Keine Datenherausgabepflicht für Facebook nach Berufung

Wir berichteten vor einigen Wochen von der Streitigkeit zwischen Facebook und der Mutter eines verstorbenen Kindes (Nachrichten von Verstorbenen). Die Berufung entschied das Berliner Kammergericht zugunsten Facebooks, so die Pressemitteilung vom 31.05.2017. Es besteht somit keine Datenherausgabepflicht für den Facebookaccount der verstorbenen Tochter. Der Schutz des Fernmeldegeheimnisses stehe dem Anspruch der Erben entgegen, eine Einsicht in die Kommunikation der Tochter mit Dritten bei Facebook zu erhalten.

Datenherausgabepflicht nach dem Erbrecht?

Das Kammergericht entschied nicht, ob die Eltern der Verstorbenen in den Vertrag des Mädchens mit Facebook eingerückt seien. Grundsätzlich bestehe zwar die Möglichkeit, den Vertrag mit Leserechten passiv weiterzuführen. Auch die Facebook Nutzungsrichtlinien geben keine Informationen, ob Rechte in einem Todesfall auf die Erben übergehen. Ebenso spreche auch nichts gegen die Vererbbarkeit des Vertrages.

Das Bürgerliche Gesetzbuch und die Praxis stoßen aber auf erhebliche Probleme und Abgrenzungsschwierigkeiten, wenn es um die Thematik der Verkörperung geistlichen Eigentums geht. Als Beispiel nennt das Gericht hier die Vererbbarkeit und die Verkörperung von E-Mails mit wirtschaftlichem Bezug.

Die Frage der Vererbbarkeit könne aber laut des Kammergerichts dahinstehen.

Probleme des Fernmeldegeheimnisses und Telekommunikations-gesetzes

Vielmehr stehen der Nachrichtenweitergabe an die Eltern die Vorschriften des Fernmeldegeheimnisses und des Telekommunikationsgesetzes entgegen. Ursprünglich geschaffen für Telefonanrufe entfalte das Fernmeldegeheimnis nach Art. 10 Grundgesetz sowohl eine Schutzpflicht des Staates als auch eine Pflicht für private Dienstanbieter vor der Informationsweitergabe an Dritte. So sind von diesem Schutz des Fernmeldegeheimnisses die E-Mails von Nutzern erfasst, da diese nicht die Möglichkeit haben, technisch der Weitergabe durch den Provider zu widersprechen. Nach Ansicht des Gerichts gelte dies entsprechend für die Nachrichten bei Facebook.

Die nach dem Telekommunikationsgesetz vorgesehenen Ausnahmen würden entgegen der Auffassung des Landgerichts nicht greifen. Zwar sehe das Gesetz vor, dass einem Dritten Kenntnisse vom Inhalt der Kommunikation verschafft werden dürfe, wenn dies erforderlich sei. Als erforderlich könne jedoch nur angesehen werden, was dazu diene, den Dienst technisch zu ermöglichen oder aufrecht zu erhalten. Da Facebook jedoch seine Dienste nur beschränkt auf die Person des Nutzers angeboten habe, sei es auch aus der Sicht der ebenfalls schutzbedürftigen weiteren Beteiligten am Kommunikationsvorgang (Chat) in technischer Hinsicht nicht erforderlich, einem Erben nachträglich Zugang zum Inhalt der Kommunikation zu verschaffen.

Keine ersichtlichen Rechte der Mutter

Das Gericht hat in seine Erwägungen auch Rechte außerhalb des Erbrechts der Mutter in seine Urteilsfindung eingeschlossen.

Die Rechte

  • der elterlichen Sorge (endet mit dem Tod des Kindes)
  • des Totenfürsorgerechts
  • des eigenen Persönlichkeitsrechts der Mutter

leiten keinen Anspruch der Mutter her, den Zugang des Social Media Accounts des verstorbenen Mädchens zu erhalten.

Trotz des verständlichen Wunsches der Eltern, die Gründe für den tragischen Tod ihres Kindes näher zu erforschen, lasse sich hieraus kein Recht auf Zugang zu dem Account ableiten, so das Kammergericht Berlin.

Weitere Entscheidung

Das Urteil des Kammergerichts ist noch nicht rechtskräftig, da es die Revision zum BGH zugelassen hat.

Es bleibt abzuwarten, wie das Thema Datenschutz in diesem Fall weitergeführt wird. Durch dieses Urteil wird jedenfalls ein klarer Unterschied zwischen analogen (Tagebücher etc. und digitalen (E-Mails etc.) Medien gefällt.

Wir informieren Sie weiter.

Bewerbungen und Datenschutz

Aufbewahrungsfristen für Bewerbungen sind ein datenschutzrechtliches Thema für Unternehmen. Wenn eine Stelle für ein Unternehmen inseriert wurde, kommen viele Bewerbungen nicht mehr postalisch zum Unternehmen, sondern vermehrt per EMail. Meistens werden die Unterlagen nach Erfüllung des Zwecks noch aufbewahrt. Dies ist rechtlich allerdings nicht zulässig. Bewerbungen enthalten personenbezogene Daten und richten sich derzeit noch nach dem Bundesdatenschutzgesetz (BDSG), hier nach § 35 Abs.2 Nr. 3 BDSG. Sobald ein passender Bewerber gefunden wurde, fällt somit der Zweck der Speicherung der Bewerberdaten wegen Neubesetzung weg. Damit sind die Daten zurückzugeben oder zu löschen.

Aufbewahrung wegen des AGG

Gerechtfertigt kann eine Aufbewahrung der Daten dennoch sein, um sich gegen eventuelle Diskrimierungsvorwürfen wehren zu können. Das Allgemeine Gleichbehandlungsgesetz (AGG) verbietet die Diskrimierung der Bewerber wegen Alters, Hautfarbe oder des Geschlechts. Schadensersatz- oder Entschädigungsansprüche müssen laut § 15 Abs. 4 AGG innerhalb von zwei Monaten nach der Ablehnung geltend gemacht werden.

Löschung und Vernichtung der Bewerbungen

Sind diese zwei Monate verstrichen, so sind alle Daten der Bewerber zu vernichten. Als Möglichkeiten kommen hier in Betracht:

  • Papierakten in Aktervernichter zu schreddern und datenschutzkonform zu entsorgen
  • Daten sind unkenntlich zu machen bzw. zu löschen

Längere Aufbewahrungsfrist für Bewerbungen?

Dennoch ist es möglich, die Daten von Bewerbern auch noch länger aufzubewahren. Dazu benötigt es einer expliziten Einwilligung der Bewerber. Um den Dokumentationspflichten nachzukommen, gerade im Hinblick auf die EU-Datenschutzgrundverordnung (EU-DSGVO im Mai 2018), sollten Sie diese Einwilligung schriftlich einholen. Dazu gibt es unterschiedliche Möglichkeiten:

  • Opt-In Möglichkeit bei Absenden der Bewerbungsunterlagen, so dass der Bewerber auswählen kann, dass die Unterlagen länger gelagert werden dürfen
  • während des Bewerbungsprozesses oder im Anschluss darf aktiv nachgefragt werden, ob die Unterlagen über den Prozess hinaus behalten werden dürfen

Richtige Aufbewahrung

Aufgrund der personenbezogenen Daten dürfen nur bestimmte Personengruppen die Akten bzw. die Daten sehen. Dazu gehören meist:

  • der Geschäftsführer
  • der direkte Vorgesetzte
  • Mitarbeiter der Personalabteilung
  • Betriebsrat

Sensibilität der Daten

Da es sich aufgrund der Sensibilität der Daten um ein wichtiges Gut handelt, müssen die Bewerbungen und Personalakten ordentlich aufbewahrt werden. Dies überwacht entweder der Betriebsrat oder der Datenschutzbeauftragte. Nach § 4 g BDSG ist es die Pflicht des Datenschutzbeauftragten, auf die Einhaltung des Datenschutzes hinzuwirken.

Datenschutzbeauftragter

Falls Sie Hilfe für die Einhaltung der gesetzlichen Datenschutzpflichten benötigen, stellen Sie eine Anfrage an dsb@anka.eu.

Keine Datenübermittlung von möglichen Kindsvätern

Das AG München hat in seiner Entscheidung vom 28.10.2016 gegen die Verpflichtung zur Datenübermittlung zu möglichen Kindsvätern durch ein Hotel entschieden. Die Frau scheiterte mit ihrer Klage bezüglich ihres Auskunftswunsches über einen Mann wegen eines möglichen Kinderunterhaltsanspruches gegenüber dem Hotel.

Sachverhalt

Die Frau mietete in einem Hotel in Halle in der Zeit vom 04.06.2010 bis zum 07.06.2010 ein Zimmer. Sie verbrachte eine Nacht mit einem anderen Hotelgast in dessen Zimmer auf der zweiten Etage des Hotels. Es wurde ihr der Vorname Michael verraten. Am 14.03.2011 brachte die Frau einen Jungen zur Welt. Auf Grund der Geschehnisse in dem Hotel könnte der Mann der Vater des Kindes sein.

Interessen der Parteien

Die Frau sieht für sich gegenüber dem Hotel ein Auskunftsanspruch nach dem Bundesdatenschutzgesetz (BDSG). Für das Hotel hingegen überwiegt das Recht der betroffenen Männer auf informationelle Selbstbestimmung und auf den eigenen Schutz der Ehe und Familie gegenüber dem Unterhaltsanspruch der Frau. Zum damaligen Zeitpunkt waren in dem Hotel vier Männer mit dem Namen Michael eingecheckt und es konnten durch die Frau keine weiteren Angaben getätigt werden, um den richtigen Mann zu identifizieren.

Gerichtsentscheidung

Das Gericht sieht zudem für die betroffenen Männer ein Recht auf Privats- und Intimsphäre. Dieses Recht schützt davor, geschlechtliche Beziehungen offenbaren zu müssen. Danach bleibe es jedem selbst überlassen, inwieweit er oder sie Informationen über das eigene Leben oder die Intimsphäre erteilt.

Gefahr der Datenübermittlung ohne genauere Informationen

Das Gericht hatte zudem das Problem, der Frau in der Sache recht zu geben, da sie keine weiteren Angaben über den Mann aus besagter Nacht machen konnte. Ihr war nur der Name Michael bekannt, ohne dass geklärt war, ob dies der tatsächliche Name des Betroffenen war. Für das Gericht war eine Eingrenzung nur aufgrund des Vornamens und der Etagenzahl nicht durchführbar. Somit sei eine Datenübermittlung ohne die Verletzung der Rechte nicht betroffener Männer, die zeitgleich dort waren, nicht möglich.

Vorratsdatenspeicherung bei Einbrüchen möglich

Künftig darf die Polizei zur Aufklärung bei Einbrüchen Kommunikations- und Standortabfragen durchführen. Dazu will die Bundesregierung die Liste der Delikte verlängern, bei denen die Vorratsdatenspeicherung schon jetzt erlaubt ist.

Aussagen der Koalition Oktober 2015

Bei der Verabschiedung der Vorratsdatenspeicherung im Oktober 2015 wurde der Zugriff lediglich auf wenige Fälle geregelt. Nach Bundesjustizminister Heiko Maas (SPD) dürfen Ermittler nur bei “schwersten Delikten” die Daten nutzen. Dazu gehören beispielsweise Delikte wie Mord, Totschlag oder auch Delikte gegen die sexuelle Selbstbestimmung. Erst am 16. Oktober 2015 versicherte Volker Ullrich (CSU), dass der Staat nur zur Aufklärung oder Verhinderung schwerster Straftaten Daten abrufen darf. In diesem Zusammenhang nannte Ullrich auch die Gefahrenabwehr, zum Beispiel die Abwehr von terroristischen Anschlägen.

Kritiker der Vorratsdatenspeicherung

Schon 2015 wurden viele kritische Stimmen geäußert. Hauptkritikpunkt war, dass die einmal etablierten Speichersysteme öfter genutzt werden könnten, als zunächst vorgesehen. Durch die Erweiterung der Delikte wird die angekündigte Vorgehensweise nun aufgeweicht.

Gesetzesentwurf des Bundeskabinetts

In der Ausweitung der Deliktsliste bei der Vorratsdatenspeicherung wird nun der “Einbruchdiebstahl in eine dauerhaft genutzte Privatwohnung” mit aufgenommen. Begründet wird dies in dem Artikel auf golem.de damit, dass

“zur wirkungsvollen Aufklärung von Einbrüchen in Privatwohnungen die Strafverfolgungsbehörden auch Zugriff auf Standortdaten benötigen”.

Bei der Vorratsdatenspeicherung werden Standortdaten von Mobiltelefonen vier Wochen lang gespeichert, sonstige Verkehrsdaten zehen Wochen lang.

Kritik

Nach der Ausweitung der Deliktsliste werden sicherlich die kritischen Stimmen gegen die Vorratsdatenspeicherung lauter. Sicherlich wird auch gerade der Fall des Einbruchs in eine Privatwohnung von der Qualität des Deliktes nicht mit Delikten wie ein Mord, Totschlag oder einem Delikt gegen die sexuelle Selbstbestimmung einer Person vergleichbar sein. Daher könnte die Grenze für die Vorratsdatenspeicherung nun tatsächlich aufgelockert worden sein. Es bleibt abzuwarten, wie es sich in der nächsten Zeit weiterentwickeln wird.

Unternehmenspflichten nach der DSGVO

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft und bringt weitreichende Folgen mit sich. Unternehmen müssen sich damit jetzt schon auseinandersetzen, da Verstöße richtig teuer werden können.

Bußgelder in Zukunft

Derzeit sind nach § 43 BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Mit der EU-DSGVO beträgt die maximale Geldbuße bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Es wird der Wert gezählt, der Wert der höhere ist. Auch ist der oben genannte Unternehmensbegriff von zentraler Bedeutung. Es zählt der Jahresumsatz des gesamten Konzerns und nicht der der einzelnen juristischen Person.

Werbetreibende, Publisher und Technologieplattformen

Ab Mai 2018 müssen Werbetreibende, Publisher und Technologieplattformen explizit die Einwilligung der Konsumenten einholen, bevor die Daten verwendet werden dürfen. Dabei muss den Konsumenten auch der Zweck offen gelegt werden. Laut Rolf Anweiler von Mapp Digital müssen werbungtreibende Unternehmen

“sich darüber bewusst werden, welche Art von Datenverarbeitung im eignen Betrieb stattfindet.”

Dazu zählen etwa Fragen wie, ob eine Datenverarbeitung im Auftrag für Dritte stattfindet, wo Mitarbeiterdaten gespeichert werden oder ob selbst nochmal Dienstleister eingesetzt werden, wohin Daten möglicherweise exportiert werden.

Zudem folgt auf alle Verarbeitungsprozesse eine Kontrolle und Bewertung der Datenverarbeitung. Dabei sollten vor allem auch interne unternehmensinterne Abläufe dokumentiert und bewertet werden, wozu auch eine Kontrolle der Website des Unternehmens sowie beim Tracking von Nutzerverhalten gehört.

“Die internen Abläufe müssen so eingerichtet werden, dass Kunden so einfach wie möglich über eine Datenschutzverletzung informiert werden können – und zwar unverzüglich innerhalb von 72 Stunden, nachdem sie erkannt wurde”, ergänzt Carsten Frien, CEO und Co-Gründer von Roq.ad in dem Artikel bei Haufe.de.

Fingerprinting – Lösung

Die erste Lösung könnte das sog. Fingerprinting sein. Es wird ein Abdruck des Browsers durchgeführt, wobei die individuellen Einstellungen, die Sprache, Schriftarten und Add-Ons erfasst werden. Dies wird auf dem Server des Anbieters oder Dienstleister gespeichert und funktioniert wie ein Bild. Eine Kombination von mehreren Seitenaufrufen und Aktionen ergibt ein Gesamtbild des Surfverhaltens. Dieses Verfahren funktioniert mit einer Trefferquote von 90 % und der Nutzer muss nicht zustimmen.

Cookiesetzung – Lösung

Die zweite Lösung sieht eine Methode vor, wie sie schon in den Niederlanden praktiziert wird. Dabei wir das Ausspielen der Websiteinhalte in Abhängigkeit mit dem Setzen von Cookies durch den Nutzer gesetzt.

“Ohne Akzeptanz kein Content.”

Das Problem dieser Lösung besteht darin, dass sich Unternehmen einer neuen Herausforderung entgegenstellen müssen. Es ist für eine Cookiesetzung die Zustimmung des Nutzers zu dokumentieren. Das sog. Opt-In muss also nachweisbar sein. Lösungen und Dienstleistungen für Werbekunden werden somit teurer.

Fazit

Webseitenbetreiber müssen ihre Datengewinnung durch Dritte zu reduzieren. Das Opt-In ist ohne größeren Aufwand einholbar. Die Zukunft wird zeigen, für welche Lösung sich die einzelnen Unternehmen entscheiden werden oder ob eine andere Variante noch denkbar ist.

Falls Sie Lösungen für Ihren gesetzlichen Datenschutz suchen, schreiben Sie uns über dsb@anka.eu.

22.05.2017 Seminar zur Problematik im Umgang mit Videoüberwachung

Das Seminar “Problematik im Umgang mit Videoüberwachung” klärt auf, in welchem Umfang Videoüberwachung im Unternehmen genutzt werden kann. Dabei wird erläutert, wo die datenschutzrechtlichen Grenzen zu ziehen sind.

Wann? 22.05.2017 von 10.00 Uhr – 13.00 Uhr
Wo? Kaninenberghöhe 50, Essen

Bitte rufen Sie uns bei Interesse unter 0201-2463660 an.