Arbeitsalltag digital: Persönlichkeitsrechte und Datenschutz

03.05.2012  — John Weitzmann, Philipp Otto.  Quelle: iRights.info.

Rechtsfragen einfach auf den Punkt gebracht: Übersicht zu Persönlichkeitsrechten - Datenschutz rund um den Arbeitsplatz

Manches Mal kann die Versuchung groß sein, Informationen aus dem Netz ganz oder teilweise für sich und unter eigenem Namen zu verwenden. Doch auch in der digitalen Welt gilt es, sich Erlaubnis einzuholen für das Verwenden von fremden Texten, Fotos, Karten, Skizzen etc.

Eng mit diesem Thema verbunden sind Fragen nach dem Schutz der Persönlichkeitsrechte und der Bedeutung des Datenschutzes bei der Nutzung des Internets am Arbeitsplatz. So besteht etwa das Recht am eigenen Bild auch in der digitalen Welt und abgebildete Personen müssen einer Verwendung des Bildes oder Videos auch im Arbeitszusammenhang zustimmen.

Die Landesanstalt für Medien Nordrhein-Westfalen möchte so die Kompetenz der Nutzer fördern, sich digitaler Medien am Arbeitsplatz zu bedienen. Dank konkreter Informationen können sie rechtliche Probleme in der neuen digitalen (Arbeits-)Welt leichter und effektiver vermeiden.

I. Übersicht zu Persönlichkeitsrechten

Jeder Mensch hat Persönlichkeitsrechte, die geachtet werden müssen und direkt dem Schutz des Grundgesetzes unterstehen. Genauere Regeln, wie Menschen über die Daten zu ihrer Persönlichkeit selbst bestimmen können, gibt das Datenschutzrecht vor. Diese Regeln sind also letztlich vor allem ein Mittel zur Durchsetzung von Persönlichkeitsrechten. Man könnte auch sagen: Datenschutz ist Persönlichkeitsschutz.

Persönlichkeitsrechte sind in den ersten Zeilen des Grundgesetzes verankert, dort, wo es um den Schutz der Menschenwürde und das Recht auf die „freie Entfaltung der Persönlichkeit“ geht. Es gibt das allgemeine Persönlichkeitsrecht, daneben besondere Persönlichkeitsrechte wie das Recht am eigenen Bild und der eigenen Stimme, dann das schwer greifbare Recht auf „informationelle Selbstbestimmung“ und sogar ein spezielles Urheberpersönlichkeitsrecht.

Das allgemeine Persönlichkeitsrecht als Rundum-Schutz für alle

Jeder Mensch ist von Geburt an durch das allgemeine Persönlichkeitsrecht geschützt. Vor allem schützt es davor, dass private Details ungefragt in die Öffentlichkeit gezerrt werden. Über diesen Schutz kann man teilweise bewusst entscheiden, entweder durch eine ausdrückliche Erklärung oder indem das eigene Verhalten darauf hindeutet (siehe auch unten „Einwilligung und Model Release“). Ungewollte Eingriffe in den Persönlichkeitsschutz müssen dagegen nur Prominente hinnehmen oder Personen, die mit wichtigen Ereignissen in Verbindung stehen. Dann nämlich gibt es ein anerkanntes Interesse der Allgemeinheit daran, etwas über die betreffenden Personen zu erfahren, insbesondere in Form von Presseberichten zur öffentlichen Meinungsbildung.

Das Recht am eigenen Bild – im Internet ist es hilfreich und problematisch zugleich

Fotos von Personen zu machen ist zwar nicht generell verboten (außer man verstößt dabei gegen Strafgesetze, wie den sogenannten „Paparazzi- Paragraphen“ 201 a des Strafgesetzbuchs). Wenn aber eine bestimmte Person auf einem Bild zu erkennen ist, muss diese Person um Erlaubnis gefragt werden, bevor das Bild veröffentlicht werden darf. Eine Ausnahme hierzu liegt zum Beispiel vor, wenn die Person nur „Beiwerk“ zum eigentlichen Fotomotiv ist. Ob das Foto „öffentlich“ genutzt wird, wird ähnlich beurteilt wie im Urheberrecht (siehe Teil 1, Anfang zu Kapitel IV).

Beispiel

Während einer Tagung knipst Vertriebsleiter Arnulf N. mit seinem Handy die offizielle Verleihung des Preises für die meisten erfolgreichen Geschäftsabschlüsse des Jahres, der an Katrin K. geht. Er fotografiert später auch beim fröhlichen Ausklang des Abends, bei dem K. und andere Kollegen in einer Cocktailbar die guten Zahlen begießen. Nachdem A. N. die Bilder noch in der Nacht amüsiert auf Facebook hochgeladen hat, findet er am nächsten Morgen eine E-Mail von K. in seinem Postfach. Darin fordert sie ihn auf, er möge doch bitte die Fotos von der Preisverleihung sofort aus dem Netz nehmen. A. N. wundert sich zwar, warum K. gerade diese Bilder und nicht die aus der Bar entfernt haben möchte, muss der Aufforderung aber so oder so nachkommen.

Die verschiedenen Interessen der Beteiligten abzuwägen, ist nicht immer einfach, so dass es oft nicht ohne professionelle Beratung geht. Völlig unerheblich ist,

  • ob die abgebildete Person aus objektiver oder subjektiver Sicht auf dem Bild „gut aussieht“ oder nicht,
  • ob die Veröffentlichung zu geschäftlichen Zwecken oder aus privatem Anlass geschieht oder
  • ob die Person wusste, dass sie fotografiert wurde.

Wer fotografiert wird, braucht sich auch nicht sofort dazu zu äußern, ob sie oder er mit einer späteren Veröffentlichung einverstanden ist.

Beispiel

Auf einem Foto-Streifzug übers Firmengelände hat Adalbert N., Assistent des Vorstands, auch eine Praktikantin fotografiert, die gerade auf einer Bank ihre Mittagspause genießt und freundlich in die Kamera lächelt, als sie A. N. knipsen sieht. Da sie auf dem Bild so wunderbar in die Herbstsonne blickt, möchte A. N. das Bild – leicht zugeschnitten und farblich angepasst – auf die Homepage der Firma stellen und in unbearbeiteter Form auch in seine private Sammlung seiner besten Fotos aufnehmen, die er bei einem Foto-Hosting-Service im Internet stehen hat. Sofern die Praktikantin nicht im Praktikumsvertrag zugestimmt hat, dass Fotos von ihr veröffentlicht werden dürfen (was ungewöhnlich wäre), muss A. N. sie hinsichtlich beider Veröffentlichungen zuerst fragen. Sagt sie nein, kann A. N. das Foto höchstens im Freundeskreis zeigen oder zuhause im Wohnzimmer aufhängen.

Achtung

Das Recht am eigenen Bild geht so weit, dass es auch gilt, wenn die betreffende Person nur teilweise oder von hinten zu sehen ist, solange aus dem Zusammenhang erkennbar ist, um wen es sich handelt.

Unverzichtbar und doch oft übersehen: Einwilligung

Die Einwilligung einer Person, dass jemand anderes in den Bereich ihrer Persönlichkeitsrechte eingreifen (also Fotos, Videos oder Tonaufnahmen speichern, veröffentlichen usw.) darf, ist immer dann unverzichtbar, wenn es keine gesetzliche oder sonstige Berechtigung für den Eingriff gibt (so eine „sonstige Berechtigung“ haben in bestimmtem Umfang zum Beispiel Arbeitgeber, siehe dazu Teil III.). Die Einwilligung kann normalerweise für die Zukunft widerrufen werden, ohne dass man das zu begründen braucht, und muss nicht ausdrücklich oder schriftlich gegeben werden. Sie kann auch aus einem Verhalten zu schlussfolgern sein.

Beispiel

Wenn sich jemand in einer Fußgängerzone bereitwillig von einem Kamera- Team interviewen lässt, kann man daraus schlussfolgern, dass sie oder er mit späterer Ausstrahlung im Fernsehen einverstanden ist. Nur Verwendungen, die für die Person nicht absehbar waren, sind nicht von dieser (unausgesprochenen) Einwilligung gedeckt.

War die Verwendung in so einem Falle von der Einwilligung gedeckt, kann die betreffende Person das nicht ohne Weiteres zurücknehmen, sondern kann die Verwendung nachträglich nur dann untersagen, wenn sie durch falsche Versprechungen oder ähnliches getäuscht wurde oder andere gewichtige Gründe gegen die Verwendung sprechen. Sofern in Arbeitsverträgen keine abweichenden Regelungen enthalten sind, gelten diese allgemeinen Grundsätze auch im Arbeitsumfeld.

Beispiel

Auf einer Betriebsversammlung wird gefilmt, ohne dass alle Teilnehmer dies bemerken. Um das Video später im Intranet des Konzerns einstellen zu dürfen (das trotz Beschränkung auf Mitarbeiter als öffentlicher Bereich anzusehen ist, siehe dazu Teil 1 Kapitel IV), muss die Versammlungsleitung wenigstens einmal auf die Kamera und die beabsichtigte Verwendung im Intranet hinweisen und so den Teilnehmern Gelegenheit zur Entscheidung geben. Widerspricht dann niemand, können einzelne Teilnehmer nicht nachträglich verlangen, dass das Video aus dem Netz genommen wird.

Wenn es nicht um mehrere Personen zugleich geht (wie im Beispiel der Betriebsversammlung), sondern um die Daten des einzelnen Mitarbeiters (etwa die Personalakte), dann entfällt die datenschutzrechtliche Berechtigung des Arbeitgebers grundsätzlich, sobald der Mitarbeiter aus dem Unternehmen ausscheidet. Sollen personenbezogene Daten auch dann gespeichert bleiben dürfen, muss das vorher vertraglich so vereinbart worden sein.

Bilder von Personen sind ohne „Model Release“ wenig wert

Immer wieder führen im Internet frei verfügbare Bilder zu Problemen, selbst wenn sie urheberrechtlich durch „Public Licenses“ für jeden zur Nutzung freigegeben worden sind. Denn auch dann funkt das Persönlichkeitsrecht dazwischen, falls Personen auf den Bildern wiederzuerkennen sind. Die ansonsten sehr hilfreichen Public Licenses lassen nämlich in der Regel die Persönlichkeitsrechte außen vor, so dass diese gesondert abzuklären sind.

Beispiel

Andreas N. arbeitet bei einem kleinen Start-Up-Unternehmen mit dünner Finanzdecke. Er ist daher froh, als er auf einem großen Bilderportal im Internet zwei Fotos findet, die perfekt zur Dienstleistung des Start-Ups passen und unter einer Public License stehen, die kommerzielle Nutzung erlaubt. A. N. baut diese Bilder in die Website seines Unternehmens ein und hält sich dabei penibel an die Vorgaben der angegebenen Lizenz. Wenig später geht ihm eine Abmahnung von einer der abgebildeten jungen Frauen zu, wonach er das Bild umgehend entfernen und die Abmahnkosten tragen soll. A. N. fühlt sich unschuldig, muss aber trotzdem der Aufforderung nachkommen.

Wenn bei einem kostenfrei zugänglichen Bild keine Hinweise zu finden sind, dass die Abgebildeten ihre Zustimmung zur weiteren Veröffentlichung gegeben haben, muss sicherheitshalber nachgefragt werden (außer es handelt sich um Bilder von Prominenten, die in der Öffentlichkeit fotografiert wurden, siehe Anfang von Teil 2). Der Fachbegriff dafür ist „Model Release“. Ein Nachfragen erübrigt sich nur dann, wenn die Quelle ersichtlich bereits abgeklärte Bilder enthält, wie etwa die Bilderdatenbank einer Model-Agentur.

Unser Tipp

Im Zweifel sollte man es komplett vermeiden, Bilder zu veröffentlichen, auf denen Personen zu sehen sind. Falls das dennoch nötig ist, sollte man entweder auf Bildagenturen zurückgreifen, da diese im Streitfall für die Zustimmung der Abgebildeten geradestehen müssen, oder eigene Bilder nutzen, bei denen man von abgebildeten Personen zumindest die formlose Zustimmung selber eingeholt hat.

Das Recht an eigener Stimme und Namen

Ähnlich wie bei Bildern gibt es das „Recht an der eigenen Stimme“. Damit ist vor allem die Wiedererkennbarkeit der Stimme gemeint und nicht so sehr das, was gesagt wurde. Das Gesagte selbst untersteht dem „Schutz des nicht öffentlich gesprochenen Wortes“. Was jemand außerhalb der öffentlichen Aufmerksamkeit sagt, darf nicht ohne Zustimmung mitgeschnitten werden, unabhängig davon, ob die Vertraulichkeit der Situation vorher ausdrücklich festgelegt wurde oder nicht.

Beispiel

Vorstandsmitglied Volker M. hat die undankbare Aufgabe, ein Ergebnisprotokoll der heutigen Vorstandssitzung zu schreiben. Um kontrollieren zu können, ob er alles richtig mitgeschrieben hat, lässt er unbemerkt die Aufnahmefunktion seines Handys mitlaufen. Trotz seiner harmlosen Absichten und obwohl er die Aufnahme löschen will, sobald das Protokoll fertig ist, macht er sich damit nach § 201 des Strafgesetzbuchs strafbar.

Eine weitere gesetzliche Ausprägung des Persönlichkeitsrechts ist das Recht am eigenen Namen (§ 12 BGB). Es gilt nicht nur für bürgerliche Namen, sondern auch für Namen von Unternehmen und Künstlernamen. Sogar Allerweltsnamen können prominent besetzt sein. Nicht nur im Geschäftsleben ist daher Vorsicht geboten, wenn Namen für bestimmte Zwecke instrumentalisiert werden sollen, etwa bei der Bezeichnung einer Internet-Domain oder bei Werbung.

Beispiel

Im- und Exportkaufmann Frank B. plant eine neue Internetpräsenz für den Vertrieb von Brillen. Eines der Brillengestelle sieht fast genau so aus wie das eines berühmten deutschen Entertainers. Da dieser einen relativ weit verbreiteten Namen trägt, hält F. B. es für unverfänglich, den Online-Brillen-Shop unter der Domain www.harald-schmidt-nickelbrillen.de zu betreiben.

Hierzu ist die Rechtsprechung nicht ganz gefestigt, aber es könnte gut sein, dass genannter Entertainer gegen diese Ausnutzung seines Namens vorgeht und vor Gericht damit Erfolg hat. Würde Frank B. selber Harald Schmidt heißen, hätte er das Namensrecht (zumindest auch) auf seiner Seite. Dann würde es darum gehen, wer von beiden die Domain zuerst registriert.

Urheber haben zusätzlich noch ein eigenes, besonderes Persönlichkeitsrecht Auch das besondere Persönlichkeitsrecht des Urhebers ist mit diesem untrennbar verbunden. Urheberinnen und Urheber können es nicht einmal ablegen, wenn sie das wollen. Sie können außerdem als Ausdruck dieses Rechts verlangen, gerade nicht als Urheber genannt zu werden. Besetzt dann jemand anderes diese „Lücke“ und behauptet, selber der Urheber zu sein, kann der wahre Urheber dagegen vorgehen.

Was die Namensnennung eines Arbeitnehmer-Urhebers betrifft, so hängt es von den zugrunde liegenden Vereinbarungen und den Gepflogenheiten der jeweiligen Branche ab, ob der Arbeitgeber den Namen des Arbeitnehmers in Verbindung mit dem Werk nicht zu nennen braucht, nennen darf oder sogar nennen muss.

Beleidigung und ihre Grauzonen

Auch die Straftatbestände der Beleidigung, der üblen Nachrede und der Verleumdung (§§ 185 bis 193 des Strafgesetzbuchs) sind Ausdruck des Persönlichkeitsrechts jeder Person. Dem Recht, gegen entsprechende Aussagen vorzugehen, stehen manchmal allerdings andere Grundrechte entgegen, vor allem die Meinungsfreiheit. Es muss in einer pluralistischen Gesellschaft schließlich erlaubt sein, sogar heftige Kritik an einer Person öffentlich zu äußern. Solange es sich um sachliche, auf wahren Tatsachen basierende Kritik handelt, ist das weder Verleumdung noch Beleidigung oder üble Nachrede.

Eine Beleidigung liegt vor, wenn eine Aussage dazu dient, eine andere Person in ihrem Wert als Mensch anzugreifen (Stichwort: Menschenwürde), sie also „runterzumachen“, zu beschimpfen und ähnliches. Üble Nachrede und Verleumdung unterscheiden sich von der Beleidigung dadurch, dass statt Meinungen Tatsachen verbreitet werden, die den Ruf schädigen können (Tatsachen sind aus rechtlicher Sicht alle Dinge, bei denen zumindest theoretisch bewiesen werden kann, ob sie stimmen oder nicht). Und zwar geschieht dies entweder „ins Blaue hinein“ oder sogar wider besseres Wissen.

Beispiel

Die Aussage, ein Manager habe die Geschäftsaussichten seines Unternehmens verkannt und sei als Geschäftsführer ungeeignet, ist berechtigte Kritik (weil Meinungsäußerung). Der Zusatz, er sei wahrscheinlich der schlechteste Manager des Jahrhunderts, ist eine Beleidigung. Und die Behauptung, er habe, um von seinen Fehlern abzulenken, in der Unternehmensbilanz wichtige Zahlen weggelassen, kann üble Nachrede sein (wenn der, der das behauptet, es nicht beweisen kann) oder Verleumdung (wenn der Behauptende weiß, dass die Behauptung nicht stimmt).

Im Verkehr zwischen Unternehmen gibt es zudem spezielle Strafvorschriften gegen „Kreditgefährdung“, das „Gesetz gegen den unlauteren Wettbewerb“ (UWG) und weitere Regelungen, um Geschäftsleute vor einer Rufschädigung durch Konkurrenten zu schützen.

Achtung

Beleidigt ein Arbeitgeber seinen Arbeitnehmer oder umgekehrt — es macht dabei wenig Unterschied, ob öffentlich, etwa auf der eigenen Homepage, oder im Gespräch gegenüber Kollegen — dann kann das arbeitsrechtlich als „Störung des Betriebsfriedens“ anzusehen sein und als Grund für eine außerordentliche fristlose Kündigung ausreichen.

Neben der hier dargestellten rechtlichen Sichtweise auf zwischenmenschliche Konflikte wird das „Runtermachen“ anderer – gerade wenn es systematisch geschieht – auch unter dem Begriff „Mobbing“ zusammengefasst. Es kommt in allen Gruppen von Menschen vor, am Arbeitsplatz genauso wie unter Schülern. Zwar ist nicht alles, was unter Mobbing fällt, zugleich auch ein Rechtsverstoß im Sinne des Straf- oder Zivilrechts. Dennoch können die Folgen schwerwiegend sein. Spielt das Internet oder andere elektronische Kommunikationskanäle eine Rolle, spricht man von „Cyber-Mobbing“.

Unser Tipp

Zum Mobbing/Cyber-Mobbing gibt es verschiedene Informations- und Hilfsangebote, auch im Internet . Hingewiesen sei hier auf das entsprechende Angebot des Projekts klicksafe der LfM, siehe http://www.klicksafe.de/themen/kommunizieren/cyber-mobbing/.

Inzwischen ein Wirtschaftsgut: Persönliche Daten ganz normaler Leute

Heutzutage gilt: Daten, die einmal im Internet kursieren, verschwinden allenfalls zufällig von selbst. In den meisten Fällen bleiben sie dauerhaft erhalten. Darum ist es besonders wichtig, schon das Sammeln von personenbezogenen Daten (im Fachdeutsch „Erhebung“ genannt) kontrollierbar zu machen. Ein Versuch, dem Einzelnen wenigstens eine gewisse Handhabe dazu zu geben, sind die Gesetze und Gerichtsentscheidungen zum Datenschutz. Vereinfacht gesagt heißt das: Personenbezogene Daten anderer dürfen nur mit gesetzlicher Erlaubnis, wegen engen Bezugs zu einem Vertragsverhältnis (zum Beispiel Arbeitsvertrag) oder mit ausdrücklicher Einwilligung der Betroffenen erhoben, verarbeitet und genutzt werden, und das dann auch nur im unbedingt erforderlichen Umfang.

Achtung

Auch bei sogenannten „dynamischen IP-Adressen“ kann mit gerichtlicher Genehmigung bei den Internetzugangsanbietern ermittelt werden, wer zu welcher Zeit über eine bestimmte IP-Adresse im Internet gesurft hat. Echte Anonymität im Internet ist also selten.

Personenbezug haben alle Daten, die sich eindeutig einer bestimmten Person zuordnen lassen – auch wenn das nur mit Zusatzinformationen und einigem Aufwand möglich ist. Die Datenschutzgesetze regeln, wie damit umzugehen ist:

Auch wer solche Daten mit Erlaubnis sammelt, muss sie sorgsam vor unberechtigtem Zugriff schützen, auf Verlangen Auskunft über den Datenbestand geben, unkorrekte Daten berichtigen und die Daten löschen, wenn die Gründe für die Speicherung nicht mehr bestehen.

Unser Tipp

Das Bundesdatenschutzgesetz schreibt überall den Grundsatz der Datensparsamkeit vor. Es dürfen also immer nur so viele Daten wie nötig gesammelt werden, nicht so viele wie möglich. Darum ist es in der Regel zulässig, in Online-Formularen weniger Daten anzugeben als abgefragt werden.

 

II. Datenschutz rund um den Arbeitsplatz

Neben den allgemeinen Grundlagen des Datenschutzes gibt es für die Arbeitswelt besondere Regeln, zum Beispiel in § 32 Bundesdatenschutzgesetz (BDSG), im Betriebsverfassungsgesetz, den Personalvertretungsgesetzen und der Bildschirmarbeitsverordnung.

Wenn Arbeitgeber allgemeine Daten über ihre Mitarbeiter sammeln, haben sie grundsätzlich einen gesetzlich ausreichend guten Grund dafür, nämlich das Arbeitsverhältnis. Andererseits ist der Arbeitgeber in einer besonderen Machtposition gegenüber den Arbeitnehmern, weshalb sie zusätzlichen Schutz vor Datenmissbrauch brauchen. Arbeitgeber dürfen deshalb zwar Daten zur Person und Einsatzfähigkeit ihrer Arbeitnehmer in Personalakten sammeln, müssen diese Akten aber sorgsam verwahren. Außerdem dürfen auch Arbeitgeber nur so viele Daten sammeln, wie unbedingt nötig.

Unser Tipp

Möchte sich der Arbeitgeber in Arbeitsverträgen besondere Erlaubnisse zum Umgang mit Daten des Arbeitnehmers geben lassen, dann ist das nur zulässig, wenn weder das Betriebsverfassungsgesetz noch eine Betriebs- oder Dienstvereinbarung zur konkreten Frage Regelungen enthalten. Hierzu kann der jeweilige Betriebs- oder Personalrat Auskunft geben.

Big Boss is watching you: Audio- und Videoüberwachung

Eine umfassende und dauernde technische Überwachung von Arbeitnehmern am Arbeitsplatz als „Leistungs- und Verhaltenskontrolle“ – also, ob sie auch so arbeiten, wie sie sollen – ist datenschutz- und zivilrechtlich nicht erlaubt.

Unser Tipp

Arbeitnehmer dürfen sich gegen permanente technische Leistungsüberwachung (Kameras usw.) durch Arbeitsverweigerung wehren.

Wenn ein Arbeitgeber nicht allgemein, sondern gezielt zu technischen Mitteln greifen will, um das Verhalten der Arbeitnehmer zu kontrollieren, muss die Zustimmung von Betriebs- und Personalräten vorliegen. Das betrifft auch Zeiterfassungs- und Zutrittssysteme, elektronische Bezahltechnik in der Kantine, Systeme zur Erfassung der Kundenzufriedenheit, zur Qualitätssicherung und zum Schutz „geistigen Eigentums“. Audio- und Videoüberwachung ist nur in ganz begrenzten Ausnahmefällen zulässig, und zwar u.a. wenn die Arbeitnehmer auf die Überwachung hingewiesen werden oder – in ganz besonderen Einzelfällen – eine heimliche Überwachung das letzte verbleibende Mittel zur Aufklärung von tatsächlich bereits begangenen Straftaten ist. Das müssen aber drastische Delikte sein, etwa Drogenhandel am Arbeitsplatz und ähnliches, sonst ist die Überwachung unverhältnismäßig.

Zu den Zugangssystemen zählen auch elektronische rund um die Computer-Infrastruktur des Unternehmens. An- und Abmelden an passwortgeschützten Systemen darf zwar protokolliert werden, die weitergehende Überwachung der Computer-Nutzung ist (ähnlich wie bei Videoüberwachung) jedoch wieder nur mit Zustimmung der Betriebs- bzw. Personalräte erlaubt.

Beispiel

Sachbearbeiterin Anna-Maria N. hat das Gerücht gehört, dass in der Behörde, in der sie arbeitet, automatisch aufgezeichnet und gemeldet werde, wenn Mitarbeiter bestimmte Internetseiten aufrufen. Sie selbst befürchtet schon lange, dass routinemäßig die von den Behördenrechnern aus verschickten E-Mails mitgelesen werden. Eine Nachfrage beim Personalrat ergibt, dass es in der Behörde eine Dienstvereinbarung gibt, die die private Nutzung des Internets am Arbeitsplatz untersagt. Nur für eine einzige Abteilung allerdings, in der das massiv unterlaufen worden zu sein scheint, habe der Personalrat einer zeitweisen Protokollierung der Internetnutzung zugestimmt.

Unser Tipp

Betriebs- bzw. Personalräte sind die erste Anlaufstelle, falls Arbeitnehmer unrechtmäßige Überwachung oder andere Datenschutzverstöße vermuten. Verfügt ein Unternehmen weder über Personalvertretung noch Datenschutzbeauftragten, kann und sollte man sich an den Landesdatenschutzbeauftragten des jeweiligen Bundeslandes wenden.

Beim Umgang mit Kundendaten kann man mehr falsch als richtig machen Gegenüber Außenstehenden müssen sich Unternehmen, Behörden, Selbständige und Freiberufler selbstverständlich an die allgemeinen Datenschutzregeln halten (Zustimmung der Betroffenen, Datensparsamkeit usw., siehe oben). Folgendes gilt es zudem besonders zu beachten:

Checkliste zum richtigen Umgang mit Kundendaten

  • Damit die Kunden entscheiden können, wie ihre Daten genutzt werden dürfen, müssen sie zunächst darüber informiert werden: Die Kunden müssen erfahren, welche personenbezogenen Daten zu welchem Zweck von wem erhoben werden und wie man sie verarbeitet und nutzt.
  • Es muss ausdrücklich darauf hingewiesen werden, sofern Daten zwecks Speicherung, Verarbeitung oder Nutzung außerhalb des Europäischen Wirtschaftsraums (EWR) weitergereicht werden.

Achtung

Besondere Vorsicht ist geboten, wenn externe sogenannte „Cloud-Dienste“ eine Rolle spielen, da diese ihre Datenspeicher oft über die ganze Welt verteilt betreiben. Gegenüber seinen Kunden muss ein Unternehmen sicherstellen, dass es die Speicherung und Verarbeitung der Kundendaten beim Cloud-Dienst kontrollieren kann. Das ist derzeit aber bei fast keinem Cloud-Dienst wirklich möglich.
  • Die Datenschutzerklärung muss den Kunden vor der Datenerhebung mitgeteilt, die Zustimmung der Kunden muss einzeln dokumentiert werden.

Unser Tipp

Bei Online-Angeboten genügt ein Link zur Erklärung, neben den die Kunden ein Häkchen setzen und so zum Ausdruck bringen können, dass sie einverstanden sind.
  • Die Datenschutzerklärung muss auch später jederzeit verfügbar sein, etwa als separate Seite auf dem Internetangebot des Unternehmens. Sie muss für sich stehen, darf also nicht Teil von AGB sein.
  • Die Kunden müssen in der Erklärung darauf hingewiesen werden, dass die Zustimmung zur Datenschutzerklärung jederzeit für die Zukunft widerrufen werden kann.
  • Soweit es technisch möglich und zumutbar ist, muss den Kunden die Nutzung von elektronischen Diensten unter Pseudonym ermöglicht werden. Zumutbar ist das normalerweise, wenn keine Abrechnungen erstellt werden müssen (also vor allem bei kostenlosen Diensten oder sogenannten „Flat-Rates“) und Klarnamen auch nicht aus anderen Gründen unbedingt erforderlich sind (etwa aus Haftungsgründen).

Cookies mit Nebenwirkungen

Die Verwendung sogenannter „Cookies“ ist im Internet sehr verbreitet. Zur Erfassung des Verhaltens von Webseiten-Besuchern werden diese sehr kleinen Informations-Schnipsel während des Surfens auf den Computern der Webseiten- Besucher hinterlegt und machen sie später eindeutig wiedererkennbar.

Achtung

Geschieht dies (wie meistens) ohne, dass die Webseitenbesucher es merken, erfüllt es die oben aufgezählten Bedingungen zum Umgang mit Kundendaten nicht. Auch Analysedienste für Internetwerbung (Google Analytics, Google AdSense und andere) verstoßen nach Meinung vieler Fachleute gegen die Datenschutzregeln.

Zum Schutz der Internetnutzer haben die Datenschutzbeauftragten der Länder daher besondere Befugnisse, um gegen Unternehmen vorzugehen, die auf dieser technischen Ebene über Cookies den Datenschutz missachten. Hier drohen Anordnungen falls ein Unternehmen oder eine Behörde auf eigenen Websites Cookies oder Analysedienste einsetzt und die Besucher nicht ausreichend darüber informiert. Vergrößert wird diese Problematik noch durch die um sich greifende Nutzung sozialer Netzwerke, siehe folgenden Abschnitt.

Unser Tipp

Um dafür zu sorgen, dass das eigene Surf-Verhalten nicht über Cookies nachzuver folgen ist , kann jeder Internetnutzer seinen Web-Browser selbst entsprechend einstellen. Genaue Anleitungen dazu gibt es unter anderem beim Projekt verbraucher-sicher-online.de in der Rubr ik „Schwerpunkte / Cookies“.

Soziale Netzwerke – Vorsicht mit den Voreinstellungen!

Nicht nur bei der Jobsuche, sondern auch sonst spielen „Social Networks“ wie Facebook eine immer größere Rolle im Arbeitsalltag. Arbeitnehmer haben zunehmend eigene, private Accounts bei solchen Netzwerken und werden mitunter von ihrem Arbeitgeber angehalten, diese auch im Sinne des Arbeitgebers zu nutzen. Firmen und Behörden selbst setzen ebenfalls verstärkt darauf, sich eigene sogenannte „Landing Pages“, „Fanseiten“ oder einfache „Profile“ in den Netzwerken zu schaffen.

Achtung

Einige Gerichte stufen Facebook-Profile mittlerweile ebenso ein wie herkömmliche Webseiten. Deshalb müssen auch Profilseiten ein Impressum haben, wenn sie nicht ausschließlich privat genutzt werden (siehe zur Impressumspflicht unter Teil 01, Kapitel VII). Das ist jedoch bei den meisten Social Networks noch nicht als Funktion vorgesehen. Unternehmen und Behörden verstoßen deshalb mit solchen Profilen regelmäßig gegen geltendes Recht.

Die Hauptkritikpunkte gegen die ansonsten sehr praktischen Social Networks sind Mängel beim Datenschutz. Als problematisch angesehen wird vor allem:

  • Dass die Nutzer in der Regel keine wirkungsvolle Kontrolle darüber haben, wie die Betreiber von Social Networks mit ihren personenbezogenen Daten umgehen;
  • dass die (unzureichenden) Steuerungsmöglichkeiten der Nutzer standardmäßig auch noch so voreingestellt sind, dass besonders viele Daten für besonders viele Personen zugänglich sind;
  • dass die Nutzer durch die Betreiber zu wenig über ihre (Datenschutz-)Rechte, ihre Steuerungsmöglichkeiten und die Folgen ihres Tuns aufgeklärt werden bzw.
  • dass ihnen völlig unzureichende, verklausulierte oder viel zu weitgehende Einwilligungen abverlangt werden, um in Social Networks dabei sein zu können;
  • dass insbesondere nur selten das (nach deutschem Recht gesetzlich verankerte) Recht auf pseudonyme Mitgliedschaft gewährt wird;
  • dass Nutzer durch Betreiber von Social Networks verleitet werden, ungefragt personenbezogene Daten über Dritte preiszugeben;
  • dass teils sogar automatisch personenbezogene Daten generiert werden (automatische Gesichtserkennung auf Fotos mit Zuordnung zu Personen)

Die Liste ließe sich noch fortsetzen. Die Voreinstellungen, die aktiviert sind, wenn ein Profil neu bei einem Social Network angelegt wird, sind meist auf eine größtmögliche Verbreitung von persönlichen Daten ausgerichtet. Außerdem ändern und erweitern die Betreiber relativ oft die Funktionen der Netzwerke, so dass immer wieder neue Voreinstellungen hinzukommen. Hier gilt es, sowohl zu Beginn als auch regelmäßig während der Nutzung eines Social Networks die Einstellungen zu kontrollieren und ggf. zu ändern, um die eigene Privatsphäre zu schützen.

Beispiel

Sachbearbeiter Anton N. lästert auf seinem Profil bei wer-kennt-wen.de kräftig über seinen Abteilungsleiter, der ihm mal wieder das Leben schwer macht. Unachtsamer Weise ist sein Profil auf „öffentlich“ gestellt, so dass unbeabsichtigt nicht nur A. N.s enge Freunde mitlesen können, sondern auch die ganze Abteilung das kann.

Auch harmlos klingende Voreinstellungen wie die, dass ein privates Profil nur „Freunden sowie Freunden von Freunden“ sichtbar sein soll, bedeutet im Regelfall, dass hunderte Personen es aufrufen können (20 Freunde mit jeweils wieder 20 Freunden ergeben bereits 400 Verbindungen). Fast schon eine Binsenweisheit ist es, dass dann beispielsweise anstößige Partyfotos, die von einer Person selbst oder anderen über ein Social Network verfügbar gemacht werden, auch von potenziellen Arbeitgebern gefunden werden können, bei denen man sich um einen Job bemüht. Solch problematisches Material ist nur schwer wieder aus den Netzwerken zu entfernen. Die Löschungsansprüche aus dem Bundesdatenschutzgesetz sind gegenüber im Ausland sitzenden Betreibern von Social Networks nur sehr schwer durchzusetzen.

Unser Tipp

Bei Facebook und Co. die „Pr ivatsphäre-Einstellungen“ (auf Englisch auch „Preferences“ oder „Settings“ ) regelmäßig überprüfen und insbesondere die „Standardeinstellungen“ (Englisch „Default “ ) möglichst so wählen, dass nicht alle eigenen Aktivitäten öf fentlich sichtbar sind.

Wie man gegen seinen Willen in Social Networks landet

Social Networks wie Facebook, Xing und andere haben auch Zusatzfunktionen mit problematischen Nebenwirkungen. So bieten sie ihren Mitgliedern mitunter die Möglichkeit, dem Netzwerk direkten Zugriff auf das eigene E-Mail- Adressbuch zu geben. Auf diese Weise kann das Netzwerk automatisch Kontakt zu im Adressbuch enthaltenen Personen herstellen, was natürlich komfortabel ist. Dadurch überträgt man aber zwangsläufig personenbezogene Daten der Personen, die im Adressbuch stehen, ohne dass sie gefragt wurden. Diese Personen wundern sich dann, dass sie in Social Networks bereits mit ihrer E-Mail-Adresse bekannt sind, obwohl sie diese nie selbst dort angegeben haben.

Unser Tipp

Wer sich eine E-Mail-Adresse bewahren will, die nicht durch Bekannte weitergereicht wird, sollte eine zweite E-Mail-Adresse quasi als „Wegwerfadresse“ vorschalten. Das geschieht dadurch, dass man diese vorgeschaltete Adresse in E-Mails als Absenderadresse verwendet und alle dor t eingehenden Mails an die geschützte Adresse weiterleiten lässt. Wird die Adresse dann (aus Versehen oder absichtlich) irgendwohin weitergereicht und mit Werbe-Mails bombardiert , kann man sie jederzeit aufgeben und eine neue Wegwer fadresse einrichten. Die wichtigere Hauptadresse bleibt vertraulich.

Eher auf Arbeitskontakte ausgerichtete Netzwerke wie LinkedIn oder Xing teilen zudem mit, welche neuen Kontakte diejenigen Personen in der Zwischenzeit geknüpft haben, mit denen man selbst bereits im Netzwerk verbunden ist. Dadurch kann es zu einer unbeabsichtigten Weitergabe vertraulicher Informationen kommen, die für Angestellte ebenso folgenreich sein kann wie für Freiberufler.

Beispiel

Die Uniklinik, in der Astrid N. arbeitet, hat zwecks Beschaffung spezieller Messgeräte eine Ausschreibung gestartet. Um einfacher kommunizieren zu können, fügt A. N. die Geschäftsführer aller fünf Firmen, die Interesse an der Ausschreibung gezeigt haben, als Kontakte ihres Profils bei einem Social Network hinzu. Das Netzwerk verschickt daraufhin automatisch an alle fünf Geschäftsführer eine E-Mail mit der Mitteilung, dass A. N. nun diese neuen Kontakte habe. So erfahren alle Ausschreibungsteilnehmer, wer sonst noch teilnimmt, und können den für die Messgeräte geforderten Preis untereinander absprechen.

Social Plug-Ins sind die kleinen Helfer der Datenkraken

Bei der Erweiterung von Websites mit „sozialen Funktionen“ (auf Englisch auch „social plugins“) lauern weitere handfeste Probleme. Immer mehr Firmen und öffentliche Stellen ergänzen ihre Websites mit Funktionen wie „Like“ oder „+1“-Schaltflächen. Besucher der so aufgepeppten Websites können durch einen Klick auf diese Schaltflächen sehr einfach zum Ausdruck bringen, dass sie das betreffende Angebot gut finden. Sind diese Website-Besucher parallel bereits bei einem Social Network angemeldet, wird der „Like“-Klick sofort an all diejenigen weitergemeldet, mit denen sie in diesem Netzwerk verbunden sind. So werden massenhaft personenbezogene Daten an die Betreiber der Social Networks gesendet, die daraus detaillierte Verhaltensprofile erstellen können. Ohne eine vorherige Datenschutzerklärung mit dokumentierter Zustimmung (siehe oben zu „Umgang mit Kundendaten“) ist das nach Ansicht vieler Datenschützer unzulässig.

Achtung

Zur rechtlich unbedenklichen Einbindung von „Like“ oder „+1“-Schaltflächen wird immer wieder die sogenannte Zwei- Klick-Lösung angeführt, die beim ersten Klick auf die Schaltfläche „Like“ erstmal eine Datenschutzerklärung erscheinen lässt, in die dann mit dem zweiten Klick eingewilligt werden soll. Dieses Vorgehen ist zweifellos besser als die herkömmlichen Schaltflächen. Da jedoch kaum jemand weiß, wie und wofür die übertragenen Daten beim jeweiligen Social Network genutzt werden, können Website- Besucher über diese Nutzung auch nicht vollkommen datenschutzkonform informiert werden. Deshalb sollten Firmen und öffentliche Stellen derzeit noch darauf verzichten, soziale Funktionen in ihre Websites einzubinden.

ZUM AUTOR: IRIGHTS.INFO

iRights.info ist die zentrale Informations- und Aufklärungsplattform zu allen Fragen des Urheberrechts in der digitalen Welt. Mehrfach preisgekrönt, begleitet iRights.info die aktuellen Entwicklungen rund um politische und ökonomische Prozesse im Urheberrecht.

John Weitzmann, Jurist mit Ausrichtung auf den Bereich Internetrecht bei iRights.info und Projektleiter Recht von Creative Commons Deutschland

Philipp Otto, Jurist und Journalist bei iRights.info. Er berät Parteien, Unternehmen und Verbände zur strategischen Ausrichtung und Regulierungsfragen in der digitalen Welt.

Siehe auch: "Arbeitsalltag digital" - Broschüre im PDF (54 Seiten)

(CC BY-SA 3.0 de)

Newsletter:

dasBibliotheks­wissen

Aktuelle News und Informationen zum Bibliothekswesen und zum Bibliotheksmanagement

Aktuelle Ausgabe Jetzt abonnieren
nach oben