nummer 3 Wertersatz für eine Verschlechterung der Sache zu leisten,

1. soweit die Verschlechterung auf einen Umgang mit der Sache zurückzuführen ist, der über die Prüfung der Eigenschaften und der Funktionsweise hinausgeht, und

2. wenn er spätestens bei Vertragsschluss in Textform auf diese Rechtsfolge hingewiesen worden ist.

Bei Fernabsatzverträgen steht ein unverzüglich nach Vertragsschluss in Textform mitgeteilter Hinweis einem solchen bei Vertragsschluss gleich, wenn der Unternehmer den Verbraucher rechtzeitig vor Abgabe von dessen Vertragserklärung in einer dem eingesetzten Fernkommunikationsmittel entsprechenden Weise über die Wertersatzpflicht unterrichtet hat. § 346 Absatz 3 Satz 1 Nummer 3 ist nicht anzuwenden, wenn der Verbraucher über sein Widerrufsrecht ordnungsgemäß belehrt worden ist oder hiervon anderweitig Kenntnis erlangt hat.

Es bleibt jetzt nur noch abzuwarten, bis dieser Text tatsächlich Gesetz wird.

Die Kommission für Jugendmedienschutz (KJM) obliegt die Anerkennung von Jugendschutzprogrammen. Nun hat die KJM Kriterien für die Anerkennung von Jugendschutzprogrammen aufgestellt.
Eltern sollen eine Möglichkeit erhalten, Kindern der Altersstufe entsprechende Internetangebote freizuschalten und nicht entsprechende Angebote sperren zu können.

Die Informationen können hier abgerufen werden.

Der Bundesgerichtshof (BGH) hat entschieden (11.5.2011, Az.: VIII ZR 289/09), dass ein eBay-Mitglied bei einer unbefugten Nutzung seines Kontos nicht für mögliche Schäden haften muss.

Im zu entscheidenden Fall wurde über das eBay-Konto einer Frau die komplette Einrichtung eines gastronomischen Betriebs angeboten. Eingestellt wurde das Angebot vom Ehemann der Frau. Der Mann hatte seine Frau jedoch nicht darüber unterrichtet. Die Frau entfernte das Angebot schon einen Tag nach dem Start und wurde vom bis dahin Höchstbietenden auf Schadensersatz in Höhe von mehr als 32.000 Euro verklagt.

Die AGBs des Online-Auktionshauses enthalten folgenden Passus, wonach Mitglieder “grundsätzlich für sämtliche Aktivitäten, die unter Verwendung ihres Mitgliedskontos vorgenommen werden” haften.

Der BGH sah dies vorliegend anders, da auch bei Internetgeschäften die Regeln des Stellvertretungsrechts anwendbar seien. Folglich könne die Frau nur dann verpflichtet werden, wenn der Mann im Rahmen einer bestehenden Vertretungsmacht gehandelt hat, oder das Geschäft nachträglich von der Frau genehmigt wird oder die Grundsätze über die Duldungs- oder die Anscheinsvollmacht anwendbar sind.

Der BGH verneinte sämtliche Voraussetzungen.

Auch eine unsichere Verwahrung der Zugangsdaten führt nach Auffassung des Gerichts nicht zu einer Haftung der Ehefrau (also des eBay-Mitglieds).

Schließlich führt der BGH aus, dass die Haftungsklausel aus den AGBs von eBay nur zwischen eBay und dem Inhaber des Mitgliedkontos, nicht jedoch zwischen dem Anbieter und dem Bieter gelten.

Darf ein Arbeitgeber seine Mitarbeiter auf Facebook oder in anderen Social-Media Angeboten beobachten und eventuell arbeitsrechtliche Konsequenzen ziehen?

Bei Daimler traf es die Facebook-Gruppe (Daimler-Kollegen gegen Stuttgart 21). Dort betätigten einige Mitarbeiter den “Like-Button”, was dem Arbeitgeber nicht gefiel. Daraufhin wurden die Mitarbeiter zu einem Personalgespräch geladen.

Gem. § 4 Absatz 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Sobald die Personalabteilung einen Namen eines Mitarbeiters feststellt, wurden personenbezogene Daten erhoben. Dies ist nur dann zulässig, wenn der betreffende Mitarbeiter darin eingewilligt hat. Eine solche Einwilligung könnte in einem Arbeitsvertrag formuliert sein. An eine wirksame datenschutzrechtliche Einwilligung sind jedoch hohe Anforderungen zu stellen. Es ist somit nicht davon auszugehen, dass die Mitarbeiter wirksam eingewilligt haben, dass der Arbeitgeber im Social-Web nach ihnen “fahnden” darf.

Außerdem sind gem. § 4 Absatz 2 Satz 1 BDSG die personenbezogene Daten regelmäßig beim Betroffenen zu erheben, es sei denn, die Erhebung beim Betroffenen würde einen unverhältnismäßigen Aufwand erfordern und es würden keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

Bereits an dieser Stelle ist festzuhalten, dass z. B. die Betätigung von “Like-Buttons” vom Grundrecht auf freie Meinungsfreiheit gedeckt ist.

Schließlich gilt es noch, die Regelungen des Beschäftigtendatenschutzes in § 32 BDSG zu beachten. Demnach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Außerdem dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Dies ist eine Frage des konkreten Einzelfalles. Allerdings wird man davon ausgehen können, dass nicht jede Teilnahme am Social-Web zu Umständen führt, die der Arbeitgeber kennen muss, weil deren Kenntnis für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Somit dürfen sich Arbeitnehmer grundsätzlich frei im Web bewegen. Eventuelle Einschränkungen bzgl. des Arbeitgebers können sich aus dem Arbeitsvertrag oder aus gesonderten Regelungen wie Social Media Guidelines ergeben.

Ein Gedicht kann durchaus eine Website verschönern. Ein Gedicht kann aber auch zu ungeahnten Problemen führen. Dies merken momentan einige Websitebetreiber, welche über eine Kanzlei Abmahnungen für die unerlaubte Verwendung von Gedichten von Heinz Erhardt erhalten. Wegen der unerlaubten Verwendung wird Schadensersatz verlangt. Dieser wird bemessen nach der Länge der Wörter, wobei für ein Gedicht bis 50 Wörter ein Betrag in Höhe von 400 Euro verlangt wird. Für ein Gedicht, welches aus mehr als 50 Wörtern besteht, wird ein Schadensersatz in Höhe von 600 Euro geltend gemacht. Zudem werden dann noch Anwaltskosten geltend gemacht.

Nach den Regelungen des Urheberrechts ist für jede Art der Nutzung, somit auch der Nutzung auf einer Website, die Einholung einer Erlaubnis erforderlich. Stellt man z. B. ein geschütztes Gedicht ohne Einholung einer Erlaubnis online, so kann dies zu einer kostenpflichtigen Abmahnung führen.

Zudem gilt es zu beachten, dass der Schutz des Urheberrechts auch noch bis zu 70 Jahre nach dem Tod des Urhebers gilt. Dies gilt es in den Fällen von Heinz Erhardt zu beachten. Erst nach Ablauf dieser Frist werden die Werke gemeinfrei, können somit von jedermann genutzt werden.

Für weitere Fragen stehe ich (Rechtsanwalt Martin Kuhr) Ihnen gerne zur Verfügung unter:

Tel. 0621/3249788

oder

Mail: ra@ra-kuhr.de