Soziale Netze und Kontrolle im neuen Datenschutzsystem. RA Horst Speichert

Transkript

1 Soziale Netze und Kontrolle im neuen Datenschutzsystem RA Horst Speichert 1

2 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter Universität Stuttgart horst@speichert.de Internet: Informationssicherheit Compliance-Audit IT-Verträge Betriebsvereinbarungen Datenschutz ext.. Datenschutzbeauftragter EDV- und Internet-Recht Vorträge, Schulung, Seminare 2

3 Literaturhinweis Speichert, Horst Praxis des IT-Rechts - Praktische Rechtsfragen der IT-Sicherheit und Internetnutzung Vieweg Verlag, 2. Auflage KES-Reihe ISBN: ,90 3

4 Das neue Beschäftigten- Datenschutzgesetz 4

5 Beschäftigtendatenschutzgesetz 32 Datenerhebung vor Begründung eines Beschäftigungsverhältnisses 32a Ärztliche Untersuchungen und Eignungstests vor Begründung eines Beschäftigungsverhältnisses 32b Datenverarbeitung und -nutzung vor Begründung eines Beschäftigungsverhältnisses 32c Datenerhebung im Beschäftigungsverhältnis 32d Datenverarbeitung und -nutzung im Beschäftigungsverhältnis 32e Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis 32f Beobachtung nicht öffentlich zugänglicher Betriebsstätten tten mit optisch-elektronischen Einrichtungen 32g Ortungssysteme 32h Biometrische Verfahren 32i Nutzung von Telekommunikationsdiensten 32j Unterrichtungspflichten 32k Änderungen 32l Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen, Beschwerderecht, Unabdingbarkeit 5

6 Facebook, YouTube & Co 6

7 Facebook Social Media Marketing Profilseite, Pinnwand, Selbstdarstellung Communityseiten gründen, Fangemeinde pflegen Produkte, Veranstaltungen bewerben gefällt-mir -Button, Likes : Weiterleitung von Freund zu Freund Multiplikatoren, digitale Mundpropaganda Kontaktpflege, Kommunikation mit Kunden Social Media Monitoring Sammeln von Informationen und Daten statistische Informationen über Nutzermeinungen, -verhalten Sammeln von Kontaktdaten, personenbezogenen Daten Social Media Targeting Einblenden von personalisierter Werbung zielgruppenorientierte Platzierung 7

8 Datenspionage Geheimnisverrat - Know-how how-abfluss Soziale Netze - Facebook, StudiVZ, YouTube etc. Risiken Abfluss von Informationen Reputationsrisiko, z.b. DHL-Video bei YouTube urheberrechtswidriger Upload, User Generated Content Verhaltensrichtlinien für f r Mitarbeiter 8

9 User Generated Content User Generated Content: Inhalte Dritter, die erkennbar für die Öffentlichkeit bestimmt sind, z.b. Texte, Bilder, Filme BGH vom , marions-kochbuch.de, Einstellen von Kochrezepten und Bildern Grundsatzentscheidung für das Zueigenmachen von User Generated Content = Haftung des Host-Provider Betreiber macht sich den Fremdinhalt zu eigen, wenn er den Inhalt vor Freischaltung überprüft oder sich umfassende Nutzungsrechte daran einräumen lässt (wirtschaftliche Zuordnung) Kennzeichnung durch eigenes Logo, Emblem nach außen sichtbare Übernahme der inhaltlichen Verantwortung, z.b. in AGB redaktionelle Einbettung in eigene Inhalte Passus in den AGB Verpflichtung der Nutzer, Rechte Dritte nicht zu verletzen genügt in diesen Fällen nicht 9

10 User Generated Content durch das Zueigenmachen entsteht Vorabprüfungspflicht Erklärung des Nutzers zur Rechtsinhaberschaft bei Portraitaufnahmen auch Einverständnis nach 22ff. KUG anders bei einem elektronischen Markplatz, der Fremdinhalte automatisch freischaltet, BGH vom , Jugendgefährdende Medien bei ebay oder bei einer ernsthaften Distanzierung des Diensteanbieters Haftungsprivilegierung für Fremdinhalte nach 10 TMG fehlt es an einem Zueigenmachen, wie z.b. bei Youtube oder Flickr, besteht keine Vorabprüfungspflicht Fazit: Prinzip der drei Affen: nichts gesehen, nichts gehört, nicht verantwortlich 10

11 Unternehmensrichtlinien Offenbaren innerbetrieblicher Vorgänge Gefahr des Anschwärzens und Denunziantentums entsprechende Verpflichtungen in Unternehmensrichtlinien (Codes of Conduct) Ethikrichtlinien (Codes of Ethic) Paradebeispiel: Liebesverbot von Wal-Mart Mart, unzulässig als schwerwiegender Eingriff in das Persönlichkeitsrecht Pflicht, Interessenskonflikte und Fehlverhalten gegen den Kodex oder gegen Gesetze zu melden Regelungen zum Schutz der Hinweisgeber ("Whistleblower Whistleblower") Pflicht nach US-amerikanischem Recht (301 Abs. 4, 406, 806 SOA), einen "Code of business conduct and ethics" " einzuführen 11

12 Rechtsprechung BAG Abgrenzung "Ordnungsverhalten und "Arbeitsverhalten" Gegenstand des Mitbestimmungsrechts ist das betriebliche Zusammenleben und Zusammenwirken der Arbeitnehmer ("Ordnungsverhalten ) nicht erfasst sind hingegen Vorgaben zum "Arbeitsverhalten", d.h. Konkretisierungen der vertraglich geschuldeten Arbeitspflicht ausländische Vorschriften, die für f r börsennotierte b Unternehmen die Einführung von Ethik-Richtlinien vorsehen, schließen en das Mitbestimmungsrecht nach dem BetrVG nicht aus 12

13 Datenspionage Geheimnisverrat Know-how how-abfluss 13

14 Nationales Cyber-Abwehrzentrum Bundesregierung plant ab Nationales Cyber- Abwehrzentrum, NCAZ Angriffe auf Datennetze aus dem Ausland, insbesondere China Folge insbesondere von Stuxnet, WikiLeaks allgemeiner Zweck: Abwehr von Angriffen aus dem Internet unter Federführung des BSI 14

15 Prävention und Reaktion Präventions ventions- und Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen Juristische Maßnahmen Verpflichtungen im Arbeitsvertrag datenschutzkonforme Kontrolle, Beweisverwertungsverbot Abmahnung bei Arbeitspflichtverletzungen Strafanzeige, Verrat von Geschäfts- und Betriebsgeheimnissen, 17 UWG Organisatorische Maßnahmen Geheimnisschutz durch Richtlinien Sensibilisierung der Mitarbeiter Whistleblowing datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen Technische Maßnahmen IT-Sicherheit: Firewall, IDS, IPS etc. Data Loss Prevention 15

16 DLP Data Loss Prevention werthaltige Daten: Kundenlisten, Kreditkartennummern, Mitarbeiterdaten etc. Vielzahl unsicherer Schnittstellen externe Speicher (USB- Geräte), Datei-Upload ins Internet, Versendung per Mail, Instant Messaging etc. Kontrolle des firmeninternen Netzverkehrs Erkennung bestimmter Inhalte und deren autorisierte Nutzung anhand vordefinierter Regelwerke (Policies) Definition und Überwachung von Rechten (insbesondere Zugriffs- und Versendungsrechte) Dokumentation und Protokollierung bzgl. kritischer Daten Sensibilisierung der Nutzer durch Hinweis auf regelwidriges Verhalten Blockierung von Zugriff und Versendung Verhinderung gezielter Datendiebstahl unbewusstes Abhandenkommen Know-How-Abfluss geschäftskritischer Datenverlust 16

17 zulässige Kontrolle Monitoring DLP 17

18 Dienstliche Nutzung 32 BDSG Neuregelung Arbeitnehmerdatenschutz, Verhaltenskontrolle nach 32 BDSG 32 BDSG verdrängt 28 Abs. 1 Nr. 1 BDSG, sofern Zweck Arbeitsverhältnis Verhaltenskontrolle zur Aufdeckung von Straftaten nur nach 32 Abs. 1 Satz 2 BDSG tatsächliche Anhaltspunkte, die den Verdacht begründen diesbezügliche Dokumentationspflicht konkreter Verdacht gegen den Betroffenen 18

19 Dienstliche Nutzung 28 Abs. 1 Nr. 2 BDSG Wahrnehmung berechtigter Interessen nach 28 Abs. 1 Nr. 2 BDSG bleibt anwendbar, sofern anderer Zweck als Arbeitsverhältnis IKS, Wirtschaftsprüfung, fung, Bekämpfung von Korruption und Wirtschaftsspionage? Güterabwägung der Überwachungsmaßnahmen nahmen nach Verhältnism ltnismäßigkeitsprinzip spezielle gesetzliche Pflichten oder Ermächtigungen bleiben unberührt freiwillige Einwilligung der Beschäftigten bleibt möglichm weitergehende Eingriffe, aber nicht unbeschränkt nkt äußere Verbindungsdaten, nicht aber Inhaltskontrollen, da mildere Maßnahmen möglichm 19

20 Monitoring,, Datenabgleich, Kontrolle Logfiles und Protokolldateien sind personenbezogene Daten Anwendbarkeit des BDSG/TKG Identitäts- und Berechtigungskontrolle, IAM Transaktionskontrolle im ERP-System Verhaltens- und Leistungskontrollen Korruptionsbekämpfung Mitarbeiterscreening, Datenbankabgleiche die Fehler der Bahn Telefonüberwachung, der Fall Telekom Allmacht der administrativen Überwachungsmöglichkeiten glichkeiten Remote-Desktop Fernwartungssoftware, VNC-ClientClient Einwilligung der Mitarbeiter Abwehr Wirtschaftsspionage Data Loss Prevention (DLP) 20

21 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter Universität Stuttgart horst@speichert.de Internet: Informationssicherheit Compliance-Audit IT-Verträge Betriebsvereinbarungen Datenschutz ext.. Datenschutzbeauftragter EDV- und Internet-Recht Vorträge, Schulung, Seminare 21