Archiv für den Monat: Oktober 2013

EuGH: Angaben zur Arbeitszeit sind personenbezogene Daten

Anders als in § 3 Abs. 1 BDSG wird in Art. 2 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, Volltext) die Bestimmbarkeit einer Person näher konkretisiert:

“‘personenbezogene Daten’ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‘betroffene Person’); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind”

Der EuGH (Urteil v. 30.5.2013 – C-342/12, Volltext) hatte nun zu entscheiden, ob eine betroffene Person auch durch Aufzeichnungen über die Arbeitszeit “direkt oder indirekt identifiziert werden kann – und dies im Ergebnis wenig überraschend bejaht:

“Art. 2 [lit. a) Datenschutzrichtlinie] ist dahin auszulegen, dass Aufzeichnungen der Arbeitszeit wie die im Ausgangsverfahren in Rede stehenden, die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, unter den Begriff ‘personenbezogene Daten’ im Sinne dieser Bestimmung fallen.”

Für Arbeitgeber bedeutet dies, dass Aufzeichnungen über die Arbeitszeit – wegen § 32 Abs. 2 BDSG auch bei einer nicht automatisierten Verarbeitung – nur geführt werden dürfen, wenn dies mit Blick auf § 4 Abs. 1 BDSG durch eine gesetzliche Erlaubnis, eine Betriebsvereinbarung oder die Einwilligung der Betroffenen gedeckt ist. Solange die Aufzeichnungen ausschließlich zu Zwecken der Abrechnung oder des Arbeitsschutzes geführt werden (etwa auch zur Beachtung von Arbeitszeiten, Lenk- und Ruhezeiten), ist dies ohne weiteres durch § 32 Abs. 1 S. 1 BDSG gedeckt. Sollen die Aufzeichnungen jedoch auch zu anderen Zwecken genutzt werden – etwa zur Übermittlung an eine Konzernmutter für konzernzweite Auswertungen – bedarf dies einer besonderen Rechtfertigung.

BSI, ]init[ und Fraunhofer SIT veröffentlichen Studie zur Datensicherheit in Web Content Management Systemen

Das Bundesministerium für Sicherheit in der Informationstechnologie, die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie haben eine gemeinsame Studie zur Datensicherheit in Web Content Management Systemen (CMS) veröffentlicht.

Bei CMS handelt es sich allgemein um Systeme, die die Darstellung, Nutzung und Verwaltung aufbereiteter Daten (z.B. Bilder, Texte) ermöglichen. Web CMS sind somit für die Aufbereitung solcher Daten auf Intra- oder Internetseiten zuständig. Ein solches Web CMS kann ein großer Schwachpunkt für die Datensicherheit sein, da es einem Angreifer meist eine erste Plattform zum tieferen Einstieg in eine Unternehmensstruktur bietet. Aufgrund des immer ähnlichen Aufbaus solcher CMS gefährden veröffentlichte Sicherheitslücken meist viele CMS-Websites.

Die nun vorgestellte Studie hat Open Source Web CMS wie Drupal, Joomla!, Plone, TYPO3 und WordPress im Hinblick auf deren Sicherheit unter die Lupe genommen. Diese sind die sowohl privat als auch professionell meist genutzten Web CMS. Geprüft wurden die Systeme dabei sowohl im Hinblick auf die rechtliche und organisatorische Ebene, als auch auf die dahinterliegende Technik. Dabei wurde "auch der gesamte Lebenszyklus von der Produktauswahl bis zum kontinuierlichen Betrieb des CMS betrachtet". Hierzu nutzten BSI, ]init[ und Fraunhofer SIT Dokumentenlagen, die sie durch eigene Tests und Installationen prüften.

Im Ergebnis beruht die Sicherheit vom CMS-Websites, laut der Studie, besonders auf:

  1. der eingesetzen Software, bzw. deren Sicherheit,
  2. der Konfiguration der CMS in Abstimmung mit anderen eingesetzten Komponenten, und
  3. einem stetigen Einspielen der Sicherheitsupdates und weiterem kontinuierlichen Systemmanagements.

Die Studie bewertet die sicherheitstechnische Eignung der verschiedenen CMS und zeigt Privatleuten und IT-Spezialisten der öffentlichen Verwaltung und der freien Wirtschaft Möglichkeiten für den sicheren Umgang mit CMS auf.

Die Studie ist hier abrufbar.

VG Schleswig-Holstein: Untersagungsverfügung gegen Facebook-Fanpage rechtswidrig

Die 8. Kammer des Verwaltungerichts Schleswig-Holstein entschied mit Urteil vom 09.10.2013 – 8 A 218/11, 8 A 14/12, 8 A 37/12, dass die vom Unabhängigen Landeszentrum für Datenschutz (ULD) erlassenen Untersagungsverfügungen auf der Grundlage von § 38 Abs. 5 BDSG gegen die Betreiber von Fanseiten auf Facebook rechtswidrig sind. Die Entscheidung ist noch nicht im Volltext veröffentlicht, allerdings gibt es bereits eine diesbezügliche Pressemitteilung des Gerichts.

Den “Betreibern” der Fanpages war es durch das ULD verboten worden, die der Allgemeinheit angebotenen Funktionen einer für sie vollständig fremden Internetseite (www.facebook.de) zu benutzen, die es ermöglichen, sich dort selbst darzustellen. Diese Selbstdarstellungen auf Facebook, die dort ebenso möglich sind wie in allen anderen “Sozialen Netzwerken” (auch als “Profilseite” oder “Fanseite” bezeichnet), sollten nach Meinung des ULD rechtswidrig sein, weshalb man sich zum Einschreiten verpflichtet sah.  Hintergrund seien die evidenten Verstöße gegen europäisches Datenschutzrecht durch die Betreiber der Sozialen Netzwerke und eine Mitverantwortlichkeit der “Betreiber” der Profilseiten.

Weiterlesen

DATEV und DsiN stellen neuen Leitfaden zu E-Mail-Verschlüsselung vor

Am 05.07.2013 stellten die DATEV eG und Deutschland sicher im Netz e.V. (DsiN) ihren neuen Leitfaden zu E-Mail-Verschlüsselung für kleine und mittelständische Unternehmen (KMU) vor (Download Leitfaden, PDF). Dass ein solcher Leitfaden mit Schwerpunkt IT-Sicherheit durch E-Mail-Verschlüsselung dringend nötig ist, zeigt eine Studie der DsiN mit dem Titel IT-Sicherheitslage im Mittelstand 2013, nach der nicht einmal die Hälfte der kleinen und mittelständischen Unternehmen (KMU) ihre E-Mail-Kommunikation sichert. Der Leitfaden wurde, gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi), im Rahmen des Projektes Freie Berufe als Brückenbauer für IT-Sicherheit erstellt.

OLG Frankfurt: Kein Anspruch gegen TK-Anbieter auf sofortige Löschung der IP-Adresse

Das OLG Frankfurt hatte sich in seinem Urteil vom 28.08.2013 (Az. 13 U 105/07 – Volltext) mit der Frage zu befassen, ob ein Internetprovider die IP-Adressen seiner Nutzer ohne Anlass für den Zeitraum von sieben Tagen speichern darf.

Inhalt der Entscheidung

Durch die Einwahl in das Internet wird dem Nutzer für die Dauer der jeweiligen Verbindung eine meist dynamische (d.h. bei jeder neuen Verbindung wechselnde) IP-Adresse zugewiesen. Der Kläger verlangt die sofortige Löschung der IP-Adresse nach dem Ende einer jeden Internetverbindung. Dagegen wendete die Beklagte zunächst ein, dass die IP-Adresse zu Zwecken einer ordnungsgemäßen Abrechnung erforderlich sei.

Der Dienstanbieter konnte allerdings nicht den Beweis antreten, dass die IP-Adressen zum Zweck der Entgeltermittlung und Abrechnung gespeichert werden müssen, sodass der BGH (Urteil v. 13.01.2011 – III ZR 146/10 – Volltext) dieser Argumentation nicht gefolgt ist. Die Beweislast treffe die Beklagte, da sie sich auf einen Erlaubnistatbestand berufe, der eine Ausnahme von ihrer grundsätzlichen – sofortigen – Löschunspflicht des § 96 Abs. 1 S. 3 TKG darstelle.

Gleichwohl könne eine Rechtfertigung auf § 100 Abs. 1 TKG gestützt werden, wonach der Dienstanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden darf, soweit dies erforderlich ist. Dabei komme es nicht darauf an, dass bereits eine solche Störung oder ein Fehler vorliege, sondern die Datenverwendung geeignet, erforderlich und angemessen ist, um abstrakten Gefahren entgegenzuwirken.

Weiterlesen

Zweistufige Datenschutzprüfung bei Datenübermittlung in Drittstaaten

Der Zusammenschluss der Aufsichtsbehörden über den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, hat am 11./12. September 2013 beschlossen (Beschluss Volltext, PDF), dass Datenübermittlungen in Staaten außerhalb der EU/des EWR in zwei Stufen zu prüfen sind:

Zunächst ist auf der ersten Stufe zu prüfen, ob die Datenübermittlung gerechtfertigt ist. Dies kann durch Einwilligung der betroffenen Person oder durch Gesetz geschehen, vgl. § 4 Abs. 1 BDSG. Insoweit gelten die allgemeinen Datenschutzvorschriften. Allerdings gilt bei einer Auftragsdatenverarbeitung nicht die Privilegierung des § 11 BDSG, vgl. § 3 Abs. 7 BDSG am Ende. Als Prüfungsmaßstab ist hierbei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG anzulegen bzw. § 28 Abs. 6 ff. BGB bei sensiblen Daten. Sodann ist auf der zweiten Stufe zu prüfen, ob im entsprechenden Drittstaat ein ausreichendes Datenschutzniveau besteht oder ob eine Ausnahme nach § 4c BDSG vorliegt. Nur wenn beide Stufen positiv geprüft werden, ist die Datenübermittlung zulässig.

Mit diesem Beschluss hat der Düsseldorfer Kreis letztlich nur die gesetzliche Systematik in einen kurzen einseitigen Hinweis formuliert. Neuigkeiten sind mit dem Beschluss für Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln oder dort sonst erheben, verarbeiten oder nutzen, nicht verbunden.