Michael Wächter *Beschäftigtendatenschutz bei nutzergenerierten sozialen MedienJurPC Web-Dok. 28/2011, Abs. 1 - 174 |
| Die Nutzung sozialer Netzwerke zur Kommunikation und zur beruflichen Qualifikation ist heute zur Selbstverständlichkeit geworden. Im Gesetzentwurf der Bundesregierung eines Gesetzes zur Regelung des Beschäftigtendatenschutzes (Drucksache 17/4230 vom 15.12.2010) ist mit § 32 Abs. 6 BDSG eine Regelung zu sozialen Netzwerken vorgesehen. Der neue Unterabschnitt des BDSG der §32 bis 32l soll den Umgang mit den Daten von Beschäftigten spezifisch regeln. In vorliegendem Beitrag soll vor dem Hintergrund der vorgesehenen Regelung des § 32 Abs. 6 BDSG-Regierungsentwurf (BDSG-RegE) der Beschäftigtendatenschutz bei nutzergenerierten sozialen Medien behandelt werden. Damit wird das vom Gesetzgeber aufgegriffene Thema in einen erweiterten betrieblichen Rahmen des Social Computing gestellt. Zielsetzung des Beitrages ist es, bestehende Praktiken in Unternehmen darzustellen, absehbare künftige Entwicklungslinien zu skizzieren, diese mit rechtsphilosophischen Überlegungen zu bereichern, um dem Leser schließlich einen produktiven Text zu einem Thema bereit zu stellen, welches künftig sowohl Arbeitgeber, Arbeitnehmer und Betriebsräte, aber in erheblichem Umfang auch Juristen in ihrer Beratungspraxis beschäftigen wird. | JurPC Web-Dok. 28/2011, Abs. 1 |
I n h a l t s ü b e r s i c h t I. Social Computing und IT-Arbeitswelt II. Social Computing und Netz-Identität III. Social Computing und Netz-Anonymität IV. Social Computing und Virtuelle Welten V. Social Computing und Geschäftsprozesse VI. Social Computing und Rechtsverhältnis VII. Social Computing und DatenschutzgesetzVIII. Social Computing und Konfliktfelder IX. Social Computing und BDSG-Guideline X. Social Computing und Rechtspragmatik JurPC Web-Dok.129/2001 | Abs. 3 |
I. Social Computing und IT-Arbeitswelt |
| Social Computing bezeichnet die Nutzung von IT Resourcen, d. h. Resourcen der Informationstechnologie zur sozialen Interaktion. Technische Plattformen dazu sind soziale Netzwerke und andere digitale Medien. Online Tools unterstützen in diesem Kontext in Unternehmen die persönliche Interaktion sowie den Austausch von Content, Meinungen und Erfahrungen (Application Sharing und File Sharing Tools). | Abs. 4 |
| Die Funktion sozialer Medien ist vielfältig. Es kann in Unternehmen zwischen Tools zur Erfassung kollektiven Wissens bzw. Wissensmanagement und solchen zur schnellen Kommunikation unterschieden werden. Collaboration Tools beinhalten beide Ausprägungen. Sie dienen zur Abstimmung von Terminoptionen und ermöglichen die flexible Zusammenarbeit von Arbeitnehmern. Sie vereinfachen die Personensuche über beliebige Suchbegriffe - z. B. Arbeitsort, Funktion oder Reporting-Line (reports to = Führungskraft, peers/ peergroups = Kollegen, manages = Mitarbeiter) - oder das Bild eines Mitarbeiters (Face search) im Unternehmen. Dadurch wird die Herstellung von Netzwerken zur Umsetzung von Unternehmensaufgaben gefördert und unterstützt (Networking). | Abs. 5 |
| Wikisdienen dem Wissensmanagement und dem Management von Projektarbeit. Social Bookmarking unterstützt die Ablage von Webadressen durch das Anlegen von Lesezeichen. Corporate Blogs dienen zur Veröffentlichung von Beiträgen, aber auch zur Kommunikation mit Lieferanten, Kunden, Partnern und Bewerbern. Mit Twitterals Micrologging-Dienst können schließlich kurze Textnachrichten versendet werden. Die Nutzung solcher Medien durch Beschäftigte wird heute in vielen Bereichen als Zeichen sichtbaren Engagements und eines aktiven Erscheinungsbildes des Einzelnen und seiner Beschäftigungsfähigkeit (Employability) bewertet. Digitale Präsenz ist Voraussetzung für die Erhaltung des persönlichen Arbeitsplatzes; Networking die Voraussetzung für Karriere. Team als Konzept des "together everyone achieves more" wird durch echte Zusammenarbeit zur Realisierung gemeinsamer Ziele ersetzt. | Abs. 6 |
| Datenverarbeitung betrifft in diesem Feld die Partizipation an Kommunikation zu geschäftlichen Themen. Soziale Medien beinhalten damit in diesem Umfeld keinen Rückzug ins Private, sondern betreffen die Preisgabe von Informationen. Dies im Wesentlichen zu geschäftlichen Angelegenheiten, aber auch zu persönlichen Verhältnissen. | Abs. 7 |
| Diese Phänomene werden unter dem Oberbegriff Social Mediazusammen gefasst. Sie betreffen Softwareanwendungen zur Zusammenarbeit von Mitarbeiter innerhalb von Unternehmen sowie mit Personen außerhalb von Unternehmen. Blogging, Social Web-Applications und Networking Tools sind Methoden, sich beruflich zu etablieren und Arbeit zu erledigen. Social Computing steht hierbei als Begriff für IT-bezogenes Arbeiten in virtual communities, d. h. in funktionsfähigen flexiblen Gruppen bei vernetzten Rechnern. | Abs. 8 |
| In arbeitsteiligen Unternehmen spielt die Nutzung von Tools zur Zusammenarbeit und Echtzeitkommunikation sowie der Einsatz von Datenbanken zur Aufgabenerledigung (Reporting bzw. Response Datenbanken) und Wissenshinterlegung (Asset bzw. Knowledge Datenbanken) eine zunehmend zentrale Rolle. | Abs. 9 |
| Der soziale Aspekt hierbei ist die Nutzung geteilter IT-Resourcen (Shared Computing Resources) zur Erarbeitung gemeinsamer Arbeitsergebnisse und zur Erledigung von Aufgabenstellungen bei permanenter Interaktion zwischen Mitarbeitern, aber auch unter Einbeziehung von Kunden, Lieferanten und Partnern. | Abs. 10 |
| Wertschöpfung erfolgt an Hand wissensbasierter Arbeit und im Rahmen eines Strukturwandels hin zur Schaffung und Bereitstellung von Wissen im Spannungsfeld von Gewissheitsverlusten(1). In einer Wissensgesellschaft ist hierbei der Zugriff auf Wissen, im Besonderen auch auf digitale Bibliotheksbestände(2), von elementarer Bedeutung. | Abs. 11 |
| Social Computing steht - datenschutzrechtlich gewendet - für die Verarbeitung und Nutzung benutzergenerierter Daten. Dabei geht es um den Schutz von personenbezogenen Daten, welche Personen in Netzwerken und Kommunikationsmedien veröffentlichen. Der Schutz von Privatsphäre und Persönlichkeit muss hierbei an der Zweckbestimmung der geteilten Information sowie der Daten des Betroffenen ansetzen. | Abs. 12 |
| Durch Online-Kommunikation agieren eine Vielzahl von Mitteilenden und Empfängern. Informationen werden individuell, aber auch multilateral ausgetauscht. Es geht hierbei um einen User generated Content. Mitarbeiter sind in diesem Kontext heute selbst Marktteilnehmer(3). Damit steht die Betätigungsfreiheit des Arbeitgebers heute einer Situation gegenüber, dass Arbeitnehmer aktiv ihren eigenen Interessen nachgehen(4). Unternehmen werden dadurch verstärkt Teil einer globalen Zivilgesellschaft, indem auch deren Mitarbeiter als Global Professionals agieren. Dies in ihrer jeweiligen Jobrolle im Unternehmen, aber auch im Rahmen ihres persönlichen beruflichen Fortkommens, welches nicht auf ein bestimmtes Unternehmen festgelegt ist. | Abs. 13 |
| Vor dem Hintergrund einer modernen Arbeitswelt lautet die neue Vorschrift des § 32 Abs. 6 BDSG-RegE wie folgt: | Abs. 14 |
| Satz 1: | Beschäftigtendaten sind unmittelbar bei dem Beschäftigten zu erheben. | Abs. 15 |
| Satz 2: | Wenn der Arbeitgeber den Beschäftigten vor der Erhebung hierauf hingewiesen hat, darf der Arbeitgeber allgemein zugängliche Daten ohne Mitwirkung des Beschäftigten erheben, es sei denn, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung das berechtigte Interesse des Arbeitgebers überwiegt. | Abs. 16 |
| Satz 3: | Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind. | Abs. 17 |
| Satz 4: | Mit Einwilligung des Beschäftigten darf der Arbeitgeber auch bei sonstigen Dritten personenbezogene Daten des Beschäftigten erheben; dem Beschäftigten ist auf Verlangen über den Inhalt der erhobenen Daten Auskunft zu erteilen. | Abs. 18 |
| Satz 5: | Die Absätze 1 bis 5 sowie § 32a bleiben unberührt. | Abs. 19 |
| Bei dieser Vorschrift geht es um die Behandlung benutzerorientierter Daten. § 32 Abs.6 S. 1 BDSG-RegE ergänzt für Bewerberdaten den Grundsatz der Direkterhebung nach § 4 Abs.2 und 3 BDSG. Für allgemein zugängliche Daten sieht § 32 Abs. 6 S. 2 eine Befugnis für die Erhebung von allgemein zugänglichen Daten vor, wenn der Arbeitgeber den Beschäftigten zuvor darauf hinweist. Sind Daten im Internet nur einem eingeschränkten Personenkreis zugänglich, so ist das Kriterium der allgemeinen Zugänglichkeit nicht gegeben. | Abs. 20 |
| Wenn das schutzwürdige Interesse des Beschäftigten an dem Ausschluß der Erhebung gegenüber dem berechtigten Interesse des Arbeitgebers überwiegt, ist die Erhebung solcher Daten nicht zulässig. Ein Überwiegen am Ausschluß der Erhebung ist bei sozialen Netzwerken gegeben, die der Kommunikation im Internet dienen. Eine andere Betrachtungsweise ergibt sich bei Netzwerken, die der Präsentation der eigenen Person gegenüber potentiellen Arbeitgebern dienen. Bei diesen sozialen Netzwerken zu beruflichen Zwecken geht es um Business Networks. Sie sind als geschäftliche Netzwerke auf die Anbahnung und Aufrechterhaltung von Geschäftsbeziehungen ausgerichtet. Sie dienen der Kontaktpflege, dem Informationsaustausch und Interessengruppenbildung. Das persönliche Profil stellt eine öffentliche Visitenkarte des Einzelnen dar. Es werden hier Referenzen von ehemaligen Arbeitgebern aktiv ins Netz gestellt. Zeugnisse in Papierform werden vor diesem Hintergrund mittelfristig generell an Bedeutung verlieren. | Abs. 21 |
| Personen werden heute zunehmend danach bewertet, ob die digital präsentsind und in welchem Umfang sie persönliche Daten preisgeben. Es findet damit eine erhebliche Verlagerung von Informationen ins Netz statt. Auch nutzen Bewerber bei der Suche nach einem Arbeitsplatz häufiger persönliche Kontakte. Dabei wird in Netzwerken nach persönlichen Ansprachemöglichkeiten, d.h. nach einer individuelle Kontaktperson gesucht, bevor man sich offiziell bei einem Unternehmen bewirbt. Die Grenzen zwischen Betroffenem, Nutzer und Mitglied in einem Netzwerk verschwimmen. | Abs. 22 |
II. Social Computing und Netz-Identität |
| Während Identität die Übereinstimmung einer Person mit dem ist, was sie ist oder als was sie sich bezeichnet, betrifft die Integrität, die Unversehrtheit, d. h. die Abwesenheit von Verletzung, Ausgrenzung oder Demütigung. So nutzen z. B. prominente Personen das Medium Twitter als Kommunikationsplattform, um über ihr Leben zu berichten, um Einfluss darüber zu gewinnen bzw. zurück zu gewinnen, was und wie über sie berichtet wird. | Abs. 23 |
| Das Paradoxe daran ist, dass die Zurschaustellung von Intimität heute dazu dienen soll, Souveränität über das Private zurückzugewinnen, weil andere dann keine Möglichkeit mehr haben, durch Investigationen Neues oder Unzutreffendes ins Netz zu stellen(5). Es geht um die Herstellung einer Übereinstimmung von Selbst- und Fremdwahrnehmung, mithin um das Recht auf sein eigenes Lebensbild(6). | Abs. 24 |
| Bei sozialen Netzwerken betrifft die Frage des Persönlichkeitsschutzes nicht nur die Zulässigkeit der beim Einzelnen erhobenen und über ihn verarbeiteten Daten, sondern auch den Schutz des Einzelnen in seiner Selbstdarstellung. Dessen Verletzung kann negative Implikationen auf die Individualität des Einzelnen, dessen Respektierung und damit letztlich für die "Selbstachtung des Einzelnen"(7)haben. | Abs. 25 |
| Der Schutz personenbezogener Daten wird ergänzt durch den Schutz der Netz-Identität des Einzelnen. Dadurch wird die Kompetenz der datenschutzgemäßen Interaktion mit anderen bei Anerkennung wechselseitiger Datenverarbeitung im Rahmen der Online-Kontaktpflege geschützt. Durch Social Computing wird eine Netz-Identität der User (Nutzer und Teilnehmer) generiert. | Abs. 26 |
| Vor diesem Hintergrund ist zu beantworten, inwieweit das BDSG nicht nur den Umgang mit betroffenenbezogenen, sondern auch mit betroffenengenerierten Daten schützt. Der Betroffene steht dem Verarbeiter gegenüber. Hat der Betroffene seine Daten eingestellt, so sind diese nicht vom Arbeitgeber generiert, so dass ihr Schutz nicht durch eine reine Bipolarität von Betroffenem und Verarbeiter charakterisiert ist. | Abs. 27 |
| Nach § 1 Abs. 1 BDSG ist der Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Der Umgang mit personenbezogenen Daten wird bei sozialen Netzwerken nicht nur für den Fall geschützt, dass verantwortliche Stellen bzw. Personen personenbezogene Daten anderer Personen verarbeiten, sondern auch, wenn Personen ihre eigenen Daten verarbeiten. Es geht im Verhältnis benutzergenerierter Informationen um ihre rechtliche Bewertung als Einzelangaben über persönliche oder sachliche Verhältnisse (§ 3 Abs. 1 BDSG). § 3 Abs. 12 BDSG-RegE stellt hierbei klar, dass der Schutz des BDSG sehr weitgehend ist und Beschäftigtendaten personenbezogene Daten von Beschäftigten sind(8). | Abs. 28 |
| Kommunikation mit Social Media ist durch Gegenseitigkeit von Handlungen geprägt. Reziprozität bzw. Wechselseitigkeit bestimmen die Nutzung sozialer Netzwerke(9). | Abs. 29 |
| Im geschäftlichen Umfeld geht es um den Dialog mit Nutzern innerhalb und außerhalb von Unternehmen(10). Persönlichkeitsschutz wird hier verstanden als dynamisches Element der Schaffung eigener beruflichen Identität. Das traditionelle Schutzziel des Datenschutzes als Schutz des Einzelnen vor beeinträchtigender Datenverarbeitung erhält einen neuen Level der Datenschutzdiskussion. | Abs. 30 |
| Der Persönlichkeitsschutz wird in Unternehmen ergänzt durch einen Schutz von Daten und Informationen. Dies betrifft den systematischen Ansatz einer Compliance sowie dem Schutz unternehmensinterner Daten und Prozesse. Im Datenschutzrecht wesentlich ist die IT-Compliance, d. h. die Erfüllung der in Bezug auf die IT eines Unternehmens bestehenden gesetzlichen Verpflichtungen(11). | Abs. 31 |
| Die Daten werden nach BDSG in ihrer Handhabung nach Sphärenkategorisiert. § 3 Abs. 9 BDSG beschreibt Besondere Arten und § 9 S. 2 BDSG die Erforderlichkeit von Maßnahmen im Hinblick auf ihren Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck(12). Stellen Mitarbeiter eines Unternehmens Daten in soziale Netzwerke, ist zu beachten, dass solche Verarbeitungen für die Rechte und Freiheiten der Betroffenen besondere Risiken beinhalten. Sie unterliegen vor Beginn der Verarbeitung einer besonderen Prüfung. Es geht um die Durchführung einer Vorabkontrolle nach § 4d Abs. 5 S. 1 BDSG, die auch als eine spezielle Form des Datenschutzaudits(13)und der Compliance-Prüfung betrachtet werden kann. | Abs. 32 |
| Wer sich aus dem Internet aus Quellen unterrichtet, die allgemein zugänglich sind, dem ist es grundsätzlich gestattet, dort zugängliche Daten zu speichern (§ 28 Abs. 1 S. 1 Nr. 3 BDSG). Diese Privilegierung gilt allerdings nicht bei Verknüpfungdieser Daten mit anderen Daten(14). | Abs. 33 |
| Einschränkungen durch den Datenschutz, im Besonderen durch den geplanten Beschäftigtendatenschutz, stehen hierbei im Gegensatz zur heutigen Kultur der Datenrecherche. Das Internet hat im Bewußtsein der Gesellschaft zu erheblichen Veränderungen der Denk- und Kommunikationsgewohnheiten geführt(15). So beschreibt der Weg vom Cyberspace zum Web 2.0 die Betonung der Chancenwahrnehmung und Individualisierung von Inhalten im Netz für individuelle Nutzer. Web 2.0 steht hierbei für Facetten der Technologienutzung, während Cyberspace mehr den Aspekt der virtuellen Gemeinschaften sowie die Phänomene Dezentralisierung und Kontrollferne betont(16). | Abs. 34 |
| Während beruflich und privat die Chancennutzung des Einzelnen gesellschaftlich im Blick ist(17), spielt im Datenschutzrecht - auch bei Beachtung des Allgemeinen Gleichbehandlungsgesetzes - die Findung von Regeln im Umgang mit personenbezogenen Daten eine zentrale Rolle. Die Nutzung von Technologien zu Kommunikation, Datenrecherche und Zusammenarbeit stehen unter dem Aspekt des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt(18). Dieser prägende Grundsatz des Datenschutzrechts nach § 4 Abs. 1 BDSG, welcher rechtsdogmatisch mit gutem Grund eingeführt wurde, verliert bei einer Entprofessionalisierung der Datenverarbeitung durch massenhaften Einsatz bei Social Media seine soziale Geltung. | Abs. 35 |
III. Social Computing und Netz-Anonymität |
| Idee sozialer Netzwerke ist es, Daten über Personen nicht "hacken zu müssen"(19), sondern die Daten zur eigenen Person durch Mitglieder eines Netzwerkes - im wesentlichen zur Kontaktpflege mit Bekannten - selbst bereit stellen zu lassen. Personenbezogene Daten sind in diesem Kontext dann allgemein zugänglich, wenn der Zugriff für jeden möglich ist(20). Dazu zählen nicht die vom Betroffenen nur für einen eingeschränkten Nutzerkreis kenntlich gemachten Daten(21). | Abs. 36 |
| Die allgemeine Zugänglichkeit zu Daten bezeichnet im Datenschutzrecht den Zugriff auf diese Daten und deren Wahrnehmung durch unbestimmt viele Personen. Der Begriff der Öffentlichkeit impliziert demgegenüber Informations- und Partizipationsmöglichkeiten von Bürgern. Nutzer schaffen in diesem Kontext ein öffentliches Ich, was einer bewußten Preisgabe von personenbezogenen Informationen über sich selbst beinhaltet. Das Internet wird zur Wahrnehmungs- und Gestaltungsbühne. Bekannte Daten, die nicht als Privatgeheimnis geschützt sind (vgl. dazu § 203 StGB(22)), werden ersetzt durch veröffentlichte Tatsachen. | Abs. 37 |
| Die Datenrecherche von Arbeitgebern in sozialen Netzwerken zur Kommunikation basiert vor diesem Hintergrund nicht auf einer Beteiligung an der Kommunikation, sondern auf einer Nutzung der Daten für eigene Unternehmenszwecke. Die Zweckbestimmung der durch Mitglieder zur Kommunikation auf Gegenseitigkeit in Netzwerken bereit gestellten Daten würde bei einer Datenerhebung für Unternehmenszwecke nicht berücksichtigt. | Abs. 38 |
| Nach § 32b Abs. 1 BDSG-RegE dürfen Arbeitgeber nach § 32 oder § 32a BDSG-RegE erhobene Beschäftigungsdaten vor Begründung eines Beschäftigungsverhältnisses nur verarbeiten oder nutzen, soweit dies erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten festzustellen oder um über die Begründung des Beschäftigungsverhältnisses zu entscheiden. § 32d Abs. 2 BDSG-RegE enthält eine Befugnisnorm für die Verarbeitung und Nutzung von Daten, die nicht nach den §§ 32, 32a oder 32c e BDSG-RegE erhoben wurden. Die Anwendungsbereiche von § 32d Abs. 1 und Abs.2 BDSG-RegE stehen nebeneinander. Das Abgrenzungskriterium ist, ob der Arbeitgeber Daten nach §§ 32, 32a oder 32c e BDSG-RegE erhoben (§ 32d Abs.1 BDSG-RegE ) oder anders erhalten hat ((§ 32d Abs.2 BDSG-RegE). Die Variante des § 32d Abs. 2 BDSG-RegE betrifft den Fall, dass der Arbeitgeber sich die Daten nicht im Sinne von § 3 Abs. 3 BDSG aktiv beschafft, sondern er sie erhalten hat. | Abs. 39 |
| § 32 Abs. 1 S. 2 BDSG-RegE sieht vor, dass Arbeitgeber Daten zur Eignung eines Beschäftigten erheben darf, sofern diese für die vorgesehenen Tätigkeiten einer zu besetzenden offenen Position, Stelle oder Jobrolle erforderlich sind. Dies ist konsistent zur Zweckbestimmung der Daten, welche von Personen in Netzwerken zur beruflichen Qualifikation eingestellt werden. Eine prinzipiell zu besetzende Stelle mit festem Anforderungsprofil sollte für Unternehmens als Befugnis zur Datenerhebung ausreichend sein, da auch die Personen, welche Daten ins Netz stellen, nicht arbeitssuchend sein müssen, sondern die Information über ihre beruflichen Fähigkeiten und Erfahrungen im Rahmen ihrer Beschäftgiungsfähigkeit (employability) und Chancenwahrnehmung veröffentlichen. | Abs. 40 |
| Das BDSG stellt mit diesen geplanten Neuregelungen einen eigenen Prüfungsmaßstab der Datenerhebung von Beschäftigtendaten zur Verfügung. Das Fragerecht des Arbeitgebers(23)behält zur Gewährleistung des schutzwürdigen Interesses des Arbeitnehmers(24)- bei Umsetzung des Regierungsentwurfs - nur beschränkt seine Gültigkeit. Denn der Arbeitgeber darf nach Bewerberdaten außerhalb von § 32 BDSG-RegE nicht mehr fragen. § 32 Abs. 2 BDSG-RegE stellt für besonders schutzwürdige Daten entsprechende Sonderregelungen auf(25). | Abs. 41 |
| Zulässig sind künftig nach BDSG Fragen zu beruflichem Werdegang, Kontaktdaten (Name, Anschrift, Erreichbarkeit über Telefon oder E-Mail) und beruflichen Fähigkeiten. Ebenso Fragen mit konkretem Bezug zu Tätigkeiten. Die Frage nach dem Alter, welches Diskriminierungsmerkmal nach § 1 Allgemeines Gleichbehandlungsgesetz (AGG) ist(26), aber kein besonderes Datum nach § 3 Abs. 9 BDSG darstellt, ist erlaubt, wenn das Alter eine wesentliche und damit entscheidende Voraussetzung für eine Stelle bzw. Jobrolle ist. Nicht erlaubt ist z. B. die Fragen nach einer Schwerbehinderung (vgl. § 32 Abs. 3 BDSG-RegE). | Abs. 42 |
| Überwiegende schutzwürdige Interessen des Betroffenen, welche gegen eine Zulässigkeit der Datenerhebung von Arbeitgebern in beruflichen Netzwerken sprechen, können sich auch daraus ergeben, dass eine Veröffentlichung nicht mehr aktuell ist. Nicht mehr aktuelle Daten sprechen auch gegen einen aktuellen Bewerbungswillen eines Beschäftigten im Sinne des § 3 Abs. 11 BDSG. | Abs. 43 |
| Durch die Vorschrift des § 32 Abs. 6 BDSG-RegE wird der Schutz der Beschäftigten, dass ihre Kommunikationsbeziehungen zu anderen Mitarbeitern (Collaborative Filtering) sowie Bewertungen durch andere Mitarbeiter (Reputation Systems) nicht erfasst werden, ergänzt durch das Prinzip, dass nicht erforderliche Daten auch nicht im Vorfeld eines Arbeitsverhältnisses recherchiert werden. | Abs. 44 |
| Im Datenschutzrecht ist heute grundsätzlich festzulegen, was öffentlich und was privat ist. Öffentlichkeit steht hierbei Anonymität bzw. Pseudonymität gegenüber. Verankert sind Anonymität und Pseudonymität als Methoden der Veränderung personenbezogener Daten bzw. des Ersetzens des Namens und anderer Identifikationsmerkmale in den §§ 3a S.2 i.V.m. § 3 Abs. 6 und 6a BDSG. Dabei spielen Datenvermeidung und Datensparsamkeit als Programmsatz für die Gestaltung von Systemsstrukturen ebenfalls eine Rolle (§ 3a S.1 BDSG). Ebenso von Bedeutung sind Löschungs- und Softwareroutinen für den Datenschutz als Maßnahmen zur technischen Sicherstellung von Betroffenenrechten und Zulässigkeiten (§§ 9, 31 BDSG). | Abs. 45 |
| Künftig wird es wichtig sein, dass Nutzer angeben können, von welchem Zeitpunkt an, Daten im Internet nur noch verschlüsselt angezeigt werden. Captchas könnten dazu dienen, dass Verschlüsselungen nicht umgangen werden können. Captchas sind Bilder mit verzerrten Buchstaben oder Ziffern, die nicht entziffert werden können. Anonymität zwischen Kundgeben und Verbergen ist technisch in Erinnern und Vergessen aufzulösen. | Abs. 46 |
IV. Social Computing und Virtuelle Welten |
| Heute wird ein Teil der Persönlichkeit von Menschen bei Nutzung sozialer Netzwerke in die virtuelle Welt verlagert. Erfolgt dies anonym, so könnte man von entpersonalisierten Menschensprechen. Das Netz ist ein komplexes Organisationsmuster, in welchem unterschiedliche autonome Bestandteile verknüpft werden(27). Virtualität kann neben seiner Eigenschaft, nicht physisch verkörpert zu sein, auch durch Eigenschaften der Flüchtigkeit und Zeitlosigkeit charakterisiert werden(28). Im Zusammenhang mit Social Computing ist datenschutzrechtlich auch der Umgang mit virtuellen Welten zu klären(29). | Abs. 47 |
| Virtuelle Welten und andere 3D (dreidimensionale)-Internetumgebungen (z. B. Second Life) bieten für Unternehmen neue Geschäftsfelder. Formen der Zusammenarbeit mit Social Media werden ergänzt durch New Spaces of Relationship-Building. Im Moment ist der Hype dazu abgeflaut. Das Thema wird längerfristig aber wieder von größerer Bedeutung werden. | Abs. 48 |
| Es geht bei den Virtuellen Welten um software-basierte öffentliche Räume. Dabei auch ganz spezifisch um die Nutzung elektronischer Personen(30). Datenschutz für physische Gemeinschaften ist durch Datenschutz für virtuelle Welten der Digital Citizens zu ergänzen. Aktivitäten in virtuellen Welten und im 3D-Internet sind öffentlich, denn sie sind vergleichbar mit Chat Rooms. Die Besonderheit dieser Aktivitäten und Handlungen ist nicht nur, dass diese nicht nur für eine lange Zeit sichtbar sind, sondern dass auch der Empfängerkreis sehr groß ist. | Abs. 49 |
| Bei der Nutzung Virtueller Welten im geschäftlichen Umfeld sollte beachtet werden, dass Regelungsvorgaben des Rechts in Virtuellen Welten ebenso zu beachten sind wie in der Physischen Welt. Datenschutzrechtlich ist das Schutzbedürfnis in Virtuellen Welten eher noch höher. In virtuellen Welten sind personenbezogene Daten ebenso wenig bekannt zu geben wie vertrauliche Unternehmensinformationen. Die Nutzung von echten Namen ist zu vermeiden. Aktivitäten von Nutzern in ihrer Eigenschaft als Beschäftigte in Virtuellen Welten sind für Nutzer im Beschäftigungsverhältnis vom Arbeitgeber in Art und Umfang ausdrücklich zu genehmigen. | Abs. 50 |
| Derjenige, der als 3D Netizen eine digitale Person, d. h. einen Avatarkreiiert oder launched, ist für deren Verhalten verantwortlich. Dieser Grundsatz ergibt sich analog der Verantwortung des Nutzers sozialer Netzwerke, der dort Daten einstellt. Für geschäftliche Zwecke (Business Purposes) ist der Avatar zu benennen und das Unternehmen kenntlich zu machen. Für private Zwecke sollte ein anderer Avatar genutzt werden. Geschäftliches Handeln ist von Privatleben zu trennen (vgl. § 32 Abs. 6 BDSG-RegE und die dazugehörige Unterscheidung zwischen Kommunikation und geschäftlicher Tätigkeit). | Abs. 51 |
| Die Identität des Schöpfers eines Avatars sowie Online-Tätigkeiten sind eine sensitive Information über den Beschäftigten. Diese Information darf nur vom Schöpfer bzw. dem online-handelnden Mitarbeiter offenbart werden. Denjenigen Mitarbeitern, die die Identität kennen (need-to-know), ist es nicht erlaubt, die Identität preis zu geben. | Abs. 52 |
| Das Unternehmen kann physische Arbeitplätze grundsätzlich frei von Belästigungen gestalten. Für Aktivitäten innerhalb virtueller Welten kann dies das Unternehmen nicht leisten. In solchen Fällen sollten Mitarbeiter sich aus den Virtuellen Umgebungen entfernen und die virtuelle Welt verlassen. | Abs. 53 |
| Wie viele Informationen jemand teilt, liegt in seiner Verantwortung. Die Identifikation der digitalen Person kann, sofern geschäftlich erforderlich, den eigenen echten Namen betreffen. Es kann auch sein, dass die Nutzung eines vom Service Provider vorgesehenen Namens erforderlich ist. Es ist deshalb notwendig, einen getrennten Avatar zur Abwicklung von Geschäften zu haben. Viele virtuelle Welten erlauben Teilnehmern, anonym zu sein. In den meisten Fällen ist es nicht erforderlich, die wahre Identität zu offenbaren. | Abs. 54 |
| Virtuelle Welten geben Mitarbeitern die Möglichkeit selbst zu entscheiden, wie sie durch eine digitale Person repräsentiert werden. Auch hierzu sind im geschäftlichem Umfeld Verhaltensrichtlinien zur Etablierung von Verhaltenscodeserforderlich. Denn das zweidimensionale textbasierte Web wird sich zu einem global verlinkten dreidimensionalen Web entwickeln. | Abs. 55 |
| Es wird sich trusted roaming (vertrauliche Erreichbarkeit) bei portable identities (ortsveränderlichen Identitäten) entwickeln. Die Identitäen des Einzelnen werden sich dabei in unterschiedlichen Virtuellen Welten bewegen. Wesentlich für den Datenschutz sind weiter neue Verbindungen zwischen virtuellen Bereichen und mit der physischen Welt. Hier gibt es die Möglichkeit zu boundary-spanning identities (grenzüberschreitende Identitäten). Statt einer phyischen Person bestehen unterschiedliche digitale Identitäten. | Abs. 56 |
| Datenschutz befasst sich dabei mit dem Bereich der virtuellen Welt als Meta-Universum. Schwebende Irrealität in der virtuellen Welt wird real, wenn Anonymität aufgegeben oder ein Übergang zur realen Welt geschaffen wird. Datenschutzrecht betrachtet hier die Handhabung von Bildern und Daten "als Schatten" der realen Welt. | Abs. 57 |
| Kreative Kommunikationsforen, innovative Geschäftideen und technologische Herausforderungen führen dazu, dass sich Datenschutz vermehrt mit virtuellen Welten beschäftigen muss. Elektronische Kommunikation in Unternehmen steht heute für Many-to-Many-Verbindungen. Zweidimensionale Weboberflächen ohne Integration in die Unternehmensprozesse und Softwaresysteme werden heute ersetzt durch einen Silent Commerce mit Kommunikation von Maschine zu Maschine sowie die Integration der EDV-Systeme von Lieferanten und Kunden. | Abs. 58 |
| Eingebetet ist Datenschutz in Virtuellen Welten in den Virtuell Commerce. Durch 3D-Welten wird die Zweidimenionalität von Online-Vertriebs- und Service-Kanälen ergänzt. Die passive Datenverarbeitung aus Sicht des Betroffenen als Ausggangspunkt des Datenschutzrechts, wird ergänzt bzw. ersetzt durch ein Interagieren und Kommunizieren. | Abs. 59 |
| Es entstehen Hybrid-Plattformen, um von einer 2D (zweidimensionalen)-Webseite in die 3D-Welt wie Second Life zu wechseln. Bestelldaten werden dabei z.B. in die Backend-Systeme der realen Welt übertragen. Zielsetzung sind 3D-Geschäftsprozesse mit realen Geschäftstransaktionen und den dafür notwendigen Softwareanwendungen wie Enterprise Resource Planning (ERP) - Systemen, um diese in durchgängige Ein- und Verkaufsprozesse zu verändern. Unternehmen müssen in der Lage sein, ihre Produktinformationen in 3D-Bildern in Echtzeit bereit zu stellen und die anschließende Geschäftstransaktion automatisch in 2D oder 3D abzuwickeln. | Abs. 60 |
V. Social Computing und Geschäftsprozesse |
| In Netzwerken präsentieren Mitglieder ihre Beiträge, Bilder, Videos und pflegen Kontakte. Und dies irgendwo zwischen "Nigeria und Japan"(31). Im geschäftlichen Umfeld arbeiten Mitarbeiter über Unternehmens- und Staatsgrenzen hinweg zusammen. Benutzergenerierte Daten in Unternehmen sind damit Teil grenzüberscheitender Geschäftsprozesse, Managementstrukturen und technischer Systemen. | Abs. 61 |
| Zu implementieren sind hierzu angemessene physische, administrative und technische Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, unbefugter Nutzung und Offenlegung zu schützen. So sind besonders sensible personenbezogene Daten zu verschlüsseln, wenn diese über das Internet übertragen werden (S. 3 i.V.m. Nr. 4 - Weitergabekontrolle - der Anlage zu § 9 S.1 BDSG). | Abs. 62 |
| Darüber hinaus sind die Zulässigkeiten der Datenverarbeitung zu klären. Diese müssen die Transnationalisierung von Unternehmensprozessen berücksichtigen. Schaffen hierbei Unternehmen als nicht-staatliche Akteure unternehmensinterne Regelungen zum Datenschutz, so erfolgt dies in Verbindung mit staatlichem Recht(32). Begleitet wird dieser Prozess im Datenschutzrecht durch eine Supranationalisierung des Recht. Dazu gehört im Datenschutzrecht die EU-Datenschutzrichtlinie(33). | Abs. 63 |
| Die Regelungsvorgabe zur Prüfung der Anwendung des BDSG enthält § 1 Abs. 5. Danach findet das BDSG keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Das BDSG findet allerdings Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. | Abs. 64 |
| Stellen Unternehmen Tools für Social Computing bereit, so ermöglichen diese den Mitarbeitern einen Online-Informationsaustausch und eine Zusammenarbeit zwischen den Mitgliedern, die sich für die Nutzung dieser Tools registriert haben. Tools für Social Computing werden damit Teil von Geschäfts- und Unternehmensprozessen. Für die Nutzung von Tools sind Registrierungsinformationen des Nutzers erforderlich. Hierzu muss der Nutzer bestimmte personenbezogene Daten angeben. Hierbei hat das Unternehmen sicher zu stellen, dass anderen Teilnehmern diese Informationen nicht als Teil des Mitarbeiterprofils zur Verfügung gestellt werden. | Abs. 65 |
| Datenverarbeitung im Unternehmen beschreibt damit zunehmend eine kommunikative Ebene. | Abs. 66 |
| Datenschutz bedeutet hierbei Schutz der Individualität des Beschäftigten. Dies aber im Kontext des Schutzes von Geschäftsprozessen. Zu vermeiden ist deshalb, dass von Beschäftigten vertrauliche bzw. proprietäre Informationen eines Unternehmens oder Informationen über Dritte ins Netz gestellt werden. | Abs. 67 |
| Zur datenschutzrechtlichen Beurteilung von Geschäftprozessen sind die Phänomene Crowdsourcing und Business Intelligenz mit einzubeziehen, weil sie eine Öffnung der Unternehmensnetzwerke zur Umsetzung von Arbeit beinhalten. | Abs. 68 |
| Crowdsourcing betrifft die Auslagerung von Tasks mittels eines offenen Aufrufes an eine Masse von unbekannten Akteuren. Crowdsourcing ist ein Outsourcen von Arbeit an Akteure, d. h. in der Regel an Privatpersonen. Es kann nach der Art der Benutzerinteraktion unterschieden werden. Es geht hierbei um offene Ideenwettbewerbe, Micro-Jobs wie das Lösen ausgeschriebener Aufgaben oder auch um auf Benutzerkollaboration basierende Ideenplattformen wie das Entwickeln von Ideen für neue Produkte oder Dienstleistungen. | Abs. 69 |
| Kategorien der Dienstleistung gegenüber Kunden (Performance-based contracts) werden übertragen auf das Verhältnis des Arbeitnehmers gegenüber dem Arbeitgeber (Leistungsversprechen des Arbeitnehmers). Arbeitsmodelle müssen in Einklang mit Geschäftsprozessen gebracht werden. Nach der Verteilung von Computing Power in Grids und Clouds (Grid und Cloud Computing) erfolgt eine Verteilung von People Power (People Service Plattform). | Abs. 70 |
| Die Öffnung von Daten sowie der Arbeit erinnert an die Bewegung der Open Source Gemeinde der Freeware Entwickler. Kommerzielle Interessen sollen einem freiwilligen Aktionsrahmen weichen. Es sollen Werke, Ideen, Daten mit anderen geteilt werden. Arbeit soll für Benutzer frei wählbar sein. Eine Privilegierung der Arbeitnehmer eines Unternehmens bei Erledigung einer Aufgabe soll zurücktreten. | Abs. 71 |
| So werden im Internet Plattformen für das Ausschreiben von Arbeiten und das Finden von Lösungen (in der Regel kurze Programmieraufgaben) zur Verfügung gestellt. Unternehmensexterne können sich auf intern ausgeschriebene Aufgaben bewerben. Dies in Konkurrenz zu Mitarbeitern des Unternehmens. | Abs. 72 |
| Die Erhebung von Daten über Personen und Produkte, die für Unternehmen zur Internetarbeit von erheblichem Interesse sind, wird ergänzt durch den Einsatz von Software zu Business Analytics. Die Software betrifft den Einsatz statistischer Methoden, um vorauszusagen, was ein Benutzer, z. B. in seiner Rolle als Kunde, in Zukunft wahrscheinlich tun wird. Eingesetzt wird dazu Predective Analytic Software (Business Analytics). | Abs. 73 |
| Data Mining ist dazu der Prozess, Daten aus verschiedenen Richtungen zu analysieren und zu sinnvollen Informationen zusammen zu fassen. Ein Beispiel hierzu ist der Bankkunde, dem beim Geldabheben auf dem Display eine nur für ihn zugeschnittene Geldanlage empfohlen wird, ohne dass der Bankkunde dieses Angebot in seiner Individualisierung für ihn erkennt. | Abs. 74 |
| Um solche Vorhersagemodelle zu realisieren, werden in der Praxis eine Vielzahl von Daten erhoben. Hierzu gehören unterschiedliche Kundendaten: Interaktionsdaten (Click-Stream, Feedback), Deskriptive Daten (Selbstauskünfte, Demografie), Daten zur persönlichen Einstellung (Werthaltungen, Affinitäten) und Verhaltensdaten (Nutzungsverhalten, Zahlungsverhalten). | Abs. 75 |
| In diesen Kontext fallen auch Datenrecherchen von Arbeitgebern in beruflichen Netzerken. Der Betroffene soll in seiner künftigen Rolle als Beschäftigter eines Unternehmens (§ 3 Abs. 11 BDSG) für den Fall der Einstellung - ebenso wie ein Kunde - berechenbar sein. | Abs. 76 |
| Wesentliches Thema im Beschäftigtendatenschutz ist die Internetarbeit. Sie beschreibt die Möglichkeiten des Web 2.0. Es geht um kollaborative Intelligenz und Arbeits-, d. h. Workload-Verteilung in Unternehmen. Dazu dienen z. B. Jams als eine auf das Internet gegründete Plattform für Brainstorming zu vom Unternehmen vorgegebenen Themen. | Abs. 77 |
| Die Fähigkeit zu Innovation beruht danach nicht nur auf der eigenen Kraft von Unternehmen, sondern auf guten Ideen von außen. So öffnen Unternehmen ihre Website für externe Personen, Programmierer und Berater. Soziale Netze werden so zum Betriebssystem eines Unternehmens gemacht(34). Damit stehen berufliche Netzwerke für Konkaktpflege und Networking, sie sind aber auch Kollaborationsplattformen. | Abs. 78 |
| Collaboration-Tools unterstützen gemeinsame Projektarbeit, das Teilen von Dokumenten sowie eine direkte Kommunikation per Chat sowie die Steuerung von Aktivitäten. Cloud Services sollen in diesem Kontext dazu dienen, dass Unternehmen keine entsprechende eigene Infrastruktur vorhalten müssen. | Abs. 79 |
| Datamining betrifft Datenabgleiche. § 32d Abs.3 BDSG-RegE erlaubt unter bestimmten Voraussetzungen den automatisierten Abgleich von vorhandenen Beschäftigungsdaten. Allerdings beschränkt sich die Erlaubnisnorm auf die Aufdeckung von schwerwiegenden Pflichtverletzungen im Zusammenhang mit dem Beschäftigungsverhältnis stehen(35). | Abs. 80 |
| Datenschutz muss Entwicklungen antizipieren, denn in der Wirtschaft wird die zunehmende Komplexität neue und intensivere Formen der Zusammenarbeit erforderlich machen, denen der Datenschutz begegnen muss. Es wird für Arbeitnehmer hier um workloadbasierte Systeme gehen zur faktenbasierte Lösung von Kundenproblemen sowie der Verteilung von Arbeit. Es erfolgt ein Shift im IT-Modell. Collaboration, Geschäftsprozess-Management sowie Business Analytics erfahren neue Ausformungen. Personenbezogene Daten sind hierbei nicht nur Informationen über Individuen, sondern sie sind auch kognitives Kapital der Gesellschaft, Basis umfassender geschäftlicher wie privater Kommunikation, aber auch in immer stärkerem Umfang Erfordernis für Werbung und Marketing auf individueller Basis. | Abs. 81 |
| Im Rahmen der transnationalen Geltung von Datenschutzrecht ist für Beschäftigte mit lokalem deutschen Arbeitsvertrag darauf hinzuweisen, dass Kernregelungen des BDSG einzuhalten sind. Hierzu sind folgende Argumente für den Beschäftigtendatenschutz im internationalen Kontext hilfreich: | Abs. 82 |
| Basic general principles of Data Privacy due to Federal Data Protection Act (FDPA = BDSG) are: Legal basis for collecting, processing and transfer of personal information. Collecting and processing of personal information needs a specific purpose. Need to know basis. Data economy. | Abs. 83 |
| General: Processing of personal information is not allowed. Only if a legal basis is given. The FDPA express a fundamental prohibition of the collection, processing and use of personal data. This is only if the conditions defined in the FDPA are fulfilled. An employee' s data may be collected, processed or used for employment-related purposes where necessary for hiring decisions or, after hiring, for carrying out or terminating the employment contract. | Abs. 84 |
VI. Social Computing und Rechtsverhältnis |
| Das Rechtsverhältnis ist die Beziehung von Rechtssubjekten zueinander. Diese Beziehung ist bei Social Computing in der rechtsdogmatischen Relation zwischen verantwortlicher Stelle und Betroffenem in einem komplexen mehrdimensionalen Raum umzusetzen. Die sich aus der IT ergebenden Anforderungen sind pragmatisch, d. h. handlungsbezogen und realitätsnah(36)umzusetzen. Denn Arbeitnehmer sind Teil des Wertschöpfungssystems des jeweiligen Unternehmens, bei dem sie beschäftigt sind. Das Recht muss sich diesen multiplen Modernitäten von Unternehmen und der Gesellschaft stellen(37). | Abs. 85 |
| Zum Sachverhalt des Social Computing gehört die Einbeziehung des Handelns von Kollektivsubjekten(38). Und dies im Rahmen der individuellen Betroffenenperspektive des BDSG. Zu erfolgen hat eine Betrachtung von Aktionen und Reaktionen von Einzelnen in der Masse im Hinblick auf eine geschäftliche und/oder soziale Situation (soziale Kräfte)(39). Tools des Social Computing adressieren damit Gruppenklugheit(40)im Zusammenhang mit kognitiven, koordinativen und kooperativen Aufgaben. | Abs. 86 |
| Das Recht selbst - als law in action - beinhaltet nun Voraussetzungen seiner Veränderungen(41). Rechtsvorschriften sind Datenspeicher für Fallerfahrung, in deren dogmatische Struktur Sachverhaltsveränderungen einfließen. Das BDSG bleibt im Datenschutzrecht dabei gesetzliche Kernmaterie. Das Datenschutzrecht insgesamt ist aber - neben seiner verfassungsrechtlichen Einbettung - mit Zunahme seiner Komplexität und der zu behandelnden Sachverhaltsvielfalt in seiner Handhabung zunehmend stärker orientiert an der zivilrechtlichen Entwicklung des allgemeinen Persönlichkeitsrechts. Dies beginnend beim Namensrecht (§ 12 BGB), dem Recht am eigenen Bild (§§ 22 ff. KuG), dem Urheberpersönlichkeitsrecht (§§ 12 bis 14, 25, 39 und 63 UrhG) bis hin zum wettbewerbsrechtlichen Schutz der Geschäftsehre (§ 17 f. UWG). Von Bedeutung ist im Zusammenhang des Social Computing auch die persönliche Ehre (§ 823 Abs. 2 BGB i.V.m. §§ 185 ff. StGB(42)). | Abs. 87 |
| Besonders hinzuweisen ist im Rahmen neuer Formen der Öffnung von Geschäfts- und Arbeitsprozessen von Unternehmen wie dem Crowdsourcing auf § 69b UrhG (Urheber in Arbeits- und Dienstverhältnissen). § 69 b Abs. 1 UrhG lautet: Wird ein Computerprogramm von einem Arbeitnehmer in Wahrnehmung seiner Aufgaben oder nach den Anweisungen des Arbeitgebers geschaffen, so ist ausschließlich der Arbeitgeber zur Ausübung aller vermögensrechtlichen Befugnisse an den Computerprogrammen berechtigt, sofern nichts anderes vereinbart ist. | Abs. 88 |
| Mit der Einführung des Kriteriums der Erforderlichkeit in § 32 BDSG hat der Gesetzgeber ein Kriterium eingeführt, welches - orientiert am Recht auf informationelle Selbstbestimmung - auch stärker in zeitlicher Hinsicht auszufüllen ist. Denn die Erforderlichkeit betrifft den Zeitpunkt der Datenerhebung und -speicherung, die Art und den Umfang der Datenverarbeitung sowie die Zeitdauer der Datenverarbeitung. | Abs. 89 |
| Zeitpunkt, Umfang, Art und Zeitdauer der Datenverarbeitung und - nutzung sind durch normative Kriterien zu bestimmen. Sie stehen im Argumentationszusammenhang der Interessen der verantwortlichen Stelle sowie der Rechte oder schutzwürdigen Interessen der Betroffenen (vgl. § 6 Abs. 1 und § 42 S. 1 BDSG). | Abs. 90 |
| Die datenschutzrechtliche Bewertung einer Zulässigkeit ergibt sich zunehmend auch aus einer Kette von Vertragsverhältnissen, z. B. zwischen Arbeitnehmer und Arbeitgeber sowie Anwender und Service-Provider. Die Rechtsbeziehung zum Service-Provider betrifft beim Social Computing die Beachtung von Nutzungsbedingungen für ein vom Arbeitgeber selbst nicht bereitgestelltes soziales Netzwerk. Hier sind in Ergänzung zu arbeitsvertraglichen Regelungen Dienstleistungs-Nutzungsbedingungen einzuhalten. | Abs. 91 |
| Im Rahmen solcher Regelungen ist es regelmäßig untersagt, illegale und anstößige Inhalte einzustellen. Ebenso ist es untersagt, Spam- oder Massen-E-Mails über das Netzwerk zu versenden. Nachrichten mit beleidigenden oder bedrohlichen Inhalten dürfen bei Netzwerknutzung nicht verbreitet werden. Urheberrechtlich geschützte Inhalte dürfen nicht ohne vorherige ausdrückliche Zustimmung des Rechteinhabers verbreitet werden. | Abs. 92 |
| Dabei stufen Dienstleister, die Daten über das Internet übertragen, die vom Benutzer generierten Daten - aus ihrem Verständnis heraus - häufig nicht als datenschutzrechtlich geschützte Daten ein. Es wird argumentiert, dass der originäre Zweck des BDSG nach § 1 Abs. 1 BDSG nicht zutreffe. Denn der Service-Provider gehe nicht mit den Daten des Einzelnen um, sondern stelle lediglich eine Dienstleistung zur Verfügung. Er verarbeitete personenbezogene Daten nicht für sich selbst, noch lasse er diese für sich selbst verarbeiten (vgl. § 3 Abs. 7 BDSG). | Abs. 93 |
| Zu betrachten ist die Anwendung des Telekommunikationsgesetzes (TKG) im Anbieter-Nutzer-Verhältnis(43). Bei Privatnutzung von E-Mail und Internetnutzung im Arbeitsverhältnis ist der Arbeitgeber Telekommunikations- und Telemedienprovider. Es gilt das Fernmeldegeheimnis nach § 88 Abs. 2 TKG. Der Arbeitnehmer ist zumindest während des Telekommunikationsvorganges durch das Fernmeldegeheimnis nach § 88 TKG geschützt(44). | Abs. 94 |
| Ebenso zu betrachten ist das Telemediengesetz (TMG) und seine datenschutzrechtlichen Regelungen in den §§ 11 bis 15a. Es regelt den Schutz personenbezogener Daten der Nutzer von Telemedien. Und im Besonderen die Rechte und Pflichten, die Anbieter in Bezug auf den Datenschutz zu beachten haben. Datenschutzrechtlich definiert sich die Verantwortung nach § 3 Abs. 7 BDSG(45). | Abs. 95 |
| Bei Inhaltsanbietern, die fremde Inhalte bereit halten, z. B. Betrieber von Blogs und Chatforen, besteht aus datenschutzrechtlicher Sicht das Problem, dass diese grundsätzlich nach § 3 Abs. 7 BDSG verantwortlich sind, ohne von den personenbezogenen Inhalten Kenntnis zu haben. Diese Diskussion betrifft einen Kernbereich der Einordnung nutzergenerierter Daten bei Social Computing. | Abs. 96 |
| Im Verhältnis Arbeitgeber-Arbeitnehmer wird für die Anwendung des TMG ein Anbieter-Nutzer-Verhältnis vorausgesetzt(46). Nach § 11 Abs. 1 Nr. 1 TMG gelten die §§ 11 bis 15a TMG nicht, wenn die Bereitstellung solcher Dienste im Arbeitsverhältnis ausschließlich zu beruflichen Zwecken erfolgt. § 32 i Abs. 1 i.V.m Abs. 3 BDSG-RegE soll nun den Schutz von Nutzungsdaten sowie die Rechte des Arbeitgebers im BDSG regeln, wenn den Beschäftigten die Nutzung von Telekommunikationsdiensten ausschließlich zu beruflichen Zwecken erlaubt ist. | Abs. 97 |
VII. Social Computing und Datenschutzgesetz |
| In einem dynamischen Rechtsgebiet wie dem Datenschutzrecht ist nach der BDSG-Reform vor der BDSG-Reform(47). Allerdings wurde bislang die Grundkonzeption des BDSG nicht verändert. Die Vorschriften des Ersten Abschnitts des BDSG, im Besonderen die Begriffsbestimmungen des § 3 BDSG wurden bislang nur punktuell an neue Entwicklungen angepasst. | Abs. 98 |
| Die Zulässigkeit bei Social Computing muss das BDSG damit in seinem Programm verarbeiten. Der Betroffene ist nicht Dritter, dem "außerhalb der verantwortlichen Stelle" (§ 3 Abs. 8 S. 1 und 2 BDSG) Daten übermittelt werden (vgl. § 3 Abs. 4 Nr. 3 BDSG). Der Betroffene ist derjenige, dessen personenbezogene Daten erhoben, verarbeitet und genutzt werden (§ 3 Abs. 1 BDSG). Es geht um den Umgang mit seinen personenbezogenen Daten durch die verantwortliche Stelle (§ 1 Abs. 1 i.V.m. § 3 Abs. 7 BSG). Sie ist nach § 3 Abs. 7 i.V.m. § 2 Abs. 4 BDSG Normadressat des BDSG(48). | Abs. 99 |
| Nutzt der Beschäftigte soziale Medien des Arbeitgebers und stellt seine eigenen personenbezogenen Daten ein, so erfolgt dies nicht durch den Betroffenen als Privatperson, sondern in seiner Rolle als Arbeitnehmer, d. h. in der Sozialsphäre des Unternehmens. Das Handeln fällt es in den Wirkungskreis des Arbeitgebers. Der Arbeitgeber hat sich die Betriebsgefahr seines Unternehmens - als einseitig zwingendes Arbeitnehmerschutzrecht(49)- zurechnen lassen. | Abs. 100 |
| Der Beschäftigte handelt in fremdem Interesse, auch wenn Handlungen z. T. im beruflichen Eigeninteresse liegen. Der Mitarbeiter ist insofern Erfüllungsgehilfe des Arbeitgebers. Die Handlung wird der juristischen Person des Arbeitgebers als eigene zugerechnet (vgl. § 31 BGB(50)). Die Zurechnung einer unzulässigen Datenverarbeitung ist dabei immer funktional im Hinblick auf eine Rechtsfolge. Der Arbeitgeber ist im Verhältnis zum Beschäftigten im Rahmen des § 32 BDSG verantwortlich, als Unternehmen im Verhältnis zumVertragspartner (Kunde, Lieferant) im Rahmen des § 28 BDSG. | Abs. 101 |
| Verteilt die verantwortliche Stelle die Verantwortung für personenbezogene Datenverarbeitung, ist diese auch für die Zulässigkeit der Verarbeitung der Daten verantwortlich, die vom Beschäftigten als Nutzer sozialer Medien generiert werden (Rechtsgedanke des § 840 BDSG). Die Bilateralität des BDSG zwischen Betroffenem und Verantwortlicher Stelle erhält in großem Umfang die Dimension der Reziprozität, d. h. den Aspekt von Gegenseitigkeitselementen(51). Rechtsdogmatisch verbleibt indes die Verantwortung bei der verantwortlichen Stelle als Normadressat des BDSG. | Abs. 102 |
| Wird beim Social Computing die Datenverarbeitung von einer Gruppe ausgeführt und betrifft die Datenverarbeitung auch eine Gruppe von Personen, so ist Datenschutz, der nach § 1 Abs. 1 BDSG als Individualrechtsschutz angelegt ist, von der verantwortlichen Stelle in gleicher Weise sicher zu stellen. Ebenso ist die Gewährleistung der Unabdingbarkeit der Rechte gemäß § 6 Abs. 1 BDSG auf Auskunft nach § 34 BDSG sowie auf Berichtigung, Löschung oder Sperrung nach § 35 BDSG zu gewährleisten(52). | Abs. 103 |
| Zu betrachten sind nach BDSG allgemein zugängliche Daten. So erlaubt die Vorschrift des § 28 Abs. 1 S. 1 Nr. 3 BDSG die Verarbeitung und Nutzung zur Erfüllung eigener Geschäftszwecke, wenn Daten entweder allgemein zugänglich sind oder die verantwortliche Stelle diese Daten veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. § 32 Abs. 6 BDSG-RegE enthält jetzt eine spezifische Sonderregelung, welche der Vorschrift des § 28 Abs. 1 S. 1 Nr. 3 BDSG für Beschäftigte (§ 3 Abs. 11 BDSG) vorgehen würde. | Abs. 104 |
| Die Erhebung von Daten aus allgemein zugänglichen Quellenstellt in der Regel eine Datenerhebung bei einem Dritten (§ 3 Abs. 8 S. 2 BDSG) dar. § 32 Abs. 6 S. 3 BDSG-RegE beschränkt die Datenerhebung bei sonstigen Dritten, z. B. einem früheren Arbeitgeber, auf den Fall der Einwilligung des Beschäftigten. Und § 32 Abs. 6 S. 4 BDSG-RegE stellt klar, dass Abs. 6 nur festgelegt, aus welchen Quellen Beschäftigtendaten erhoben werden dürfen. Inhalt und Umfang der Datenerhebung richtet sich nach § 32 Abs. 1 bis 5 BDSG-RegE und bei Gesundheitsdaten nach § 32a BDSG-RegE. | Abs. 105 |
| Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt (§ 3 Abs. 7 BDSG). Sie ist im nicht-öffentlichen Bereich nach § 2 Abs. 4 BDSG Normadressat. Empfänger ist jede Person oder Stelle, die Daten erhält (§ 8 S. 1 BDSG). Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle, der Daten übermittelt werden. Dritter ist aber nicht der Betroffene. Der Gesetzgeber hat den Betroffenen vom Begriff des Dritten ausgenommen, weil der Dritte nicht zu den zwei notwendigerweise an der Verarbeitung personenbezogener Daten Beteiligten - der verantwortlichen Stelle und dem Betroffenen - gehört(53). | Abs. 106 |
| Für die Bekanntgabe der Daten an den Betroffenen passen nicht die in seinem Interesse restriktiven Voraussetzungen der Übermittlung. Hier sollen die speziellen Auskunftsregeln gelten. Das Rechtsverhältnis des BDSG, welches auf einer bilateralen Pflichten- und Rechtsstruktur basiert, ist bei reziproken Kommunikationsvorgängen so aufzugliedern, dass der Persönlichkeitsschutz des Einzelnen beim Umgang mit seinen personenbezogenen Daten (§ 1 Abs. 1 BDSG) jeweils aus der Betroffenenperspektive (§ 3 Abs. 1 BDSG) zu realisieren ist. | Abs. 107 |
| Die gesellschaftliche Etablierung des Social Computing hat zur Konsequenz, dass Regeln mit Bindungswirkung zu schaffen sind. Dabei ist der Rechtsgüterschutz von Betroffenen in Ausgleich zur wirtschaftlichen Betätigungsfreiheit von Unternehmen zu bringen. Bei sozialen Netzwerken geht es um das Recht auf informationelle Selbstbestimmung in seiner Ausprägung als Recht auf Selbstdarstellung. Es geht um eine rechtliche Sicht auf das Selbstverständnis des Individuums und sein Selbstverhältnis zu anderen Individuen(54), nicht beeinträchtigt zu werden. | Abs. 108 |
| Die Datenerhebung soll vor diesem Hintergrund grundsätzlich auch unmittelbar beim Beschäftigten erfolgen. Wenn der Arbeitgeber den Beschäftigten vor der Erhebung aber darauf hingewiesen hat, darf der Arbeitgeber allgemein zugängliche Daten ohne Mitwirkung des Beschäftigten erheben, es sei denn, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung das berechtigte Interesse des Arbeitgebers überwiegt. | Abs. 109 |
| Die Recherche in beruflichen Netzwerken dient der Gewinnung von Informationen. Hier hat der Arbeitgeber die Möglichkeit, der bei der Suche neuer Mitarbeiter einen Profilabgleich der Daten von Personen im Netz und den Anforderungen in den eigenen Stellenausschreibungen zu machen. Ziel der geplanten Regelung ist es nicht, solchen Profilabgleichen entgegen zu wirken, sondern der Ausforschung privater, d. h. nicht zur Veröffentlichung bestimmter Daten in sozialen Netzwerken zur Kommunikation zu verhindern. | Abs. 110 |
| Zu beachten ist hierbei aber § 4d Abs. 5 S. 2 Nr. 2 BDSG, welche die Verarbeitung regelt, die dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten. Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz (§ 4d Abs. 6 S. 1 i.V.m. § 4g BDSG). Denn er muss bereits prüfen, ob besondere Risiken im dem jeweiligen Einzelfall vorliegen(55). | Abs. 111 |
| Zielsetzung der Vorschrift des § 32 Abs. 6 BDSG-RegE ist primär der Bewerberschutz (§ 3 Abs. 11 Abs. 7 Variante 1). Wortlaut und Schutzzweck umfasst indes den gesamten Beschäftigtenschutz, welcher im Besonderen auch Arbeitnehmer (§ 3 Abs. 11 Nr. 1 BDSG), arbeitnehmerähnliche Personen (§ 3 Abs. 11 Nr. 6 BDSG) und Personen, die das Beschäftigungsverhältnis beendet haben (§ 3 Abs. 11 Nr. 7 Variante 2) umfasst. | Abs. 112 |
| DieMitarbeiterinformation, d. h. die Information "über" einen Mitarbeiter, ist eine personenbezogene Information. Das BDSG geht hierbei vom Regelfall der direkten bzw. unmittelbaren Datenerhebung bei Beschäftigten aus. Kultur der Unternehmensführung ist heute allerdings häufig, dass nicht mit Beschäftigten, sondern über diese gesprochen wird. Beschäftigte werden mit bereits getroffenen Entscheidungen konfrontiert. | Abs. 113 |
| Die Etablierung der Hinweispflicht vor Erhebung der Daten ist damit ein guter Schritt. Insgesamt fördert dies auch faktisch den Grundsatz der Erforderlichkeit und im Besonderen der Transparenz. Die unmittelbare Erhebung der Daten beim Beschäftigten führt dann auch zur spezifischen Zweckbindung für Beschäftigtendaten. Einzuhalten ist die Zweckbestimmung der Datenverarbeitung. Ferner das Trennungsgebot zur separaten Verarbeitung der zu unterschiedlichen Zwecken erhobenen Daten(56). | Abs. 114 |
| Ein interessanter Punkt ist, wie die Anforderung der Erforderlichkeit der Datenrecherche in beruflichen Netzwerken zu präzisieren ist. Dies könnte durch das Prinzips der Relevanz erfolgen. Erforderlich sind Daten aus Sicht des Arbeitgebers für das Beschäftigungsverhältnis nur dann, wenn sie dafür relevant sind. Das bedeutet, dass die erhobenen Daten aus beruflichen Netzwerken für den Arbeitgeber von erheblicher Bedeutung sein müssen. | Abs. 115 |
| Das Ziel der Datenerhebung muss angemessen, relevant und verhältnismäßig im Hinblick auf das verfolgte Ziel sein. Dabei geht es darum, ein ausgewogenes Verhältnis zwischen Arbeitgeber- und Beschäftigteninteressen zu finden. Die Maßnahme darf auch nicht zur Diskriminierung von Arbeitnehmern oder Gruppen von Arbeitnehmern führen. Ein Nice-to-have der Daten reicht nicht aus. Es muss ein Need-to-know bestehen. Hierbei spielt die Intention der Maßnahme die entscheidende Rolle. Betrifft sie zum Beispiel die Absicht, einen Mitarbeiter einzustellen oder zu fördern, wird man die Maßnahme eher als zulässig bewerten. | Abs. 116 |
| Zu beachten ist beim Ansatz des Schutzes des Persönlichkeitsrechts im Umgang mit personenbezogenen Daten allerdings auch das Recht auf Informationsfreiheit nach Art. 5 Abs. 1 GG. Die Informationsfreiheit - ebenso wie die Meinungsfreiheit - ist im BDSG nicht abgebildet, spielt aber als Argument bei der Beurteilung eines berechtigten Interesses bei Abwägungsvorgängen einer Verarbeitungszulässigkeit eine Rolle. Social Computing steht im Kontext der nach Art. 5 Abs. 1 GG gewährleisteten Meinungsäußerungs- und Informationsfreiheit. Dabei beinhaltet die Meinungsfreiheit eine Entfaltungsform menschlicher Persönlichkeit, mithin geistiger Freiheit. Grenzen der Meinungsfreiheit finden sich in Datengeheimnisverpflichtungen des Einzelnen nach § 5 BDSG. | Abs. 117 |
| Visibilität und Sharing of Knowledge in Gesellschaft und Unternehmen ist heute zum Eigenwert geworden. Menschen stellen ihre Leistungen in Unternehmen und in sozialen Netzwerken dar. Es geht in der neuen Arbeitswelt darum, digital reputation zu erlangen. Das Datenschutzrecht muss in seiner Anwendung dieser gesellschafltichen Entwicklung Rechnung tragen. | Abs. 118 |
VIII. Social Computing und Konfliktfelder |
| Social Computing steht im Kontext zu Datenerhebung und Mitarbeiterüberwachung durch Arbeitgeber. Die Einführung von multiplen Technologie-Plattformen und Social Software bringt allerdings auch Konflikte zwischen Mitarbeitern mit sich, die miteinander kommunizieren und sich gegenseitig bewerten. | Abs. 119 |
| Überwachung von Beschäftigten durch Arbeitgeber in Unternehmen dient im wesentlichen dazu, Verhalten zu normalisieren(57). Dazu soll Überwachungsdruck hergestellt werden. Ebenso bei der Erfassung der Kommunikationsbeziehungen von Mitarbeitern(58). Bei engen Personaldecken in Unternehmen kommt der soziale Druckunter Mitarbeitern hinzu, die darauf achten, dass die Arbeits (Workload)-Verteilung nicht zu ihren pesönlichen Lasten, sondern zu Lasten eines "belastbaren" Kollegen geht. So stellen Mitarbeiter selbst eine Transparenz über ihre eigene Arbeit und diejenige von Kollegen her. | Abs. 120 |
| Geben Mitarbeiter Informationen zu ihrer Arbeit preis, so geht dies weit über die Auskunftspflicht des Beschäftigten zu Arbeitsvorgängen gegenüber dem Arbeitgeber hinaus (§§ 675, 666 BGB analog). Dies gilt im Besonderen zu Fragen, die außerhalb des eigenen Arbeitsbereichs des Arbeitnehmers liegen (§§ 241 Abs. 2, 242 BGB). Im Kollegenkreis transparenter Arbeitsverteilung wird dieser Maßstab zwischen peers ständig erweitert. | Abs. 121 |
| Engagieren sich Unternehmen in sozialen Netzwerken und nehmen Mitarbeiter dieser Unternehmen Einträge in Sozialen Netzwerken vor, kommen weitere Konfliktfelder hinzu. So ist es im Besonderen zu untersagen, dass Mitarbeiter Daten anderer Mitarbeiter in Netzwerke einstellen. Dies nicht nur zur Einhaltung datenschutzgesetzlicher Zulässigkeiten, sondern auch um Cyber-Mobbing in der Form des Cyber-Bullying zwischen Kollegen(59)zu verhindern. | Abs. 122 |
| Ein Beispiel für ein solches Mobbing ist Mail-Spoofing. Unterhält z. B. ein Mitarbeiter eine Domain [http://www.HerrMustermann.de/] bei einem Host, eröffnet einen Account mit einem anderen Namen und versendet E-Mails, so stellt dies eine Vortäuschung einer anderen Identität und gleichzeitig die Verschleierung der eigenen Identität dar. Das Simulieren anderer Identitäten ist technisch dabei ohne weiteres möglich ist. Als Versender-Adresse wird dann eine fremde ID angegeben. Ein Mitarbeiter schreibt z. B. Kollegen mit E-Mail-Account des Vorgesetzten an und setzt diesen unter Druck, indem er z. B. Überstunden anordnet, diese aus Abteilungsbesprechungen auslädt oder Ermahnungen ausspricht. | Abs. 123 |
| Dieses Beipiel verdeutlicht, dass die Erledigungsstruktur von Vorgängen heute gekennzeichnet ist durch eine zunehmende Schnelligkeit und Effizienz der Kommunikation, welche durch E-Mails und Tools erfolgt. Dies ermöglicht Mißbrauch. Bei einer Firmenkultur, die auf die Mündlichkeit der Kommunikation und persönlichen Kontakt angelegt ist, werden solche Vorkommnisse seltener vorkommen bzw. gar nicht stattfinden. | Abs. 124 |
| Unternehmen schaffen heute eigene Blogs und Wikis, um Online Discussing und Online Publishing zu realisieren. Dabei verändern Online-Kollaborationsplattformen die Art der Kommunikation, der Aufgabenerledigung und im Ergebnis der Wertschöpfung. Die Nutzung von Social Computing, z.B. in Tools zur Echtzeitkommunikation, beinhaltet einen sozialen Druck gegenüber Kollegen und Vorgesetzten präsent, visibel und erreichbar zu sein. | Abs. 125 |
| Die Preisgabe von Informationen erfolgt hierbei häufig auf einer Ebene der kollektiven Preisgabe von Intimsphäre, d. h. der Benennung der persönlichen Beziehung zu anderen Personen. Es erfolgt eine Öffnung der Information über Kommunikationsbeziehungen und persönlichen Status. | Abs. 126 |
| Fraglich ist hierbei, inwieweit die Einwilligung des Einzelnen nach § 4a BDSG einer freien Entscheidung zur Preisgabe von Daten zur eigenen Person entspricht(60). Freiwillig muss die Nutzung von Collaboration Tools sein, welche die eigene Verfügbarkeit des Mitarbeiters den Kollegen anzeigt. Dies gilt auch für die Einstellung eigener Skillprofile, damit Kollegen vor der Kontaktaufnahme überprüfen können, ob der Ansprechpatrner über das zu erfragende Wissen verfügt. Dieser Umstand verdeutlicht auch, dass Social Computing im Kontext von Shared Computing Resources zur Erledigung von arbeitsteiligen Aufgabenstellungen steht. | Abs. 127 |
| Die hohe Arbeitsteiligkeit in Unternehmen, knappe Personalstrukturen ohne Vertretung von Mitarbeitern bedeutet für den Einzelnen eine hohe Workload, d. h. die Bearbeitung einer Vielzahl von Vorgängen und sowie die Handhabung der Gleichzeitigkeit von Information in Form eines Multitasking(61), denn die Vorgänge muss der einzelne Bearbeiter schnell bearbeiten und weiter leiten, damit die anderen Bearbeiter den Vorgang mit dem erforderlichen Bearbeitungsstand erhalten und der Vorgang abgeschlossen werden kann (Beschleunigungskultur). | Abs. 128 |
| Unternehmen stehen hierbei - ebenso wie Mitarbeiter - unter dem Druck der zu großen Beschleunigung, der sog. Acceleration Trap. Dies mit der Folge, dass Kreativität und Qualität einer reinen Execution (Ausführung von Aufgaben) weichen. Real Time Decisioning Tools stellen hierbei die für die Bearbeitung erforderliche Information bereit und leiten den Mitarbeiter "to the best recommended action to take". | Abs. 129 |
| Eine solche Art der Arbeitsorganisation führt nicht nur zu Gruppenzwang (peer pressure), sondern auch zu einer Kultur der Bewertung. So in Unternehmen zur Kollegenbeurteilung. | Abs. 130 |
| Beurteilungen von Mitarbeitern fallen unter § 32 BDSG und dürfen somit nur im Rahmen der Erforderlichkeit erhoben, verarbeitet und genutzt werden. Dies inklusive des Kreises der Zugriffsberechtigten. Beurteilungen von Kollegen sind damit nicht erforderlich. Es werden solche Initiativen aber von Mitarbeitern initiiert, was zu Konflikten in Abteilungen und Bereichen führt. In komplexen Organisationsstrukturen führt dies auch dazu, dass Mitarbeiter Kollegen beurteilen sollen, die sie nicht kennen. Um dem Gruppenzwang nachzukommen, wird die Anwendung zum "Peers Feedback" durchgeklickt. | Abs. 131 |
| Ähnliches gilt für Mitarbeiterbewertungen durch Kunden. Diese müssen anonym erfolgen. Solche Beurteilungen durch nicht in Teamrooms von Abteilungen gestellt werden. Sie dürfen nur dem Mitarbeiter und seiner Führungskraft zur Kenntnis gelangen. Dies gilt auch für positive Beurteilungen, weil man sonst den Umkehrschluss ziehen könnte, wer keine positiven bekannt machen kann, muss negative Beurteilungen haben. Die Kultur des Feedback führt dazu, dass Handlungsdruck entsteht. Die Erwähnung positiver Leistung einiger Mitarbeiter impliziert die Schlechtleistung der nicht genannten Mitarbeiter. | Abs. 132 |
| Ein weiteres Konfliktfeld sind großer E-Mail-Verteiler (large distribution lists). E-Mails sollten nur bilateral und zur Kenntnis weniger Personen strikt nach Business Need versendet werden. Und dies nur mit der Zielsetzung, Vorgänge zur Bearbeitung richtig aufzusetzen und der nächsten Funktion ein Weiterleiten zur übernächsten Bearbeitungsstufe zu ermöglichen. | Abs. 133 |
| Menschen sehen sich heute als Teil der digitalen Welt. Die Überwachung und Bewertung von Lebensäußerungen wird als normal betrachtet. Das Regel-Ausnahmeverhältnis personenbezogener Datenverarbeitung wird verändert und führt zu neuen Konfliktfeldern. Das Leben in permanenter Vernetzung erfordert deshalb neue Regeln. | Abs. 134 |
IX. Social Computing und BDSG-Guideline |
| Gesetze haben im Privatleben von Bürgern einer liberalen Gesellschaft nur begrenzten Einfluss auf die Verhaltenssteuerung(62). Im Arbeits- und Geschäftsleben ist die Steuerungsfunktion von Gesetzen zumeist unmittelbarer. So bedarf eine unternehmensbezogene Anwendung des BDSG einer betrieblich-organisatorischen Implementierung. | Abs. 135 |
| Eine Verhaltensrichtlinie für Unternehmen soll in diesem Kontext ungeregeltes Verhalten in datenschutzgemäßes Handeln transformieren. Dabei ist zu beachten, dass mit den §§ 32, 32a bis 32 l BDSG-RegE weitgehend zwingendes Recht geschaffen werden soll. | Abs. 136 |
| Dies betrifft auch den Fall, dass die Nutzung benutzergenerierter Medien freiwillig ist. Denn bei entsprechender betrieblicher Übungim Unternehmen(63), solche Medien zu nutzen, steht die Freiwilligkeit der Nutzung durch Mitarbeiter im Kontext zu Loyalität (personaler Integrität) und Gruppenzwang. Gruppenzwang deshalb, weil es Menschen schwer fällt, "aus der Reihe zu treten" und gegenüber einer Gruppe, mit der man eng zusammen arbeitet, die individuelle Entscheidung einer Nichtnutzung von Medien zu treffen, die nicht dem Mehrheitshandeln entspricht(64). | Abs. 137 |
| Juristisch betrachtet könnte man Folgendes sagen: Freiwilligkeitsvorbehalte dienen dazu, von vornherein die Entstehung eines Anspruchs auf eine bestimmte Leistung zu verhindern. Dies betrifft im Normalfall freiwillige Zahlungen wie Gratifikationen an Mitarbeiter. Freiwilligkeitsvorbehalte dienen damit der Vermeidung einer betrieblichen Übung. Dies kann auch den Anspruch betreffen, Internet und Tools zu nutzen. Anders gelagert ist die Frage, ob Mitarbeiters bestimmte Tools nutzen müssen, wenn sie das nicht möchten. Dies ist ein spezifischer Aspekt, der das Nichtnutzen-müssen von Arbeitsmitteln betrifft. | Abs. 138 |
| Wie sieht hier die Arbeitsrealität in Unternehmen aus? Die Etablierung offener Zusammenarbeit auch über Unternehmensgrenzen hinweg, die Bereitstellung verteilter Datensammlungen, die ungeordnete Datenweitergabe und - übermittlung an nationale und internationale Mitarbeitergruppen, ebenfalls unter Nutzung sozialer Medien, läßt sich nicht mehr in Abteilungsgrenzen handhaben. Dies alles erfordert die Nutzung von IT. | Abs. 139 |
| Projektgruppen und situativ zusammengesetzte Arbeitsgruppen lässt Datenverarbeitung nicht mehr "in geordneten Strömen" zu. Informationen werden in File-Sharing-Systemen in einem System zur Verfügung gestellt, in welchem sich jeder Mitarbeiter auf die für ihn erforderliche Information zugreifen muss. Der Arbeitgeber ordnet an dieser Stelle nicht mehr Arbeit an, sondern der Mitarbeiter muss sie sich selbst suchen. Dazu muss er sich und seine Leistungen transparent machen. Er muss sich für Kollegen attraktiv machen, um seine Beschäftigungsfähigkeit zu erhalten (Employability). | Abs. 140 |
| Die betriebliche Übung betrifft vor diesem Hintergrund freiwillige Leistungen des Arbeitgebers, Tools und Medien (technische Arbeitsmittel) für die Nutzung durch Mitarbeiter bereit zu stellen und die für den Arbeitgeber daraus resultierende Verpflichtung, diese auch in Zukunft bereit zu stellen. Diese Definition steht bei Social Computing einer anderen Deutungsfacette gegenüber. Nämlich derjenigen, dass die Nutzungsmöglichkeit von Social Media zur faktischen Verpflichtung auf seiten des Mitarbeiter wird und die Nutzung eines solchen Arbeitsmittels für ihn Nachteile im Hinblick auf seine Arbeitsbelastung (permanente Vernetzung), aber auch im Hinblick auf eine Beeinträchtigung seines Persönlichkeitsrechts durch vermehrte Leistungs- und Verhaltenskontrolle mit sich bringen kann. | Abs. 141 |
| Für das Handeln von Mitarbeitern sind Vorgaberegeln im Rahmen einer Verhaltensrichtlinie wichtig. Aus datenschutzrechtlicher Sicht betreffen Verhaltensrichtlinien die Verstärkung der Prävention, d. h. festzulegen, welche Schutzmechanismen zu etablieren sind, um das in § 1 Abs.1 BDSG verankerte Rechtsgut "Persönlichkeitsrecht" effektiv zu gewährleisten. Datenschutz bei Social Computing ist danach entlang gesetzlicher Regelungsvorgaben, aber auch orientiert an neuen Konfliktfeldern zu realisieren. | Abs. 142 |
| Guidelines sind kollektive Tugend-Ersatzprogramme, welche die ökonomische Sicht gesetzlicher Vorschriften in Regelungen einbringen. Diese sozialen Regeln müssen gesetzeskonform sein und gemeinsame Werte teilen. Denn es wird damit ein transsozialer Raum geschaffen, bei dessen Realisierung zurechnungsfähige Subjekte für Verantwortung geschaffen werden. Mitarbeiter werden in die Pflicht genommen. | Abs. 143 |
| Entscheiden sich Unternehmen bewußt, sich selbst an sozialen Netzwerken zu beteiligen bzw. diese Teilnahme über einzelne Mitarbeiter zu realisieren, so sind Informations- und Kommunikationssysteme sowie deren Zugänge zum Internet für die Abwicklung von Geschäftsprozessen zu schützen. Datenschutzrechtlich bestehen grundsätzlich keine Bedenken, dass sich ein Unternehmens bei einem sozailen Netzwerk engagiert, solange diejenigen Mitarbeiter, die dort Einträge machen, ihrerseits den Datenschutz beachten. | Abs. 144 |
| Ebenso ist der Schutz des Unternehmens zu beachten. Informations- und Kommunikationssysteme eines Unternehmens sowie deren Zugänge zum Internet, sind für die Abwicklung von Geschäftsprozessenvon großer Wichtigkeit. Regel sollte es deshalb sein, dass diese Zugänge nur für geschäftliche und vom Unternehmens-Management genehmigte Zwecke benutzt werden. Es ist Aufgabe jedes Mitarbeiters sicherzustellen, dass Unternehmens-Systeme nur für genehmigte und rechtmäßige Zwecke genutzt werden. | Abs. 145 |
| Wenn eine Verbindung mit internen Netzwerken eines Unternehmens, einschließlich Local Area Network (LAN), hergestellt wird, muss beachtet werden, dass Dritte die Identifikationsdaten eines Mitarbeiters für Fernzugriff nicht verwenden und Dritte keine Kenntnis davon erlangen. Es darf auch keine Software genutzt werden, die den Rechner des Mitarbeiters mit dem Internet verbindet und die Verbindung aufrecht erhält, weil dadurch ein Fernzugriff auf das System im internen Netzwerk des Unternehmens ermöglicht wird. | Abs. 146 |
| Social Computing dient als Medium zur Kooperation und zur Umsetzung gemeinsamer Interessen. Die Bilateralität von Verantwortlicher Stelle und Betroffenem wird überführt in eine Multilateralität. Geschäftliche Integrität und Anforderungen von Compliance müssen hier - ebenso wie der Schutz von Persönlichkeitsrechten - ihre Berücksichtigung finden. Die Rechtsposition der informationellen Selbstbestimmung der Betroffenen ist damit - pointiert ausgedrückt - mit der "informationellen Selbstbestimmung des Unternehmens" in Ausgleich zu bringen(65). | Abs. 147 |
| Diese Situation macht es erforderlich, den Schutz der persönlichen Integrität von Daten für Betroffene fest zu machen. Hinzu kommen hier andere Datenelemente, deren Verwendung und Bekanntgabe einen Schutz der geschäftlichen Integritätdarstellen. Diese Daten sind deshalb sorgfältig zu schützen und auch als vertraulich und damit als rechtlich geschützte Information zu klassifizieren(66). | Abs. 148 |
| Eine BDSG-Guideline sollte zentrale Themen des Social Computing beachten, aber auch auf ein einwandfreies und faires Verhalten hinwirken. Kernpunkt einer solchen Richtlinie ist es, dass Mitarbeiter persönlich für benutzergenerierte Inhalte verantworltich sind. Aus Unternehmenssicht sollten 8 Kernpunktegeregelt werden: | Abs. 149 |
| Mitarbeiter sind verpflichtet, sich bei Nutzung von Social Media in mit ihrem Namen und ihrer Unternehmensposition zu identifizieren, wenn sie unternehmensrelevante Themen diskutieren. Äußerungen sind in der Ich-Form vorzunehmen, um zu verdeutlichen, dass Aussagen nicht im Auftrag bzw. in Vertretung des Unternehmens erfolgen. | Abs. 150 |
| Die Weiterleitung von E-Mails von einer unternehmensinternen E-Mail-Infrastruktur zu einer externen Mailadresse über das Internet ist nicht zulässig. Es sind Kontrollmechanismen der Datenklassifizierung des Unternehmens zu vertraulichen Informationen zu beachten. | Abs. 151 |
| Mitarbeiter, die sich auf einer Website äußern bzw. Inhalte einstellen, die in Zusammenhang mit ihrer Tätigkeit im Unternehmen stehen oder einen Zusammenhang zu ihrem Arbeitgeber herstellen, müssen einen Disclaimer nutzen und deutlich machen, dass die Äußerungen weder Positionen oder Meinungen des Unternehmens repräsentieren. | Abs. 152 |
| Mitarbeitern ist es untersagt, Unternehmensinformationen, vertraulich gekennzeichnete Informationen oder andere proprietäre Informationen des Unternehmens preiszugeben. | Abs. 153 |
| Betriebsgeheimnisse des Unternehmens sowie Financial Disclosure-Regelungen sind zu respektieren und strikt einzuhalten. | Abs. 154 |
| Mitarbeitern ist es untersagt, Beschäftigte des Unternehmen, Kunden, Lieferanten oder Partner ohne deren ausdrückliche vorherige schriftliche Zustimmung zu zitieren. Zitate sind mit detaillierter Quellenangabe zu versehen. | Abs. 155 |
| Die Persönlichkeitsrechte sowohl der Nutzer als auch derjenigen Personen, über die berichtet wird, sind einzuhalten. | Abs. 156 |
| Vorschriften des allgemeinen Persönlichkeitsrechts, Datenschutzrechts sowie des Arbeits- und Sozialrechts sind zu beachten. Dies gilt im Besonderen für das Allgemeine Gleichbehandlungsrechtsowie den Persönlichkeitsschutz nach dem Strafgesetzbuch. | Abs. 157 |
| Die vorgeschlagenen Kernregelungen zu einer Social Computing Guideline gehen davon aus, dass ein Unternehmen den offenen Dialog, den Austausch von Ideen, im besonderen Information Sharing auf unternehmensexternen Plattformen akzeptiert bzw. fördert. | Abs. 158 |
| Blogs und andere Formen von Online-Gesprächen und Informationsaustausch sind in erster Linie Kommunikation und Beziehung zwischen Individuen. Dabei fördern heute Unternehmen die Teilnahme an Realtime-Informationsaustausch und Jams, d.h. institutionalisierten Meinungsaustausch von Mitarbeitern. Allerdings stehen auch diese Formen der kommunikation unter dem Regime des Datenschutzrechts. Die Trennlinien zwischen zwischen öffentlich und privat, persönlich und beruflich werden fließend. Rechtlich sind sie jedoch in jedem Einzelfall zu kategorisieren. | Abs. 159 |
| Die Form der Anonymität zum Schutz der Privatsphäre des Einzelnen ist durch das Anliegen, seiner persönliche Meinung der Öfentlichkeit bzw. Unternehmensöffentlichkeit vorzustellen, in vielen Bereichen kein Schutzmeachnismus mehr. Im geschäftlichen Umfeld wird für benutzergenerierte Daten nicht zugelassen, dass Mitarbeiter anonym arbeiten, bzw. Pseudonyme oder false screen names (Nicknames) nutzen. Zuzulassen sind ggf. in Einzelfällen nicht identifizierbare Pseudonyme, z. B. für die Nennung von Kunden, Lieferanten bzw. Partner. | Abs. 160 |
X. Social Computing und Rechtspragmatik |
| Der vernetzten Rechtsanwendung stehen technisch vernetzte Systeme gegenüber. Die Entwicklung der intelligenten Zusammenarbeit ist von drei Trends geprägt: dem verstärkten Einsatz von Social Software, von mobilen Lösungen sowie Cloud Computing. Mit Cloud-Plattformen lassen sich Daten verarbeiten und austauschen. Es werden Texte, Tabellen und Präsentationen gemeinsam bearbeitet. Nutzer können im Browser ihre Dokumente editieren und austauschen. Ebenso wie mit webbasierten Office-Lösungen. Wenn ein Nutzer im E-Mail-Client ein Video als Attachement öffnet, muss keine neue Anwendung gestartet werden, um eine Filmdatei abzuspielen. Datenschutz muss heute auch Groupware-Bereich abdecken. | Abs. 161 |
| Das Wortfeld Datenschutz ist facettenreicher geworden und die Transponierung rechtlicher Regelungen in die Technik als ein anderes Medium bedarf einer neuen Form der Organisation juristischen Denkens. Die Politik hat sich damit intensiv beschäftigt. Grund dafür ist, dass das BDSG im Laufe der letzten 20 Jahre an Übersichtlichkeit und Praxistauglichkeit verloren hat. Deshalb ist es neben dem Erfordernis, den Beschäftigtendatenschutz neu zu regeln, die heutige Zielsetzung,, das BDSG modern und technikneutral umzugestalten(67). Es geht hierbei nicht nur um die Veröffentlichung von Daten, sondern auch um die Erhebung, Speicherung, Verwaltung, Weitergabe und Kommerzialisierung von Daten. | Abs. 162 |
| Das Parlament hat auch ein Mitwirkungsziel bei der Europäischen Integration. Sie betrifft die Europäische Union, die in ihren elementaren Strukturen den durch Art. 79 Abs. 3 GG geschützten Kernprinzipien entspricht. Das Grundgesetz enthält mit den in der Präambel verankerten Grundentscheidung für die europäische Einigung sowie mit Art. 23 Abs. 1 GG einen Auftrag an die Verfassungsorgane, die an dieser Einigung mitwirken. Zu beachten sind europäische Initiativen, aber auch die Globalität von Datenschutz. Datenschutz ist heute ein level playing field, bei dem es um faire Voraussetzungen im Umgang mit personenbezogenen Daten geht, deren Spielregeln im Umgang sich auf nationaler und globaler Ebene Niveau unter den gegebenen Wettbewerbsbedingungen sowie dem kulturellen Verständnis von Persönlichkeitsschutz angleichen. | Abs. 163 |
| Zielsetzung der Gesetzgebung zum Datenschutz ist beim novellierten BDSG die Erhöhung der Rechtssicherheit durch Ausgleich zwischen dem Schutzinteresse der Beschäftigten und dem Informationsinteresse des Arbeitgebers: Datenerhebung und Verwendung vor und im Beschäftigungsverhältnis, Aufdeckung von Straftaten und anderen schwerwiegenden Pflichtverletzungen, optisch-elektronische Einrichtung und Ortungssysteme, biometrische Verfahren, Telekommunikationsdienste, Interessenvertretungen und Beschwerderecht. | Abs. 164 |
| Die EU-Richtlinie zum Datenschutz trat am 13.12.1995 in Kraft. Zu diesem Zeitpunkt waren WLAN, Cloud Computing und mobiles Internet als technische Phänomene noch weitgehend unbekannt. Am 30.11.2010 wurde in Brüssel auf der European Data Protection and Privacy Conferene (Konferenz über Datenschutz und Persönlichkeitsrechte in Europa) die Novellierung der EU-Richtlinie diskutiert. Zielsetzungen sind die Etablierung eines Rechts auf Vergessen und damit mehr Kontrolle des Einzelnen für Internet-Nutzer. Für Daten in Online-Netzwerken soll die Möglichkeit zur Löschung geschaffen werden. Intendiert ist ein Verfallsdatum für private Daten. In einer globalen Netzgesellschaft geht es aber auch ganz zentral um den Transfer von Daten in andere Länder. Die EU-Kommission hat eine Bürgerbefragung zum Datenschutz gestartet. | Abs. 165 |
| Ein neues Technikfeld ist heute der Datenschutz und Persönlichkeitsschutz bei Echtzeitkommunikation. Bloggen, Taggen, in Wikis schreiben, auf YouTube, MySpace oder in Twitter. Es werden soziale Netzwerke global über den Erdball installiert. Die digitale Vernetzung der Gesellschaft und Geschäftswelt spiegelt sich im Boom von Commmunities, Foren, Blogs und anderen Social-Web-Anwendungen wider. Die Umsetzung gesetzlicher Regelungsvorgaben muss im Rahmen des rhetorischen Syllogismus der Gesetzesanwendung sowohl die Fallbezogenheit des Rechts als auch die genannten Realitäten berücksichtigen(68). | Abs. 166 |
| Pragmatik betrifft in diesem komplexen und sich schnell verändernden Kontext eine anwendungs-, d.h. handlungsbezogene Sicht auf das anzuwendende Datenschutzrecht(69). Ein Konsens über Handlungsregeln kann hierbei Handlungssicherheit und damit Rechtssicherheit herstellen. | Abs. 167 |
| Zur Verwirklichung von Recht gehört eine gewisse Qualität(70). Dazu gehört eine regelgeleitete Praxis richtigen, weil sachbezogenen Handelns. Dazu sind im Datenschutz lebensweltliche Realitäten zu Social Computing ebenso einzubeziehen wie gesetzliche Regelungsvorgaben des BDSG. Datenschutzrecht muss hierbei ebenso als Rgelungsmaterie, Sozialtechnik, aber auch als Instrument der Zukunftsgestaltung wirksam werden. | Abs. 168 |
| Die Zusammenarbeit und auch Zusammengehörigkeit von Beschäftigten wird heute durch eine gemeinsame Unternehmenskultur und die Nutzung gleichartiger Technologien bewerkstelligt. Die Technologienutzung führt zu einer Entgrenzung von Unternehmen und Territorien. Peter Sloterdijk spricht hier von menschlichen Gemeinschaften als Hyperhoden unter dem Einheitshorizont der Menschenrechte in einem Synchronweltraum(71), in welchem sich Menschen über Internetzugänge und technische Anschlußmöglichkeiten an die übrige Welt definieren. | Abs. 169 |
| Der Gesetzgeber verfolgt mit § 32 Abs. 6 BDSG-RegE einen validen Ansatzpunkt. Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten. Dies gilt nicht per se für soziale Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind. Damit möchte der Gesetzgeber Bedürfnissen von Beschäftigten nachkommen, die ihr Profil in Netzwerken einstellen, um ihre Beschäftigungsfähigkeit (Employability) für Arbeitgeber darstellen. | Abs. 170 |
| Bei Social Computing ist prinzipiell der soziale Wert- und Achtungsanspruch von Personen zu gewährleisten. Bei der Nutzung dieser Medien sind intersubjektiv akzeptierbare Prinzipien zu erarbeiten. Dies ist in einer Guideline erfolgt. Über die Presigabe der Daten entscheiden Nutzer hier weitgehend im Rahmen eines selbstbestimmenten Willens. Selbstbestimmten Verhaltens unterliegt indes auch den Regelungen des BDSG. Bei der Komplexität des Themas Beschäftigtendatenschutz wird es künftig - mehr denn je - auch darauf ankommen, praxisgerechte Regelungen im Rahmen von Betriebsvereinbarungen umzusetzen(72). | Abs. 171 |
| Die Handhabung von Social Computing ist ein Schaufenster der jeweiligen Firmenkultur. | Abs. 172 |
| Eine Guideline dient hierbei dazu, die Regelungsvorgaben des BDSG einsprechend einzupassen. Datenschutzrecht ist damit law in actionmit versuchsweisen Annahmen zur Bewältigung moderner Komplexität. Rechtsanwendung setzt an der Stelle ein, an welcher "offenen Fragestellungen" entstehen. Dies ist bei Social Media die Nutzung gruppenbezogener Daten sowie den Umgang mit wechselseitiger Information sowie mit Informationskaskaden. Beschäftigtendatenschutz betrifft in diesem Kontext die normative Integration komplexer Kommunikations- und Wissensstrukturen. | Abs. 173 |
| Privatheit
wird bei Social Computing neu konfiguriert. Datenschutzrecht muss an
dieser Stelle funktional transformiert und
betrieblich-organisatorisch implementiert werden. Recht wird in
Zeiten des Umbruchs der Welt in einen virtuellem Kontext nur sozial
wirksam, wenn und soweit es einerseits an das Regime des
Datenschutzrechts, d. h. an die Rechtsordnung anschließen, aber
auch technische Innovationen anerkennt. Menschenwürde,
Persönlichkeitsrecht und Respekt sind umzusetzen. Zu
stabilisieren ist dabei Recht in Zeiten des Umbruchs aber nach wie
vor durch Takt, Höflichkeit und Distanz(73).
| JurPC Web-Dok. 28/2011, Abs. 174 |
Fußnoten: |
| (1)Ino Augsberg, in: Ungewissheit als Chance: Perspektiven eines produktiven Umgangs mit Unsicherheit im Rechtssystem. Herausgegeben von Ino Augsberg, 2009, S. 1 ff. (9 ff.). |
| (2)Olaf Sosnitza, Rechtswissenschaft: Zeitschrift für rechtswissenschaftliche Forschung (RW), Juli 2010, Heft 3, S. 225 ff. |
| (3)S. dazu Volker Rieble, in: Gegen den Strich: Festschrift für Klaus Adomeit, Herausgegeben von Peter Hanau/Jens T. Thau/Harm Peter Westermann, 2008, S. 619 ff. (624). |
| (4)Dietmar Fink/Matthias Hartmann, Das Missing-Link-Prinzip: Schließen Sie die Lücke zwischen Strategie und Umsetzung!, 2009, S. 48. |
| (5)S. dazu Stefan Münker, Emergenz digitaler Öffentlichkeiten: Die sozialen Medien im Web 2.0., 2009, S. 118 f. |
| (6)Lothar Michael/Martin Morlok, Grundrechte, 2. Aufl. 2010, Randziffer 432. |
| (7)Avishai Margalit, Politik der Würde: Über Achtung und Verachtung, 1997, S. 143 ff. (148 f.). |
| (8)Dennis Heinson/Thorsten Sörup/Tim Wybitul, CR 2010, 751 ff. (752). |
| (9)Volker Boehme-Neßler, Unscharfes Recht: Überlegungen zur Relativierung des Rechts in der digitalisierten Welt, 2008, S. 528. |
| (10)Dietmar Fink/Matthias Hartmann, Das Missing-Link Prinzip: Schließen Sie die Lücke zwischen Strategie und Umsetzung!, 2009, S. 35. |
| (11)Jochen Schneider, Handbuch des EDV-Rechts, 4. Aufl. 2009, Kapitel B, Randziffern 500 ff. |
| (12)Jochen Schneider, Handbuch des EDV-Rechts, 4. Aufl. 2009, Kapitel B, Randziffer 30. |
| (13)S. dazu Reinhard Voßbein, in: Reinhard Voßbein (Hrsg.), Datenschutz Best Practice: Ausgewählte Lösungen für die Praxis, 5. Aufl. 2010, S. 139 ff. |
| (14)Peter Gola/Rudolf Schomerus, BDSG: Bundesdatenschutzgesetz Kommentar, bearbeitet von Peter Gola, Christoph Klug, Barbara Körffer, 10. Aufl. 2010, § 28 Randziffern 31, 32 und 33a. |
| (15)Volker Boehme-Neßler, CyberLaw: Ein Lehrbuch zum Internet-Recht, 2001, S. 4 f., bezeichnet dieses Phänomen als CyberThink. |
| (16)S. dazu Stefan Münker, Emergenz digitaler Öffentlichkeiten: Die sozialen Medien im Web 2.0., 2009, S. 66 ff., der die Entwicklung vom Cyberspace zum Web 2.0 betont. |
| (17)S. zur Wahrnehmung und Nutzung von Chancen als Navigation des Denkens John Naisbitt, mind set!Wie wir die Zukunft entschlüsseln, 3. Aufl. 2009, S. 105 ff. |
| (18)Peter Gola/Rudolf Schomerus, BDSG: Bundesdatenschutzgesetz Kommentar, bearbeitet von Peter Gola, Christoph Klug, Barbara Körffer, 10. Aufl. 2010, § 4 Randziffer 3. |
| (19)S. zur strafrechtlichen Perspektive des Hacking Ines M. Hassemer, JurPC Web-Dok. 51/2010, Abs. 1 - 47, im Besonderen zu § 202 c StGB Abs. 3 ff., 19 ff. sowie zu §§ 202a, 202b, 303a und 303b StGB Abs. 31 ff. |
| (20)Jürgen Taeger, in: Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, Herausgegeben von Jürgen Taeger und Detlev Gabel, 2010, § 28 Randziffer 80. |
| (21)Jürgen Taeger, in: Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, Herausgegeben von Jürgen Taeger und Detlev Gabel, 2010, § 28 Randziffer 82. |
| (22)Thomas Fischer, Strafgesetzbuch und Nebengesetze, 57. Aufl. 2010, § 203 Randziffer 10a. |
| (23)Vgl. - zur noch geltenden Rechtslage - Peter Gola/Georg Wronka, Handbuch zum Arbeitnehmerdatenschutz: Rechtsfragen und Handlungshilfen unter Berücksichtigung der BDSG-Novellen, 5. Aufl. 2010, Randziffern 486 ff. (im Besonderen zu den einzelnen Fragekomplexen: Geschlechtsbezogene Daten Randziffern 499 ff., Gesundheitsdaten Randziffern 514 ff., bisheriges Gehalt Randziffern 615 f., Vorstrafen Randziffern 620 ff. und private Lebensverhältnisse Randziffern 639 ff.). |
| (24)Wolfgang Zöllner, in: Wolfgang Zöllner/Karl-Georg Loritz/Curt Wolfgang Hergenröder, Arbeitsrecht: Ein Studienbuch, 6. Aufl. 2008, S. 127 f. |
| (25)Näher dazu Dennis Heinson/Thorsten Sörup/Tim Wybitul, CR 2010, 751 ff. (752 f.). |
| (26)Näher dazu Jobst-Hubertus Bauer/Burkhard Göpfert/Steffen Krieger, Allgemeines Gleichbehandlungsgesetz: Kommentar, 2. Aufl. 2008, § 1 Randziffern 45 ff. |
| (27)Volker Boehme-Neßler, Unscharfes Recht: Überlegungen zur Relativierung des Rechts in der digitalisierten Welt, 2008, S. 500 f. |
| (28)Volker Boehme-Neßler, Unscharfes Recht: Überlegungen zur Relativierung des Rechts in der digitalisierten Welt, 2008, S. 664 f. |
| (29)Jürgen Taeger/Bernd Schmidt, in: Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, Herausgegeben von Jürgen Taeger und Detlev Gabel, 2010, Einführung, Randziffer 2. |
| (30)Volker Boehme-Neßler, Unscharfes Recht: Überlegungen zur Relativierung des Rechts in der digitalisierten Welt, 2008, S. 387 ff. |
| (31)Dietmar Fink/Matthias Hartmann, Das Missing-Link-Prinzip: Schließen Sie die Lücke zwischen Strategie und Umsetzung!, 2009, S. 33 ff. |
| (32)Ulrich Sieber, Rechtstheorie: Zeitschrift für Logik und Juristische Methodenlehre, Rechtsinformatik, Kommunikationsforschung, Normen- und Handlungstheorie, Soziologie und Philosophie des Rechts, 41. Band 2010, Heft 2, 151 ff. (187 f.). |
| (33)Peter Gola/Rudolf Schomerus, BDSG: Bundesdatenschutzgesetz Kommentar, bearbeitet von Peter Gola, Christoph Klug, Barbara Körffer, 10. Aufl. 2010, S. 581 ff. |
| (34)Dietmar Fink/Matthias Hartmann, Das Missing-Link Prinzip: Schließen Sie die Lücke zwischen Strategie und Umsetzung!, 2009, S. 35. |
| (35)Bundesrat-Drucks., 535/10 v. 3.9.2010, S. 35. |
| (36)Jürgen Ensthaler, ZRP 2010, 226 ff. |
| (37)Werner Krawietz, in Rechtsphilosophie im 21. Jahrhundert. Herausgegeben von Winfried Brugger, Ulfrid Neumann und Stephan Kirste, 2008, S. 181 ff. (182, 188, 197 f.). |
| (38)Werner Krawietz, in Rechtsphilosophie im 21. Jahrhundert. Herausgegeben von Winfried Brugger, Ulfrid Neumann und Stephan Kirste, 2008, S. 181 ff. (191). |
| (39)Len Fisher, Schwarmintelligenz: Wie einfache Regeln Großes möglich machen, 2010, S. 63. |
| (40)James Surowiecki, Die Weisheit der Vielen: Warum Gruppen klüger sind als Einzelne, 2. Aufl. 2007, S. 23 ff. |
| (41)Christoph Henke, Über die Evolution des Rechts: Warum ändert sich das Recht?, 2010, S. 16. |
| (42)Vgl. zu Straftaten gegen die Ehre Fritjof Haft, Strafrecht: Besonderer Teil II: Delikte gegen die Person und die Allgemeinheit, 8. Aufl. 2005, S. 72 ff. |
| (43)Peter Gola, Datenschutz und Multimedia am Arbeitsplatz: Rechtsfragen und Handlungshilfen für die betriebliche Praxis, 3. Aufl. 2010, S. 56. |
| (44)Instruktiv zum diesbezüglichen Stand der Diskussion Dennis Heinson/Thorsten Sörup/Tim Wybitul, CR 2010, 751 ff. (757). |
| (45)Zur Interpretation der Regelungen zur Verantwortlichkeit nach §§ 7 ff. TMG Fleming Moos, in: Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, Herausgegeben von Jürgen Taeger und Detlev Gabel, 2010, Kommentierung zum TMG, Einführung, Randziffern 16 ff, 20. Vgl. ferner Thilo Weichert, in: Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz: Kompakzkommentar zum BDSG, 3. Aufl. 2010, § 3 Randziffer 57. |
| (46)Peter Gola, Datenschutz und Multimedia am Arbeitsplatz: Rechtsfragen und Handlungshilfen für die betriebliche Praxis, 3. Aufl.2010, S. 60. |
| (47)Dazu mit zutreffender Positionsbestimmung des Datenschutzrechts Jürgen Kühling/Simon Bohnen, JZ 2010, 600 ff. |
| (48)Peter Gola/Rudolf Schomerus, BDSG: Bundesdatenschutzgesetz Kommentar, bearbeitet von Peter Gola, Christoph Klug, Barbara Körffer, 10. Aufl. 2010, § 3 Randziffer 48. |
| (49)Gregor Thüsing/Tobias Leder, Betriebs-Berater (BB) 2005, 1563 ff. (1569). |
| (50)Othmar Jauernig, in: Jauernig (Hrsg.), Bürgerliches Gesetzbuch: Kommentar, 13. Aufl. 2009, § 31 Randziffer 1. |
| (51)S. dazu auch Volker Boehme-Neßler, Unscharfes Recht: Überlegungen zur Relativierung des Rechts in der digitalisierten Welt, 2008, S. 602 ff. |
| (52)Peter Gola/Rudolf Schomerus, BDSG: Bundesdatenschutzgesetz Kommentar, bearbeitet von Peter Gola, Christoph Klug, Barbara Körffer, 10. Aufl. 2010, § 6 Randziffer 4. |
| (53)Ulrich Dammann, in: Spiros Simitis (Hrsg.), Bundesdatenschutzgesetz, 6. Aufl. 2006, § 3 Randziffer 243. |
| (54)Karl-Heinz Ladeur, in: Ungewissheit als Chance: Perspektiven eines produktiven Umgangs mit Unsicherheit im Rechtssystem. Herausgegeben von Ino Augsberg, 2009, S. 135 ff. (150). |
| (55)Peter Gola/Rudolf Schomerus, BDSG: Bundesdatenschutzgesetz Kommentar, bearbeitet von Peter Gola, Christoph Klug, Barbara Körffer, 10. Aufl. 2010, § 4d Randziffer 14. |
| (56)Peter Wedde, in: Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, Kompaktkommentar zum BDSG, 3. Aufl. 2010, § 9 Randziffer 97 ff. |
| (57)Vgl. dazu auch Avishai Margalit, Politik der Würde: Über Achtung und Verachtung, 1997, S. 234 ff. (238 f.). |
| (58)Frank Schirrmacher, PAYBACK: Warum wir im Informationszeitalter gezwungen sind zu tun, was wir nicht wollen, und wie wir die Kontrolle über unser Denken zurückgewinnen, 3. Aufl. 2009, S. 114. |
| (59)S. zu den Fallkonstellationen Dorothea Bieszk/Susanne Sadtler, NJW 2007, 3382 ff. (3382 f., 3386 f.). |
| (60)Jürgen Taeger, in: Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, Herausgegeben von Jürgen Taeger und Detlev Gabel, 2010, Kommentierung zum TMG, § 4a Randziffern 30, 48 ff., 58 ff. |
| (61)Frank Schirrmacher, PAYBACK: Warum wir im Informationszeitalter gezwungen sind zu tun, was wir nicht wollen, und wie wir die Kontrolle über unser Denken zurückgewinnen, 3. Aufl. 2009, S. 69 ff. und 171. |
| (62)James Surowiecki, Die Weisheit der Vielen: Warum Gruppen klüger sind als Einzelne, 2. Aufl. 2007, S. 122. |
| (63)Curt Wolfgang Herdenröder, in: Wolfgang Zöllner/Karl-Georg Loritz/Curt Wolfgang Hergenröder, Arbeitsrecht: Ein Studienbuch, 6. Aufl. 2008, S. 61 f. |
| (64)Gerd Gigerenzer, Bauchentscheidungen, 2. Aufl. 2008, S. 193. |
| (65)S. zu diesem Ansatz Jan Wilms/Jan Roth, JuS 2004, 577 ff. |
| (66)Michael Wächter, Datenschutz im Unternehmen, 3. Aufl. 2003, Randziffern 965 ff. (968 ff., 977 ff.) |
| (67)Repräsentativ dazu der Abgeordnete Mayer, Deutscher Bundestag, Plenarprotokoll 17/81 v. 16.12.2010, S. 9037. |
| (68)Fritjof Haft, Juristische Rhetorik, 7. Aufl. 2007, S. 13. |
| (69)S. zur Tiefenstruktur der Pragmatik Joachim Lege, Pragmatismus und Jurisprudenz: Über die Philosophie des Charles Sanders Peirce und über das Verhältnis von Logik, Wertung und Kreativität im Recht, 1999, S. 485 ff., 500 ff. 563 ff. |
| (70)Joachim Lege, in: Rechtsphilosophie im 21. Jahrhundert. Herausgegeben von Winfried Brugger, Ulfrid Neumann und Stephan Kirste, 2008, S. 207 ff. (229). |
| (71)Peter Sloterdijk, Im selben Boot: Versuch über eine Hyperpolitik, 1993, S. 51 f. |
| (72)S. dazu Katja Vietmeyer/Philipp Byers, personalmagazin: Management, Recht und Organisation, 01/2011, 26 f. |
| (73)Gerd Roellecke, NJW 1997, 432 ff. (438).
|
| * Assessor Dr. jur. Michael Wächter, Jahrgang 1960, ist seit 2003 als regionaler Personalleiter eines globalen Unternehmens der Informationstechnologie tätig. Seine Interessensschwerpunkte sind Datenschutz und Rechtstheorie. Der Beitrag gibt die persönliche Meinung des Verfassers wieder. |
| [ online seit: 15.02.2011 ] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
|
| Zitiervorschlag: Wächter, Michael, Beschäftigtendatenschutz bei nutzergenerierten sozialen Medien - JurPC-Web-Dok. 0028/2011 |
