27. Jahrgang August 2011 Seiten Aus der Europäischen Union Aus der Gesetzgebung Aus dem Bundestag Aus dem Bundesrat Aus den Ländern

Größe: px
Ab Seite anzeigen:

Download "27. Jahrgang August 2011 Seiten 163 208. Aus der Europäischen Union Aus der Gesetzgebung Aus dem Bundestag Aus dem Bundesrat Aus den Ländern"

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G RDV Recht der Datenverarbeitung 27. Jahrgang August 2011 Seiten Aufsätze Rechtsprechung Aus dem Inhalt THÜSING / FORST, Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger als das geltende Recht? SCHLEIPFER, Die sog. Cookie-Bestimmungen in der eprivacy- Richtlinie und ihre Umsetzung in deutsches Recht STARKE, Zur Zulässigkeit der automatischen Aufzeichnung von Telefongesprächen der Meldestelle bei Gasversorgungsunternehmen ZILKENS, Geheimnisschutz und Datenschutz Rechtliche Aspekte der Gutachtenpraxis im öffentlichen Gesundheitsdienst des Landes Nordrhein-Westfalen BVerfG, Auskunft über IP-Adresse ohne richterliche Anordnung BGH, Erstattung von Detektivkosten beim Tanken ohne Bezahlung (Ls) BGH, Anforderungen an die Einwilligung in Telefonwerbung BGH, Zuständigkeit deutscher Gerichte bei persönlichkeitsbeeinträchtigenden Internetveröffentlichungen (Ls) BGH, Schadensersatz aufgrund negativer Bonitätsbeurteilung BGH, Straftäter identifizierende Fundstellen für nutzerbeschränktes Onlinearchiv BGH, Anforderungen an Verbotsantrag bei Telefonwerbung (Ls) Berichte, Informationen, Sonstiges Aus der Europäischen Union Aus der Gesetzgebung Aus dem Bundestag Aus dem Bundesrat Aus den Ländern Sonstiges Literaturhinweise Veranstaltungen

2 Die Datenschutzhilfe für Ihre Marketing-Abteilung! Wandtafel Datenschutz und Werbung 1. Auflage x 100 cm 59,95 (inkl. MwSt.) ISBN Inklusive Aufhängevorrichtung Die Inhalte der Wandtafel sind zusätzlich auch als PDF-Firmenlizenz zur uneingeschränkten Nutzung im Unternehmen erhältlich. Wandtafel plus PDF-Firmenlizenz 89,95 (inkl. MwSt.) Systematisch und schnell zur rechtskonformen Werbung! Mit der Wandtafel Datenschutz und Werbung sehen Ihre Marketing-Mitarbeiter auf einen Blick, ob eine Werbemaßnahme wie geplant durchführbar ist oder nicht. Mit freundlicher Empfehlung von Anhand des Entscheidungsbaums durchlaufen sie systematisch Fragestellungen aus dem Datenschutz- und Wettbewerbsrecht und erhalten eindeutige Hinweise für die weitere Planung ihrer Marketingaktionen. Der Entscheidungsbaum visualisiert die rechtlichen Rahmenbedingungen und sensibilisiert die Mitarbeiter insbesondere für das Bußgeld- und Reputationsrisiko. Neben dem Entscheidungsbaum erläutert ein Glossar mit 25 Begriffserklärungen die für Marketing-Mitarbeiter wichtigen Fragen aus dem Datenschutzrecht, wie z. B.: Was sind Listendaten? Was sind Eigene ähnliche Waren oder Dienstleistungen? Wie sieht eine Einwilligung aus? Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Tel / Fax 02234/

3 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 27. Jahrgang 2011 Heft 4 Seiten Inhaltsverzeichnis Recht RDV der Datenverarbeitung Aufsätze Prof. Dr. Gregor THÜSING/ Dr. Gerrit FORST, Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger als das geltende Recht? 163 Dr. Stefan SCHLEIPFER, Die sog. Cookie-Bestimmungen in der eprivacy- Richtlinie und ihre Umsetzung in deutsches Recht 170 Gerolf J. STARKE, Zur Zulässigkeit der automatischen Aufzeichnung von Telefongesprächen der Meldestelle bei Gasversorgungsunternehmen 177 Dr. Martin ZILKENS, Geheimnisschutz und Datenschutz Rechtliche Aspekte der Gutachtenpraxis im öffentlichen Gesundheitsdienst des Landes Nordrhein-Westfalen 180 Rechtsprechung Auskunft über IP-Adresse ohne richterliche Anordnung (BVerfG, Beschluss vom ) 185 Erstattung von Detektivkosten beim Tanken ohne Bezahlung (Ls) (BGH, Urteil vom ) 187 Anforderungen an die Einwilligung in Telefonwerbung (BGH, Beschluss vom ) 187 Zuständigkeit deutscher Gerichte bei persönlichkeitsbeeinträchtigenden Internetveröffentlichungen (Ls) (BGH, Urteil vom ) 188 Schadensersatz aufgrund negativer Bonitätsbeurteilung (BGH, Urteil vom ) 188 Straftäter identifizierende Fundstellen für nutzerbeschränktes Onlinearchiv (BGH, Urteil vom ) 190 Anforderungen an Verbotsantrag bei Telefonwerbung (Ls) (BGH, Urteil vom ) 192 Zur prozessualen Berücksichtigung heimlicher Vidoerkenntnisse (BAG, Urteil vom ) 192 Entschädigung wegen Diskriminierung Schwerbehinderter (Ls) (BVerwG, Urteil vom ) 195 Keine Diskriminierung durch Höchstaltersgrenze für Sachverständige (Ls) (BVerwG, Urteil vom ) 196 Keine Mitbestimmung bei nicht veranlasster Video-Überwachung der Beschäftigten (BVerwG, Beschluss vom ) 196 Keine Auskunftspflicht eines Rechtsanwalts über Mandantendaten gegenüber der BaFin (Ls) (Hess. VGH, Urteil vom ) 197 Meldung offener Forderungen an eine Auskunftei (Ls) (OLG Frankfurt, Urteil vom ) 197 Datensicherung beim Betriebsrats-PC (LAG Berlin-Brandenburg, Beschluss vom ) 197 Berichte, Informationen, Sonstiges Aus der Europäischen Union EU-Parlament befürwortet einheitliches EU- Datenschutzrecht 199 Jahresbericht 2010 des EDSB 199 Europäische Datenschutzverbände fordern europaweite Stärkung von Datenschutzbeauftragten 200 Aus der Gesetzgebung D -Gesetz in Kraft getreten 202 Bundesjustizministerin legt Gesetzentwurf zu Quick Freeze vor 202 Aus dem Bundestag Sachverständigen-Kritik an Einzelpunkten des geplanten Beschäftigtendatenschutzes 202 Aus dem Bundesrat Länder wollen mehr Datenschutz im Internet 203 Bundesrat: Mehr Schutz vor unerlaubter Telefonwerbung 203 Aus den Ländern IPv6: Datenschutz im Internet der Zukunft sicherstellen 204 Unvereinbarkeit der Ämter von Datenschutzund Antikorruptionsbeauftragten 205 Datenpanne bei Digitalisierung von Personalakten 205 Sonstiges BfDI: Smarte Stromzähler nur mit intelligentem Datenschutz 206 Literaturhinweise Buchbesprechungen Ilmer Dammann, Der Kernbereich der privaten Lebensgestaltung (REDAKTION) 206 Neuerscheinungen Aufsätze 207 Veranstaltungen 208

4 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Gesamthochschule Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Michael RONELLENFITSCH, Hessischer Datenschutzbeauftragter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a. D. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg Prof. Dr. Gregor THÜSING, LL.M. (Harvard), Universität Bonn Dr. Irini VASSILAKI, Universität Göttingen Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Schriftleitung Prof. Peter Gola RA Dr. Georg Wronka RA Andreas Jaspers RA Christoph Klug Redaktionsanschrift Pariser Str. 37, Bonn Telefon: (02 28) Telefax: (02 28) Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement 139, Einzelheft 25, jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Abbestellungen Alle Preise verstehen sich zzgl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Beilagenhinweis GDD-Informationen; DATAKONTEXT, Frechen Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung erbeten. Für unverlangt eingesandte Manuskripte wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; diese sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechtsschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Thomas Reinhard Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB

5 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn RA Christoph Klug, Köln Recht RDV der Datenverarbeitung 27. Jahrgang 2011 Heft 4 Seiten Aufsätze Prof. Dr. Gregor Thüsing LL.M. / Dr. Gerrit Forst, Bonn* Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger als das geltende Recht? Der Regierungsentwurf zur Regelung des Beschäftigtendatenschutzes (BDSG-E) befindet sich auf der Zielgeraden. Nach der parlamentarischen Sommerpause wird der Bundestag über den BDSG-E Beschluss fassen. Uneinigkeit besteht darüber, ob der BDSG-E strenger oder großzügiger ist als das geltende Recht. Der Beitrag sucht hierauf eine Antwort zu geben. I. Einleitung In den vergangenen Monaten wurde der BDSG-E 1 in den zuständigen Ausschüssen des Bundestages beraten. Dabei zeigten sich große Diskrepanzen im Verständnis des neuen Rechts: Arbeitnehmervertreter lehnten den Entwurf ab, weil er das Niveau des Beschäftigtendatenschutzes gegenüber der geltenden Rechtslage absenke. Arbeitgebervertreter kritisierten die Überregulierung und lehnten den Entwurf wegen der Verschärfung der geltenden Rechtslage ab. Man kann diese Janusköpfigkeit als Indiz dafür werten, dass die Bundesregierung die goldene Mitte getroffen hat. Gleichwohl empfiehlt sich eine Bestandsaufnahme, ehe der Bundestag eine abschließende Entscheidung trifft 2. II. Wo der Entwurf strenger ist Die juristische Inventur ergibt, dass in vielen Punkten eine strengere Rechtslage eintreten wird, wenn der BDSG-E in seiner jetzigen Form Gesetz wird. 1. Rechtfertigungsinstrumente 4 Abs. 1 BDSG enthält ein präventives Verbot mit Erlaubnisvorbehalt: Eine Erhebung etc. von Daten ist nur zulässig, wenn diese durch Vorschriften des BDSG, durch sonstige Rechtsvorschriften oder durch Einwilligung gerechtfertigt ist. a) Betriebsvereinbarungen Betriebsvereinbarungen ( 77 BetrVG) stellen nach ganz h.m. eine sonstige Rechtsvorschrift i.s.d. 4 Abs. 1 Var. 2 BDSG dar 3. Das BAG geht ferner davon aus, dass die Betriebsparteien von den Vorschriften des BDSG abweichen können, insbesondere das gesetzliche Schutzniveau auch moderat absenken können 4. Eine Beeinträchtigung von Grundrechten der Betroffenen ist dadurch nicht zu befürchten, denn die Betriebsparteien müssen nach 75 Abs. 2 BetrVG das allgemeine Persönlichkeitsrecht der Beschäftigten schützen. Betriebsvereinbarungen sind vor allem ein probates Mittel, um die Personaldatenverarbeitung im Konzern zu regeln. * Der Autor Thüsing ist Direktor des Instituts für Arbeitsrecht und das Recht der sozialen Sicherheit der Rheinischen Friedrich-Wilhelms- Universität Bonn, der Autor Forst Wissenschaftlicher Mitarbeiter ebenda. 1 BR-Drucks. 535/10. 2 S. jüngst bereits Gola, RDV 2011, 109 ff. 3 BAG, Beschl. v ABR 8/95, BAGE 82, 36; Gola/Schomerus, BDSG, 10. Aufl. 2010, 4 Rn. 7; Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010, Rn. 102; Weichert, in: Däubler/Kittner/Wedde/Weichert, BDSG, 3. Aufl. 2010, 4 Rn BAG, Urt. v ABR 48/84, BAGE 52, 88.

6 164 RDV 2011 Heft 4 Thüsing / Forst, Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger? Der BDSG-E äußert sich nicht eindeutig dazu, in welchem Umfang Betriebsvereinbarungen als Rechtsfertigungsinstrument künftig noch zugelassen sein werden 5. Nach 32l Abs. 5 BDSG-E stellen die 32 ff. BDSG-E einseitig zwingendes Recht dar. Die Regierungsbegründung kann so verstanden werden, dass dies auch in Bezug auf Betriebsvereinbarungen gilt 6. Andererseits nennt 4 Abs. 1 S. 2 BDSG-E die Betriebsvereinbarung ausdrücklich als Rechtfertigungsinstrument und nach 32l Abs. 3 BDSG-E bleiben die Rechte der Interessenvertretungen der Beschäftigten unberührt 7. Geht man einmal davon aus, dass Betriebsvereinbarungen künftig keine Abweichungen mehr ermöglichen 8 auch wenn die besseren Argumente dagegen sprechen, läge hierin eine Einschränkung. Dies zeigt sich vor allem in Konzernen: Ein Konzernprivileg kennen bekanntlich weder die EG-Datenschutzrichtlinie noch das BDSG. Die Personaldatenverarbeitung im Konzern gestaltet sich allein auf der Grundlage des BDSG deshalb als kompliziert und bürokratisch. Betriebsvereinbarungen konnten hier Abhilfe schaffen. Das wird künftig nicht mehr möglich sein und verursacht für die Wirtschaft erheblichen Verwaltungsmehraufwand. Nur ein schwacher Trost ist, dass die Bundesregierung fordern will, bei der Reform der EG-Datenschutzrichtlinie ein Konzernprivileg in diese aufzunehmen 9 : Selbst wenn Deutschland sich in Brüssel durchsetzen kann, werden Jahre vergehen, bis die neue Richtlinie in Kraft tritt und der deutsche Gesetzgeber diese umgesetzt hat. Gleichzeitig ist kaum erkennbar, wodurch sich die Einschränkung rechtfertigt: 75 Abs. 2 BetrVG sorgt für einen ausreichenden Schutz der Beschäftigten. Die unbestreitbaren Missstände der Vergangenheit hatten ihre Ursache hingegen nicht in Betriebsvereinbarungen. b) Einwilligung Nach 4 Abs. 1 Var. 3 BDSG stellt ein weiteres Rechtfertigungsinstrument die Einwilligung nach 4a BDSG dar. Zwar ist umstritten, ob eine Einwilligung im Beschäftigungsverhältnis freiwillig erfolgen kann oder nicht. Die überwiegende Ansicht 10 bejaht dies aber grundsätzlich, so dass nur ausnahmsweise eine Unwirksamkeit der Einwilligung wegen Unfreiwilligkeit in Betracht kommt. 32l Abs. 1 BDSG-E verkehrt dieses Regel-Ausnahme-Verhältnis in sein Gegenteil: Danach ist die Einwilligung grundsätzlich unzulässig und nur noch dann als Rechtfertigungsinstrument zugelassen, wenn das Gesetz dies ausdrücklich bestimmt. Auch hier bringt das neue Recht also eine Einschränkung. Das Anliegen der Bundesregierung, abgepresste Einwilligungen zu verhindern, ist richtig. Gleichwohl lässt sich auch hier feststellen, dass die Missstände der Vergangenheit ihre Ursache nicht in abgepressten Einwilligungen hatten. Dass 32l Abs.1 BDSG-E daneben auch unionsrechtlich bedenklich ist, wurde an anderer Stelle ausführlich dargelegt 11. Hiergegen wurden zwei Argumente vorgebracht, auf die kurz einzugehen ist: Erstens sehe die EG-Datenschutzrichtlinie die Einwilligung nur als Option vor, verpflichte die Mitgliedstaaten aber nicht zu ihrer Einführung 12. Das überzeugt nicht: Nach Art. 7 lit. a) EG-Datenschutzrichtlinie sehen (en: shall provide; fr: prévoient que) die Mitgliedstaaten die Einwilligung vor, ein Wahlrecht besteht dem Wortlaut nach nicht. Nach mehrfach bestätigter Rechtsprechung des EuGH stellt die EG-Datenschutzrichtlinie eine Vollharmonisierung dar 13, so dass Deutschland auf die Einwilligung als Rechtfertigungsinstrument nicht durch Minusregelung verzichten kann. Zweitens müsse die Einwilligung auch nach Art. 2 lit. h) EG-Datenschutzrichtlinie ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgen. Die Einwilligung des Beschäftigten erfolge aber nie ohne Zwang 14. Diese Diskussion wird wie dargelegt auch im nationalen Recht geführt. Auf europäischer Ebene ist der Einwand aber wohl ausgeräumt: Die Kommission hat sich damit bereits während früherer Konsultationsverfahren auseinandergesetzt, eine Änderung der Richtlinie aber gleichwohl nicht für erforderlich gehalten 15. Auch bei der aktuellen Reform spielt der Beschäftigtendatenschutz (noch?) keine Rolle 16. Deshalb kann die Einwilligung nach der Richtlinie nicht generell-abstrakt für bestimmte Bereiche des Lebens mangels Freiwilligkeit für unwirksam erklärt werden, sondern allenfalls im Einzelfall. Der deutsche Gesetzgeber kann hiervon nicht im Alleingang abweichen. 2. Fragerecht Aus arbeitsrechtlicher Sicht ist der bedeutendste Teil des BDSG-E sicherlich die Kodifizierung des Fragerechts des Arbeitgebers, insbesondere in 32 BDSG-E. 5 Kritisch auch Kort, MMR 2011, 294, BR-Drucks. 535/10, S S. auch BR-Drucks. 535/10, S So wohl Körner, AuR 2010, 416, 421; a.a. Heinson/Sörup/Wybitul, CR 2010, 751, 752; ausführlich zum Ganzen Erfurth, DB 2011, 1275 ff.; Kort, MMR 2011, 294, 298; Thüsing, NZA 2011, 16, 17 f. 9 Vgl. RDV 2011, Taeger, in: Tager/Gabel, BDSG, 2010, 4a Rn. 60; Däubler, Gläserne Belegschaften, 5. Aufl. 2010, Rn. 154; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 5. Aufl. 2010, Rn. 261; Thüsing, NZA 2011, 16, 18; Forst, RDV 2010, 150, 151; Hilber, RDV 2005, 143, 147; Hold, RDV 2006, 249, 252; a.a. Simitis, AuR 2001, 429, 431; Meyer, K&R 2009, 14, 16; Trittin/Fischer, NZA 2009, 343, 344; Schaar, MMR 2001, Forst, RDV 2010, 150; zustimmend Thüsing, RDV 2010, 147, 148; Heinson/Sörup/Wybitul, CR 2010, 751; Bedenken äußernd auch Kort, MMR 2011, 294, Tinnefeld/Petri/Brink, MMR 2010, 727, EuGH, Urt. v , Rs. C-465/00, Slg. 2003, I-4989 Rn. 39 Österreichischer Rundfunk; EuGH, Urt. v , Rs. C-101/01, Slg. 2003, I Rn. 96 Linqvist mit zust. Anm. Roßnagel, MMR 2004, 100; bestätigt durch EuGH, Urt. v , Rs. C-524/06, Slg. 2008, I-9705 Rn. 51 Huber mit zust. Anm. Brühann, EuZW 2009, 639 ff. 14 Tinnefeld/Petri/Brink, MMR 2010, 727, 729; ähnlich Haase/Herrmann/Rottwinkel, DuD 2011, 83, Dazu unter (Stand: ). 16 Vgl. KOM(2010)609.

7 Thüsing / Forst, Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger? RDV 2011 Heft a) Allgemeines Personenbezogene Daten eines Beschäftigten dürfen nach 32 Abs. 1 S. 1 BDSG für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Das geltende Recht unterscheidet ebenso wie die 32 ff. BDSG-E einerseits und die 32c f. BDSG-E andererseits zwischen der Datenerhebung etc. vor und derjenigen nach Abschluss des Arbeitsvertrages. Nach beiden Regelungen ist die Erforderlichkeit sprich: Verhältnismäßigkeit entscheidend, solange kein besonderes Merkmal vorliegt. Während das geltende Recht aber richtig danach fragt, ob die Datenerhebung etc. für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist, fragt 32 Abs. 1 S. 2 BDSG-E danach, ob die Datenerhebung etc. erforderlich ist, um die Eignung des Beschäftigten für die vorgesehen Tätigkeit festzustellen. Das ist ein anderer Bezug. Darf etwa zukünftig nicht mehr nach den Gehaltsvorstellungen im Vorfeld der Vertragsanbahnung gefragt werden? Auch dies ist eine Datenerhebung. Über die Eignung des Bewerbers sagt sie freilich nichts, vielmehr über seine Bereitschaft, seinerseits ein Beschäftigungsverhältnis zu begründen. Eine kluge Rechtsprechung mag zukünftig entscheiden, dass auch die Bereitschaft, für ein bestimmtes Entgelt zu arbeiten, Bestandteil der Eignung des Mitarbeiters ist. Dies würde zum richtigen Ergebnis führen denn alles andere wäre sinnwidrig, würde dem Wortlaut des Gesetzes aber widersprechen. Der Gesetzgeber sollte sagen, was er meint, und es beim bisherigen Bezugspunkt des 32 BDSG belassen 17. b) Besondere Merkmale Bereits nach geltender Rechtslage ist sowohl datenschutzrechtliches als auch arbeitsrechtliches Gemeingut, dass es besondere Merkmale bzw. besondere Arten personenbezogener Daten gibt, die eines besonderen Schutzes bedürfen. Im Datenschutzrecht sind dies die in 3 Abs. 9 BDSG genannten Merkmale rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben. Eine Datenerhebung etc. kommt hier nur nach 28 Abs. 6 BDSG (i.v.m. 32 BDSG) in Betracht. Im Arbeitsrecht sind vor allem die in 1 AGG genannten Merkmale Rasse, ethnische Herkunft, Geschlecht, Religion oder Weltanschauung, Behinderung, Alter und sexuelle Identität besonders geschützt. 7 Abs. 1 AGG verbietet eine Benachteiligung von Beschäftigten wegen eines der genannten Merkmale. Eine unterschiedliche Behandlung wegen eines in 1 AGG genannten Grundes ist aber nach 8 Abs. 1 AGG zulässig, wenn dieser Grund wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende berufliche Anforderung darstellt, sofern der Zweck rechtmäßig und die Anforderung angemessen ist. Die 9, 10 AGG enthalten besondere Rechtfertigungsgründe für die Merkmale Religion, Weltanschauung und Alter. Keines gesetzlich angeordneten besonderen Schutzes unterlagen im Arbeitsrecht bislang die Merkmale Gesundheit, Vermögensverhältnisse, Vorstrafen und laufende Ermittlungsverfahren. Gleichwohl stellt das BAG bei der Frage nach diesen Merkmalen strenge Anforderungen und schränkt das Fragerecht des Arbeitgebers ein. Nach den Vermögensverhältnissen darf bislang ausnahmsweise gefragt werden, insbesondere wenn es um die Anstellung von leitenden Angestellten oder Arbeitnehmern in besonderen Vertrauenspositionen geht 18. Fragen nach der Gesundheit soweit keine Behinderung i. S. des 1 AGG beschränkt das BAG auf folgende Punkte: Liegt eine Krankheit vor, durch die die Eignung für die vorgesehene Tätigkeit auf Dauer oder in periodisch wiederkehrenden Abständen eingeschränkt ist? Liegen ansteckende Krankheiten vor, die die zukünftigen Kollegen oder Kunden gefährden? Ist zum Zeitpunkt des Dienstantritts bzw. in absehbarer Zeit mit einer Arbeitsunfähigkeit zu rechnen, z.b. durch eine geplante Operation? 19 Nach Vorstrafen darf der Arbeitgeber den Bewerber fragen, wenn und soweit die Art des zu besetzenden Arbeitsplatzes dies erfordert. Bei der Prüfung der Eignung des Bewerbers für die geschuldete Tätigkeit kann es im Einzelfall auch zulässig sein, dass der Arbeitgeber den Bewerber nach laufenden Ermittlungsverfahren fragt 20. Seit Inkrafttreten des 32 Abs. 1 S. 1 BDSG im Jahr 2009 wird man diese Rechtsprechung in die Vorschrift hineinzulesen haben 21. Nach 32 Abs. 2 BDSG-E sollen Daten eines Beschäftigten über die rassische und ethnische Herkunft, die Religion oder Weltanschauung, eine Behinderung, die sexuelle Identität, die Gesundheit, die Vermögensverhältnisse, Vorstrafen oder laufende Ermittlungsverfahren nur unter den Voraussetzungen erhoben werden dürfen, unter denen nach 8 Abs. 1 AGG eine unterschiedliche Behandlung zulässig ist. 32 Abs. 3, 4 und 5 BDSG-E enthalten an dieser Stelle nicht weiter interessierende Sonderregelungen. Dass nach den in 1 AGG genannten Merkmalen nur unter den Voraussetzungen des 8 Abs. 1 AGG gefragt werden dürfen soll, ist nachvollziehbar. Eine Verschärfung gegenüber dem status quo liegt hierin wohl nicht, denn allein die Frage nach einem Merkmal i.s.d. 1 AGG wird von der Rechtsprechung als Indiz zu Lasten des Arbeitgebers i.s.d. 22 AGG gewertet S. bereits Thüsing, NZA 2011, 16, Thüsing, in: Henssler/Willemsen/Kalb, Arbeitsrecht-Kommentar, 4. Aufl. 2010, 123 BGB Rn. 10 m.w.n. 19 BAG, Urt. v AZR 270/83, NZA 1985, 57 = NJW 1985, Zuletzt BAG, Urt. v AZR 320/98, BAGE 91, 349 = NZA 1999, In diesem Sinne wohl auch Gola, RDV 2011, 109, BAG, Urt. v AZR 670/08, NZA 2010, 383, 385; s. aber auch BAG. Urt. v AZR 396/10.

8 166 RDV 2011 Heft 4 Thüsing / Forst, Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger? Dieser ist daher schon jetzt gut beraten, die Frage von vornherein zu unterlassen. Anders liegt es jedoch bezüglich der Merkmale Gesundheit, Vermögensverhältnisse, Vorstrafen und laufende Ermittlungsverfahren. Diese unterliegen bislang nicht dem Maßstab des 8 Abs. 1 AGG. Tritt also eine Verschärfung der geltenden Rechtslage ein? Gola geht zu Recht davon aus, dass die Neuregelung nur dann Sinn ergibt, wenn sie einen höheren Grad an Datenschutz verwirklicht als der bestehende 32 Abs. 1 S. 1 BDSG 23. Zentrale Frage ist deshalb, was eine wesentliche und entscheidende berufliche Anforderung ist. Gola ist der Ansicht, es handele sich dabei um Sachverhalte, die aus objektiver Sicht im laufenden Arbeitsverhältnis kündigungsrelevant seien 24. Dies stimmt nicht mit der Definition der wesentlichen und entscheidenden beruflichen Anforderung des BAG überein. Das BAG geht davon aus, dass nur eine unverzichtbare Voraussetzung für die zu erbringende Tätigkeit wesentlich und entscheidend i.s.d. 8 Abs. 1 AGG ist 25. Man mag einwenden, dass das BAG an seiner Rechtsprechung für den Bereich des BDSG nicht festhalten werde, sondern eine rechtsgebietsspezifisch maßgeschneiderte Definition finden werde. Ob die Rechtsprechung so vorgehen wird, wird die Zeit zeigen. Dogmatisch wäre ein solcher Schritt aber deshalb problematisch, weil ein und dieselbe Norm ( 8 Abs. 1 AGG) in zwei Rechtsgebieten unterschiedlich ausgelegt würde. Der Arbeitsrechtler kennt Vergleichbares zwar schon, etwa in Bezug auf den Arbeitnehmerbegriff, der in fast jedem arbeitsrechtlichen Gesetz einen anderen Inhalt besitzt. Hier besteht aber ein entscheidender Unterschied: 32 Abs. 2 BDSG-E verwendet nicht nur dieselben Rechtsbegriffe wie 8 Abs. 1 AGG, sondern er nimmt auf 8 Abs. 1 AGG ausdrücklich Bezug. Deshalb muss man davon ausgehen, dass die strengen AGG-Maßstäbe künftig auch in Bezug auf die Merkmale Gesundheit, Vermögensverhältnisse, Vorstrafen und laufende Ermittlungsverfahren gelten. Das neue Recht bringt dadurch eine Einschränkung des Fragerechts des Arbeitgebers in Bezug auf diese Merkmale mit sich. Einen potentiellen Kassierer nach Vorstrafen mit Vermögensbezug zu fragen, wäre nicht mehr möglich, nimmt man 32 Abs. 2 BDSG-E streng beim Wort 26. Denn kassieren kann auch ein Vorbestrafter, so dass das Fehlen von Vorstrafen keine unverzichtbare Voraussetzung ist. Gola ist zwar der Ansicht, die Frage nach Vorstrafen gebe auch Auskunft nach der persönlichen Integrität des Bewerbers, welche ihrerseits unverzichtbare Voraussetzung für die Tätigkeit als Kassierer sei 27. Zum einen wird dadurch aber angenommen, dass ein Vorbestrafter nie persönlich integer sein kann. Zum anderen wird dadurch der Begriff der unverzichtbaren Voraussetzung aufgeweicht: Bislang gilt, dass bloße sachliche Gründe und Zweckmäßigkeitsgesichtspunkte nicht zur Rechtfertigung nach 8 Abs. 1 AGG ausreichen 28. Entscheidend ist eine berufliche Anforderung vielmehr, wenn sie für die vertragsgemäße Erfüllung der Arbeitsleistung erforderlich ist; wesentlich ist sie, wenn ein hinreichend großer Teil der Gesamtanforderungen des Arbeitsplatzes betroffen ist 29. Beides ist bei Vorstrafen nicht stets der Fall: Auch ein Vorbestrafter kann geläutert und persönlich (wieder) integer sein, so dass das Fehlen von Vorstrafen für die vertragsgemäße Erfüllung der Arbeitsleistung nicht erforderlich ist. Auch ist fraglich, ob das Fehlen von Vorstrafen einen ausreichenden Teil der Gesamtanforderungen des Arbeitsplatzes betrifft. Ebenso wichtig sind Kenntnisse der technischen Abläufe, Freundlichkeit zu Kunden oder Buchhaltungswissen. Sicherlich: Eine kluge Rechtsprechung würde auch hier einen angemessenen Mittelweg beschreiten. Dies aber geht einher mit einem Verlust an dogmatischer Schärfe, ohne dass klar wird, was dadurch gewonnen wird. Der Gesetzgeber sollte es in Bezug auf die Merkmale Gesundheit, Vermögensverhältnisse, Vorstrafen und laufende Ermittlungsverfahren bei dem allgemeinen Verhältnismäßigkeitsmaßstab belassen und der Rechtsprechung dadurch die nötige Flexibilität erhalten. 3. Ärztliche Untersuchungen und Einstellungstests a) Ärztliche Untersuchungen Für ärztliche Untersuchungen enthält das BDSG bislang keine Regelung. Rechtsgrundlage für den Arbeitgeber ist somit 32 Abs. 1 S. 1 BDSG, der allerdings unter Berücksichtigung von 28 Abs. 6 BDSG i.v.m. Art. 8 EG-Datenschutzrichtlinie richtlinienkonform (einschränkend) auszulegen ist 30. Dennoch konnten Gesundheitsdaten bislang entweder aufgrund einer Einwilligung des Betroffenen nach 4a Abs. 3 BDSG erhoben werden oder unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit und der Wertungen des AGG 31 auch aufgrund Gesetzes nach den 32 Abs. 1 S. 1, 28 Abs. 6 BDSG. Künftig sollen ärztliche Untersuchungen gemäß 32a Abs. 1 BDSG-E ausschließlich mit Einwilligung des Betroffenen möglich sein. Diese Regelung ist vertrackt, weil ein Bewerber, der seine Einwilligung nicht abgibt, abgelehnt werden wird. Ein Bewerber, der einwilligt und z.b. des Drogenkonsums überführt wird, wird nicht eingestellt werden. Ob eine Einwilligung in dieser Situation jemals freiwillig erfolgt, darf bezweifelt werden. Ein Ausweg für den Rechtsanwender besteht nur darin, die Einwilligung des 32a BDSG-E nicht gleichzusetzen mit der Einwilligung nach 4a 23 RDV 2011, 109, RDV 2011, 109, BAG, Urt. v AZR 77/09, DB 2010, 1534, Forst, NZA 2010, 1043, 1044; kritisch Gola, RDV 2011, 109, RDV 2011, 109, BAG, Urt. v AZR 295/99, AuA 2000, 281; Thüsing, in: MünchKommBGB, 6. Aufl. 2011, 8 AGG Rn. 11 (im Druck); ErfK/Schlachter, 11. Aufl. 2011, 8 AGG Rn ErfK/Schlachter, 11. Aufl. 2011, 8 AGG Rn Dazu Forst, RDV 2010, 8 f. 31 Dazu Thüsing, in: Henssler/Willemsen/Kalb, Arbeitsrecht-Kommentar, 4. Aufl. 2010, 123 BGB Rn. 19.

9 Thüsing / Forst, Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger? RDV 2011 Heft BDSG. Das freilich wäre methodisch ein gewagter Schritt, ist doch die Einwilligung in 4a BDSG i.v.m. Art. 2 lit. h) EG-Datenschutzrichtlinie legaldefiniert. Man mag einwenden, schon bislang sei eine ärztliche Untersuchung ohne Einwilligung des Bewerbers nicht möglich 32. In der Tat wäre eine Blutprobenentnahme gegen den Willen eines Bewerbers auch nach bisherigem Recht eine Körperverletzung, die nach den 223 ff. StGB strafbewehrt wäre. Der Unterschied liegt jedoch im Detail: Schon eine Einwilligung des Bewerbers i.s.d. 228 StGB schließt eine Strafbarkeit wegen Körperverletzung aus und dient auch als zivilrechtlicher Rechtfertigungsgrund im Rahmen der 823 ff. BGB. Sie ist aber nicht dasselbe wie die Einwilligung nach 4a BDSG, denn diese muss unter anderem schriftlich und vor allem freiwillig erfolgen. Bei der Freiwilligkeit stellt das BDSG deutlich strengere Anforderungen als 228 StGB 33. Gerade deshalb sind 32 Abs. 1 S. 1, 28 Abs. 6 BDSG als gesetzliche Rechtfertigungsgründe von Bedeutung: Sie rechtfertigen das Verhalten des Arbeitgebers spezifisch datenschutzrechtlich. Nach 32a BDSG-E wäre er stets auf eine auch datenschutzrechtlich wirksame Einwilligung des Bewerbers nach 4a BDSG angewiesen. Auch hier erfolgt also eine Einschränkung. b) Einstellungstests Einstellungstests wie z.b. assessment center können bislang auf 32 Abs. 1 S. 1 BDSG gestützt werden, ohne dass es einer Einwilligung des Bewerbers i.s.d. 4a BDSG bedarf. Nach 32a Abs. 2 BDSG-E sollen auch Einstellungstests nur noch mit Einwilligung des Bewerbers möglich sein. Das zu ärztlichen Untersuchungen Gesagte gilt entsprechend: An der Freiwilligkeit solcher Einwilligungen ist zu zweifeln. Darüber hinaus soll der Eignungstest wissenschaftlichen Kriterien entsprechen müssen. Beides bedeutet eine Verschärfung der Rechtslage. Anders als bei ärztlichen Untersuchungen ist diese hier nicht erforderlich: Warum soll ein Bewerber, der durch seine Bewerbung seine Bereitschaft signalisiert hat, an einem assessment center teilzunehmen, noch für die Akten eine Einwilligung nach 4a BDSG unterschreiben? Warum soll ein Arbeitgeber nach wissenschaftlichen Standards arbeiten? Ist es nicht das Risiko eines jeden Unternehmers, selber festzulegen, welche Fertigkeiten für ihn von Bedeutung sind und wie er diese im Bewerbungsverfahren abprüft? Was gilt dort, wo wissenschaftliche Standards oder auch nur best practices fehlen? Die Regelung eröffnet ohne Not Raum für Schadensersatzklagen abgelehnter Bewerber Automatisierter Datenabgleich Die Zulässigkeit automatisierter Datenabgleiche ist im BDSG bislang nicht ausdrücklich geregelt. Es gilt die Generalklausel des 32 Abs. 1 S. 1 BDSG. Erforderlich ist also eine Verhältnismäßigkeitsabwägung im Einzelfall 35. Zahlreiche Beispiele aus dem Bereich der öffentlichen Verwaltung 36 belegen, wie effizient das Mittel des elektronischen Datenabgleichs ist, um Betrug etc. entgegenzuwirken. Deshalb wird auch in privaten Unternehmen hiervon vielfach Gebrauch gemacht, insbesondere zu Zwecken sowohl der präventiven als auch der repressiven Compliance. Der elektronische Datenabgleich ist in 32d Abs. 3 BDSG-E geregelt. Der Arbeitgeber darf zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, insbesondere zur Aufdeckung von Straftaten nach den 266, 299, 331 bis 334 StGB, einen automatisierten Abgleich von Beschäftigtendaten in anonymisierter oder pseudonymisierter Form mit von ihm geführten Dateien durchführen. Ergibt sich ein Verdachtsfall, dürfen die Daten personalisiert werden. Der Arbeitgeber hat die näheren Umstände, die ihn zu einem Abgleich veranlassen, zu dokumentieren. Die Beschäftigten sind über Inhalt, Umfang und Zweck des automatisierten Abgleichs zu unterrichten, sobald der Zweck durch die Unterrichtung nicht mehr gefährdet wird. Die Auslegung der Norm ist in der Literatur umstritten. So wird etwa nicht einheitlich beurteilt, ob eine andere schwerwiegende Pflichtverletzung einen Grad erreichen muss, der für eine außerordentliche fristlose Kündigung nach 626 Abs. 1 BGB ausreichen würde 37. Zum Teil wird angenommen, die Vorschrift könne nur zur repressiven Compliance, nicht zur präventiven Compliance herangezogen werden. Begründet wird dies mit dem Wortlaut, insbesondere dem Terminus zur Aufdeckung 38. Zwingend ist dieser Schluss nicht: So dient die präventive Compliance dazu, Anhaltspunkte für allfällige Rechtsverstöße aufzudecken. Die repressive Compliance dient dazu, bei bestehenden Anhaltspunkten eine konkrete Tat aufzuklären. Eine ähnliche Differenzierung scheint 32d Abs. 3 S. 1 und S. 2 BDSG-E zugrunde zu liegen. Ein Gegenschluss aus 32e Abs. 2 BDSG-E, der ausdrücklich auch die Verhinderung von Straftaten erfasst, ist hingegen nicht möglich 39 : Denn zum einen setzt 32e Abs. 2 BDSG-E jedenfalls seinem Wortlaut nach eine Ersttat voraus, so dass auch hier letztlich nur repressive Maßnahmen erfasst sind, zum anderen ist von 32e Abs. 2 BDSG-E (dazu sogleich im Zusam- 32 So wohl Gola, RDV 2011, 109, Dazu nur Gola/Schomerus, BDSG, 10. Aufl. 2010, 4a Rn. 6 f. einerseits; Fischer, StGB, 57. Aufl. 2010, 228 Rn. 7 f. andererseits. 34 S. bereits Thüsing, NZA 2011, 16, Zum Ganzen Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010, Rn. 146 ff. 36 Dazu Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010, Rn. 157 ff. 37 Dafür Beckschulze/Natzel, BB 2010, 2368, 2372; dagegen Heinson/ Sörup/Wybitul, CR 2010, 751, Heinson/Sörup/Wybitul, CR 2010, 751, 755; zum Ganzen auch Kort, DB 2011, 651, 652 f. S. ferner den Änderungsvorschlag des Bundesrates BR-Drucks. 535/10(B), Ähnlich Kort, DB 2011, 651, 653.

10 168 RDV 2011 Heft 4 Thüsing / Forst, Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger? menhang mit der Videoüberwachung) allenfalls der heimliche Datenabgleich erfasst. In 32d Abs. 3 BDSG-E ist hingegen der offene Datenabgleich geregelt. Im Ergebnis kommt es über 32d Abs. 3, 32e Abs. 2 BDSG-E also zu einer Einschränkung zum einen hinsichtlich des heimlichen Datenabgleichs, der nur unter den einschränkenden Voraussetzungen des 32e Abs. 2 BDSG-E möglich ist; zum anderen hinsichtlich der präventiven Compliance, wenn man diese nach 32d Abs. 3 BDSG-E nicht für zulässig hält. Letzteres schlägt Unternehmen wie Siemens ein effizientes Instrument zur Bekämpfung von Korruption und Kartellen aus der Hand. Die wirtschaftlichen Folgen können verheerend sein: Milliardenbußgelder verhängen nicht mehr nur US-amerikanische, sondern zunehmend auch europäische (Kartell-)behörden. 5. Videoüberwachung Bei der Videoüberwachung gilt es insgesamt vier Konstellationen zu unterscheiden: Einerseits ist zwischen der offenen und der heimlichen Videoüberwachung zu differenzieren, andererseits zwischen der Überwachung öffentlich zugänglicher Betriebsstätten und derjenigen nicht öffentlich zugänglicher Betriebsstätten. a) Öffentlich zugängliche Betriebsstätte aa) Offene Videoüberwachung Die offene Videoüberwachung öffentlich zugänglicher Betriebsstätten ist bislang nach Maßgabe des 6b BDSG zulässig. Danach kann die offene Videoüberwachung erfolgen zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke. Ferner muss die Überwachung verhältnismäßig sein. Dieser Maßstab gilt wohl auch weiterhin 40, denn die beiden neuen Vorschriften zur Videoüberwachung in den 32e Abs. 4, 32f BDSG-E erfassen gerade nicht die offene Videoüberwachung im öffentlich zugänglichen Raum. bb) Heimliche Videoüberwachung Die heimliche Videoüberwachung einer öffentlich zugänglichen Betriebsstätte ist nach der Leitentscheidung des BAG 41 bislang zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht, weniger einschneidende Mittel zur Aufklärung des Verdachts ausgeschöpft sind, die verdeckte Videoüberwachung praktisch das einzig verbleibende Mittel darstellt und diese insgesamt nicht unverhältnismäßig ist. In dem vom BAG zu entscheidenden Fall erfolgte die Videoüberwachung über einen Zeitraum von mehreren Monaten. Nach der Neuregelung in 32e Abs. 2 und 4 BDSG- E ist die heimliche Beobachtung in öffentlich zugänglichen Betriebsstätten grundsätzlich unzulässig. Eine Ausnahme besteht nur, wenn Tatsachen den Verdacht begründen, dass der Beschäftigte im Beschäftigungsverhältnis eine Straftat oder eine andere schwerwiegende Pflichtverletzung begangen hat, die den Arbeitgeber bei einem Arbeitnehmer zu einer Kündigung aus wichtigem Grund berechtigen würde, und die Erhebung erforderlich ist, um die Straftat oder die andere schwerwiegende Pflichtverletzung aufzudecken oder um damit im Zusammenhang stehende weitere Straftaten oder schwerwiegende Pflichtverletzungen des Beschäftigten zu verhindern. Ausweislich der Regierungsbegründung nimmt 32e Abs. 2 BDSG-E Bezug auf die Rechtsprechung des BAG zur Verdachtskündigung. Für eine fristlose Kündigung muss danach gerade der Verdacht als solcher das zur Fortsetzung des Arbeitsverhältnisses notwendige Vertrauen des Arbeitgebers in die Redlichkeit des Arbeitnehmers zerstört haben 42. Das kann nur angenommen werden, wenn der Verdacht objektiv durch Tatsachen begründet ist 43. Der Verdacht muss darüber hinaus dringend sein, d.h. es muss eine große Wahrscheinlichkeit dafür bestehen, dass der gekündigte Arbeitnehmer die Straftat oder die Pflichtverletzung begangen hat 44. Diese Voraussetzungen sind strenger als die Maßstäbe der Rechtsprechung zur heimlichen Videoüberwachung, insbesondere muss danach die Videoüberwachung nur verhältnismäßig sein. Nicht erforderlich ist, dass die Fortsetzung des Arbeitsverhältnisses für den Arbeitgeber unzumutbar ist. Selbst wenn die strengen Voraussetzungen des 32e Abs. 2 BDSG-E vorliegen, ist nach der Regierungsbegründung die sich wohl auf 32e Abs. 4 S. 1 Nr. 3 BDSG-E stützt eine heimliche Videoüberwachung sogar vollständig verboten 45. Würde die heimliche Videoüberwachung öffentlich zugänglicher Betriebsstätten vollständig verboten, läge darin eine schwerwiegende Einschränkung der Ermittlungsmöglichkeiten des Arbeitgebers. Dass es anerkennenswerte Gründe für eine heimliche Videoüberwachung gibt, zeigt aber gerade die Leitentscheidung des BAG 46. Darüber hinaus würde der Arbeitgeber gezwungen, Maßnahmen zu ergreifen, die viel stärker in das allgemeine Persön- 40 BR-Drucks. 535/10, S Urt. v AZR 51/02, NZA 2003, BAG, Urt. v AZR 519/91, NZA 1992, 1121 = NJW 1992, 83; BAG, Urt. v AZR 36/97, NZA 1998, 95 = NJW 1998, 1508; BAG, Urt. v AZR 98/07, NZA 2009, BAG, Urt. v AZR 164/94, BAGE 78, 18 = NJW 1995, 1110; BAG, Urt. v AZR 264/06, NZA 2008, 636 = NJW 2008, 1097; BAG, Urt. v AZR 724/06, AP 626 BGB Verdacht strafbarer Handlung Nr BAG, Urt. v AZR 923/98, BAGE 92, 184 = NZA 2000, 421 = NJW 2000, 1969; BAG, Urt. v AZR 189/04, NZA 2005, BR-Drucks. 535/10, S S. bereits Forst, NZA 2010, 1043, 1047; kritisch auch Heinson/Sörup/ Wybitul, CR 2010, 751, 756: praxisfremd ; für verfassungswidrig halten den Ausschluss gar Beckschulze/Natzel, BB 2010, 2368, 2373; befürwortend aber Tinnefeld/Petri/Brink, MMR 2010, 727, 732.

11 Thüsing / Forst, Der geplante Beschäftigtendatenschutz: Strenger oder großzügiger? RDV 2011 Heft lichkeitsrecht der Arbeitnehmer eingreifen, etwa den Einsatz eines Privatdetektivs 47. Auch ohne ein vollständiges Verbot ergibt sich in jedem Fall eine Verschärfung der Rechtslage gegenüber dem status quo aus den zeitlichen Grenzen des 32e Abs. 4 Nr. 1 BDSG-E. b) Nicht öffentlich zugängliche Betriebsstätte aa) Offene Videoüberwachung Für die offene Videoüberwachung nicht öffentlich zugänglicher Betriebsstätten ergeben sich die Grenzen des datenschutzrechtlich Zulässigen bislang aus drei Entscheidungen des BAG 48, die auch unter dem Regime des 32 BDSG ihre Gültigkeit behalten haben 49. Die Angemessenheit von Videoüberwachungsmaßnahmen richtet sich nach der Rechtsprechung maßgeblich nach deren Eingriffsintensität. Diese ist unter anderem von der Anzahl der beobachteten Personen, der Dauer der Überwachung sowie davon abhängig, ob die Betroffenen einen zurechenbaren Anlass für ihre Beobachtung gesetzt haben. Erforderlich ist also eine Rechtsgüterabwägung im Einzelfall. 32f Abs. 1 S. 1 BDSG-E schränkt dieser Rechtsprechung ein, indem er nur noch für sieben abschließend 50 genannte Zwecke eine Videoüberwachung erlaubt. Zwar decken diese sieben Zwecke wohl die meisten schon bislang relevanten Fallgruppen ab. Gleichwohl verkleinert das Gesetz den Spielraum von Arbeitgebern und nimmt diesen die Flexibilität, auf neue, derzeit noch unvorhersehbare Entwicklungen reagieren zu können. Keine Verschärfung der Rechtslage enthält hingegen 32f Abs. 2 BDSG-E, der die Videoüberwachung von Sanitär-, Umkleide- und Schlafräumen verbietet. Dies war auch bislang schon unzulässig, weil hier ein Eingriff in den Kernbereich der privaten Lebensgestaltung zu befürchten steht. bb) Heimliche Videoüberwachung Zur heimlichen Videoüberwachung nicht öffentlich zugänglicher Betriebsstätten hat sich das BAG bislang nicht geäußert. Auch unterinstanzliche Rechtsprechung ist nicht ersichtlich. Manche folgern aus der Intimität nicht öffentlich zugänglicher Betriebsstätten, dass eine heimliche Videoüberwachung hier ausgeschlossen ist 51. Sedes materiae ist bislang 32 Abs. 1 S. 1 BDSG mit seinem Kriterium der Erforderlichkeit. Gegen einen vollständigen Ausschluss der heimlichen Videoüberwachung spricht, dass es außerhalb des Kernbereichs privater Lebensgestaltung zu dem der Arbeitsplatz grundsätzlich nicht zählt keine absolut geschützten Sphären des Arbeitnehmers geben kann. Im Einzelfall muss also auch die heimliche Videoüberwachung als ultima ratio zulässig sein 52. Der BDSG-E enthält keine ausdrückliche Regelung zur heimlichen Videoüberwachung nicht öffentlich zugänglicher Betriebsstätten. Da 32f BDSG-E nur die offene Videoüberwachung regelt, kann er nicht mangels vergleichbarer Interessenlage auch nicht analog herangezogen werden. Es bleibt damit nur der Rück- griff auf 32e Abs. 2 und 4 BDSG-E. Danach soll wie gesehen die heimliche Videoüberwachung generell ausgeschlossen sein. Insoweit steht also eine weitere Verschärfung der Rechtslage bevor. III. und wo großzügiger Andererseits ist der BDSG-E gerade zum Fragerecht des Arbeitgebers auch großzügiger als das geltende Recht, ohne dass hierfür ein konkreter Anlass erkennbar wäre. Gegebenenfalls sollte der Bundestag insoweit nachbessern. 1. Allgemeines Großzügiger ist auf den ersten Blick 32 Abs. 1 S. 1 BDSG-E, wonach Name, Anschrift, Telefonnummer und -Adresse des Beschäftigten scheinbar voraussetzungslos erhoben werden dürfen. Solch vogelfreie Daten kennt das BDSG nicht 53. Warum sollte der Arbeitgeber diese Daten auch erheben dürfen, wenn er ohnehin keine Einstellung beabsichtigt? Erst der zweite Blick fällt auf 32 Abs. 7 BDSG-E, wonach jede Datenerhebung verhältnismäßig sein muss. Steht a priori fest, dass ein Bewerber nicht eingestellt werden wird (weil eine Stelle z.b. schon intern vergeben worden ist), fehlt es für die Erhebung weiterer Daten schon an einem legitimen Ziel i.s.d. Verhältnismäßigkeitsabwägung. Ob die Entwurfsverfasser 32 Abs. 7 BDSG-E bei Abfassung des 32 Abs. 1 S. 1 BDSG-E im Blick hatten, wird wohl nie geklärt werden. Eine Streichung des 32 Abs.1 S.1 BDSG-E würde dem Gesetz jedenfalls keinen Abbruch tun. 2. Besondere Merkmale Großzügiger ist der BDSG-E auch bei der Frage nach der Gewerkschaftszugehörigkeit und nach der politischen Meinung bzw. der Parteizugehörigkeit. Bislang ist es so, dass nach der Gewerkschaftszugehörigkeit vor der Einstellung nur Tendenzarbeitgeber fragen dürfen und dies auch nur dann, wenn die zu besetzende Position für die Selbstdarstellung des Tendenzarbeitgebers relevant ist 54. Nach der Parteizugehörigkeit dürfen auch solche Arbeitgeber grundsätzlich nicht fra- 47 Thüsing, NZA 2011, 16, BAG, Beschl. v ABR 16/07, NZA 2008, 1187; BAG, Beschl. v ABR 34/03, RDV 2005, 216; BAG, Beschl. v ABR 21/03, NZA 2004, Dazu Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010, Rn. 335 ff.; Forst, RDV 2009, 204 ff. 50 BR-Drucks. 535/10, S In diese Richtung Bayreuther, NZA 2005, 1038, 1041; Däubler, NZA 2001, 874, Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010, Rn S. bereits Thüsing, NZA 2011, 16, Thüsing, in: Henssler/Willemsen/Kalb, Arbeitsrecht-Kommentar, 4. Aufl. 2010, 123 BGB Rn. 14 m.w.n.

12 170 RDV 2011 Heft 4 gen. Umgekehrt können Parteien oder politische Arbeitgeber (z.b. Medienunternehmen) vor der Einstellung nach der Parteizugehörigkeit fragen 55, nicht aber zwingend auch nach der Gewerkschaftszugehörigkeit, wobei Überschneidungen im Einzelfall natürlich möglich sind. 32 Abs. 5 BDSG-E ist so formuliert, als sollten beide Gruppen von Arbeitgebern vor der Einstellung stets nach beiden Merkmalen fragen dürfen. Ob dies beabsichtigt war, lässt sich der Regierungsbegründung nicht entnehmen 56. Ebenso möglich scheint eine unglückliche Formulierung, so dass weiterhin der status quo gelten würde. Eine Klarstellung schadet in keinem Fall. Schleipfer, Die sog. Cookie-Bestimmungen in der eprivacy-richtlinie so grundlegende Fragen wie die Zulässigkeit der Einwilligung und die Reichweite der Betriebsvereinbarung als Rechtfertigungsinstrument, aber auch viele Detailregelungen. Kritisch zu beurteilen sind die Bindung des Fragerechts des Arbeitgebers an die Maßstäbe des 8 Abs. 1 AGG auch in Bezug auf Nicht- AGG-Merkmale, das Verbot der heimlichen Videoüberwachung und die Erschwerung einer präventiven Compliance. Wo der BDSG-E (scheinbar) großzügiger ist als das geltende Recht, sollte der Gesetzgeber eine Klarstellung vornehmen. Das betrifft vor allem 32 Abs. 5 BDSG-E. IV. Summa Bereits der kurze und nicht erschöpfende Überblick über die wichtigsten Neuregelungen zeigt ganz deutlich: Der BDSG-E bringt Einschränkungen. Das betrifft 55 Ehrich, DB 2000, 421, 426 m.w.n.; Wisskirchen/Bissels, NZA 2007, 169, 172; s. zu Mandaten in DDR-Organisationen BAG, Urt. v AZR 828/93, BAGE 81, BR-Drucks. 535/10, S. 29; in dem genannten Sinn bereits ausgelegt von Richardi/Fischinger, in: Staudinger, BGB, Bearb. 2011, 611 Rn Für Klarstellung der Formulierung des 32 Abs. 5 BDSG-E bereits Forst, NZA 2010, 1043, Dr. Stefan Schleipfer, München* Die sog. Cookie-Bestimmungen in der eprivacy-richtlinie und ihre Umsetzung in deutsches Recht Mit dem Ziel, in der Europäischen Union einheitliche Rahmenbedingungen für die elektronische Kommunikation zu schaffen, erließ die EU 2002 die Datenschutzrichtlinie für elektronische Kommunikation, die sog. eprivacy-richtlinie. Für Cookies wurde darin in Art. 5 Abs. 3 eine Unterrichtungspflicht sowie ein Widerspruchsrecht (Opt-out) gefordert. Die überarbeitete eprivacy-richtlinie von 2009 verschärft diese Bestimmungen und fordert für die Verarbeitung von Cookies neben der Unterrichtung eine Einwilligung des Nutzers. Außerdem erweitert sie den Anwendungsbereich der Bestimmungen auf Schadprogramme (Malware) und verlangt für ihren Einsatz ebenfalls Unterrichtung und Einwilligung. Bis zum 25. Mai 2011 sollten diese Bestimmungen in nationales Recht umgesetzt werden. Die Umsetzung kommt allerdings nur zögerlich in Gang. Der Aufsatz zeichnet die Entstehungsgeschichte der veränderten Bestimmungen nach, klärt ihren Anwendungsbereich, diskutiert und bewertet mögliche Auslegungen, zeigt die Folgen verschiedener Umsetzungen in deutsches Recht auf und schließt mit einer Darstellung der aktuellen Umsetzungssituation. 1. Entstehungsgeschichte 2007 legte die EU-Kommission einen ersten Entwurf 1 vor, der die eprivacy-richtlinie von überarbeiten sollte. Für Art. 5 Abs. 3 nahm sie nur technische Anpassungen im Wortlaut 3 vor. Am Grundsatz des Widerspruchrechts hielt sie fest. Daran nahm zunächst auch niemand Anstoß; weder die Art.-29-Gruppe 4 noch der Europäische Datenschutzbeauftragte 5 kritisierten dies in ihren Stellungnahmen. Der Vorschlag, für die Verwendung von Cookies eine Einwilligung zu verlangen, erscheint erstmals in einem Änderungsantrag 6 des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments. Der LIBE-Ausschuss mit Alexander Alvaro als Berichterstatter war zuständig für die parlamentarische Behand- * Der Autor ist verantwortlich für den Technischen Datenschutz bei der HypoVereinsbank, München. Der Aufsatz gibt die persönliche Meinung des Autors wieder. 1 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zur Änderung der Richtlinie 2002/22/EG, , KOM (2007) 698 endgültig. 2 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). 3 KOM(2007) 698 endgültig (Fn. 1), S. 12f. 4 Stellungnahme 2/2008 zur Überprüfung der Richtlinie 2002/58/EG., , WP Stellungnahme des Europäischen Datenschutzbeauftragten, , Amtsblatt der Europäischen Union, 2008/C 181/01. 6 Europäisches Parlament, Ausschuss LIBE, Änderungsanträge 29-93, , PE v03-00, Änderungsantrag 69, S. 35f.

13 Schleipfer, Die sog. Cookie-Bestimmungen in der eprivacy-richtlinie RDV 2011 Heft lung der eprivacy-richtlinie 7. Das EU-Parlament nahm den Änderungsantrag in Erster Lesung inhaltlich unverändert an 8. Im Vorfeld der Zweiten Lesung schlug der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) in Abstimmung mit dem LIBE-Ausschuss eine weitere Ergänzung vor: Die Bestimmungen sollten jetzt auch für Viren und andere Schadsoftware gelten 9. Der Vorschlag wurde in Zweiter Lesung vom Europäischen Parlament angenommen 10, und beide Änderungsvorschläge hielten nach der Verabschiedung in Dritter Lesung 11 Einzug in die endgültige Version. Art. 5 Abs. 3 der Richtlinie von erhielt damit folgende Fassung: Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. 2. Anwendungsbereich Gegenstand der Bestimmungen in Art. 5 Abs. 3 sind Vorgänge, die Informationen auf dem Endgerät des Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen. Dieses Muster passt genau auf Cookies, die vom Anbieter beim ersten Abruf auf dem Endgerät des Nutzers gespeichert und bei nachfolgenden Abrufen ausgelesen und zum Anbieter übertragen werden Malware Offenbar hat die Richtlinie aber nicht nur Cookies im Auge. Bereits die Richtlinie von 2002 sprach von Spyware 13. Die Richtlinie von 2009 sieht darüber hinaus auch in Viren eine Bedrohung der Privatsphäre des Nutzers 14 und lässt Art. 5 Abs. 3 auch für sie gelten 15. Gemeint sind offenbar nicht nur Viren im Sinne von sich selbst reproduzierenden Computerprogrammen, sondern alle Schadprogramme, deren Ziel es ist, auf dem Endgerät des Nutzers Schaden anzurichten oder diesen auszuspähen, sog. Malware, inkl. ihrer verschiedenen Varianten wie Viren, Trojaner, Würmer, Keylogger, Spyware etc. 16. Als Speichern von Information auf dem Endgerät könnte hier das Speichern des Malware-Programms interpretiert werden 17. Ein Zugriff auf Information auf dem Endgerät liegt vor, wenn eine Schadfunktion Daten zerstört oder wenn Spyware Daten liest und an Dritte weiterreicht. Ob die Malware aus dem Internet oder über einen lokalen Datenträger auf das Endgerät gelangt ist, spielt keine Rolle Cookies Cookies können im Grunde beliebige Daten enthalten und vom Nutzer zum Anbieter transportieren, werden heute aber meistens für einen von drei Zwecken verwendet: um Einstellungen zu speichern, als Session- Cookies oder als Lösung des Wiedererkennungsproblems für Nutzungsprofile. Der erste Zweck verwendet persistente Cookies, um Einstellungen längerfristig zu speichern, etwa einen Login-Namen oder benutzerspezifische Einstellungen einer Webanwendung. Wenn das Speichern im Auftrag des Nutzers erfolgt, ist die Ausnahmebedingung in Satz 2 der Bestimmungen anwendbar: wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Hier ist demnach keine Einwilligung erforderlich. Session-Cookies lösen das Wiedererkennungsproblem für Sessions 19, die sog. Session-Steuerung. Ein Webanbieter erstellt am Beginn der Session eine eindeutige Session-ID, speichert diese in einem Session- Cookie im Arbeitsspeicher des Browsers beim Nutzer, und der Cookie-Inhalt wird bei jedem URL-Abruf in der Session zum Anbieter übertragen. Der Anbieter 7 e-privacy. 8 Legislative Entschließung des Europäischen Parlaments vom , P6_TA (2008) 0452, S Review of the Regulatory Framework for electronic communications networks and services, 7939/09, , Recital 52, S Standpunkt des Europäischen Parlaments, festgelegt in zweiter Lesung am , EP-PE_TC2-COD (2007) 0248, Erwägungsgründe 65 und 66, S Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates, , PE-CONS 3674/1/09 REV 1, S. 33f, Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und 13 Richtlinie 2002/58/EG, Erwägungsgrund Richtlinie 2009/136/EG, Erwägungsgrund Richtlinie 2009/136/EG, Erwägungsgrund Im Entwurf einer Stellungnahme des LIBE-Ausschusses vom werden Spähsoftware, Trojaner und andere bösartige Software genannt, PE v02-00, S Rede Alexander Alvaro in der Plenardebatte des Europäischen Parlaments am : Gleichzeitig haben wir erreicht, dass das Einverständnis des Nutzers nun zwingend gegeben werden muss, wenn Programme oder Anwendungen gespeichert werden., CRE 05/05/ PE v02-00 (Fn. 16), S Eine Session ist ein Zeitintervall, in dem der Nutzer ohne längere Zeitunterbrechung URLs von einem Anbieter abruft; Beispiele: Besuch eines Webauftritts oder Zeitraum von Login bis Logout.

14 172 RDV 2011 Heft 4 Schleipfer, Die sog. Cookie-Bestimmungen in der eprivacy-richtlinie kann so den Nutzer wiedererkennen, weiß beispielsweise, dass es derselbe ist, der sich vorhin mit Benutzername und Passwort angemeldet hat. Auch auf Session-Cookies wird die genannte Ausnahmebedingung angewendet 20. Diese Interpretation ist durch den Wortlaut der Bestimmungen schwer zu rechtfertigen, da Session-Cookies nicht unbedingt erforderlich sind. Es gibt nämlich eine technische Alternative, das URL-Rewriting 21, das ohne Speicherung und Zugriff auf Informationen auf dem Endgerät auskommt und damit von den Bestimmungen nicht erfasst ist. Es wäre allerdings nicht in derem Sinn, URL- Rewriting anstatt Session-Cookies zu verwenden, da diese Alternative sicherheitstechnisch schwächer einzustufen ist. Auch die andere Ausnahmebedingung passt nicht: wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist. Trotzdem wird man Session-Cookies von der Verpflichtung zur Einwilligung ausnehmen müssen, da es sich um einen technischen Speicherungsgrund handelt, den der Gesetzgeber offenbar ausnehmen wollte 22. Ein dritter Verwendungszweck von Cookies liegt in der Lösung des Wiedererkennungsproblems für Nutzungsprofile. Hier wird ein eindeutiger Identifikator im Cookie kurz- oder langfristig 23 im Endgerät des Nutzers gespeichert und bei jedem Abruf zum Anbieter übertragen. Der Anbieter kann daran erkennen, dass es sich um einen bereits bekannten Nutzer handelt 24, und in dessen Nutzungsprofil einen neuen Logeintrag abspeichern. Diese Art von Cookies sind es offenbar, die die Richtlinie im Auge hat, wenn sie Unterrichtung und Einwilligung verlangt. Die Bestimmungen sind auch auf Alternativen zu den traditionellen HTTP-Cookies anwendbar, die sich zunehmend verbreiten. Dazu zählen insbes. die sog. Flash-Cookies, aber auch ähnliche Speicherbereiche in DOM, Silverlight etc. 25. Sie alle sind geeignet, einen Identifikator auf dem Endgerät des Nutzers zu speichern und ihn bei jedem Abruf zum Anbieter zu übertragen. Von diesem Muster weicht eine neue Alternative ab, die nur Konfigurationsdaten über die Umgebung des Nutzers sammelt und daraus einen weitgehend individuellen Fingerabdruck erstellt 26. Obwohl dabei nur Zugriffe, aber keine Speichervorgänge stattfinden, ist auch diese Alternative von den Bestimmungen erfasst, da dort beide Begriffe mit oder verknüpft sind Ergebnis In den Anwendungsbereich der Bestimmungen fallen Cookies, die zur Lösung des Wiedererkennungsproblems für Nutzungsprofile eingesetzt werden, aber auch in der öffentlichen Diskussion weitgehend unbeachtet Malware. Art. 5 Abs. 3 nennt Teilnehmer und Nutzer als die von den Bestimmungen zu schützenden Subjekte. Was Cookies betrifft, so geht es hier um die Nutzer von Webdiensten im Internet. Von Malware sind alle Nutzer von Endgeräten betroffen; sie fallen daher unter den Schutzbereich der Bestimmungen. Der Begriff Teilnehmer ist hier überflüssig; er kommt an anderen Stellen der Richtlinie im Sinn eines Anschlussinhabers vor. Im Hinblick auf Cookies sind die Adressaten der Bestimmungen alle, die Cookies auf Endgeräten speichern oder abrufen, also Anbieter von Web-Inhalten sowie Betreiber von Werbenetzwerken 27. Normadressaten sind auch die Anbieter von Malware, die im Übrigen meist in einer Anwendung mit tatsächlich oder vorgeblich nützlichen Funktionen versteckt ist. 3. Auslegung Die sog. eprivacy-richtlinie, die sich im Untertitel Datenschutz-Richtlinie für elektronische Kommunikation nennt, gilt laut Art. 3 für die Verarbeitung von personenbezogenen Daten. Hinsichtlich der Definition von Begriffen verweist Art. 2 Satz 1 zurück auf Richtlinie 95/46/EG. Dort ist Einwilligung definiert als Willensbekundung, mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Art. 7 führt dort in Buchstabe a) die Einwilligung als mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten auf. Erwägungsgrund 17 der Richtlinie 2002/58/EG stellt ausdrücklich klar: Für die Zwecke dieser Richtlinie sollte die Einwilligung des Nutzers dieselbe Bedeutung haben wie der in der Richtlinie 95/46/EG definierte und dort weiter präzisierte Begriff Einwilligung der betroffenen Person. Auch was die Unterrichtung des Nutzers betrifft, so spricht Art. 5 Abs. 3 der Richtlinie 2009 von Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält und verweist damit auf Art. 10, der die Unterrichtungspflichten bei der Erhebung personenbezogener Daten definiert. Damit ist der gesamte rechtliche Rahmen klar auf Bestimmungen zum Schutz personenbezogener Daten ausgerichtet. Ob Art. 5 Abs. 3 so auch der Absicht des 20 Peter Schaar, Der Blog. Thema: Cookies ade?!, , bund.de/bfdi_forum/showthread.php?1144-cookies-ade-!#3. 21 Beim URL-Rewriting werden die Seiten so generiert, dass sie die Session-ID als URL-Parameter übertragen. Vgl. Robin Laerm, Session Management Essentials, Fachhochschule Augsburg, 2005, S An exception to the consent-requirement is also provided for purely technical storage purposes. In: Alexander Alvaro, Cookies Prior Consent Not Required. Privacy & Security Law Report, 9 PVLR 42, 10/25/2010, S Kurzfristig gespeicherte Cookies, also Session-Cookies, sind nur dann vom Erfordernis der Unterrichtung und Einwilligung ausgenommen, wenn sie der Session-Steuerung dienen, nicht aber, wenn sie zur Erstellung kurzfristiger Nutzungsprofile eingesetzt werden. 24 Der Anbieter muss dazu nicht wissen, um welche Person es sich handelt. 25 Braun, Bager, Tratschtanten. Was Browser an Daten sammeln und preisgeben. c t 21/2009 S Fast alle Browser sind eindeutig identifizierbar. heise-meldung Art.-29-Gruppe, Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting, , WP 171, S

15 Schleipfer, Die sog. Cookie-Bestimmungen in der eprivacy-richtlinie RDV 2011 Heft EU-Gesetzgebers entspricht, ist damit jedoch keineswegs sicher. Im Kern geht es um die Frage, wie der Begriff Information zu verstehen ist. Nach der engen Auslegung ist er personenbezogenen Daten gleichzusetzen. Diese Interpretation wird auch durch eine Äußerung Alexander Alvaros gestützt, wonach es das Ziel von Art. 5 Abs. 3 war, die Nutzer dagegen zu schützen, dass ihre personenbezogenen Daten durch Spy- und Malware ohne ihr Wissen missbraucht werden 28. Die weite Auslegung geht dagegen von Erwägungsgrund 24 der Richtlinie 2002/58/EG aus, wonach das Endgerät des Nutzers Teil seiner Privatsphäre ist. Jeder Zugriff auf das Endgerät wird demnach als mögliche Bedrohung seiner Privatsphäre angesehen. Unter Information sind hier beliebige Inhalte auf dem Endgerät zu verstehen, Programme und Daten, unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Diese weite Auslegung wird von der Art.-29-Gruppe 29 und von der EU-Kommission 30 vertreten Auslegung für Malware Interpretiert man den Art. 5 Abs. 3 eng entsprechend seinem datenschutzrechtlichen Kontext, so sind die Bestimmungen auf das Speichern der Malware nicht anwendbar, da dabei keine personenbezogenen Daten verarbeitet 31 werden. Sie greift lediglich dann, wenn eine Schad- oder Spionagefunktion der Malware tätig wird und dabei personenbezogene Daten verarbeitet, d.h. beschädigt oder ausspioniert. Für diese Verarbeitungen lässt sich aber bereits aus der Richtlinie 2002/46/EG außer einer Einwilligung keine Rechtsgrundlage herleiten, so dass die Bestimmungen für Malware ohne Wirkung bleiben. Nach der weiten Auslegung verbietet Art. 5 Abs. 3 sowohl das Speichern von Malware auf dem Endgerät des Nutzers als auch ihr Tätigwerden ohne weitere Einschränkungen. Auch diese Interpretation lässt sich auf eine Aussage Alexander Alvaros stützen, wonach das Einverständnis des Nutzers zwingend gegeben werden muss, wenn Programme oder Anwendungen gespeichert werden 32. Es spricht vieles dafür, dass diese weite Auslegung der Absicht des Gesetzgebers entspricht Auslegung für Cookies Für Cookies bedeuten diese Bestimmungen: Das Speichern von und der Zugriff auf Cookies, die das Wiedererkennungsproblem für Nutzungsprofile lösen, ist nur zulässig, wenn der Nutzer ausreichend über die Zwecke dieser Verarbeitung unterrichtet wurde und in die Verarbeitung eingewilligt hat. Folgt man der engen Auslegung, so ist zu ergänzen: soweit im Rahmen der Wiedererkennung personenbezogene Daten verarbeitet werden. Dies ist insbes. der Fall, wenn das Cookie einen Identifikator oder ein anderes Datum enthält, aus dem der Anbieter die Person des Nutzers ableiten kann. Allein aufgrund der Richtlinie 95/46/EG hätte man eine derartige Konstellation vielleicht noch aufgrund einer Interessenabwägung entspr. Art. 7 Buchstabe f) rechtfertigen können. Art. 5 Abs. 3 der eprivacy-richtlinie stellt nach dieser Interpretation klar, dass hier keine Interessenabwägung möglich ist. Insgesamt ergeben sich damit, wenn überhaupt, nur wenige Fälle, für die der geänderte Artikel zusätzlich eine Einwilligung verlangt. Der Gesetzgeber wollte dagegen den Anwendungsbereich der Einwilligung ausweiten, um so den Verbraucherschutz zu stärken 33. Die wahrscheinliche Absicht des Gesetzgebers liegt damit auch in Bezug auf Cookies bei der weiten Auslegung. Das bedeutet, dass bei jedem Einsatz von Cookies zur Wiedererkennung für Nutzungsprofile eine Einwilligung erforderlich ist, unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden oder nicht Form der Einwilligung Der Änderungsantrag des LIBE-Ausschusses, der für die Verwendung von Cookies eine Einwilligung forderte, enthielt von Anfang an die Klarstellung, dass Browsereinstellungen als Einwilligung gelten 34. Im Laufe des Gesetzgebungsverfahrens wurde 2009 ein Kompromissvorschlag des EU-Rats angenommen 35. Demnach wurde zwar der Hinweis auf die Browsereinstellungen aus dem Art. 5 Abs. 3 gestrichen, er blieb aber im Erwägungsgrund 66 erhalten, mit dem Zusatz, wenn es technisch durchführbar und wirksam ist. Zudem wurde aus der zuvor verlangten vorherigen Einwilligung ( prior consent ) das Wort prior gestrichen 36. Es herrscht bis heute keine Einigkeit darin, wie diese Situation auszulegen ist. Die Art.-29-Gruppe vertritt einen restriktiven Standpunkt und möchte Browsereinstellungen nur unter sehr einschränkenden Bedingungen gelten lassen 37. Dagegen beharrt Alexander Alvaro darauf, dass die Einigung im Gesetzgebungsverfahren darin bestand, Browser-Einstellungen 28 Alvaro, Cookies Prior Consent Not Required (Fn. 22), S WP 171, S European Commission, Working Document: Implementation of the revised Framework Article 5(3) of the eprivacy Directive, COCOM 10-34, Der Begriff der Verarbeitung wird hier i.s. der EU-Richtlinie verwendet. Er umfasst die Begriffe Erheben, Verarbeiten und Nutzen i.s. des BDSG. 32 CRE 05/05/ (Fn. 17.) 33 PE v02-00 (Fn. 16), S. 5. Als Ziel wird genannt: Verstärkung des Verbraucherschutzes durch die Vorschrift, dass bestimmte Maßnahmen der vorherigen Einwilligung der Nutzer bedürfen. 34 Stellungnahme des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres, PE v03-00, , Änderungsantrag 25, S. 22. Insoweit unzutreffend: Tätigkeitsbericht 2009 und 2010 des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, S Review of the Regulatory Framework for electronic communications networks and services, 8885/09, /09 (Fn. 35), S. 26 und 55. Dort noch Erwägungsgrund Nr. 52a. 37 WP 171, S

16 174 RDV 2011 Heft 4 seien als Einwilligung ausreichend 38. Als Berichterstatter für das Thema Datenschutz ist er ein glaubwürdiger Zeuge, dass seine Position die Absicht des Gesetzgebers wiedergibt. Das bedeutet, dass der Nutzer nur noch beim Einsatz von Cookie-Alternativen wie z.b. Flash-Cookies um explizite Zustimmung gefragt werden muss, nicht aber bei den HTTP-Cookies Ergebnis Die Auslegung des Art. 5 Abs. 3 ist nicht eindeutig. Der Wortlaut weist klar auf die enge Auslegung hin, jedoch gibt es deutliche Anzeichen, die darauf hindeuten, dass die weite Auslegung der Absicht des Gesetzgebers entspricht, wobei Browsereinstellungen als Einwilligung gelten. Schleipfer, Die sog. Cookie-Bestimmungen in der eprivacy-richtlinie dass der Nutzer auch bei Verarbeitung von anonymen Daten um Einwilligung gefragt wird, obwohl ihm hier keine realistische Gefahr für seine Rechte droht. Geht man zusätzlich davon aus, dass Browsereinstellungen als Einwilligung gelten, so führt die fehlende Differenzierung nach dem Personenbezug zu Wertungen, die nicht sachgerecht sind: Ein Flash-Cookie, das einen anonymen Identifikator transportiert, braucht, da hier keine Browsereinstellung als Ersatz vorhanden ist, eine ausdrückliche Zustimmung des Nutzers, obwohl für dessen Rechte dadurch keine reale Gefahr droht. Dagegen bedeutet ein personenbezogener Identifikator, der über ein HTTP-Cookie übertragen wird, für den Nutzer eine höchst gefährliche Situation, da damit der Webanbieter personenbezogene Nutzungsprofile erstellen kann. In diesem Fall ist jedoch die Einwilligung bereits durch die Browsereinstellung gegeben. 4. Kritik Folgt man der vermuteten weiten Auslegung, so ergeben sich eine Reihe von Kritikpunkten Verhältnis zum IT-Recht Nach Vorstellung des EU-Gesetzgebers bedroht auch Malware die Privatsphäre des Nutzers. Ihre Einbeziehung in die Bestimmungen zielt darauf ab, das Speichern der Malware und ggf. eine Schadfunktion, die Daten beschädigt, sowie eine Spionagefunktion, die Daten nach außen meldet, unter den Vorbehalt der Einwilligung des Nutzers zu stellen. Hier ergibt sich eine Überschneidung mit IT-rechtlichen Vorschriften. Eine Schadfunktion ist bereits durch den Rahmenbeschluss der EU von verboten. Mit dem Verbot der Spionagefunktion greift die eprivacy-richtlinie der Richtlinie über Angriffe auf Informationssysteme 40 vor, die gerade im Entstehen ist. Art. 5 Abs. 3 der eprivacy-richtlinie geht insofern über beide IT-rechtliche Vorschriften hinaus, als er bereits das Speichern von Malware auf dem Endgerät unter den Vorbehalt der Einwilligung stellt 41. Diese Malware-Bestimmungen der eprivacy-richtlinie mögen inhaltlich vernünftig sein. Fragwürdig ist es jedoch, wenn eine Datenschutz-Richtlinie ohne erklärten Grund in Konkurrenz tritt zu IT-rechtlichen Normen und offenbar ohne Abstimmung deren Gebiet besetzt Einwilligung für anonyme Daten Die weite Auslegung bedeutet, dass auch für die Verarbeitung anonymer Daten eine Einwilligung verlangt wird. Damit wird hier eines der Grundprinzipien des Datenschutzrechts verletzt, wonach nur für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich ist. Für die Praxis hat das zur Folge, 4.3. Ansatz Cookies statt Nutzungsprofile Mit der Forderung nach informierter Einwilligung soll erreicht werden, dass der Nutzer sich über den Verarbeitungszweck des Cookies informiert und aufgrund dieser Information entscheidet, ob er in dem Cookie einen unzulässigen Eingriff in seine Privatsphäre sieht. Nehmen wir dazu als Beispiel den Webauftritt eines Online-Händlers, der ein persistentes Cookie auf dem Endgerät des Nutzers speichern will. Wie der Nutzer korrekt unterrichtet wird, dient es zur Lösung des Wiedererkennungsproblems für ein langfristig zu speicherndes Nutzungsprofil im Zugriffsbereich des Online-Händlers. Damit ist der Zweck der Verarbeitung des Cookies ausreichend erklärt. Trotzdem kann der Nutzer aufgrund dieser Information nicht entscheiden, ob seine Rechte verletzt werden oder nicht. Dazu müsste er darüber unterrichtet werden, welche Verarbeitung anschließend auf dem Nutzungsprofil durchgeführt wird: Dient es zusammen mit anderen Nutzungsprofilen als Rohdaten für statistische Auswertungen? Oder wertet es der Anbieter individuell aus, um daraus das Nutzungsverhalten und damit die Interessen des Nutzers abzuleiten und entsprechende Werbung einzublenden? Oder bringt er es etwa mit der Person des Nutzers in Verbindung und führt es mit personenbezogenen Daten aus Einkäufen des Nutzers zusammen? Oder verkauft er diese Daten gar noch? Das bedeutet: Ob die Rechte des Nutzers verletzt werden oder nicht, entscheidet sich nicht an den Ver- 38 Alvaro, Cookies Prior Consent Not Required (Fn. 22), S Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme. Die Schadfunktion ist nach Art. 4 verboten. 40 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Angriffe auf Informationssysteme und zur Aufhebung des Rahmenbeschlusses 2005/222/JI des Rates, , KOM (2010) 517 endgültig. Die Spionagefunktion ist nach Art. 6 verboten. 41 CRE 05/05/ (Fn. 17).

17 Schleipfer, Die sog. Cookie-Bestimmungen in der eprivacy-richtlinie RDV 2011 Heft arbeitungszwecken des Cookies, sondern an den Verarbeitungszwecken des Nutzungsprofils. Über diese verlangt die Richtlinie aber weder Unterrichtung noch Einwilligung. Die Richtlinie erfasst nur einen Randbereich des eigentlichen Problemkerns. Die Fokussierung auf Cookies statt auf Nutzungsprofile führt in der Praxis dazu, dass Nutzungsprofile ohne Einwilligung durchgehen, wenn sie ohne Speichern oder Zugriff auf das Endgerät des Nutzers auskommen. Davon ist sogar ein Fall betroffen, der massiv die Rechte der Nutzer verletzt: Wenn ein Webanbieter innerhalb von Anmeldungen (von Login bis Logout) Nutzungsprofile erstellt und dabei als Identifikator den Anmeldenamen (Login-Namen) verwendet, erstellt er personenbezogene Nutzungsprofile 42, braucht dazu aber keine Einwilligung, da er keine Information auf dem Endgerät speichert oder auf dort gespeicherte Information zugreift Auswirkungen auf die Praxis Ein Großteil der Webauftritte erstellt heute Nutzungsprofile und setzt in diesem Rahmen Cookies ein. Die Nutzungsprofile dienen zum einen dazu, statistische Auswertungen zu erstellen, aus denen die bedarfsgerechte Gestaltung des Webauftritts und ihr Erfolg überprüft werden können. Zum andern erlaubt eine individuelle Auswertung des Nutzungsprofils, dem Nutzer entsprechend seinen Interessen Werbung einzublenden 44. Auf beides werden die meisten Anbieter von Webauftritten nicht verzichten wollen und daher, wenn sie dazu gezwungen werden, lieber die Einwilligung des Nutzers einholen. Lässt man die Browsereinstellungen nicht als Einwilligung gelten, so ergeben sich massive Auswirkungen auf die Praxis. Auch wenn pro Cookie von jedem Nutzer nur einmal beim Setzen und nicht mehr bei jedem Lesen eine Einwilligung verlangt wird 45, bedeutet das eine Masse an Einwilligungen, die jeder Nutzer zu bearbeiten hat. Nach dieser Interpretation soll er jedes Mal die Unterrichtung lesen und daraufhin entscheiden, ob er das Cookie akzeptieren will oder nicht. Für die Praxis muss man davon ausgehen, dass die meisten Nutzer die massenhaften Unterrichtungen nicht mehr lesen werden, sondern ungeprüft zustimmen, um die lästigen Fragen möglichst schnell zu beenden 46. Das Ziel der informierten Einwilligung würde verfehlt. Wenn die Nutzer nicht mehr lesen, was in der Unterrichtung zur Einwilligung steht, werden die Anbieter versucht sein, noch mehr in ihre Einwilligungserklärung zu packen und weiter in die Rechte der Nutzer einzugreifen. Sie könnten sich beispielsweise die Einwilligung geben lassen, eine Spyware zu installieren, die die Daten des Nutzers weiterleitet, oder die Einwilligung, eine Kundennummer mit ins Nutzungsprofil zu packen und dieses damit der Person zuzuordnen. Ausgerechnet datenschutzbewusste Nutzer, die ihren Browser so eingestellt haben, dass er Cookies beim Schließen automatisch löscht, wären besonders hart getroffen: Da sie in jeder Browser-Sitzung 47 neue Cookies erhalten, müssten sie jedes Mal neu zustimmen 48. Nur ein Verzicht auf das Löschen würde sie von dieser zusätzlichen Last befreien. Vertritt man dagegen den Standpunkt, dass Browsereinstellungen als Einwilligung ausreichen, so halten sich die praktischen Auswirkungen in Grenzen, solange HTTP-Cookies noch die vorherrschende Technik darstellen Ergebnis Art. 5 Abs. 3 versucht, gleichzeitig die datenschutzrechtliche Frage der Verwendung von Cookies und die IT-rechtliche Frage des Einsatzes von Malware zu lösen, erreicht aber keines der beiden Ziele. Was Malware betrifft, so fehlt es an der Abstimmung mit den bestehenden oder gerade entstehenden IT-rechtlichen Strafvorschriften. Mit den Cookies erfassen die Bestimmungen nur den Ausläufer des Problems, nicht aber dessen Kern, Nutzungsprofile. Der Ansatz der Richtlinie, die das Endgerät des Nutzers in den Mittelpunkt der Gefahrenanalyse stellt, ist angesichts von Nutzungsprofilen, die heute weltweit agierende Dritte auf ihren Servern ansammeln, überholt. 5. Umsetzung in deutsches Recht Wie sollte der deutsche Gesetzgeber diese EU-Vorgaben umsetzen? Im Licht der vorstehenden Ausführungen ist klar, dass es dabei nur um Schadensbegrenzung gehen kann. So gesehen bleibt wohl nur die Option, auf der engen Auslegung der Bestimmungen nach dem Wortlaut der Richtlinie zu bestehen, so dass Einwilligungen nur dann erforderlich sind, wenn personenbezogene Daten verarbeitet werden. Unter dieser Voraussetzung ändern die Bestimmungen hinsichtlich Malware auch im deutschen Recht nichts an der Rechtslage, da es dabei nur ausnahmsweise um personenbezogene Daten geht, und soweit doch, dies bereits durch geltendes Recht verboten ist. Sollte die EU-Kommission trotzdem auf einer Umsetzung bestehen, so wäre das Strafgesetzbuch und nicht 42 Nach dem deutschen Recht ist das ein Verstoß gegen das Zusammenführungsverbot nach 15 Abs. 3 Satz 3 TMG. 43 Falls er die Session-Steuerung der Anmeldung über Session-Cookies löst, greift er dafür auf das Endgerät zu. 44 Schleipfer, Nutzungsprofile unter Pseudonym. RDV 4/2008, S , So die Art.-29-Gruppe, WP 171, S. 20, aufgrund Erwägungsgrund 25 der Richtlinie. 46 Wenn sie ablehnen, erreichen sie zunächst den gleichen Zweck. Dann aber müssen sie befürchten, dass anschließend die Nutzung des Webauftritts nicht mehr reibungslos funktioniert. 47 Zeitspanne zwischen Öffnen und Schließen des Browsers. 48 Frank Patalong, Cookie-Richtlinie. Wie die EU Internet-Nutzer nerven will. Spiegel online,

18 176 RDV 2011 Heft 4 Schleipfer, Die sog. Cookie-Bestimmungen in der eprivacy-richtlinie das TMG der richtige Platz für eine derartige strafrechtliche Vorschrift. Die enge Auslegung von Art. 5 Abs. 3 ergibt auch im Hinblick auf Cookies, die das Wiedererkennungsproblem für Nutzungsprofile lösen, keine Änderung der deutschen Rechtslage. Das liegt daran, dass das TMG, anders als die Richtlinie 95/46/EG, ohnehin keine Interessensabwägung zulässt. Sollten im Rahmen der Wiedererkennung personenbezogene Daten verarbeitet werden, ist bereits nach geltendem Recht eine Einwilligung erforderlich. Geht man dagegen von der weiten Auslegung aus, so würde eine Umsetzung im TMG, über die beschriebenen Probleme hinaus, zu einer widersinnigen Situation führen: Die Verwendung eines technischen Hilfsmittels zur Lösung eines Teilproblems für Nutzungsprofile, Cookies, würde der Einwilligung unterworfen, die Nutzungsprofile selbst, die es ja gerade sind, die die Rechte der Nutzer in Gefahr bringen, wären ohne Einwilligung zulässig, solange der Nutzer nicht widerspricht. Konsequent wäre es dagegen, für die Verwendung von Nutzungsprofilen eine Einwilligung zu verlangen, wie dies vom Düsseldorfer Kreis gefordert wird 49. Einwilligungen für Nutzungsprofile gehen jedoch weit über die Bestimmungen der Richtlinie hinaus. Außerdem würde sich damit eine sehr hohe Anzahl von Einwilligungen ergeben mit den entsprechenden negativen Folgen. Insbesondere würde der bisherige Anreiz für die Anbieter, unter der Grenze der pseudonymen Nutzungsprofile zu bleiben, um eine Einwilligung zu vermeiden, wegfallen. Wenn zusätzlich Browsereinstellungen als Einwilligungen anerkannt werden, so würde dies im Vergleich zur gegenwärtigen Situation einerseits eine Verschärfung bedeuten, da für den Transport eines anonymen Identifikators im Flash-Cookie eine explizite Zustimmung erforderlich wäre. Andererseits ergäbe sich eine Abschwächung, da für den Transport eines personenbezogenen Identifikators in einem HTTP-Cookie bereits die Browsereinstellung als Einwilligung ausreichen würde. Das TMG legt großen Wert darauf, die Erlaubnis zur Erstellung von pseudonymen Nutzungsprofilen nach 15 Abs. 3 Satz 1 durch das Zusammenführungsverbot nach Satz 3 zu begrenzen und sichert diese Grenze durch die Forderung nach technisch-organisatorischen Maßnahmen und Bußgeldandrohung ab 50. Der Transport eines personenbezogenen Identifikators in einem HTTP-Cookie zum Webanbieter ermöglicht personenbezogene Nutzungsprofile und ist damit als Verstoß gegen das Zusammenführungsverbot zu werten. Dass bereits Browser-Einstellungen als Einwilligung dafür ausreichen sollen, stünde im scharfen Kontrast zur Ausrichtung des TMG. Das für die Umsetzung zuständige Wirtschaftsministerium hat sich in dieser Situation klug verhalten. Es hat zuerst die enge Auslegung vertreten 51 und wartet jetzt Ergebnisse der Konsultationen auf europäischer Ebene ab 52. Es ist damit zu rechnen, dass die Bundesregierung den Vorschlag des Bundesrates 53, den Wortlaut von Art. 5 Abs. 3 ins TMG zu übernehmen, zurückweisen wird. Diese Lösung würde alle offenen Auslegungsfragen ungelöst lassen. 6. Fazit und Ausblick Das Anliegen der Cookie-Bestimmungen in der eprivacy-richtlinie ist berechtigt. Über jeden von uns sind in den letzten Jahren in den Händen von Wenigen Nutzungsprofile entstanden, die unser Nutzungsverhalten und unsere Interessen oft auf Jahre zurück wiedergeben, häufig mit der Möglichkeit, sie der Person zuzuordnen. Viele Nutzer ahnen nicht einmal, was da über sie gesammelt wird. Es besteht also dringender Handlungsbedarf, die Position der Nutzer zu stärken, am besten weltweit oder zumindest auf europäischer Ebene. Die Cookie-Bestimmungen in der eprivacy-richtlinie werden diesem Ziel jedoch nicht gerecht. Ihr Ansatz, der das Endgerät des Nutzers in den Mittelpunkt stellt, erfasst mit den Cookies nur den Randbereich des eigentlichen Problems, Nutzungsprofile, und führt zu unnötigen Überschneidungen mit IT-rechtlichen Vorschriften. Die Bestimmungen lassen viel Spielraum für unterschiedliche Auslegungen, und wenn die EU weiter auf Umsetzung in nationale Rechtsvorschriften besteht, wird ein Flickenteppich unterschiedlicher nationaler Umsetzungen entstehen. Werden sie eng ausgelegt, so entfalten sie kaum eine Wirkung. Legt man sie dagegen weit aus, so führt dies in der Praxis zu einer Schwächung statt wie beabsichtigt zu einer Stärkung der Nutzerrechte. In dieser Situation ist der Vorschlag der Art.-29-Gruppe nach einem Diskussionszeitraum 54 nur zu unterstützen. Was tatsächlich gebraucht wird, ist ein zweifacher Ansatz. Zum einen auf Anbieterseite sollte die EU möglichst europaweit einheitliche Bestimmungen durchsetzen, nicht zu Cookies, sondern zu Nutzungsprofilen. Die deutschen Bestimmungen dazu im TMG über pseudonyme Nutzungsprofile stellen einen ausgewogenen Kompromiss dar zwischen den legitimen Interessen der Anbieter nach Überprüfung und Optimierung ihrer Webangebote und den ebenso legitimen Interessen der Nutzer nach Anonymität in ihrem Nutzungsverhalten 55. Sie können daher durchaus als Muster für europäische Regelungen gelten. 49 Umsetzung der Datenschutzrichtlinie für elektronische Kommunikationsdienste. Beschluss des Düsseldorfer Kreises vom 24./ Schleipfer, Ist die IP-Adresse zu löschen? Eine Erörterung im Kontext von Nutzungsprofilen. RDV 4/2010 S. 168 (173). 51 Düsseldorfer Kreis, 24./ (Fn. 49). 52 BMWi, Entwurf eines Gesetzes zur Änderung telekommunikationrechtlicher Regelungen, , S Entwurf eines... Gesetzes zur Änderung des Telemediengesetzes (TMG), , BR-Drs. 156/11 54 WP 171 (Fn. 29), S Schleipfer, Ist die IP-Adresse zu löschen? (Fn. 50), S. 175.

19 Starke, Zur Zulässigkeit der automatischen Aufzeichnung von Telefongesprächen RDV 2011 Heft Zum andern auf Nutzerseite braucht es keine neuen Gesetze. Die EU sollte vielmehr Druck auf die Browserhersteller und auf verschiedene Organisationen ausüben, um zu erreichen, dass in Zukunft Browser ausgeliefert werden, die bereits in ihrer Voreinstellung dem Nutzer Schutz vor umfassenden Nutzungsprofilen bieten. Der kürzlich vorgelegte Vorschlag 56 des IAB Europe erreicht dieses Ziel noch nicht 57. Dieser Vorschlag ist eine Reaktion auf die Forderung 58 der für die Digitale Agenda zuständigen EU- Kommissarin Neelie Kroes nach Selbstregulierung bei der Umsetzung der Cookie-Bestimmungen. Frau Kroes hat sich zwar anerkennend zu dem Vorschlag der IAB Europe geäußert 59, setzt aber inzwischen offenbar mehr auf den Vorschlag der Stanford University, Do Not Track 60, der auch von der FTC unterstützt wird 61. Sie fordert jetzt seine Standardisierung bis Juni Sollte der Druck, den die EU mit ihren Bestimmungen aufgebaut hat, dazu führen, dass für den Nutzer ein besserer Schutz vor ungewollter Profilbildung erreicht wird, so hätte sie, wenn auch nicht auf dem geplanten Weg der Umsetzung in nationales Recht, doch das Ziel erreicht. Sie sollte dann allerdings die aktuellen Cookie-Bestimmungen zurückziehen und durch geeignete Bestimmungen über Nutzungsprofile ersetzen. 56 IAB Europe, European Self-regulation for Online Behavioural Advertising Der Vorschlag ist eine Opt-out-Lösung mit unterschiedlichen nationalen Umsetzungen, vgl. Die deutsche Umsetzung, verlangt individuelle Widersprüche für einzelne Anbieter. 58 Neelie Kroes, Towards more confidence and more value for European Digital Citizens. Speech/10/452, Brüssel, Neelie Kroes, Online privacy reinforcing trust and confidence. Speech/11/461, Brüssel, , S donottrack.us. Demnach kann der Nutzer seinen Browser so einstellen, dass er bei jedem HTTP-Abruf eine Aufforderung Do not track an den Empfänger schickt. Nicht eindeutig festgelegt ist bisher dessen geforderte Reaktion. 61 Federal Trade Commission: Protecting Consumer Privacy in an Era of Rapid Change, 12/2010, S Kroes, Online Privacy (Fn. 59), S. 5. Gerolf J. Starke, Kaiserslautern * Zur Zulässigkeit der automatischen Aufzeichnung von Telefongesprächen der Meldestelle bei Gasversorgungsunternehmen I. Sachverhalt Gasversorgungsunternehmen 1 betreiben einen Bereitschaftsdienst bestehend aus einer Meldestelle und einem Entstörungsdienst. Die Meldestelle nimmt telefonische Meldungen von Störfällen der Gasversorgung entgegen 2 und leitet diese zur Klärung an den Entstörungsdienst weiter. Die Meldestelle steht jedermann 24 Stunden am Tag und sieben Tage in der Woche zur Verfügung. Die mit der Meldestelle geführten Telefongespräche werden zu Dokumentationszwecken automatisch aufgezeichnet 3. Der Aufsatz beschäftigt sich mit der rechtlichen Zulässigkeit dieser Aufzeichnung. II. Kritische Betrachtung 1. Notwendigkeit einer Meldestelle bei GVUs Die Verordnung über Allgemeine Bedingungen für die Gasversorgung von Tarifkunden (AVBGasV) regelt die allgemeinen Bedingungen, zu denen Gasversorgungsunternehmen nach 6 Abs. 1 des Energiewirtschaftsgesetzes jedermann an ihr Versorgungsnetz anzuschließen und zu allgemeinen Tarifpreisen zu versorgen haben 4. Hierbei konkretisiert 5 AVBGasV den Umfang der Versorgung als Verpflichtung, den Gasbedarf des Kunden jederzeit zu befriedigen 5. Dabei ist jede Unterbrechung und Unregelmäßigkeit in der Gasversorgung unverzüglich zu beheben 6. Die Haftung des GVUs bei Versorgungsstörungen greift jedoch nur bei Vorsatz oder Fahrlässigkeit 7. Aus den Anforderungen des 5 AVBGasV nach einer unterbrechungsfreien * Der Autor ist als externer Datenschützer für den öffentlichen und nicht-öffentlichen Bereich tätig. 1 Kurz: GVU. 2 Wohingegen z.b. in Österreich eine landesweite einheitliche Gasnotrufnummer existiert, gibt es eine einheitliche Rufnummer in der Bundesrepublik Deutschland nicht. Jedes GVU gibt eine unternehmenseigene Rufnummer bekannt, unter der Störungen der Gasversorgung gemeldet werden können. 3 Die automatische Aufzeichnung von Gesprächen ist gängige Praxis und dem Autor aus eigener Arbeit bekannt, auch wenn daraus nicht geschlossen werden kann, dass in der Praxis jedes GVU die unter der Meldestelle geführten Telefongespräche aufzeichnet. Zum Einsatz kommen verschiedene Techniken: Teilweise werden Gespräche der Meldestelle generell automatisch aufgezeichnet, teilweise werden sie mit Hilfe einer Drohanrufaufzeichnung aufgezeichnet. Die Drohanrufaufzeichnung zeichnet das Gespräch von Beginn an auf, löscht es jedoch nach typischerweise einer Viertelstunde wieder, sofern nicht eine längere Speicherung für das einzelne Gespräch innerhalb der Viertelstunde aktiviert wird. 4 1 AVBGasV. 5 Ausgenommen von der Versorgung zu jeder Zeit sind Fälle höherer Gewalt, wirtschaftlich unzumutbare Umstände, betriebsnotwendige Unterbrechungen (z.b. Wartungsarbeiten an den Versorgungsleitungen): 5 (1) 2. AVBGasV. 6 5 (2) AVBGasV. 7 Bei Sachbeschädigung oder Vermögensschäden greift die Haftung nur bei Vorsatz oder grober Fahrlässigkeit, 6 (1) 2., 3. AVBGasV.

20 178 RDV 2011 Heft 4 Starke, Zur Zulässigkeit der automatischen Aufzeichnung von Telefongesprächen Gasversorgung in der vom Kunden gewünschten Gasmenge leitet sich die Notwendigkeit zur Einrichtung eines Bereitschaftsdienstes beim GVU ab, der so organisiert sein muss, dass er den gesetzlichen Anforderungen nachkommt. Der DVGW e.v. 8 entwickelt die technischen Standards für eine sichere und zuverlässige Gasversorgung 9 und trägt zur Entwicklung der anerkannten Regeln der Technik bei. Dass in einem Störfall der Gasversorgung insbesondere bei Gasaustritt aus Versorgungsleitungen Schnelligkeit in der Störfallbehebung geboten ist, steht außer Frage, denn man denke nur an die Gefahren für Leib und Leben, aber auch an Vermögensschäden, die eine Gasexplosion verursachen kann 10. So gilt es als anerkannte Regel, dass im Gefahrenfall in bebauten Bereichen innerhalb von 30 Minuten mit der Gefahrenabwehr bei Kundenanlagen vor Ort begonnen wird und somit ein Bereitschaftsdienst mit entsprechender Meldestelle vom GVU einzurichten ist. Die Reaktionszeit setzt eine entsprechende Organisation des GVUs voraus, welche der DVGW e.v. im Arbeitsblatt GW 1200 beschreibt 11. Für die Dokumentation der eingehenden Störungsmeldung heißt es dort: Jede eingehende Störungsmeldung ist nachvollziehbar zu dokumentieren (evtl. zusätzlich Tonbandmitschnitt) 12. Und weiter: die dokumentierten Daten [...] sind bis zur endgültigen Klärung einer Schadensursache, mindestens jedoch 6 Jahre, aufzubewahren 13. Die telefonische Kommunikation ist wie jede Art der Kommunikation Verständnisfehlern unterworfen. Dass derjenige, welcher einen Störfall meldet, sich im Straßennamen oder der Hausnummer irren kann oder aber auch von der Meldestelle ähnlich klingende Straßennamen verwechselt werden können, wäre deshalb verständlich. Der Tonbandmitschnitt 14 des Telefonats böte der Meldestelle die Möglichkeit, die Angaben nachträglich zu überprüfen und ermöglicht dem GVU im drohenden Haftungsfall, sofern sich der Anrufer beispielsweise im Straßennamen geirrt hat 15 sich von der Fahrlässigkeit zu entlasten. 2. Vertraulichkeit des Wortes Das Recht am eigenen Wort gehört zum Allgemeinen Persönlichkeitsrecht, welches vom BGH entwickelt wurde 16. Wer demnach ein Gespräch ohne Zustimmung des Gesprächspartners aufzeichnet, verletzt Art. 1, 2 GG, welche die Person in ihren Persönlichkeitsrechten schützen. Angesichts der Bedeutung, die dem Schutz der Eigensphäre der Persönlichkeit zukommt, reicht das private Interesse an einer Beweismittelbeschaffung allein in der Regel nicht aus, eine heimliche Tonaufnahme eines Gesprächs zu rechtfertigen 17. Dies gilt auch im Geschäftsverkehr 18. Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer unbefugt [...] das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt 19. Dies gilt insbesondere auch für die Beteiligten eines Telefonats, welche in der Regel der Anrufer, der Angerufene und die Telefongesellschaft als der Diensteanbieter 20 sind. Für den Diensteanbieter gelten zusätzlich die speziellen Vorschriften des TKG. Dieses verpflichtet jeden Diensteanbieter 21 zur Wahrung des Fernmeldegeheimnisses 22. Auch das Fernmeldegeheimnis ist Teil des allgemeinen Persönlichkeitsrechtes 23. Bei der Nutzung von Telekommunikationseinrichtungen ist die Kommunikation besonderen Gefährdungen der Kenntnisnahme durch Dritte ausgesetzt und unterliegt deshalb besonderem Schutz 24, denn anders als bei einem Gespräch unter Anwesenden haben die Gesprächspartner nicht die Möglichkeit, die Rahmenbedingungen der Kommunikation allein festzulegen und dabei auch über deren Privatheit und über die beteiligten Personen selbst zu wachen 25. Beschränkungen des ansonsten unverletzlichen Fernmeldegeheimnisses 26 dürfen nur auf Grund eines Gesetzes angeordnet werden Erlaubnis zur Aufzeichnung von telefonischen Notrufen Eine gesetzliche Grundlage zur Aufzeichnung von telefonischen Notrufen findet sich in Landesgesetzen 28. So zum Beispiel in 30 des Polizei- und Ordnungsbehördengesetzes (POG) 29 : Die allgemeinen Ordnungsbehörden und die Polizei können Anrufe über Notrufeinrichtungen aufzeichnen. Im Übrigen ist eine Aufzeichnung von Anrufen nur zulässig, soweit dies 8 Deutscher Verein des Gas- und Wasserfaches e.v., Bonn. 9 Vgl. Ziele und Aufgaben des DVGW e.v., profil/ziele-und-aufgaben/. 10 Insofern kommt der telefonische Anruf bei der Meldestelle einem Notruf per Telefon gleich. 11 Arbeitsblatt GW 1200 des DVGW e.v.: Grundsätze und Organisation des Bereitschaftsdienstes für Gas- und Wasserversorgungsunternehmen. 12 Ebenda, 5.4.1, Seite Ebenda. 14 Tonbandmitschnitt steht stellvertretend für die Aufnahme auf jeglichen Tonträger. 15 Ein telefonischer Rückruf der Meldestelle beim Anrufenden ist zumeist nicht möglich, da auch das Telefonklingeln eine Gasexplosion auslösen kann. 16 Vgl. BGH, VI ZR 104/57 vom Vgl. ebenda. 18 BGH, VI ZR 83/87 vom (1) StGB. 20 Das im Falle von Telefonkonferenzschaltungen oder Telefonie über das Internet noch weitaus mehr Beteiligte existieren können, ist für den Sachverhalt unerheblich. 21 Nach 36. TKG ist Diensteanbieter jeder, der geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung mitwirkt. 22 Vgl. 88, 89 TKG. 23 Vgl. BVerfG, 1 BvR 1611/96 vom Ebenda. 25 Ebenda. 26 Das Fernmeldegeheimnis umfasst weitaus mehr als nur den Inhalt des Gespräches (z.b. auch die Gesprächspartner, Rufnummer, Gesprächsdauer, etc.). 27 Art. 10 GG. 28 Der Autor beschränkt sich der Lesbarkeit halber auf die Landesgesetze in Rheinland-Pfalz. 29 POG von Rheinland-Pfalz.

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster Axel Trösken Leiter Recht & Compliance der The Phone House Telecom GmbH Münster, 21. Januar 2011 Seite 1 I. Einleitung Datenschutz profitierte in

Mehr

5. Ortstagung Kiel am 12. März 2014

5. Ortstagung Kiel am 12. März 2014 5. Ortstagung Kiel am 12. März 2014 I. Begrüßung Der Einladung zur 5. Ortstagung des Deutschen Arbeitsgerichtsverbands e. V. in Kiel im Saal des Hauses des Sports folgten 55 Teilnehmerinnen und Teilnehmer.

Mehr

Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht

Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht steiner mittländer fischer rechtsanwältinnen Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht Berliner Straße 44 60311 Frankfurt am Main Telefon 0 69 / 21 93 99 0 Telefax

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte Rechtsanwalt Dr. Oliver Grimm Fachanwalt für Arbeitsrecht München 26. November 2009 Überblick Was gilt aktuell für den Umgang mit Mitarbeiterdaten? Wann

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Das neue Beschäftigtendatenschutzrecht

Das neue Beschäftigtendatenschutzrecht Das neue Beschäftigtendatenschutzrecht Ahrensburg 1. Februar 2011 I. Überblick und Einführung II. Die aktuelle Rechtslage Neufassung des 32 BDSG III. Der Entwurf des BeschäftigtendatenschutzG IV. Bewerbungsverfahren

Mehr

49 Schmerzensgeld bei Videokontrolle Von Marc-Oliver Schulze und Corinna Schreck

49 Schmerzensgeld bei Videokontrolle Von Marc-Oliver Schulze und Corinna Schreck Arbeitsrecht im Betrieb 2014, Ausgabe 4, S. 49 51 Schulze/Schreck, Schmerzensgeld bei Videokontrolle 49 Schmerzensgeld bei Videokontrolle Von Marc-Oliver Schulze und Corinna Schreck BETRIEBSVEREINBARUNG

Mehr

Zum aktuellen Stand von Social-Media-Guidelines

Zum aktuellen Stand von Social-Media-Guidelines Hans Böckler-Stiftung: Fachtagung Social Media in der internen Zusammenarbeit Was ist bisher geregelt? Zum aktuellen Stand von Social-Media-Guidelines 29.06.2015 - Frankfurt AfA Arbeitsrecht für Arbeitnehmer

Mehr

9 Mitarbeiterscreenings

9 Mitarbeiterscreenings 9 Mitarbeiterscreenings Mitarbeiterscreenings werden in Unternehmen immer häufiger eingesetzt. Screenings sind Rasterfahndungen, bei denen verschiedene personenbezogene Daten der Mitarbeiter nach bestimmten

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Der Entwurf zu einem Beschäftigtendatenschutz

Der Entwurf zu einem Beschäftigtendatenschutz Der Entwurf zu einem Beschäftigtendatenschutz Erweiterung oder Begrenzung der Arbeitnehmerkontrolle per Gesetz? Der Auslöser Nach der Erfindung des photographischen Films durch Georg Eastmann und dank

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1 Vorlesung Datenschutzrecht Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1 Vorlesung Datenschutzrecht Datenschutz und Arbeitsrecht Arbeitsrechtliche Konsequenzen bei Verstößen gegen den Datenschutzund

Mehr

A B T M E Y E R & M E R Z R E C H T S A N W Ä L T E

A B T M E Y E R & M E R Z R E C H T S A N W Ä L T E A B T M E Y E R & M E R Z R E C H T S A N W Ä L T E Sehr geehrte(r) Newsletterabonnent(in), Sie erhalten heute einen Sondernewsletter zum Thema Überwachung von Mitarbeitern. Dieser Text steht Ihnen auch

Mehr

Fristlose Kündigung einer ordentlich unkündbaren Schwerbehinderten SGB IX 91

Fristlose Kündigung einer ordentlich unkündbaren Schwerbehinderten SGB IX 91 Fristlose Kündigung einer ordentlich unkündbaren Schwerbehinderten SGB IX 91 Eine außerordentliche Kündigung kann nach 626 Abs. 1 BGB außerhalb der zweiwöchigen Frist ausgesprochen werden, wenn dies unverzüglich

Mehr

Das Grundrecht auf Datenschutz im Europarecht Wirkungen und Problemfelder. Ao. Univ.-Prof. Dr. Alina-Maria Lengauer, LLM

Das Grundrecht auf Datenschutz im Europarecht Wirkungen und Problemfelder. Ao. Univ.-Prof. Dr. Alina-Maria Lengauer, LLM Das Grundrecht auf Datenschutz im Europarecht Wirkungen und Problemfelder Ao. Univ.-Prof. Dr. Alina-Maria Lengauer, LLM Das Grundrecht auf Datenschutz im Europarecht 1. Zur Genese des Grundrechtes auf

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Abmahnung, Kündigung & Co.

Abmahnung, Kündigung & Co. Abmahnung, Kündigung & Co. Rechte des Arbeitgebers bei Mitarbeiterdelikten Rechtsanwalt u. Fachanwalt für Arbeitsrecht Prof. Dr. Daniel Knickenberg Anwaltssozietät Leinen & Derichs, Köln Cleverstr. 16,

Mehr

Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele?

Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele? Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele? Dr. Anja Mengel, LL.M. Rechtsanwältin und Fachanwältin für Arbeitsrecht Universität Karlsruhe (TH), ZAR 20. Oktober 2009 Übersicht Fakten

Mehr

Bericht und Antrag des Datenschutzausschusses

Bericht und Antrag des Datenschutzausschusses B R E M I S C H E B Ü R G E R S C H A F T Landtag 15. Wahlperiode Drucksache 15 /1304 (zu Drs. 15/11208) 25. 11. 02 Bericht und Antrag des Datenschutzausschusses Gesetz zur Änderung des Bremischen Datenschutzgesetzes

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

(http://rsw.beck.de/rsw/upload/beck_aktuell/entwurf_bdsg_regierung.pdf)

(http://rsw.beck.de/rsw/upload/beck_aktuell/entwurf_bdsg_regierung.pdf) Das Bundesdatenschutzgesetz (BDSG) in seiner derzeitigen Fassung trägt der gestiegenen und weiter steigenden Bedeutung von Auskunfteien in einer immer anonymer werdenden Geschäftswelt und ihrer Nutzung

Mehr

Datenschutz-konformer Umgang mit Mitarbeiterdaten

Datenschutz-konformer Umgang mit Mitarbeiterdaten Datenschutz-konformer Umgang mit Mitarbeiterdaten bfd-online-seminar Montag, 24. Juni 2013 15:00 16:00 Uhr + Fragen Referent: Wolfgang A. Schmid KPWT Rau & Kollegen Moderator: Stefan Wache bfd Fachinformations-Tipps

Mehr

Landesarbeitsgericht Nürnberg URTEIL

Landesarbeitsgericht Nürnberg URTEIL 10 Ca 9/09 (Arbeitsgericht Nürnberg) Verkündet am: 17.12.2010 Urkundsbeamtin der Geschäftsstelle Landesarbeitsgericht Nürnberg Im Namen des Volkes URTEIL In dem Rechtsstreit R H - Kläger und Berufungsbeklagter

Mehr

Dr. Martin Bahr INTERNET-GEWINNSPIELE: GRUNDLEGENDE ÄNDERUNG DER RECHTSPRECHUNG. Rechtsanwalt

Dr. Martin Bahr INTERNET-GEWINNSPIELE: GRUNDLEGENDE ÄNDERUNG DER RECHTSPRECHUNG. Rechtsanwalt Rechtsanwalt Dr. Martin Bahr INTERNET-GEWINNSPIELE: GRUNDLEGENDE ÄNDERUNG DER RECHTSPRECHUNG - ANMERKUNG ZUR GAMBELLI-ENTSCHEIDUNG DES EUGH (URT. V. 06.11.2003 - AZ.: C-243/0) Kanzlei RA Dr. Bahr Sierichstr.

Mehr

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Das Bundesdatenschutzgesetz (BDSG) regelt in seinem 32, zu welchen Zwecken und unter welchen Voraussetzungen der Arbeitgeber Mitarbeiterdaten vor der

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie. 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven

Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie. 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven Zweites Gesetz zur Änderung des UWG Das Gesetz dient der weiteren Umsetzung der Richtlinie 2005/29/EG

Mehr

BESCHLUSS. BVerwG 6 PB 7.02 VGH 22 TH 3289/01. In der Personalvertretungssache

BESCHLUSS. BVerwG 6 PB 7.02 VGH 22 TH 3289/01. In der Personalvertretungssache B U N D E S V E R W A L T U N G S G E R I C H T BESCHLUSS BVerwG 6 PB 7.02 VGH 22 TH 3289/01 In der Personalvertretungssache - 2 - hat der 6. Senat des Bundesverwaltungsgerichts am 15. Oktober 2002 durch

Mehr

AGG Urteilsübersicht Behinderung

AGG Urteilsübersicht Behinderung Lf d. Nr. AGG Urteilsübersicht Behinderung Stichworte Datum Gericht Verfahrensgang Inhalt Link 78 Behinderung, Beweisanforderung, Stellenausschreibung 21.01.09 LAG Köln, Az.:3 Sa 1369/08 Aachen, Az.: 6

Mehr

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen über eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012)

Mehr

Neue Entwicklungen zum Arbeitnehmerdatenschutz

Neue Entwicklungen zum Arbeitnehmerdatenschutz Neue Entwicklungen zum Arbeitnehmerdatenschutz - Folie 1 - Wer bin ich? Rechtsanwalt Frank Henkel Einzelanwalt aus HH, zugelassen seit 1997 Als Rechtsanwalt spezialisiert auf EDV- / Medienrecht, Datenschutzrecht

Mehr

Einsichtnahme in die Personalakte ein Rechtsanspruch? Gibt es eine Rechtsgrundlage für die Einsichtnahme?

Einsichtnahme in die Personalakte ein Rechtsanspruch? Gibt es eine Rechtsgrundlage für die Einsichtnahme? Einsichtnahme in die Personalakte ein Rechtsanspruch? Gibt es eine Rechtsgrundlage für die Einsichtnahme? Die rechtliche Grundlage zur Einsichtnahme in die Personalakte findet sich in 83 Abs. 1 Betriebsverfassungsgesetz

Mehr

Christoph Ohrmann. Meldepflichten bei Datenpannen (Data Breach) - Leseprobe -

Christoph Ohrmann. Meldepflichten bei Datenpannen (Data Breach) - Leseprobe - Christoph Ohrmann Meldepflichten bei Datenpannen (Data Breach) Übersicht über die Arbeitshilfen vertragszusatz.doc Musterformulierung Zusatz zum Vertrag zur Auftragsdatenverarbeitung maßnahmen.doc ersterfassung.doc

Mehr

- Vertrauen durch Transparenz

- Vertrauen durch Transparenz !"" # $%&''()*+," -.%&''()*+!*( /01%#2 30#4 5607#689 - Vertrauen durch Transparenz Grundlegende Informationen für eine Datenschutz-Policy sowie Formulierungen abrufbar unter www.gdd.de (Rubrik Aktuelles

Mehr

Update Arbeitsrecht für PDL

Update Arbeitsrecht für PDL Update für PDL AltenpflegeKongress am 25.02.2012 Referent: 1 Themen der Entscheidungen: 1. Zurückweisung der Betriebsratsanhörung mangels Vollmachtnachweises (BAG vom 13.12.2012 6 AZR 348/11) 2. Kündigung

Mehr

Außerordentliche, hilfsweise ordentliche Kündigung. Stellungnahme zu den Fristen bzw. Fristverkürzung im Beteiligungsverfahren. Jürgen Jendral (HMAV)

Außerordentliche, hilfsweise ordentliche Kündigung. Stellungnahme zu den Fristen bzw. Fristverkürzung im Beteiligungsverfahren. Jürgen Jendral (HMAV) Außerordentliche, hilfsweise ordentliche Kündigung. Stellungnahme zu den Fristen bzw. Fristverkürzung im Beteiligungsverfahren. Jürgen Jendral (HMAV) Eine außerordentliche (fristlose) Kündigung einer Mitarbeiterin

Mehr

Arbeitsrecht Update Juli 2014

Arbeitsrecht Update Juli 2014 Arbeitsrecht Update Juli 2014 Gesetzliche Neuregelung der Altersbefristung zum 1. Juli 2014 Mit Wirkung zum 1. Juli 2014 ist eine gesetzliche Neuregelung in Kraft getreten, die es Arbeitgebern erlaubt,

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Akteneinsicht nach EuGH- Donau Chemie

Akteneinsicht nach EuGH- Donau Chemie Akteneinsicht nach EuGH- Donau Chemie Vortrag im Rahmen des Forums Wettbewerbsrecht 2013 RA Mag. Isabelle Pellech, LL.M. Akteneinsicht in Kartellakten: Die EuGH-Entscheidung Pfleiderer gebietet eine vom

Mehr

NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT. Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012

NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT. Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012 1 NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012 2 I. BESCHÄFTIGTENDATENSCHUTZ (HEUTE) 1. Grundgesetz (GG) Allgemeines Persönlichkeitsrecht des Arbeitnehmers

Mehr

Arbeitnehmerdatenschutz

Arbeitnehmerdatenschutz Bibliothek Literaturtipp Arbeitnehmerdatenschutz Literaturauswahl 2009-2013 Die angezeigten Titel sind über den Bibliothekskatalog im Intranet zur Ausleihe bestellbar. Falls sie elektronisch vorliegen,

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Impressum Angaben gemäß 5 TMG: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Vertreten durch: Jens Müller Kontakt: Telefon: 004915168497847 E-Mail: info@mcdrent.de Registereintrag: Eintragung

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg Datenschutzrecht in Österreich und Deutschland Ein Vergleich RA Marcel Keienborg Zur Geschichte des Datenschutzes Die Wiege des Datenschutzes: In den USA (1960er/70 Jahre) Privacy Act of 1974 Debatten

Mehr

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen AK WLAN IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010 IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen RA Ivo Ivanov Justiziar des eco e.v. 1 Übersicht Ausgangssituation Datenschutzrechtlicher

Mehr

Europäischer Datenschutzbeauftragter Transparenz der EU-Verwaltung: Ihr Recht auf Zugang zu Dokumenten

Europäischer Datenschutzbeauftragter Transparenz der EU-Verwaltung: Ihr Recht auf Zugang zu Dokumenten Europäischer Datenschutzbeauftragter Transparenz der EU-Verwaltung: Ihr Recht auf Zugang zu Dokumenten EDSB Informationsblatt 2 Die europäischen Organe, Einrichtungen und sonstigen Stellen (kurz: Institutionen)

Mehr

Datenschutz bei Multimedia am Arbeitsplatz

Datenschutz bei Multimedia am Arbeitsplatz Datenschutz bei Multimedia am Arbeitsplatz RA Christoph Klug Gesellschaft für Datenschutz und Datensicherung e. V. (GDD) Der gläserne Arbeitnehmer? Quelle: Kölner-Stadt-Anzeiger vom 30.10.2003 Themenüberblick

Mehr

Beschäftigtendatenschutz im Lichte der EU-Datenschutzreform. Christian Wachter #DNP 14 21. September 2014

Beschäftigtendatenschutz im Lichte der EU-Datenschutzreform. Christian Wachter #DNP 14 21. September 2014 Beschäftigtendatenschutz im Lichte der EU-Datenschutzreform Christian Wachter #DNP 14 21. September 2014 Überblick Datenermittlung im Arbeitsverhältnis Beschäftigtendatenschutz in Österreich status quo

Mehr

Widerruf der Bestellung zum Beauftragten für den Datenschutz/Keine Inkompatibilität mit Betriebsratsmandat

Widerruf der Bestellung zum Beauftragten für den Datenschutz/Keine Inkompatibilität mit Betriebsratsmandat Widerruf der Bestellung zum Beauftragten für den Datenschutz/Keine Inkompatibilität mit Betriebsratsmandat 1. Ein wichtiger Grund isd. 626 BGB für eine Abberufung nach 4f Abs. 3 Satz 4 BDSG eines intern

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Arbeit und Lernen Detmold Newsletter im Februar 2013

Arbeit und Lernen Detmold Newsletter im Februar 2013 Arbeit und Lernen Detmold Newsletter im Februar 2013 Arbeit und Lernen 04.02.2013 Arbeit und Lernen Detmold Newsletter im Februar 2013 Inhalt Erforderlichkeit einer Schulungsveranstaltung Protokollführung

Mehr

Im Folgenden wird die einschlägige Rechtsprechung des Bundesgerichtshofs sowie der Oberlandesgerichte mit Anspruch auf Vollständigkeit dargelegt.

Im Folgenden wird die einschlägige Rechtsprechung des Bundesgerichtshofs sowie der Oberlandesgerichte mit Anspruch auf Vollständigkeit dargelegt. Anlage A. Zusammenfassung Die Rechtsprechung des Bundesgerichtshofs und der Oberlandesgerichte weißt soweit ersichtlich keinen einzigen Fall auf, indem die Wirksamkeit einer fristlosen Kündigung aus wichtigem

Mehr

AUßERORDENTLICHE (FRISTLOSE) KÜNDIGUNG

AUßERORDENTLICHE (FRISTLOSE) KÜNDIGUNG MERKBLATT Recht und Steuern AUßERORDENTLICHE (FRISTLOSE) KÜNDIGUNG Kündigungen auszusprechen ist nicht einfach. In unserem Merkblatt geben wir Ihnen wichtige Hinweise, was Sie beim Ausspruch einer fristlosen

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Berufsordnung und Rechtsfragen für angestellte Psychotherapeuten

Berufsordnung und Rechtsfragen für angestellte Psychotherapeuten Berufsordnung und Rechtsfragen für angestellte Psychotherapeuten Freiheit der Berufsausübung und Weisungsrecht des Arbeitgebers ein Spannungsverhältnis für Psychotherapie in Institutionen Samstag, den

Mehr

Social Media Recruiting & Recht

Social Media Recruiting & Recht Social Media Recruiting & Recht Rechtliche Grenzen bei der Mitarbeitersuche und ansprache bei Facebook & Co 29. November 2013 Berlin - 1 DIEM PARTNER 2013 Der Referent: RA Dr. Carsten Ulbricht IT-Recht

Mehr

BDSG-Novelle I und II BDSG-Novelle I und II Eine Zusammenfassung der wichtigsten Neuerrungen Okt-12 Rechtsanwalt Matthias Marzluf 1 BDSG-Novelle I und II BDSG-Novelle II Okt-12 Rechtsanwalt Matthias Marzluf

Mehr

LANDESARBEITSGERICHT NÜRNBERG BESCHLUSS. in dem Rechtsstreit

LANDESARBEITSGERICHT NÜRNBERG BESCHLUSS. in dem Rechtsstreit 6 Ta 2/04 10 Ca 1647/03 S (Würzburg) LANDESARBEITSGERICHT NÜRNBERG BESCHLUSS in dem Rechtsstreit A... -... - Prozessbevollmächtigter und Beschwerdegegner:... g e g e n Firma B... -... - Prozessbevollmächtigte:...

Mehr

Datenschutz bei der Polizei

Datenschutz bei der Polizei Datenschutz bei der Polizei Was macht eigentlich die Polizei mit Ihren Daten? Vielleicht sind Sie schon einmal mit der Polizei in näheren Kontakt geraten, z.b. als Autofahrer oder als Flugreisender. Die

Mehr

Bundesarbeitsgericht entscheidet über die Wirksamkeit einer Versetzung

Bundesarbeitsgericht entscheidet über die Wirksamkeit einer Versetzung NEWSLETTER Bundesarbeitsgericht entscheidet über die Wirksamkeit einer Versetzung ARNECKE SIEBOLD Rechtsanwälte Partnerschaftsgesellschaft Hamburger Allee 4 60486 Frankfurt/Main Germany Tel +49 69 97 98

Mehr

RDV. 22011 Aufsätze. Recht der Datenverarbeitung G 20 141. Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht.

RDV. 22011 Aufsätze. Recht der Datenverarbeitung G 20 141. Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht. ISSN 0178-8930 Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G 20 141 RDV Recht der Datenverarbeitung 27. Jahrgang April 2011 Seiten 59 108 22011 Aufsätze Rechtsprechung Aus dem Inhalt

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Congress@it-sa am 06. Oktober 2015 RAin Jacqueline Stadtelmann Folie 0 / Datenschutz im Arbeitsverhältnis / Referent TT. Monat 2010 Gliederung 1. Grundlagen des Datenschutzes

Mehr

2 Grundlagen des Rechtsinstituts des Datenschutzbeauftragten

2 Grundlagen des Rechtsinstituts des Datenschutzbeauftragten 2 Grundlagen des Rechtsinstituts des Datenschutzbeauftragten 2.1 Kontrollsystem des Datenschutzes im nichtöffentlichen Bereich 2.1.1 Fremdkontrolle Fremdkontrolle im Bereich des Datenschutzes umfasst die

Mehr

Systematisches Scannen von WLAN-Datennetzen durch den Google-Konzern

Systematisches Scannen von WLAN-Datennetzen durch den Google-Konzern 14. Wahlperiode 30. 04. 2010 Antrag der Abg. Andreas Stoch u. a. SPD und Stellungnahme des Innenministeriums Systematisches Scannen von WLAN-Datennetzen durch den Google-Konzern Antrag Der Landtag wolle

Mehr

InhaltsverzeichniS INHALTSVERZEICHNIS ABKÜRZUNGSVERZEICHNIS EINFÜHRUNG 1

InhaltsverzeichniS INHALTSVERZEICHNIS ABKÜRZUNGSVERZEICHNIS EINFÜHRUNG 1 InhaltsverzeichniS VORWORT INHALTSVERZEICHNIS ABKÜRZUNGSVERZEICHNIS VII IX XVII EINFÜHRUNG 1 A. GEGENSTAND DER UNTERSUCHUNG 1 I. Private Berufsunfähigkeitsversicherung 1 1. Definition Berufsunfähigkeit

Mehr

Ihre personenbezogenen Daten und die EU-Verwaltung: Welche Rechte haben Sie?

Ihre personenbezogenen Daten und die EU-Verwaltung: Welche Rechte haben Sie? Europäischer Datenschutzbeauftragter Ihre personenbezogenen Daten und die EU-Verwaltung: Welche Rechte haben Sie? Europäischer Datenschutzbeauftragter EDSB - Informationsblatt 1 Täglich werden bei der

Mehr

Inhaltsverzeichnis. Literaturverzeichnis... XV. 1 Einführung... 1. 1.1 Zielsetzung des Promotionsvorhabens... 1 1.2 Gang der Untersuchung...

Inhaltsverzeichnis. Literaturverzeichnis... XV. 1 Einführung... 1. 1.1 Zielsetzung des Promotionsvorhabens... 1 1.2 Gang der Untersuchung... Inhaltsverzeichnis Literaturverzeichnis... XV 1 Einführung... 1 1.1 Zielsetzung des Promotionsvorhabens... 1 1.2 Gang der Untersuchung... 4 2 Grundlagen des Rechtsinstituts des Datenschutzbeauftragten...

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

BUNDESGERICHTSHOF BESCHLUSS

BUNDESGERICHTSHOF BESCHLUSS BUNDESGERICHTSHOF AnwZ (B) 85/09 BESCHLUSS vom 12. Juli 2010 in dem Verfahren wegen Verleihung der Fachanwaltsbezeichnung für das Erbrecht - 2 - Der Bundesgerichtshof, Senat für Anwaltssachen, hat durch

Mehr

Datenschutz und Datensicherheit. Warum Datenschutz

Datenschutz und Datensicherheit. Warum Datenschutz Datenschutz und Datensicherheit 14.10.2003 1 Warum Datenschutz Imageverlust Steigende Sensibilität der Nutzer und Kunden für Datenschutzbelange Vorschrift durch Gesetze mithin Geldstrafen Höchststrafe

Mehr

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig Gerichtshof der Europäischen Union PRESSEMITTEILUNG Nr. 54/14 Luxemburg, den 8. April 2014 Presse und Information Urteil in den verbundenen Rechtssachen C-293/12 und C-594/12 Digital Rights Ireland und

Mehr

Entwurf eines Gesetzes zur Änderung des Urheberrechtsgesetzes

Entwurf eines Gesetzes zur Änderung des Urheberrechtsgesetzes Deutscher Bundestag Drucksache 17/ 17. Wahlperiode Gesetzentwurf der Fraktionen der CDU/CSU und FDP Entwurf eines Gesetzes zur Änderung des Urheberrechtsgesetzes A. Problem und Ziel 52a des Urheberrechtsgesetzes

Mehr

JURISTISCHE RUNDSCHAU

JURISTISCHE RUNDSCHAU JR JURISTISCHE RUNDSCHAU HERAUSGEBER Prof. Dr. Dirk Olzen, Düsseldorf Dr. Gerhard Schäfer, Stuttgart UNTER MITWIRKUNG VON Prof. Dr. Dr. Jörg Berkemann, Berlin Dr. Bernhard Dombek, Berlin Peter Gielen,

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

E W A L D & P a r t n e r

E W A L D & P a r t n e r Beauftragter für den Datenschutz - Widerruf der Bestellung - Teilkündigung BAG 23.3.2011, 10 AZR 562/09 Tenor 1. Die Revision der Beklagten zu 1. und 2. gegen das Urteil des Landesarbeitsgerichts Berlin-

Mehr

- Datenschutz im Betrieb und am Arbeitsplatz -

- Datenschutz im Betrieb und am Arbeitsplatz - Workshopreihe: IT-Recht - Datenschutz im Betrieb und am Arbeitsplatz - Chemnitz, 02.09.2009 Rechtsanwalt Dr. Klostermann www.sageg.de Rechtsanwalt Dr. Klostermann http://www.drklostermann.de Rechtliche

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Befristeter Arbeitsvertrag

Befristeter Arbeitsvertrag Befristeter Arbeitsvertrag Stand: Mai 2004 Inhaltsverzeichnis I. Befristete Arbeitsverhältnisse nach dem Teilzeit- und Befristungsgesetz(TzBfG)... 2 a) Befristung ohne sachlichen Grund... 2 b) Befristung

Mehr

Adipositas kann eine Behinderung im Sinne der Richtlinie über die Gleichbehandlung in Beschäftigung und Beruf sein

Adipositas kann eine Behinderung im Sinne der Richtlinie über die Gleichbehandlung in Beschäftigung und Beruf sein Gerichtshof der Europäischen Union PRESSEMITTEILUNG Nr. 183/14 Luxemburg, den 18. Dezember 2014 Presse und Information Urteil in der Rechtssache C-354/13 Fag og Arbejde (FOA), handelnd für Karsten Kaltoft/Kommunernes

Mehr

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes Bundesrat Drucksache 599/05 22.07.05 Gesetzesantrag der Länder Niedersachsen, Hessen In - Fz - Wi Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes A. Problem und Ziel Das Bundesdatenschutzgesetz

Mehr

INFORMATIONS- UND DATENSCHUTZRECHT

INFORMATIONS- UND DATENSCHUTZRECHT INFORMATIONS- UND DATENSCHUTZRECHT Frühjahrssemester 2008 WIEDERHOLUNG Wirksamkeitsvoraussetzungen der Einwilligung Freiwilligkeit Zweifelsfreiheit Informierte Einwilligung Form und Frist EINWILLIGUNG

Mehr

Aktuelle Probleme des Datenschutzes im Call Center

Aktuelle Probleme des Datenschutzes im Call Center Aktuelle Probleme des Datenschutzes im Call Center Vortrag von Prof. Dr. Peter Wedde am 18. März 2013 Call Center & Datenschutz Berlin 18.3.2013 Wedde 2013 / Seite 1 Hinweis Diese Kopie der Vortragsfolien

Mehr

Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data?

Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data? Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data? Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 12. Mai 2012 Anzusprechende Themen: Open Data vs. Meldegeheimnis Datenschutzrechtlich

Mehr

Vertrauensarbeitszeit aus der Perspektive des Arbeitsrechts

Vertrauensarbeitszeit aus der Perspektive des Arbeitsrechts Vertrauensarbeitszeit aus der Perspektive des Arbeitsrechts 1 Der Begriff der Vertrauensarbeitszeit Vertrauensarbeitszeit ist gesetzlich nicht definiert oder geregelt! Allgemein versteht man unter Vertrauensarbeitszeit

Mehr

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH 1 Allgemeines Diese allgemeinen Nutzungsbedingungen ( ANB ) gelten für die Nutzung aller Webseiten von Enterprise Technologies

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Stellungnahme. der Bundesrechtsanwaltskammer. zur Verfassungsbeschwerde des Herrn R. 1 BvR 1464/07. erarbeitet vom

Stellungnahme. der Bundesrechtsanwaltskammer. zur Verfassungsbeschwerde des Herrn R. 1 BvR 1464/07. erarbeitet vom Stellungnahme der Bundesrechtsanwaltskammer zur Verfassungsbeschwerde des Herrn R. 1 BvR 1464/07 erarbeitet vom Verfassungsrechtsausschuss der Bundesrechtsanwaltskammer Rechtsanwalt Prof. Dr. Christian

Mehr

Wettbewerbsschutz bei fristloser Kündigung des Arbeitsverhältnisses

Wettbewerbsschutz bei fristloser Kündigung des Arbeitsverhältnisses Tübingen, 19. Mai 2015 Wettbewerbsschutz bei fristloser Kündigung des Arbeitsverhältnisses Ein Praxisbeitrag von Rechtsanwalt Dr. Stefan Rein, Fachanwalt für Arbeitsrecht, im Rahmen des Kolloquiums Praxis

Mehr

NomosOnline - NZA 2009, 1118

NomosOnline - NZA 2009, 1118 Seite 1 von 6 Schwab, Ehrhard: Sonderkündigungsschutz für NZA 2009 Heft 20 1118 Datenschutzbeauftragte - Gelten mit Inkrafttreten der BDSG-Novelle II neue Spielregeln? Sonderkündigungsschutz für Datenschutzbeauftragte

Mehr

Recherchieren unter juris Das Rechtsportal. Langtext. Gericht: BAG 2. Senat Entscheidungsdatum: Quelle: 21.06.2012. Normen:

Recherchieren unter juris Das Rechtsportal. Langtext. Gericht: BAG 2. Senat Entscheidungsdatum: Quelle: 21.06.2012. Normen: Recherchieren unter juris Das Rechtsportal Langtext Gericht: BAG 2. Senat Entscheidungsdatum: 21.06.2012 Aktenzeichen: 2 AZR 343/11 Dokumenttyp: Urteil Quelle: Normen: 1 Abs 2 S 1 Alt 2 KSchG, 15 Abs 1

Mehr

NEWSLETTER Unterrichtungsschreiben nach 613a Abs. 5 BGB

NEWSLETTER Unterrichtungsschreiben nach 613a Abs. 5 BGB NEWSLETTER Unterrichtungsschreiben nach 613a Abs. 5 BGB ARNECKE SIEBOLD Rechtsanwälte Partnerschaftsgesellschaft Hamburger Allee 4 60486 Frankfurt/Main Germany Tel +49 69 97 98 85-0 Fax +49 69 97 98 85-85

Mehr

Datenschutzrecht. für die Praxis. Beck-Rechtsberater. Grundlagen Datenschutzbeauftragte Audit Handbuch Haftung etc. Deutscher Taschenbuch Verlag

Datenschutzrecht. für die Praxis. Beck-Rechtsberater. Grundlagen Datenschutzbeauftragte Audit Handbuch Haftung etc. Deutscher Taschenbuch Verlag Beck-Rechtsberater Datenschutzrecht für die Praxis Grundlagen Datenschutzbeauftragte Audit Handbuch Haftung etc. Von Dr. Georg F. Schröder, LL.M., Rechtsanwalt in München Deutscher Taschenbuch Verlag Vorwort

Mehr

Herzlich willkommen zum Vortrag über. Datenschutz im Unternehmen

Herzlich willkommen zum Vortrag über. Datenschutz im Unternehmen Herzlich willkommen zum Vortrag über Datenschutz im Unternehmen Gesellschaft für f r Datenschutz Mittelhessen mbh Henning Welz Auf der Appeling 8 35043 Marburg Tel.: 06421/30979 28 28 Fax: 06421/30979

Mehr