it-vergabe-blog.de - Anwaltsberatung online bestellen www.shopanwalt.de

Das Oberlandesgericht (OLG) Frankfurt am Main hat in einem aktuellen Urteil (Az. 13 U 105/07 vom 16.6.2010) entschieden, dass ein Internet Service Provider IP-Adressen von Kunden einer Internet-Flatrate 7 Tage lang speichern darf.

Hintergrund ist ein mittlerweile mehrjähriger Streit zwischen der Telekom und einem Kunden. Ursprünglich speicherte die Telekom IP-Adressen für einen Zeitraum von 80 Tagen ab Rechnungsstellung. Der Kläger verlangte die sofortige Löschung seiner Verbindungsdaten und klagte. Im Juni 2007 untersagte das Landgericht Darmstadt die Speicherung für mehr als sieben Tage, woraufhin die Telekom ihr Speicherverhalten änderte. Dem Kläger ging das Urteil nicht weit genug und legte Berufung beim OLG ein.

Nach Ansicht des Klägers verletze die Speicherung seine Privatsphäre aufgrund der Möglichkeit, sein Nutzerverhalten auszuspähen. Daher solle die Telekom die Daten sofort nach Verbindungsende löschen. Schließlich seien die Daten bei einer Flatrate auch nicht zur Abrechnung erforderlich.

Das OLG hingegen sah keinen Rechtsgrund, welcher die Telekom zur „sofortigen“, sondern allenfalls zur „unverzüglichen“ Löschung verpflichte, was einem Zeitraum von sieben Tagen entspreche. Die Richter sprachen der Telekom diesen Speicherzeitraum auch deshalb zu, weil die IP-Adressen laut Aussage der Telekom für die Abrechnung und Fehlerbehebung gebraucht würden. Der Kläger habe nicht nachweisen können, dass die Telekom über die technischen Möglichkeiten zur Abrechnung und Fehlerbehebung verfüge, welche durch die sofortige Löschung der IP-Adressen nicht beeinträchtigt werde. Dass zahlreiche andere Provider die Adressen sofort löschen würden, stünde dem nicht entgegen.

Gegen das Urteil ist inzwischen Revision beim Bundesgerichtshof eingelegt worden.

Bedeutung für die Praxis: Dem Urteil des OLG kommt vorübergehende Bedeutung für die Verfolgung von Straftaten und zur Abwehr erheblicher Gefahren für die Öffentlicher Sicherheit aber auch zur Ermittlung von Urheberrechtsverletzungen zu. Am 2.3.2010 hat das Bundesverfassungsgericht die Vorschriften zur Vorratsdatenspeicherung für verfassungswidrig erklärt. Sobald der Gesetzgeber den Bereich der IP-Adressenspeicherung neu regelt, dürfte der Anspruch auf vorzeitige Löschung obsolet werden.

Unternehmen, die personenbezogene Daten speichern, sind dem Betroffenen auf dessen Verlangen hin gemäß § 34 des Bundesdatenschutzgesetzes zur Auskunft verpflichtet. Der Auskunftsanspruch erstreckt sich auf die zur Person des Betroffenen gespeicherten Daten, deren Herkunft, den Zweck der Speicherung sowie die Empfänger, an welche die Daten weitergegeben werden. Der Auskunftsanspruch ist ein grundlegendes Recht des Betroffenen, das diesem immer zusteht und auf das er auch nicht durch Vertrag verzichten kann. Es soll ihn in die Lage versetzen, die über ihn gespeicherten Daten zu kontrollieren und gegebenenfalls weitere Rechte, wie Löschung oder Korrektur fehlerhafter Daten, geltend zu machen.

Der Betroffene soll zwar laut Gesetz seine Anfrage dahingehend präzisieren, über welche Daten er eine Auskunft wünscht. Gezwungen werden kann er hierzu jedoch nicht. Im Zweifel muss die verantwortliche Stelle daher davon ausgehen, dass eine Auskunft über alle relevanten Daten gewünscht ist.

Die verantwortliche Stelle muss allen Auskunftsersuchen nachkommen und darf nur bei offensichtlich schikanösen und rechtsmissbräuchlichen Anfragen eine Auskunft verweigern. Die Kosten der Auskunft hat das Unternehmen gem. § 34 Abs. 8 BDSG selbst zu tragen. Für den Betroffenen ist die Auskunft stets kostenfrei. Eine Ausnahme hinsichtlich der Kostentragung gilt für Auskunfteien, bei denen nur einmal jährlich ein unentgeltlicher Auskunftsanspruch besteht.

Erteilt eine verantwortliche Stelle keine Auskunft, kann der Betroffene dies gerichtlich einklagen oder die Aufsichtsbehörde einschalten, die den Gesetzesverstoß als Ordnungswidrigkeit mit einem Bußgeld von bis zu 50.000 Euro ahnden kann.

Bedeutung für die Praxis: Unternehmen haben die Kosten der Auskunftserteilung zu tragen. Es liegt daher in ihrem eigenen Interesse, möglichst frühzeitig über eine kostengünstige und effiziente Organisationsstruktur zur Auskunftserteilung an Betroffene nachzudenken.

Das Datenschutzrecht verpflichtet verantwortliche Stellen, personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden, ihre Speicherung unzulässig ist oder der Betroffene sein Recht auf Löschung der über ihn gespeicherten Daten verlangt. Dies kann jedoch in der Praxis sehr schwer zu bewerkstelligen sein. Schon der Einsatz handelsüblicher Datensicherungslösungen kann eine Löschung äußerst kompliziert gestalten, weil eine Löschung aus dem aktuellen Bestand nicht die Kopien im Backup-Bestand mit erfasst.

Eine praktikable Lösung des Problems ließe sich durch Kryptographie erreichen. Dazu wird jeder Datensatz bereits beim Anlegen mit einem individuellen Schlüssel chiffriert. Die Schlüssel werden in einer Datenbank abgelegt und getrennt von den chiffrierten Dateien aufbewahrt. Die Dateien können nun mit einer Backup-Lösung gesichert werden. Anstatt eine Datei nun zu löschen, kann einfach der zugehörige Schlüssel vernichtet werden. Was sich wie eine unnötige Verkomplizierung anhört, macht bei näherer Betrachtung Sinn. Mit einem Löschvorgang des Schlüssels wären auch gleichzeitig alle Sicherungskopien mit den zugehörigen personenbezogenen Daten nicht mehr abrufbar, ohne dass eine Änderung am Sicherungsdatensatz erforderlich wäre.

Eine solche Vorgehensweise würde auch die datenschutzrechtlichen Anforderungen an einen Löschvorgang erfüllen. § 3 Abs. 4 Nr. 5 definiert Löschen als „das Unkenntlichmachen gespeicherter personenbezogener Daten“. Das Löschen des Schlüssels führt, ein modernes Kryptographieverfahren vorausgesetzt, zu einem Unkenntlichmachen der verschlüsselten Daten. Ohne den Schlüssel ist es unmöglich, Kenntnis vom Inhalt der chiffrierten Daten zu erlangen. Ein physisches Einwirken auf die Daten selbst ist dabei, anders als beim natürlichen Verständnis des Begriffs des Löschens, nicht erforderlich.

Bedeutung für die Praxis: Das Verschlüsseln von Dateien könnte bei praktikabler softwaretechnischer Umsetzung eine echte Alternative zum physischen Löschen von Daten sein. Ein praktischer Nebeneffekt wäre, dass die Daten bei effektiver Sicherung der Schlüsseldateien schon vor dem Unkenntlichmachen vor dem Zugriff Unbefugter geschützt sind.

Das Auslagern von Datenspeichern und Rechenkapazitäten auf die Server eines Diensteanbieters bietet wirtschaftliche Vorteile. Nach dem Hochladen der Dateien in die „Cloud“ müssen sie nicht mehr lokal verwaltet und gesichert werden und sind potenziell weltweit abrufbar. Die Abgabe der Daten aus dem Herrschaftsbereich des Besitzers provoziert zahlreiche, bislang zum Teil ungeklärte haftungsrechtliche und datenschutzrechtliche Problemstellungen. Die grundlegendste Frage ist die, welches nationale Datenschutzrecht denn überhaupt auf einen Sachverhalt im Zusammenhang mit dem Cloud Computing anwendbar ist, wenn ein Unternehmen in einem anderen Staat ansässig ist.

Werden Daten in Deutschland durch eine verantwortliche Stelle, die in einem anderen Mitgliedsstaat der Europäischen Union ihren Sitz hat, erhoben, verarbeitet oder genutzt, so bestimmt § 1 Abs. 5 S. 1 des Bundesdatenschutzgesetzes, dass das deutsche Datenschutzrecht keine Anwendung findet. Erhebt und speichert beispielsweise ein Unternehmen mit Sitz in Luxemburg Daten in Deutschland, so ist belgisches Datenschutzrecht einschlägig. Der Hintergedanke dabei ist, dass angenommen wird, dass alle Mitgliedsstaaten ein hohes Datenschutzniveau haben und es europäischen Unternehmen leicht gemacht werden soll, in anderen Mitgliedsstaaten tätig zu werden, ohne alle datenschutzrechtlichen Vorschriften kennen zu müssen.

Hat ein europäisches Unternehmen dagegen eine Niederlassung in Deutschland, so gilt das deutsche Datenschutzrecht auch gegenüber diesem Unternehmen, sofern die Erhebung, Verarbeitung oder Speicherung durch eine Niederlassung in der Bundesrepublik erfolgt. Beim Cloud Computing interessiert dabei die Frage, ob ein Rechenzentrum im Inland, auf dem Daten verwaltet werden und auf dem Anwendungen bereitgestellt werden, bereits als Niederlassung zu qualifizieren ist. Tatsächlich legen Erwägungsgrund 19 der europäischen Datenschutzrichtlinie sowie die deutsche Gewerbeordnung dies nahe, da sie im Wesentlichen lediglich eine feste Einrichtung und eine gewerbliche Tätigkeit voraussetzen. Damit ist deutsches Datenschutzrecht auch dann anwendbar, wenn ein europäisches Unternehmen sich eines Rechenzentrums in Deutschland bedient.

Für außereuropäische Unternehmen, beispielsweise solche in den USA, gilt das Territorialitätsprinzip. Das bedeutet, dass bei einer Datenverarbeitung in Deutschland auch deutsches Recht anwendbar ist. Dabei genügt laut Art. 4 Abs 1 lit. c) der europäischen Datenschutzrichtlinie bereits, dass das Unternehmen auf „Mittel zurückgreift“, die sich im Mitgliedsstaat befinden. Dies lässt den Schluss zu, dass nicht einmal ein Rechenzentrum nötig ist, sondern bereits das Hochladen von Dateien durch den Benutzer aus Deutschland auf einen amerikanischen Server deutsches Datenschutzrecht für anwendbar erklärt.

Bedeutung für die Praxis: Cloud Computing birgt im Bereich des Datenschutzrechts unzählige juristische Fallstricke. Während die oben genannten Beispiele noch relativ übersichtlich erscheinen, können bei der dynamisch verteilten Speicherung in unterschiedlichen Staaten schier unlösbare rechtliche Probleme auftreten. Dies bringt eine gewisse Rechtsunsicherheit für Betroffene und für Diensteanbieter mit sich.

http://www.egovernment-computing.de/projekte/articles/265790/?nl=1&cmp=newsletter_egovernmentcomputing_update_27-05-2010

Stellt die Aufsichtsbehörde fest, dass ein von einem Unternehmen bestellter betrieblicher Datenschutzbeauftragter nicht über die erforderliche Fachkunde verfügt oder nicht hinreichend zuverlässig ist, kann sie die Abberufung verlangen. Der Behörde steht dabei ein gewisser Ermessensspielraum zu, wobei ein Eingreifen in besonders gravierenden Fällen regelmäßig angezeigt ist. Eine Abberufung kann auch wegen Interessenkollisionen erfolgen, beispielsweise wenn dem Datenschutzbeauftragten gleichzeitig die Leitung der EDV-Abteilung unterliegt.

Die Abberufung des Datenschutzbeauftragten ist ein an das Unternehmen adressierter Verwaltungsakt, mit welchem diesem aufgegeben wird, den Datenschutzbeauftragten von seiner Tätigkeit zu entbinden. Gegen den Verwaltungsakt können sowohl der Datenschutzbeauftragte, als auch das Unternehmen fristgemäß Widerspruch einlegen. Erfolgt kein Widerspruch, ist die Tätigkeit des Datenschutzbeauftragten nach Eintritt der Bestandskraft des Verwaltungsakts nicht etwa automatisch beendet, sondern es entsteht für das Unternehmen die rechtliche Verpflichtung, den Datenschutzbeauftragten abzuberufen. Kommt das Unternehmen dieser Pflicht nicht nach, muss es mit der zwangsweisen Durchsetzung des Verwaltungsakts, beispielsweise mittels einer Zwangsgeldzahlung, rechnen. Darüber hinaus kann ein Bußgeld verhängt werden, § 43 Abs. 1 Nr. 2 BDSG.

Bedeutung für die Praxis: Die Aufsichtsbehörde kann die Abberufung eines Datenschutzbeauftragten verlangen, beispielsweise wenn dieser nicht die erforderliche Fachkunde besitzt. In der Regel wird dem Datenschutzbeauftragten jedoch vorher die Möglichkeit gegeben, seine Fachkenntnisse zu verbessern. Wird jedoch die Abberufung verlangt, muss das Unternehmen dieser spätestens ab Eintritt der Bestandskraft des Verwaltungsakts nachkommen.

Zahlreiche Unternehmen fürchten die Pflichten des Datenschutzrechts und übertragen den Umgang mit personenbezogenen Daten an einen externen Dienstleister, im guten Glauben, mit den komplizierten datenschutzrechtlichen Regelungen nichts mehr zu tun zu haben. Dies ist jedoch ein weit verbreiteter Irrtum, wie ein Blick in § 11 BDSG beweist.

Beim Outsourcing der Datenverarbeitung, der sogenannten Datenverarbeitung im Auftrag, verbleibt die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften nämlich beim Auftraggeber.

Die erste Hürde bei der Datenverarbeitung im Auftrag liegt bereits vor der Erteilung des Auftrags selbst. Denn zunächst muss der Auftragnehmer „unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen“ ausgewählt werden (§ 11 Abs. 2 S. 1 BDSG). Damit obliegt dem Auftraggeber insbesondere die Kontrolle aller in der Anlage zu § 9 S. 1 BDSG aufgelisteten technischen und organisatorischen Maßnahmen.

Die Auftragserteilung selbst ist schriftlich zu erteilen und muss mindestens Regelungen zu dem in § 11 Abs. 2 BDSG enthaltenen 10-Punkte-Katalog enthalten. Dazu gehören unter anderem die Kontroll- und Weisungsbefugnis des Auftraggebers, die technischen und organisatorischen Maßnahmen, die Löschung der Daten sowie Gegenstand, Zweck und Umfang des Auftrags.

Über die Kontrollpflichten hinaus bleibt der Auftraggeber auch weiterhin Ansprechpartner für Auskunfts- und Berichtigungsansprüche der Betroffenen. Ferner kann der Auftraggeber auch bei Verfehlungen des Auftragnehmers schadensersatzpflichtig sein (§ 7 i.V.m. § 11 Abs. 1 S. 2 BDSG).

Bedeutung für die Praxis: Die Auftragsdatenverarbeitung durch ein anderes Unternehmen entbindet den Auftraggeber nicht automatisch von den datenschutzrechtlichen Pflichten. Vielmehr gibt es einen umfangreichen Pflichtenkatalog, der eingehalten werden muss. Ferner bleibt die haftungsrechtliche Verantwortlichkeit beim Auftraggeber. Daher sollten Unternehmen schon im eigenen Interesse einen kompetenten und vertrauenswürdigen Vertragspartner zur Verarbeitung der personenbezogenen Daten engagieren und bei rechtlichen Fragen fachlichen Rat einholen.

Der § 4f Abs. 4  des Bundesdatenschutzgesetzes verpflichtet betriebliche Datenschutzbeauftragte zur Verschwiegenheit „über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen“. Diese Vorschrift dient einerseits der Unabhängigkeit des Datenschutzbeauftragten gegenüber der Geschäftsleitung und auch zur Bildung eines Vertrauensverhältnisses gegenüber Betroffenen, die sich mit einer Beschwerde an den Datenschutzbeauftragten wenden. Die Verschwiegenheitspflicht betrifft dabei laut Gesetzestext nicht alle Aspekte der beruflichen Tätigkeit, sondern lediglich die Identität eines Betroffenen. Allerdings muss der Datenschutzbeauftragte auch gegenüber einem nicht betroffenen Informanten in der Lage sein, Geheimhaltung über dessen Identität zuzusichern, um an Informationen zu Rechtsverstößen zu gelangen. In solchen Fällen besteht dann zwar keine Pflicht, wohl aber ein Recht zur Verschwiegenheit gegenüber der Geschäftsleitung.

Ein wichtiger Teilaspekt der Verschwiegenheitspflicht ist eine sichere Kommunikationsmöglichkeit mit dem Datenschutzbeauftragten. So muss es insbesondere gewährleistet sein, dass an den Datenschutzbeauftragten adressierte Briefe und E-Mails beispielsweise nicht zentral im Sekretariat geöffnet werden. Darüber hinaus muss der Arbeitgeber gewährleisten, dass ein separates Zimmer für vertrauliche Gespräche zur Verfügung steht und dass der Telefonanschluss von einer möglicherweise stattfindenden Telefondatenerfassung ausgenommen wird. Auch die Sicherheit des Computers und des digitalen Terminkalenders des Datenschutzbeauftragten müssen gewährleistet sein.

Verstößt der Datenschutzbeauftragte gegen die Verschwiegenheitspflicht, kann dies Schadensersatzansprüche des Betroffenen gem. § 823 Abs. 2 BGB nach sich ziehen. Ferner ist die Aufsichtsbehörde bei schwerwiegenden Verstößen gegen das Verschwiegenheitsgebot berechtigt, einen betrieblichen Datenschutzbeauftragten abzuberufen (§ 4f Abs. 3 S. 4 BDSG). Strafrechtliche Sanktionen bei einem Verstoß gegen die Verschwiegenheitspflicht existieren nur für besondere Fälle, wie beispielsweise für den Umgang mit Patienten- oder Mandantendaten (§ 203 Abs. 2a StGB).

Bedeutung für die Praxis: Die Verschwiegenheitspflicht ist ein wichtiges Element der Unabhängigkeit und Handlungsfähigkeit des betrieblichen Datenschutzbeauftragten. Dabei betrifft die Verschwiegenheit nicht nur den Datenschutzbeauftragten selbst, sondern auch organisatorische Elemente rund um seinen Arbeitsplatz, wie die Gewährleistung der Vertraulichkeit der Kommunikationswege. Dies wird in der Praxis oft nicht konsequent genug umgesetzt. Entstehen dem Betroffenen bei einem Verstoß Nachteile, kann er zivilrechtliche Schadensersatzansprüche geltend machen.

Bei der Anmeldung einer Internet-Domain muss der Anmeldende eine Person als Admin-C, als administrativen Kontaktpartner angeben, der dann mit Namen und Anschrift in der Who-Is-Datenbank der Registrierungsstelle eingetragen wird. Der Admin-C ist nicht Inhaber der Domain, sondern gegenüber dem tatsächlichen Inhaber weisungsgebunden und in dessen Auftrag tätig. Allerdings ist der Admin-C gegenüber der Registrierungsstelle berechtigt, die Domain betreffende Fragen verbindlich zu entscheiden und wird daher nicht selten auch in Rechtsstreitigkeiten hineingezogen.

Besonders häufig geht es dabei um Namensstreitigkeiten. So auch in einem vom OLG Koblenz entschiedenen Fall (Az. 6 U 730/08). Der im Ausland lebende Domaininhaber betreibt in Deutschland ein sogenanntes Domaingrabbing, womit eine missbräuchliche Belegung einer möglichst großen Anzahl an Domains gemeint ist, die anschließend meist zum Verkauf angeboten werden. Der in Deutschland lebende Admin-C hatte sich gegen Entgeltzahlung als administrativer Ansprechpartner für diese Internetadressen zur Verfügung gestellt, ohne dass er Kenntnis von den Namen und der genauen Anzahl der einzelnen Domains hatte. In der Folge wurde der in Deutschland lebende Admin-C wegen einer Namensrechtsverletzung abgemahnt und auf Unterlassung in Anspruch genommen.

Das OLG Koblenz hat entschieden, dass der Admin-C als sogenannter Störer zur Unterlassung verpflichtet ist und die Kosten der Abmahnung zu tragen hat, obwohl er weder die Domain registriert hatte oder auch nur Kenntnis vom Domainnamen hatte. Für die Inanspruchnahme als Störer genügt es allerdings nicht, dass der Admin-C berechtigt ist, die Domain betreffende Fragen verbindlich zu entscheiden. Erforderlich ist vielmehr das Hinzutreten besonderer Umstände, wie der Kenntnis von den juristisch riskanten Geschäftspraktiken des Domaininhabers. Da der administrative Ansprechpartner Kenntnis von dem Domaingrabbing hatte und ihm dabei auch hätte klar sein müssen, dass im Einzelfall die konkrete Gefahr von Rechtsverletzungen besteht, war nach Auffassung des Gerichts eine Störerhaftung des Admin-C gegeben. Um dieser zu entgehen, hätte der Admin-C die Rechtmäßigkeit aller Registrierungen prüfen müssen.

Bedeutung für die Praxis: Der Admin-C kann als administrativer Ansprechpartner der Registrierungsstelle unter bestimmten Umständen auch gegenüber Dritten für Rechtsverstöße des Domaininhabers verantwortlich gemacht werden, auch wenn er an der konkreten Rechtsverletzung nicht aktiv mitgewirkt hat. Obwohl es in Deutschland keine klare gesetzliche Regelung für die Voraussetzungen und den Umfang der Haftung des Admin-C gibt und auch es auch keine einheitliche gerichtliche Entscheidungspraxis gibt, ist administrativen Ansprechpartnern anzuraten, die Geschäftspraxis ihrer Vertragspartner im Auge zu behalten und zumindest bei Kenntnis von Rechtsverletzungen unverzüglich tätig zu werden. Darüber hinaus sollten Haftungsfreistellungen mit den Domaininhabern vereinbart werden.

Wenn wir das Vorhaben richtig verstanden haben, sollen sämtliche emails, welche als Spam klassifiziert werden zunächst in einen Sammelordner geleitet und dann von einer Mitarbeiterin an den jeweiligen Empfänger weitergeleitet werden. Diese Mitarbeiterin würde die emails dann vorab sichten.

Aus verschiedenen rechtlichen Gesichtspunkten ist ein solches Vorgehen problematisch.

a) Bundesdatenschutzgesetz

Grundsätzlich muss bei der Verarbeitung personenbezogener Daten, durch den Betroffenen in die Datenverarbeitung eingewilligt werden, sofern diese nicht aufgrund Gesetzes oder Rechtsvorschrift erlaubt ist. Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Hierunter fallen also alle Daten, die in nicht anonymisierter Form erhoben und verarbeitet werden und deshalb einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die an einen Mitarbeiter gesendeten emails sind somit derartige personenbezogene Daten. Ein Gesetz oder eine Rechtsvorschrift, welche die Verarbeitung erlauben würde, ist nicht erkennbar.

Diesen Beschränkungen kann man nur durch eine Einwilligung des/der betreffenden Mitarbeiter/s in die Datenverarbeitung entgehen. An diese Einwilligung stellt § 4a BDSG strenge Anforderungen. So muss die Einwilligung freiwillig erfolgen und nicht etwa auf Druck des Arbeitgebers. Der Einwilligende muss über den Zweck der Datenverarbeitung aufgeklärt werden. Zudem muss die Einwilligung in der Regel schriftlich erfolgen, das heißt durch eigenhändige Unterschrift unter der Erklärung. Eine generelle Einwilligung „versteckt“ im Arbeitsvertrag genügt nicht.

b) Grundrechte

Eine weitere rechtliche Hürde liegt darin, dass der email Verkehr dem Post- und Fernmeldegeheimnis aus Art. 10 GG unterliegt. Zwar sollen Grundrechte zunächst primär an das Verhältnis Bürger – Staat regeln. Jedoch ist auch das Bundesarbeitsgericht der Auffassung, das Art. 10 GG auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer bei der Nutzung dienstlich zur Verfügung gestellter Kommunikationsmittel zu berücksichtigen ist (BAG NJW 1998, 1331). Alle im betrieblichen Netzwerk elektronisch übermittelten emails unterfallen somit dem Schutzbereich des Fernmeldegeheimnisses.

Geschützt sind dabei durch Art. 10 GG der Arbeitnehmer als Absender oder dessen Kommunikationspartner, somit der Absender der Spam-Mail, vor der unberechtigten Kenntnisnahme durch Dritte.

Eine Berechtigung des Arbeitgebers kann sich nur daraus ergeben, dass der Absender der Nachricht in deren Kenntnisnahme durch den Arbeitgeber (bzw. die Person, welche mit der Sichtung der emails betraut ist) einwilligt. Bei eingehenden geschäftlichen emails wird in der Regel angenommen, dass keine Beschränkung des Empfängerkreises innerhalb des Betriebs gewollt ist. Spam-emails haben aber zumeist keinen Bezug zum Geschäftsbetrieb des Unternehmens und sind daher keine geschäftlichen emails.

Einzige Möglichkeit für den Arbeitgeber wäre wiederum, eine Einwilligung der/des betroffenen Mitarbeiter/s einzuholen. Liegt diese Einwilligung vor, wäre auch eine automatisierte Weiterleitung an eine zentrale, vom Arbeitgeber eingerichtete, Mailbox kein Verstoß mehr gegen Art. 10 GG.

c) Telekommunikationsgesetz

Letztlich schützt auch § 85 Abs. 1 TKG die Übermittlung und den Inhalt von nicht öffentlichen (also nicht an die Allgemeinheit gerichteten) emails. Der Schutz deckt sich dabei mit den vorstehend erläuterten Schützen. Das Telekommunikationsgesetz genießt als speziellere Norm aber zunächst Anwendungsvorrang.

d) Strafrechtliche Aspekte

Die vorstehenden Anforderungen sollten unbedingt beachtet werden, da ansonsten auch strafrechtliche Konsequenzen drohen könnten. Die unbefugte Sammlung und Sichtung von emails kann nämlich den Straftatbestand des Ausspähens von Daten gemäß § 202a StGB, sowie des Abfangens von Daten gemäß § 202b StGB erfüllen.

Deutsche Unternehmen können unter bestimmten Voraussetzungen verpflichtet sein, Sicherheitsmängel bei der Datenverarbeitung unaufgefordert anzuzeigen. Die Idee, dass Unternehmen Sicherheitsmängel anzeigen müssen, ist nicht neu. In den USA gibt es derartige gesetzliche Vorschriften schon länger. In Deutschland findet sich die Rechtsgrundlage dieser Anzeigeplicht im zum 1.9.2009 neu eingefügten § 42a BDSG. Sie setzt voraus, dass bestimmte sensible Daten, wie die Bank- oder Kreditkartendaten, Daten, die sich auf strafbare Handlungen beziehen, die einem Berufsgeheimnis unterliegen oder besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) Dritten unrechtmäßig zur Kenntnis gelangen und „schwerwiegende Beeinträchtigungen für die Rechte oder die schutzwürdigen Interessen der Betroffenen“ drohen. Bisher noch nicht endgültig geklärt ist, wann im Sinne des Gesetzes schwerwiegende Rechts- oder Interessenbeeinträchtigungen anzunehmen sind. In der Gesetzesbegründung heißt es, dass z. B. materielle Schäden oder soziale Nachteile einschließlich des Identitätsbetrugs schwerwiegende Beeinträchtigungen darstellen können (BT-Dr. 16/12011, S. 34).

Die Regelung greift ihrem Wortlaut nach nicht nur dann ein, wenn die Datenpanne aufgrund eigenen Verschuldens herbeigeführt worden ist, sondern auch dann, wenn beispielsweise trotz Einhaltung der erforderlichen Sicherheitsmaßnahmen ein Hackerangriff dazu geführt hat, dass Daten ausgespäht worden sind.

Die Anzeigepflicht besteht sowohl gegenüber der zuständigen Datenschutzbehörde, als auch andererseits gegenüber den betroffenen Personen. Die Benachrichtigung muss ohne schuldhaftes Zögern erfolgen und Informationen über die Art der unrechtmäßigen Kenntniserlangung sowie Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen beinhalten. An die Aufsichtsbehörde müssen zusätzlich Informationen zu den von der verarbeitenden Stelle ergriffenen Maßnahmen und eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung enthalten.

Bedeutung für die Praxis: Die datenschutzrechtliche Informationspflicht ist eine neue Pflicht für Daten verarbeitende Stellen. Sie gilt nicht nur, wenn sich das Unternehmen sorgfaltswidrig verhalten hat, sondern auch bei unverschuldeten Hacker-Angriffen. Wird die Informationspflicht nicht beachtet, kann ein Bußgeld in Höhe von bis zu 300.000 Euro verhängt werden (§ 43 Abs. 2 Nr. 7, Abs. 3 BDSG).

Geodaten erfreuen sich zunehmender Beliebtheit, denn durch eine steigende Genauigkeit des Daten- und Kartenmaterials werden zahlreiche neue Anwendungsgebiete erschlossen. Während Kartenmaterial früher abstrakte Werke darstellten, die allenfalls schemenhafte Umrisse von Gebäuden aus der Vogelperspektive enthielten, ist es mittlerweile technisch möglich, weltweit flächendeckend Satellitenfotos im Internet in größtenteils passabler Qualität zur Verfügung zu stellen und sogar ganze Straßenzüge als 360-Grad-Rundumblick abzulichten und in hervorragender Auflösung weltweit abrufbar zu machen.

Solche technischen Möglichkeiten werfen rechtliche Fragen auf. Welche Rechte haben auf den Fotos abgebildete Personen? Was geschieht mit digitalisierten KFZ-Kennzeichen? Müssen Hauseigentümer hinnehmen, dass Fotografien ihrer Häuser digitalisiert und georeferenziert im Internet für Jedermann sichtbar abrufbar sind?

Sieht man von spezifisch datenschutzrechtlichen Fragen ab, ist das Fotografieren von Gebäuden an öffentlichen Straßen gem. § 59 des Urheberrechtgesetzes gestattet. Die Veröffentlichung von Personenfotos wird durch das Recht am eigenen Bild gemäß § 22 KunstUrhG begrenzt. Demnach dürfen Bildnisse nur mit Einwilligung des Abgebildeten verbreitet werden. Allerdings dürfen Fotos, auf denen Personen als „Beiwerk“ neben einer Landschaft dargestellt werden, frei verbreitet werden, außer dadurch wird ein berechtigtes Interesse des Abgebildeten verletzt (§ 23 KunstUrhG). Ein solches berechtigtes Interesse kann auch datenschutzrechtlicher Natur sein.

Zwar ist man sich im Ergebnis einig, dass einige Geodaten irgendwie dem Datenschutzrecht unterfallen können, doch welche Angaben dies genau sein sollen, ist streitig und weithin ungeklärt. Das Datenschutzrecht ist auf personenbezogene Daten anwendbar, das sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, § 3 Abs. 1 BDSG. Doch auch nach zwei Jahrzehnten ist nicht geklärt, welchen genauen Inhalt diese Definition hat. Dass ein Gesichtsfoto ein personenbezogenes Datum darstellt, wird niemand bezweifeln. Schwieriger wird es bei auffälligen Kleidungsstücken, einem Autokennzeichen oder einem hochauflösenden Foto eines Einfamilienhauses, das einen Blick ins Küchenfenster erlaubt. Darüber hinaus kommt erschwerend hinzu, dass viele der von Google getätigten Fotografien kurz nach ihrer Aufnahme in die USA gesendet werden und so dem Zugriff deutscher Behörden entzogen sind.

Am Thema Geodatenschutz wird deutlich, dass es im Bereich des Datenschutzrechts manchmal schon an der Klärung grundsätzlicher Problemstellungen mangelt, wie eben der Frage, wie weit der Personenbezug von Daten geht. Dass nach fast 20 Jahren BDSG über Nacht eine Klärung herbeigeführt wird, ist unwahrscheinlich. Daher wäre es sinnvoll, im Interesse der Betroffenen baldestmöglich eine gesetzliche Regelung zum Umgang mit Geodaten zu schaffen. Die derzeitige Praxis, die allenfalls von Agreements zwischen den Dienstebetreibern und den Datenschutzbehörden geprägt ist, ist nicht hinnehmbar.

Bereits seit dem 1.5.1998 verpflichtet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich[1] (KonTraG) große Teile der deutschen Privatwirtschaft zur Einrichtung eines Risikomanagementsystems. Die Pflicht zum Risikomanagement ist umfassend zu verstehen. Dazu gehören alle organisatorischen Regelungen und Maßnahmen, welche dem Umgang mit Gefahren und Risiken dienen.[2] Insbesondere ist der Vorstand einer Aktiengesellschaft[3] gem. § 91 Abs. 2 AktG verpflichtet, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Eine Pflicht des Vorstands betrifft dabei die Ausarbeitung eines effektiven IT-Sicherheits- und Notfallkonzepts. Dadurch sollen Unternehmen in die Lage versetzt werden, Risiken zu minimieren sowie existenzbedrohende Gefahren frühzeitig zu erkennen und zu beseitigen.

KonTraG und öffentliche Verwaltung

Obgleich die Privatwirtschaft seit nunmehr über einem Jahrzehnt zum Risikomanagement verpflichtet ist, fehlen vergleichbare Nomen für Behörden und öffentliche Einrichtungen. Auch gehen die Meinungen darüber, ob gesetzliche Regelungen hinsichtlich des Risikomanagements in der öffentlichen Verwaltung überhaupt erstrebenswert wären, auseinander. Teilweise wird ein Risikomanagementsystem für die öffentliche Verwaltung abgelehnt, da sein Sinn nur in der Vermeidung von Insolvenzen erblickt wird und die Möglichkeit bestritten wird, dass die öffentliche Verwaltung je insolvent werden kann. Vielmehr solle sich die öffentliche Verwaltung auf die Effektivität der Umsetzung von Gemeinwohlbelangen konzentrieren.[4] Andere sehen Risikomanagement als Teil einer Strategie, verfolgte Ziele möglichst effizient umzusetzen[5] oder jede Art schweren Nachteils abzuwenden[6] und befürworten daher auch die Umsetzung im öffentlichen Recht.

Mangels ausdrücklicher gesetzlicher Anordnung zur Einrichtung eines behördlichen Risikomanagementsystems könnte man an eine analoge Anwendung der für Unternehmen geltenden Regelungen auf öffentliche Einrichtungen, wie Kommunalverwaltung, Landes- und Bundesbehörden denken. Dafür fehlt jedoch jegliche rechtliche Grundlage, denn aus Sicht des Gesetzgebers kann nicht von einer planwidrigen Regelungslücke gesprochen werden, schließlich wurde das KonTraG ausdrücklich nur für die Privatwirtschaft erlassen. Allerdings herrscht Einigkeit darüber, dass die Regelungen zum Risikomanagement jedenfalls auf marktwirtschaftlich tätige Unternehmen im Eigentum der öffentlichen Hand Anwendung finden.[7] Hierzu gehören städtische Betriebe und Einrichtungen.

Rechtsgrundlagen für Risikomanagement in der öffentlichen Verwaltung

Eine Suche nach juristischen Regelungen hinsichtlich des IT-Risikomanagements für die öffentliche Verwaltung gestaltet sich schwierig. Auf Ebene des Grundgesetzes kann die Schutzwirkung der einzelnen Grundrechte den Staat dazu verpflichten, bestimmte Schutzvorkehrungen zu treffen, wenn sonst das sogenannte Untermaßverbot missachtet würde. Dieses Verbot verpflichtet den Staat zu einem Mindestmaß an Schutz gegenüber den Bürgern im Rahmen ihrer verfassungsmäßigen Rechte, insbesondere der Grundrechte. In diesem Rahmen kann auch das IT-Risikomanagement relevant werden. Da Behörden aufgrund des Rechtsstaatsprinzips (Art. 20 Abs. 3 GG) an Recht und Gesetz gebunden sind, sind sie von Verfassungs wegen verpflichtet, diese Schutzpflichten angemessen zu erfüllen. Tun sie dies nicht, kann die Einhaltung dieser Pflichten in einem verwaltungsgerichtlichen Verfahren überprüft werden oder ein Amtshaftungsanspruch geltend gemacht werden (§ 839 BGB i.V.m. Art. 34 GG).

Problematisch in diesem Zusammenhang ist jedoch, dass sich keine allgemeingültige Sicherheitsnorm formulieren lässt, aus der sich ein einheitlicher Rahmen für die IT-Sicherheit der öffentlichen Verwaltung ableiten ließe. Vielmehr bleibt regelmäßig nur die Einzelfallbeurteilung auf Grundlage einer Verhältnismäßigkeitsabwägung zwischen Schadenswahrscheinlichkeit und Schadenshöhe auf der einen Seite sowie die zur Verhütung mutmaßlich aufzuwendenden Kosten auf der anderen Seite. Dabei kommt den Behörden ein großzügiger Entscheidungsspielraum zu, ob und wie gehandelt wird. Eine verbindliche Handlungspflicht trifft die Behörde erst dann, wenn sie durch zu geringe Sicherheitsvorkehrungen der staatlichen Mindestschutzpflicht nicht in ausreichendem Maße nachgekommen ist und damit das sogenannte Untermaßverbot missachtet und Grundrechte verletzt hat.

Schutz personenbezogener Daten als Auslegungshilfe für ein allgemeines IT-Risikomanagement

Neben diesen nur sehr vage umrissenen und bisher auch kaum in der rechtswissenschaftlichen Diskussion beachteten allgemeinen Risikominimierungspflichten in Bezug auf IT-Systeme gibt es im Bereich der Erhebung, Verarbeitung und Nutzung personenbezogener Daten klare Regelungen. Hinsichtlich der IT-Notfallplanung enthält § 9 des Bundesdatenschutzgesetzes (BDSG) und dessen zugehörige Anlage Vorgaben zu technisch-organisatorischen Anforderungen zum Schutz personenbezogener Daten. Diese haben es zum Ziel, die Verfügbarkeit der Daten zu sichern, deren Authentizität und Integrität zu gewährleisten.[8] Damit müssen die Sicherheitsmaßnahmen insbesondere verhindern, dass Dritte Kenntnis von den Daten erlangen oder diese unbemerkt verändern können.

Zu den Sicherungsmaßnahmen gehören unter anderem Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe- und Verfügbarkeitskontrollen. Ein besonderes Augenmerk ist auf Ziffer 7 der Anlage zu § 9 BDSG zu richten. Demnach ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sein müssen. Beispiele für Ursachen zufälliger Zerstörung sind Wasserschäden, Brand, Blitzschlag und Stromausfall. Mögliche Sicherungsmaßnahmen hierzu sind die Auslagerung von Sicherungskopien, der Betrieb von Notstromaggregaten und unterbrechungsfreien Stromversorgungsakkus sowie ein Katastrophenplan.[9] Die dort aufgeführten Anforderungen können auch über den Anwendungsbereich des BDSG hinaus als gesetzgeberisch erwünschte Auslegungshilfe bezüglich zu ergreifender Sicherheitsmaßnahmen beim Betrieb von IT-Systemen angesehen werden und damit auch in der öffentlichen Verwaltung relevant sein.[10] Inwiefern diese Regelungen allerdings verbindlich sind, ist bisher in der rechtswissenschaftlichen Diskussion kaum erörtert worden. Sie stellen allerdings einen guten Ausgangspunkt für eine juristische Diskussion im Rahmen des IT-Sicherheitsmanagements in Behörden dar und eignen sich zur Auslegung und Konkretisierung bestehender staatlicher Schutzpflichten.

Fazit

Ausdrückliche allgemeine Regelungen für das IT-Risikomanagement und die IT-Sicherheit in der öffentlichen Verwaltung existieren nicht. Eine Ableitung aus den Grundrechten ist mühevoll und größtenteils konturlos. Vielversprechender scheint es, die im Datenschutz geltenden Regelungen als Auslegungshilfe heranzuziehen.

Rechtsanwalt Thomas Feil, Fachanwalt für IT-Recht, feil@recht-freundlich.de, www.recht-freundlich.de

und

Dipl.-Jur. Alexander Fiedler, Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover, fiedler@iri.uni-hannover.de, www.iri.uni-hannover.de

[2] Trips, Risikomanagement in der öffentlichen Verwaltung, NVwZ 2003, 804, 805.

[3] Nach verbreiteter Ansicht sind durch die Ausstrahlungswirkung der Regelungen neben der Aktiengesellschaft insbesondere auch GmbHs betroffen.

[4] Hill, Risikomanagement in der englischen Verwaltung, S. 3 f.

[5] Trips, Risikomanagement in der öffentlichen Verwaltung, NVwZ 2003, 804, 808.

[6] Scholz/Schuler/Schwintowski, Risikomanagement der Öffentlichen Hand, S. 184.

[7] Trips, Risikomanagement in der öffentlichen Verwaltung, NVwZ 2003, 804, 807; [7] Scholz/Schuler/Schwintowski, Risikomanagement der Öffentlichen Hand, S. 192.

[8] Gola in: Gola/Schomerus, BDSG 2007, § 9 Rn. 2 f.

[9] Gola in: Gola/Schomerus, BDSG 2007, § 9 Rn. 28.

[10] Steger, Rechtliche Verpflichtungen zur Notfallplanung im IT-Bereich, CR 2007, 137, 138.

Niedersachsen weitet seine Angebote an Online-Diensten für Unternehmen deutlich aus. In Hannover wurde heute das Internetportal www.dienstleisterportal.niedersachsen.de freigeschaltet. Über das Portal können Unternehmen künftig einen Großteil ihrer Behördengänge online abwickeln. Auf Wunsch steht ihnen dabei ein Ansprechpartner zur Seite, der alle notwendigen Schritte koordiniert. Sogenannte “Einheitliche Ansprechpartner” stehen im Ministerium für Wirtschaft, Arbeit und Verkehr, in den Landkreisen, der Region Hannover, den kreisfreien Städten sowie den großen selbständigen Städten bereit.

Niedersachsen setzt mit diesem Angebot einen wichtigen Baustein der Europäischen Dienstleitungsrichtlinie um, mit welchem ein Abbau von bürokratischen Hindernissen und die Förderung des grenzüberschreitenden Handels mit Dienstleistungen erreicht werden soll. Die Dienstleitungsrichtlinie verlangt die elektronische Verfahrensabwicklung und die Unterstützung der Unternehmen durch Einheitliche Ansprechpartner. Das Angebot kann EU-weit genutzt werden. “Die EU hat uns hier vor große Herausforderungen gestellt”, so Wirtschaftsminister Jörg Bode, “die wir durch gemeinsame Anstrengungen aller beteiligten Behörden mit einer sehr zukunftsweisenden Lösung meistern konnten.”

“Mit unserem Internetangebot verbessern wir nicht nur den Service für Unternehmen. Wir erweitern auch die Basis für Online-Dienstleistungen an Bürgerinnen und Bürger”, so Innenminister Uwe Schünemann.

“Land und Kommunen ziehen bei diesem Thema an einem Strang! Wir können diese komplexen Dienstleistungen nur erbringen wenn die einheitlichen Ansprechpartner, die fachlich zuständigen Stellen und das Land dauerhaft gut zusammenarbeiten”, erklärte der Präsident des Niedersächsischen Städte- und Gemeindebundes Rainer Timmermann für die Arbeitsgemeinschaft der Kommunalen Spitzenverbände Niedersachsens.

“Die gute Zusammenarbeit zwischen Land und Kommunen im gemeinsamen Projekt zur Umsetzung der EU-Dienstleistungsrichtlinie ist ein erster Beleg dafür, dass es richtig war, den Kommunen die Aufgabe des Einheitlichen Ansprechpartners zu übertragen”, ergänzte der Vorsitzende des Niedersächsischen Landkreistages, Landrat Bernhard Reuter.

“Nun gilt es diese Zusammenarbeit in der täglichen Praxis weiter zu festigen, um den Bürgerinnen und Bürgern und den Unternehmen besten Service anbieten zu können. Die Kenntnis der örtlichen Verhältnisse ist hierfür ein entscheidender Vorteil”, betonte Heiger Scholz, Hauptgeschäftsführer des Niedersächsischen Städtetages.

Bereits heute steht ein Bürger- und Unternehmensservice mit Leistungsbeschreibungen, Hinweisen und elektronischen Formularen zur Verfügung, der nun im Rahmen der Dienstleistungsrichtlinien-Umsetzung weiter ausgebaut wird. Diese Services werden auf den Portalen der Kommunen und unter www.service.niedersachsen.de zur Verfügung gestellt.

Die Online-Angebote wurden gemeinsam von Land, Kommunen und Kammern entwickelt. Zentrale Bestandteile werden vom Land betrieben und mit den Systemen der Kommunen und Kammern verbunden. Durch die gemeinsamen Entwicklung und Nutzung wurden kostenträchtige Parallelentwicklungen vermieden. Die Umsetzung erfolgt als Maßnahme der “Kooperationsvereinbarung zur gemeinsamen Einführung von eGovernment in Niedersachsen”. Diese Vereinbarung wurde von den kommunalen Spitzenverbänden und dem Land Niedersachsen geschlossen.

Bundesjustizministerin Leutheusser-Schnarrenberger diskutiert heute mit Vertretern aus Internetwirtschaft, Verwaltung, Medien und Netzgemeinde über das Spannungsverhältnis der Eigenverantwortung von Nutzern, Selbstregulierung der IT-Wirtschaft und staatlichen Aufsichtspflichten. Anschließend stellt das Deutschen Patent- und Markenamt (DPMA) der Bundeskanzlerin und der Bundesjustizministerin das neue Patentsystem DEPATIS vor. Dazu erklärt die Bundesjustizministerin:

Die Bundesregierung will die offene Kommunikation im Internet und die dadurch entstehenden Chancen für die Freiheit jedes einzelnen fördern und stärken. Dazu wollen wir die Bürgerrechte schützen und den Datenschutz ausbauen.

Mehr Aufklärung im Sinne von “Selbstdatenschutz” ist der konsequente Weg, mit den Risiken einer immer offeneren Kommunikation im Internet umzugehen. Gleichzeitig muss das Internet vor Überregulierung und Zensur geschützt werden. Nicht alle Probleme müssen staatlich geregelt werden. Die Internetwirtschaft muss mehr Verantwortung übernehmen und mehr Vertrauen schaffen. Die geplante Stiftung Datenschutz eröffnet einen völlig neuen Weg, Chancen und Risiken der Kommunikation im Internet zu versöhnen. Künftig sollen Unternehmen Produkte und Dienstleistungen entwickeln können, die durch eine Art Gütesiegel als datenschutzfreundlich zertifiziert werden. Freiheit braucht offene Kommunikationsräume, die nach transparenten Regeln funktionieren.

Die Bundesregierung fördert neben den Chancen für eine freie und offene Kommunikation genauso die wirtschaftlichen Potentiale. Das heute vorgestellte Patentsystem DEPATIS vereinfacht die Arbeit der mehr als 800 Patentprüferinnen und Patentprüfer im DPMA. Mit DEPATIS können die Patentprüfer anhand von 70 Millionen Patentdokumenten aus der ganzen Welt schnell und zuverlässig prüfen, ob eine angemeldete Erfindung neu ist und patentiert werden kann. Dass das Recherchesystem demnächst den Bürgerinnen und Bürgern wie der Wirtschaft zur Verfügung steht, stärkt die Innovationskraft in Deutschland.

DEPATIS setzt neue Maßstäbe im Bereich des E-Governments. Der einzigartige Bestand an Original-Dokumenten kann künftig ohne große Bürokratie und mit geringem Aufwand von Forschungseinrichtungen, Erfindern und Entwicklungsabteilungen in Unternehmen genutzt werden. Damit lassen sich die Erfolgsaussichten einer Patentanmeldung bereits im Vorfeld tagesaktuell und zuverlässig abschätzen.

Das Landesarbeitsgericht München hat in einem Urteil vom 05.08.2009 (Az.: 11 Sa 1066/08) darauf hingewiesen, dass eine fristlose Kündigung bei einer eigenmächtigen Rechteverschaffung drohen kann. Hintergrund war ein nicht abgestimmter Eingriff eines Arbeitnehmers, der als SAP-Fachintegrator eingesetzt war, in die Zugriffsberechtigung. Dieser hatte sich im SAP-System eigene Zugriffsberechtigungen verschafft und sich selber Lese- und Schreiberechte am Qualitätssicherungssystem eingeräumt. All dies ohne die erforderliche Genehmigung seiner Vorgesetzten.

Nach Auffassung des Landesarbeitsgerichts München rechtfertigte dies eine außerordentliche Kündigung des Arbeitsverhältnisses.

Hier ein aktueller Report zu den Risiken bei Cloud-Computing:

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport

Der Niedersächsische Innenminister Uwe Schünemann hat am Montag in Hannover eine Richtlinie zur Förderung von innovativen Sicherheitstechniken in Bussen und Bahnen vorgestellt. Hintergrund ist das Programm der Landesregierung: “Zivilcourage stärken – Prävention ausbauen – Gewalt entschieden entgegentreten”. Die Landesregierung hat in diesem Aktionsplan auf Vorschlag von Innenminister Schünemann beschlossen, dass Aufstockungsprogramm der “Initiative Niedersachsen” um das Projekt Anschubfinanzierung für den Ausbau von Videoüberwachung und Notrufschaltungen in den niedersächsischen Bussen und Bahnen sowie an Haltestellen zu erweitern. “Hierfür stellt die Landesregierung Mittel in Höhe von 500.000 Euro zur Verfügung. Insbesondere für innovative Technik, also Systeme, die bisher auf dem Markt nicht oder nicht zu diesem Zweck angeboten wurden”, sagte Schünemann.

Bei der Förderung handelt es sich um eine Anschubfinanzierung. Zur Verstärkung der Wirkung werden 50 Prozent der Investitionssumme gefördert und die Anzahl der Projekte soll auf fünf bis zehn begrenzt sein. Zur Information potentieller Zuwendungsempfänger wird eine Informationsveranstaltung durchgeführt, zu der Vertreter aller zuwendungsfähigen Unternehmen eingeladen werden.

“Es geht uns um Videosysteme, die zum Beispiel Bilder zum Führerstand übertragen und damit ein sofortiges Einschreiten des Fahrzeugführers ermöglichen; außerdem um ausreichend und für alle Fahrgäste gut erkennbare und erreichbar Notrufsysteme. Auch die Kombination des Notrufknopfes in den Bahnen und Bussen mit einem Alarmton ist denkbar. Ich setze hier auf die Kreativität der Ingenieurskunst für mehr Sicherheit im öffentlichen Nahverkehr”, sagte der Innenminister.

Hintergrund war und ist der schreckliche Tod von Dominik Brunner am S-Bahnhof München – Solln sowie weitere Vorfälle von Gewaltexzessen. Sie haben eine breite Debatte innerhalb der Politik und insbesondere in der Gesellschaft zum Stand des Gemeinwesens ausgelöst.

“Neben den technischen Möglichkeiten gilt es, das Ideal des aktiven Bürgers zu erhalten und zu fördern: eines Bürgers, der hinsieht, sich einmischt und der Gesellschaft einen Gemeinsinn gibt. Es darf nicht der Eindruck entstehen, dass Menschen mit Zivilcourage im Ernstfall schutzlos sind”, so der Innenminister.

Zur Förderung der Zivilcourage hält Niedersachsen an seiner konsequenten Politik aus Prävention, Repression und an der Stärkung der Polizeipräsenz – 1000 zusätzliche Stellen wurden geschaffen – fest.

Folgende Kernelemente sind nach Ansicht von Innenminister Schünemann unverzichtbar:

Information und Sensibilisierung für ein positives Sozialverhalten durch aktive Hilfeleistung, wenn Menschen durch Straftaten und Belästigungen in Not geraten, zumal jedermann grund-sätzlich zur Hilfeleistung gesetzlich verpflichtet ist Förderung des Zeugenverhaltens der Bevölkerung bei Straftaten im öffentlichen Raum Steigerung der Bereitschaft der Bürgerinnen und Bürger zum Helfen und Einschreiten bei Gefahren für die öffentliche Sicherheit Stärkung der objektiven und subjektiven Sicherheit der Bürgerinnen und Bürger Förderung der öffentlichen Berichterstattung über Bürgerengagement eine bereits im vorschulischen Bereich einsetzende und in der Schule kontinuierlich fortzu-setzende umfassende Präventionsarbeit

“Die aktuellen Ereignisse veranlassen uns, die bestehenden und projektierten Vorbeugungsmaßnahmen zu überprüfen, gegebenenfalls zu verstärken und bei Bedarf fortzuentwickeln.”

Über den jährlich zu verleihenden Zivilcouragepreis hinaus werde am 15. März kommenden Jahres in Niedersachsen ein landesweiter “Aktionstag für Zivilcourage und gegen Gewalt” durchgeführt. ” Damit wollen wir ein deutlich sichtbares Zeichen setzen, dass Zivilcourage erwünscht ist und gefördert wird. Es werden sämtliche relevanten Partner wie beispielsweise Religionsgemeinschaften, Gewerkschaften und Sportverbände eingeladen, um diese Veranstaltung angemessen vorzubereiten und gesamtgesellschaftlich zu verankern”, sagte Schünemann.

Ferner würden die vorhandenen Ansätze zur interkulturellen Öffnung der Schulen im Zusammenhang mit dem Ausbau von interkultureller und sozialer Kompetenz verstärkt und vernetzt und die umfangreichen Präventionsmaßnahmen an den Schulen, insbesondere zur Empathieförderung und Verantwortungsübernahme, weiter ausgebaut und verstetigt, um dadurch Kinder und Jugendliche auf dem Weg zu selbstbewusstem und verantwortungsvollem Handeln zu unterstützen.

Schon jetzt werde die sichtbare Präsenz der uniformierten Polizei an sensiblen Orten im öffentlichen Raum unter anderem durch verstärkten Einsatz von Kräften der Bereitschaftspolizei intensiviert, so der Innenminister. Durch uniformierte Präsenzstreifen trage die Polizei wirksam dazu bei, das Sicherheitsempfinden der Bevölkerung nachhaltig zu fördern.

“Es ist geplant diese Maßnahmen durch eine landesweite Kampagne zur Stärkung der Zivilcourage zu flankieren, bereits am 24. September 2009 haben ÜSTRA und Innenministerium die gemeinsame Kampagne “Zivilcourage hat viele Gesichter – zeig Deins” initiiert.”

Das Kabinett hat heute beschlossen, das Niedersächsische Landesamt für Bezüge und Versorgung (NLBV) und den Landesliegenschaftsfonds Niedersachsen zum 1. Januar 2010 in die Oberfinanzdirektion einzugliedern. Damit wird die Neugliederung der Oberfinanzdirektion endgültig vollzogen. Gleichzeitig wird die Oberfinanzdirektion Hannover in Oberfinanzdirektion Niedersachsen umbenannt.

Die niedersächsische Landesregierung setzt damit den am 24. Februar dieses Jahres gefassten Beschluss zur Weiterentwicklung der Oberfinanzdirektion um. Die Oberfinanzdirektion Niedersachsen wird nunmehr zentraler interner Dienstleister für die Steuerverwaltung, die Bezüge, Versorgungs- und Beihilfeleistungen, den Bundes- und Landesbau sowie alle Tätigkeiten, die landeseigene Liegenschaften betreffen. Ziel der Maßnahme ist eine effiziente Personalsteuerung und Personalentwicklung.