IT- und Internet-Recht

Datenschutz in der Cloud ist gefährdet. Oft lässt sich nicht oder nur mit unverhältnismäßigem Aufwand feststellen, welcher Provider personenbezogene  Daten an welchem Ort in der Welt verarbeitet. Dies kann die Durchsetzung von Datenschutzrechten Betroffener zumindest erheblich erschweren.
Die “International Working Group on Data Protection in Telecommunication” hat am 24.4.2012 in einem “Working Paper on Clouds Computing - Privacy and data protection issues”, dem sog. “Sopot Memorandum” diese Risiken näher untersucht und Best Practices für Provider formuliert (http://datenschutz-berlin.de/attachments/873/Sopot_Memorandum_Cloud_Computing.pdf?1335513803).  Als Risiken werden etwa genannt: Bruch von Informationssicherheit und Vertraulichkeit, Übermitteln von  Daten in Staaten mit unzureichendem Datenschutz, haftungsbezogene Freizeichnungen in Provider-AGB, Verwendung der Daten des Auftraggebers zu eigenen Zwecken des (Sub-)Providers, fehlende Kontrollmöglichkeiten des Auftraggebers und der Aufsichtsbehörden.
Die Group schlägt als Best Practices u.a. vor:
- “Location audit trails”, also die automatische Aufzeichnung des Weges der Daten und der Speicherorte sowie der hierbei erzeugten und/oder gelöschten Datenkopien, wobei auch Backups einbezogen werden müssen.
- Wirksame technische Maßnahmen gegen die Übermittlung der Daten in “unsichere” Staaten.
- Löschen von Daten (nicht nur durch bloßen Löschvermerk, sondern) durch  sofortiges Überschreiben mit Zufallsdaten (random data).
- Schutz der gespeicherten und zu übermittelnden Daten durch Verschlüsselung, wobei jeder Kunde vom Provider eigene Schlüssel zugeteilt bekommen muss.
- Automatisches Loggen aller Datenverwendung durch Provider.
Insgesamt hat die Working Group 44 Punkte zusammengetragen, auf die hier nur verwiesen werden kann.  Der Auftraggeber muss vorab ein spezifisches Risiko Assessment durchzuführen und dieses regelmäßig upzudaten. ggf. eine Sicherungskopie außerhalb der Cloud vorzuhalten und zu prüfen, ob er umgehend allen Datenschutzansprüchen Betroffener nachkommen können. Provider sollten durch unabhängige Institutionen auditiert werden.

www.anwaltskanzlei-koch.info

Überarbeitete und erweiterte Fassung 26.4.2012

Cookies sind kleine Textdateien, die von Anbietern auf Rechnern der Nutzer gesetzt werden, um deren “Surfverhalten” verfolgen zu können. Sie werden in Verzeichnissen im Browser verwaltet. Auch Websites, die vom Nutzer gar nicht abgerufen wurden, aber in eine angesurfte Seite eingebunden sind  (etwa Werbung), können solche Cookies setzen. Welche Cookies gesetzt wurden, kann über den Browser ausgelesen werden. Teilweise kann auch eine Option im Browser eingestellt werden, die ein Tracking des surfenden Nutzers durch Website-Betreiber verhindern soll (“Do not track”). Mit Aktivieren dieser Option wird Tracking aber nicht automatisch ausgeschlossen, sondern nur Anbietern mittels eines http://Headers mitgeteilt, dass der Nutzer nicht getrackt werden will. Ob der Anbieter dieser Aufforderung folgt, kann er bisher selbst entscheiden [1].
Immer mehr User löschen nun aber  regelmäßig  solche Cookies über den Browser. Besuchen sie anschließend eine Website erneut, erscheinen sie als neue User und generieren für die Sitebetreiber zusätzliche Werbeeinnahmen. Werbeanbieter entwickeln nun neue Cookie-Varianten, die immer schwerer zu erkennen (und zu löschen) sind.
Weil sich die klassischen “HTTP-Cookies” relativ einfach löschen lassen,  wurden “Flash Cookies” (auch “Local Shared Objects”, LSO, oder “Super.Cookies” genannt) entwickelt, die für den Nutzer nicht mehr ohne weiteres erkennbar sind, in “Plugins” abgespeichert werden und nicht mittels Browser gelöscht werden können. Man findet sie etwa in der Flash Video-Einstellung “volume”. In solchen Flash Cookies werden gespeichert: Besuchte Websites nach Domain, Account des besuchenden Nutzers, Daten des ersten und letzten Besuchs, alle beim Besuch gespeicherten Daten [2]. Schönherr äußert sich deutlich zu Flash Cookies: “Sie ähneln Trojanern in mehreren Hinsichten. Sie tarnen sich wie Trojaner, sie werden heimlich aktiv. Sie verändern ohne unsere Zustimmung Dinge am Computer, die unsere Privatsphäre betreffen und sie telefonieren quasi auf Ansprache von außen - nicht von uns - nach Hause, ohne uns zu fragen”. [3]
 Flash Cookies erlauben nicht nur, eine “Flash History” des Nutzerverhaltens zu erstellen. Sie ermöglichen auch, ebenso unbemerkt HTTP-Cookies, die der Nutzer eigentlich gelöscht hat, wieder herzustellen und zu nutzen (“Re-spawning”, “Nachbrüten” [4]). Das Wechseln des Browsers hilft nicht, da die Flash Cookies an einem eigenen Ort auf der Festplatte gespeichert werden (WArnung der Experin Kate McKinley [5]). Löschen von Flash Cookies war anfangs etwa nur in Online-Verbindung mit einem Einstellungsmanager von Adobe möglich. Mittlerweise gelingt das Löschen unbemerkt gesetzter Flash Cookies auch über Firefox. Nicht geklärt scheint freilich, ob inzwischen neue Techniken nun auch Flash Cookies wieder herstellen können.
Das ist aber noch nicht alles: “ETags” veranlassen den Browser, Id-Informationen im Cache abzuspeichern  und an den Server zu schicken. Auch erlaubt ein “Browser Fingerprinting”, ganz bestimmte Rechner zu identifizieren. Das Neueste ist die “HTML5 Web Storage”. die kein Plugin benötigt, auch funktioniert, wenn HTTP und Flash blockiert sind, eine Speicherkapazität bis zu 5 MB ermöglicht und sich etwa beiTwitter.com und Spotify.com findet. Die Entwicklung solcher Kontrollprogramme geht mittlerweise soweit, dass die US-Federal Trade Commission von einem “digital arms race” spricht. Einer Untersuchung bedarf sicher auch, welche Cookies etwa durch Amazon oder Facebook mit seinem “Timeline” gesetzt werden [7].
Was bedeutet das nun für den Datenschutz ?  Zumindest dann, wenn Cookies eine Identifikationsnummer des Webseitenbesuchers speichern, stellen sie personenbezogene Daten dar und ist das BDSG anzuwenden [6]. Cookies dürfen nur gesetzt werden, wenn dies für die Erbringung seiner (“Telemedien”-)Dienstleistung im Netz unbedingt erforderlich ist (§ 15 TMG), aber auch nur für die Dauer der Internet-Session und nur durch den Dienstleister, nicht für Zwecke Dritter. Die Einbindung von Werbeinhalten Dritter ist i.d.R. für die Erbringung der Dienstleistung nicht unbedingt erforderlich, damit auch nicht das Setzen von Cookies durch diese Dritten und erst recht nicht das Tracking der betroffenen Nutzer, das bei jedem Visit ein Cookie setzt.
In allen anderen Fällen ist die Einwilligung der Betroffenen zwingende Voraussetzung. Diese Einwilligung muss eine “informierte Einwilligung” sein (§ 4 a BDSG), d.h. dem Nutzer muss mitgeteilt werden, welche z.B. Flash Cookies gesetzt  und in welcher Weise diese verwendet werden sollen. Erst einmal Flash Cookies zu setzen, die dann nachträglich erst gelöscht werden müssen, ist rechtswidrig, da die datenschutzrechtlich erforderlichen Voraussetungen nicht erfüllt sind. Hierin wurde zudem eine Verletzung des informationellen Selbstbestimmungsrechts gesehen, da dem Benutzer die Kontrolle über die Cookies entzogen wird [4].
Keine Rolle spielt, ob der Nutzer diese Cookies (relativ) leicht wieder löschen kann. Sie dürfen ohne Einwilligung gar nicht erst gesetzt werden. Wenn mit dem Setzen der Cookies die Absicht verbunden ist, Werbeeinnahmen zu generieren oder zu optimieren, kann das Setzen als solches schon mit Geldstrafe oder sogar Freiheitsstrafe bis zu zwei Jahren geahndet werden (§ 44 Abs. 1 BDSG). Das erwähnte “Re-spawning” führt außerdem dazu, dass auf dem Nutzerrechner gelöschte Cookie-Dateien heimlich wieder aktiviert werden. Durch das Löschen zeigt der Nutzer, dass das jeweilige Cookie aber gerade nicht mehr genutzt werden darf. Eine Einwilligung in “Re-spawning” ist also ausgeschlossen.Dieses Reaktivieren von Cookies auf dem Nutzerrechner stellt damit eine rechtswidrige und strafbare Datenveränderung dar (§ 303 a Abs. 1 StGB).
Das dargestellte strenge Einwilligungserfordernis gilt übrigens mit Wirkung seit dem 25.5. 2011 EU-weit (Richtlinie 2009/136/EG, die in Vorgängerrichtlinie 2002/22/EG die Regelung Art. 5 Abs. 3 S. 2 eingefügt hat).
Die ausführlichste Darstellung zur Problematik finden sich in zwei Forschungsberichten “Flash Cookies and Privacy” I (2009) und II (2011) unter  [2] und [7]. Zu Flash Cookies sehr anschaulich auch Schönherr/Kloiber unter [3].
[1]   Siehe http://heise.de/-1386130 
[2]   Flash Cookies and Privacy I, http://ssm.com/abstract=1446862
[3]   Schönherr/Kloiber, Die Cookie-Bäcker - Internetanbieter tricksen mit Profildaten der Webbrowser, http://www.dradio.de/dlf/sendungen/Computer/1730241
[4]   http://de.wikipedia.org/wiki/Flash-Cookie
[5]    http://heise.de/-750517
[6]    www.datenschutzbeauftragter-online.de/datenschutz-flash-cookies-zombies-datenschutzrecht 
[7]    Flash Cookies and Privacy II http://ssm.com/abstract=1898390.  

www.anwaltskanzlei-koch.info

UPDATE 25.4.2012:

Fundstelle der Entscheidung des LG Hamburg: http://tlmd.in/u/1362

Das Landgericht Hamburg hat in seiner Entscheidung vom 20.4.2012 eine mittelbare Störerhaftung von YouTube für das Bereithalten von Musikstücken angenommen. Als Rechtsverletzer gelten User, die diese Werke ohne eingeräumte Rechte heraufladen. Störer ist , dem Gericht zufolge,  YouTube, soweit den Usern dieses Heraufladen erst möglich gemacht wird (http://heise.de/-1544381).  Dieses (noch nicht rechtskräftige)  Urteil wird teilweise als salomonisch eingestuft, teilweise aber auch heftig kritisiert. Zwei Punkte sind hier zu trennen:
Eine Störerhaftung von YouTube besteht, wenn YouTube Titel, die tatsächlich rechtswidrig heraufgeladen und YouTube mitgeteilt wurden, monatelang nicht gesperrt hat. Dies ist nicht neu. Neu ist aber der Ansatz, dass YouTube aus dem Urteil verpflichtet werden soll, mit technischen Vorkehrungen wie etwa Wortfiltern sicherzustellen, dass die rechtsverletzenden Titel nicht erneut (durch andere User) heraufgeladen werden sollen - und zwar auch dann, wenn es sich um andere Fassungen des Titels handelt.
Ob eine solche Ausweitung der Pflichten von Internet-Dienstleistern noch mit der geldenden Rechtslage zu vereinbaren ist, erscheint zweifelhaft. Immerhin soll mit derartigen Maßnahmen möglichen künftigen Rechtsverletzungen vorgebeugt werden. Derartige präventive Prüfpflichten hat aber der Europäische Gerichtshof (EuGH) mit seinem Urteil C-360/10 vom 16.2.2012 ausdrücklich abgelehnt.. Hosting-Anbieter müssen hiernach keine komplizierten, kostspieligen, auf Dauer angelegten und selbst zu finanzierenden Filtersysteme anlegen, um präventiv Rechtsverletzungen zu verhindern (http://heise.de/-1435670) . Wenn zudem ein solches Filtersystem erst einmal implementiert ist, wäre es nur noch ein kleiner Schritt zu einer Pflicht von YouTube, einfach gleich sämtliche GEMA-geschützten Titel in das Filtersystem aufzunehmen und jedes Musikstück beiim Heraufladen zu sperren. Damit würde sich YouTube von selbst erübrigen (jedenfalls im Musikbereich).
www.anwaltskanzlei-koch.info  23.4.2012

UPDATE 17.04.2012

Dringend wird gewarnt, das cloud-basierte Microsoft Office 365 oder Windows Azure zu nutzen, da US-Behörden auf die Daten Zugriff haben können. (http://heise.de/-1270455). Gleiches gilt etwa für Citrix-Applikationen, soweit diese webbasiert sind (www.citrix.de/unternehmen/presse/pressemeldungen/2012/03/03_19), auch für Apps, die von Apple verwaltet werden oder für Google Mail. Der Leiter der EU-Netzsicherheitsagentur warnt: "Wenn ich als europäisches Unternehmen den E-Mail-Verkehr in die Cloud gebe, geht er womöglich an amerikanische Unternehmen"  (http://heise.de/1383039).                                  

  Am wichtigsten aber ist, dass jedes Unternehmen Bußgelder riskiert, das Cloud-Verträge mit Anbietern schließt, die nicht garantieren können, dass US-Behörden auf ihre europäische Datenbank keinen Zugriff haben. Das gilt praktisch für die meistens großen Cloud-Anbieter mit US-Unternehmen als Muttergesellschaft.

Sind diese Garantien nicht möglich, haben Auftraggeber ein Sonderkündigungsrecht und sollten sie baldmöglichst den Anbieter wechseln.

koch@anwaltskanzlei-koch.de

__________________________________________________________________

Aktuell wird diskutiert, ob US-Sicherheitsbehörden Zugriff auf Personendaten auch in Rechenzentren erhalten, die von deutschen Töchter amerikanischer Muttergesellschaften administriert werden. Hintergrund dieser Diskussion ist, dass europäische “verantwortliche Stellen” im Sinne des Datenschutzes Personendaten nicht in Clouds zugänglich machen dürfen, auf die außereuropäische Behörden (und sonstige Datenverarbeiter) Zugriff haben. US-Cloud-Provider werden hier nach US-Recht (Patriot Act)  auch dann zur Übermittlung an die US-Behörden als verpflichtet angesehen, wenn dies gegen europäisches Datenschutzrecht verstößt. Für eine deutsche verantwortliche Stelle kann das öffentliche Interesse einer außereuropäischen Stelle aber kein zu berücksichtigendes berechtigtes Interesse i.S.v. § 28 II Satz 2 a BDSG darstellen (Schließlich kann sich die US-Behörde im Wege der Amtshilfe an europäische Staaten wenden). Auch ist (bisher) keine US-Behörde nach den Safe Harbor-Kriterien zertifiziert und es wurden auch keine Binding Corporate Rules (BCR) vereinbart (s. Becker/Nikolaeva, Computer und Recht 2012, S. 170, 174). Damit darf kein Anwender Personendaten in Cloud-Rechenzentren transferieren, die solchen Zugriffen ausgesetzt sind.                                                                                     Dies hat bereits zu einem Ruf nach einer “deutschen Cloud” geführt (so der Systems Chef nach www.computerwoche.de/management/cloud-computing/2503872/index2.html#).  Dieser Ansatz erscheint freilich zweifelhaft, wenn er dazu führt, dass US-Unternehmen daran gehindert werden, sich an europäischen Cloud Computing-Projekten zu beteiligen. Dies kann ein unzulässiges Handelshemmnis darstellen (WTO/GATS). Ein Ausweg aus diesem Dilemma kann wohl nur in einer internationalen  Regelung bestehen, die u.a. auch Auskunfts- und Löschanprüche europäischer Anwender umfassen muss.

                                                                                                  Bis dahin bleibt deutschen Anwendern nur, mit den Cloud-Anbietern auch deren mögliche Verflechtung mit US-Unternehmen zu klären, die in den Vertragsverhandlungen ein “K.O”.Kriterium darstellen kann. .
koch@anwaltskanzlei-koch.de, 12.04.2012  

Mit Stand 23.03.2012 haben 36.875 Nutzer die von Facebook geplanten Änderungen der Nutzungsbedingungen abgelehnt. Bei Eingang von mehr als 7000 kritischen Kommentaren bis zum 22.03. will Facebook Änderungen überprüfen (http://heise.de/-1479259). Änderungen setzen voraus, dass über konkrete Vorschläge von Facebook abgestimmt wird. Facebook ist aber an die Abstimmung nur gebunden, wenn sich 30% der “aktiven registrierten Nutzer” (Nr. 14.3 Nutzungsbedingungen) an der Abstimmung beteiligen. Wikipedia gibt an, dass mit Stand Januar 2012 Facebook über 845 Millionen aktive Nutzer hat. Folge: Facebook wäre nur dann an das Abstimmungsergebnis gebunden, wenn gut 253 Millionen Nutzer an der Abstimmung teilnehmen. Dies erscheint bisher eher fraglich.
Hinzu kommen weitere Zweifel:

1. Die meisten Nutzer haben nur die pauschale Erklärung abgegeben: “Ich lehne die Änderung(en) ab”. Diese Erklärung bezieht sich wohl überwiegend allein auf die deutsche Fassung der Mitteilung über die Änderungen (https://www.facebook.com/note.php?note_id=10151419988630301), in der die Änderungen knapp in drei Punkten zusammengefasst werden. Die jeweiligen Bestimmungen werden aber nicht neu eingeführt, sondern nur in einzelnen Formulierungen geändert. Dies wird erst erkennbar, wenn man die englische Fassung der Nutzungsbedingungen vergleicht (https://www.facebook.com/fbsitegovernance). Der Widerspruch kann sich also nur gegen die Formulierungsänderungen richten, nicht gegen die Bestimmungen als solche. Facebook hat sich nicht verpflichtet, die Bestimmungen generell zu ändern, sondern stellt nur die Änderungen zur Disposition. Die Nutzungsbedingungen in der bisherigen Fassung gelten unverändert  weiter, wenn die Abstimmung nicht wirksam über Änderungen entscheidet.                                                                                                
2. In der letzten Zeit kritisierte Regelungen der Nutzungsbedingungen werden durch die geplanten Änderungen nicht erfasst. Die Bedingungen schließen etwa nach wie vor nicht aus, dass Namen und E-Mail-Adressen von Freunden importiert werden, wenn diese nicht bei Facebook sind bzw. nicht zugestimmt haben (rechtswidrig nach LG Berlin, Urt.v. 06.03.2012 - 16 O 551/10). Keine Regelung in Nutzungsbedingungen   und keine Änderung dieser Bedingungen kann wirksam Datenschutzrechte Dritter regeln, die nicht auch Vertragspartei sind.                                                                                                                       Auch die weltweite, kostenlose, übertragbare, unterlizenzierbare Lizenz an jeglichen “IP-Inhalten” wie Fotos und Videos (Nr. 2.1 der Bedingungen,ebenfalls nach LG Berlin unzulässig) bleibt unberührt, da sie schon vor der Änderung Teil der Bedingungen war.                                                                                      In beiden Fällen bleibt nach wie vor nur gerichtliche Klärung bei Verletzung von Persönlichkeits- und Datenschutzverletzungen.

3. Facebook verweist auf die englische Fassung der Nutzungsbedingungen, die bei Streitigkeiten den Ausschlag geben soll. Kommt es jedoch zu einem Rechtsstreit, muss das Gericht allein nach der deutschen Fassung der Nutzungsbedingungen entscheiden. Inhaltlich ist es außerdem nichtkaufmännischen Nutzern (und wohl auch Kaufleuten) nicht zumutbar, bei Streitfällen etwa auf die komplexe englische Haftungsklausel von Facebook zurückgreifen zu müssen.                                                                                             Unzulässig ist es regelmäßig auch, den Nutzer zu verpflichten, einen Rechtsstrei mit Facebook vor einem Gericht in Santa Clara County, California führen zu müssen, vor dem außerdem kalifornisches Recht, etwa Datenschutzrecht (!) anwendbar ist (Bedingungen Nr. 14. bzw. 16 Nr. 1) .  

4. Unternehmen, die sich auf Facebook präsentieren, sollten genau prüfen, ob die Klausel Nr. 2.1, nämlich die Übertragung kostenloser Nutzungsrechte an allen “intellectual property rights”, dazu führt, dass Facebook alle geschützten Urheber- und Markenrechte des Unternehmens  für eigene Zwecke nutzen darf, wenn sie in Facebook präsentiert werden. Ist dies der Fall, sollte Facebook zur Auskunft über diese Nutzung verpflichtet werden.

Beratung: www.anwaltskanzlei-koch.info, 26.03.2012  

Dürfen Arbeitgeber uneingeschränkt in allen (sozialen) Netzwerken nach Daten zu Bewerbern suchen ?  Diese undifferenzierte Praxis wird kritisiert. Die suche in berufsbezogenen Netzwerken (wie XING) gilt als zulässig, die Suche in privaten, eher frreizeitbezogenen Netzwerken als unzulässig - jedenfalls, wenn letztere in ihren AGB diese Nutzung untersagen (s. den Blog-Eintrag Prof. Stoffels vom 20.3.2012, http://blog.beck.de/2012/03/20/social-media-profil-jeder fuenfte-bewerber-disqualifiziert-sich-selbst) .                                                                             Darüber hinaus wird man vertreten können, dass auch ohne gesonderte Regelung in den AGB (denen suchende Arbeitgeber ohnehin nicht zustimmen) eine Suche dann datenschutzwidrig ist, wenn die Nutzung der eingestellten Daten erkennbar (an der Privacy-Einstellung) nur für Gruppenmitglieder (Freunde) zulässig sein soll. Es besteht insoweit auch kein berechtigtes Interesse des Arbeitgebers, da gerade die Wahl der Privacy-Einstellung ein Grund für die Annahme ist, dass der Betroffene eine allgemeine Zugänglichkeit ausschließen will.                                                                                                              Eine andere Frage ist freilich, ob ein Bewerber den Beweis führen kann, dass eine Ablehnung seiner Bewerbung auf die Auswertung etwa seiner prvaten Präsentation in Facebook erfolgt ist. Eine Auswertung der “Freunde”-Liste kann hier mitunter Aufschluss geben.

Bundesdatenschutzbeauftragter Schaar hat am 15.03.2012  ein Gesetz zum Schutz unbeschränkten Nutzerprofilen in sozialen Netzwerken gefordert (http://heise.de/-1472411).

Die Datenschutzkritik ist grundsätzlich berechtigt. Allerdings fragt es sich, ob hierfür ein neues Gesetz bal´d zu erwarten ist. Wie andere Projekte zeigen, ist so schnell nicht mit einem neuen Gesetz zu rechnen.

Wichtiger noch: Es ist auch nicht unbedingt erforderlich. Die alte Juristenweisheit "Erst mal sehen, was das geltende Recht sagt" gilt auch hier. Profile über die eigenen Nutzer des Netzwerkes zu erstellen, ist dann rechswidrig, wenn die Daten nicht für die Verwaltung des Accounts des jeweiligen Nutzers benötigt werden. Weitergabe der Daten an Dritte ist hier unzulässig. Eine pauschale Einwilligung in Netzwerk-AGB ist unwirksam, wenn offen bleibt, welche Daten wem zu welchem Zweck zugänglich gemacht werden (und wielange der Empfänger sie speichert) . Erfolgt die Weitergabe der Profildaten gegen Entgelt, droht Freiheitsstrafe bis zu zwei Jahren (§44 I BDSG).

Wenn Daten über Dritte (die etwa in nur beschränkt zugänglichen Accounts genannt werden) erhoben und verarbeitet sowie Unternehmen allgemein zugänglich gemacht werden, ohne dass das Netzwerk mit diesen Dritten einen Vertrag oder deren ausdrückliche Einwilligung hat, liegt ebenfalls mit der ersten Datenerhebung eine Straftat vor, wenn das Datenübermitteln gegen Entgelt erfolgt. In beiden Fällen muss Strafantrag gestellt werden. Aber: Antragsberechtigt ist gerade auch der Bundesbeauftragte  (§ 44 II BDSG).

Wer vermutet, dass über ihn unberechtigt Datengesammelt werden, sollte also vom Netzwerk Auskunft verlangen über Datenerhebung, -verarbeitung und Übermittlung an Dritte.Wird die verlangte Auskunft nicht rechtzeitig erteilt, stellt dies zusätzlich eine bußgeldbewehrte Ordnungswidrigkeit dar (§ 43 I Nr. 8a BDSG).

Mit der Schilderung solcher Sachverhalte sollte dann Kontakt mit dem Bundesbeauftragten aufgenommen werden. Jeder Betroffene ist aber auch selbst antragsberechtigt. Er muss nicht erst auf ein neues Gesetz warten.

Mehr Infos und Beratung: www.anwaltskanzlei.koch.info