datum 01/2012

Inhalt

Editorial

Liebe Datenschutzinteressierte

Seit dem letzten datum sind viele Monate vergangen, in denen andere Projekte sich in den Vordergrund drängten. Nun sind wir zurück und argumentieren zunächst einmal, warum Datenschutz gerade auch in der heutigen Zeit dringend nötig ist. Im zweiten Artikel beleuchten wir ein relativ neues, aber eigentlich naheliegendes Phänomen: Das Interesse der Arbeitgeber an dem, was Arbeitnehmende oder StellenbewerberInnen im Internet über sich preisgeben. Wie immer folgen danach die Kurzrubriken mit Tipps, News aus der Presse und Informationen in eigener Sache.

Viel Spass bei der Lektüre wünscht

Eliane Schmid
Mediensprecherin

Themen

Datenschutz: Wozu? Oder: Ein erster Mikro-Shitstorm gegen den EDÖB

Kürzlich twitterte ein junger Kantonsrat: «Gibt es ein Amt das überflüssiger ist als jenes des eidg. Datenschützers?» Eine Replik.

Es ist ja nicht so, dass erst die sozialen Medien Kritik am Institut des Datenschutzes laut werden liessen. Es gab und gibt sie überall, diejenigen Mitbürgerinnen und Mitbürger, die behaupten, Datenschutz sei unnötig, denn wer ein reines Gewissen habe, brauche sich nicht zu fürchten - meist kommt das daher als: «Ich habe nichts zu verbergen!» Abgesehen davon, dass man dem Datenschutzbefürworter damit unterstellt, etwas auf dem Kerbholz zu haben, das zu vertuschen es sich lohne, stimmt diese Aussage einfach nicht.

Apropos etwas zu verbergen haben

Jeder Mensch hat etwas zu verbergen. Der Denkfehler liegt darin zu glauben, die Aussenwelt sei nur an den eigenen Daten interessiert, wenn man ein Schelm sei, oder eben nur Schelme hätten Geheimnisse. Das Gegenteil ist der Fall, und zwar aus verschiedenen Gründen:

  • Die meisten von uns werden einen mehr oder weniger deutlichen Unterschied machen zwischen persönlichen Botschaften, die sie im Büro dem Vorgesetzten oder den Kollegen zum Besten geben, solchen, die sie im vertrauten Freundeskreis mitteilen, oder solchen, die sie nur dem eigenen Partner, der Partnerin anvertrauen - oder sogar ganz für sich behalten. Es gibt also ein - mehr oder weniger ausgeprägtes - Feingefühl für die Offenlegung privater Details.
  • Mit den eigenen Daten sorgsam umzugehen dient auch dem Unterfangen, weder per Post noch per Email noch per Telefon übermässig durch ungewollte Nachrichten bzw. Anrufe belästigt zu werden. Ganz verschiedene Akteure haben nämlich ein Interesse an (möglichst vielen) Personendaten; sei es, um zielgenaue Werbung schalten und so Streuverluste vermeiden zu können, oder um Kaufverhalten oder Kreditwürdigkeit eines Individuums einzuschätzen. Gerade auch deswegen ist der Handel mit Personendaten weit über die Adresse hinaus ein blühendes Geschäft.
  • Wer seine Daten sparsam streut und sich im Internet umsichtig bewegt, verringert das Risiko, Opfer von Online-Belästigungen oder gar Datenklau und Identitätsdiebstahl zu werden. Die Unannehmlichkeiten für Betroffene, wenn Email- oder Facebook-Accounts gehackt, heikle Finanzverbindungsdaten oder Inhalte der eigenen Festplatte missbraucht werden, brauchen hier nicht näher geschildert zu werden.
  • Sensible Informationen bspw. über den Gesundheitszustand (oder künftig auch über das Genom) einer Person können durchaus ihre Chancen in der Gesellschaft und im Arbeitsleben gefährden.
  • Diskriminierung aufgrund der Gesinnung ist ein altbekanntes Phänomen in unserer Gesellschaft - in allen Epochen wurden Andersdenkende ausgestossen und schikaniert. Auch deshalb ist es essentiell, dass das Individuum in Kontrolle über die sich selbst betreffenden Informationen bleibt.

Was wir anderen über uns selbst mitteilen, strukturiert wesentlich unsere Beziehungen mit dem Umfeld - und die sollen selbstbestimmt bleiben. Klar kann es durchaus bequem sein, wenn uns Dienste im Internet bspw. Bücher-, Reise- oder andere Konsumvorschläge machen, die unseren bisher geäusserten Interessen entsprechen. Gleichzeitig ist es jedoch ein beklemmender Gedanke, dass bisherige Bewegungen im Internet und irgendwelche Algorithmen determinieren, was auch künftig vorgeschlagen wird - Menschen und ihre Interessen verändern sich, und das ergebnisoffene Stöbern, das Suchen in einer Fülle von Informationen hält den Geist beweglich und zahlreiche Entwicklungsmöglichkeiten offen. Je mehr gerade Anbieter im Internet über uns, unser Konsum- und Freizeitverhalten oder über unser Denken wissen, desto mehr können sie steuern. Und das passiert nicht unbedingt erkennbar für den Einzelnen.

Wer mit diesen Ansichten hier überhaupt nicht übereinstimmt und findet, alles und alle sollen transparent sein, der sei getröstet: In der Welt 2.0 kann sich jede und jeder selber produzieren, bis hin zur Webcam im Schlafzimmer, und bietet das Internet auch eine gute Plattform, Persönliches zu verbreiten - weltweit und in alle Ewigkeit. Alle anderen können dosierter vorgehen. Auch der EDÖB wird nebst seiner umfassenden Website die Möglichkeiten der neuen Medien künftig - dosiert - besser nutzen und via Twitter auf seine News aufmerksam machen. Interessierte finden den offiziellen Auftritt unter @derBeauftragte. Siehe auch die Rubrik In eigener Sache.

Quellen:

Arbeitgeber-Recherchen in Sozialen Netzwerken

Die Unmengen an persönlichen Informationen, mit denen Userinnen und User ihre Profile auf Sozialen Netzwerken füttern, wecken - wenig erstaunlich - auch die Neugier der Arbeitgeber. Erfahrungen aus dem In- und Ausland zeigen: Der Umgang mit solchen Portalen ist zunehmend heikel, und zwar für Arbeitnehmende ebenso wie für HR-Verantwortliche.

Aus der Schweiz und dem umliegenden Ausland sind in den letzten Monaten mehrere Fälle von jungen Menschen bekannt geworden, die ihre Lehr- oder Praktikantenstelle verloren haben, weil sie sich auf Sozialen-Netzwerk-Plattformen abfällige Äusserungen zuschulden kommen liessen. Gleichzeitig dringt aus den USA dieses Jahr die Kunde zu uns, Unternehmen verlangten von Stellenbewerberinnen und -bewerbern vermehrt die Zugangsdaten zu ihren Social-Networking-Profilen. Offenbar will man damit einerseits die Angaben der Kandidaten überprüfen, anderseits aber auch Antworten finden auf Fragen, die man im Vorstellungsgespräch gar nicht stellen darf. Fragen bspw. nach der sexuellen Orientierung, der politischen Gesinnung oder der Religion sind in vielen Ländern der westlichen Hemisphäre im Bewerbungsprozess normalerweise nämlich unzulässig, dürften aber durch einen Blick in ein solches Profil wohl beantwortet werden.

Qualifikation der Informationen

Aus unserer Sicht besteht zum Einen ein Unterschied zwischen öffentlich zugänglich gemachten und durch eine datenschutzfreundliche Konfiguration des Accounts geschützten Informationen. Erstere, die durch eine einfache Suche im Internet gefunden werden können, sind der Arbeitgeberin unmöglich vorzuenthalten. Genau solche Postings waren es denn auch, die zu den eingangs erwähnten Jobverlusten führten. Dies verdeutlicht einmal mehr die Verantwortung, die Userinnen und User selber für ihre Äusserungen im Internet und für die Privatsphäreeinstellungen ihrer Profile übernehmen müssen. Stösst die Arbeitgeberin bei Internet-Recherchen auf problematische Inhalte, sollte sie dem Kandidaten aber auf jeden Fall die Möglichkeit zur Stellungnahme geben.

Was nun geschützte, nur engen Freunden zugänglich gemachte Informationen anbelangt, so äussert der Betroffene genau durch seine Profileinstellungen den expliziten Wunsch nach Privatsphäre und Vertraulichkeit. Müsste er einer aussenstehenden Person Passwort und Zugangsdaten zu seinem engsten Bereich aushändigen, so käme das der Übergabe des Hausschlüssels oder gar des Tagebuchs gleich. Eine Arbeitgeberin kann jedoch unmöglich begründen, warum sie solcherart persönliche Angaben über einen Bewerber haben möchte, zumal diese meistens auf sozialen Netzwerken gepostet sein dürften, die nicht primär der Arbeitssuche gewidmet sind. Zweifellos würde der Zugang zu diesen Daten diverse Fragen von Personalverantwortlichen beantworten - die sie aber im direkten Gespräch gar nicht stellen dürften. Es ist also nicht einsehbar, warum sie sich diese sensiblen Daten auf anderem Weg beschaffen sollten. Schleicht sich die Arbeitgeberin gar unter Vorspiegelung einer falschen Identität in den Freundeskreis eines Kandidaten ein, so verstösst sie gegen Transparenz und Verhältnismässigkeit, verletzt also das Datenschutzgesetz.

Stand des Verfahrens

Zum Anderen muss auch das Stadium im Anstellungsprozess in Betracht gezogen werden. Im Bewerbungsprozess will und muss der Kandidat Persönliches preisgeben, denn er möchte ja den Job. Um abzuklären, ob er sich für die Stelle eignet und ins Team passt, darf die Arbeitgeberin mehr Daten vom Kandidaten bearbeiten als vom angestellten Mitarbeiter. Referenzen bspw. holt man über den letzteren ja nicht mehr ein. Sowohl vor als auch nach Vertragsabschluss jedoch darf die Arbeitgeberin nur Daten über (angehende) Mitarbeiter bearbeiten, «soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind», schreibt das Obligationenrecht vor. Dafür darf die Arbeitgeberin auch online nachschauen, gerade bspw. auf Seiten von Business-Netzwerken wie LinkedIn oder Xing. Diese Informationen sollen im Zusammenhang mit der Stellensuche ja gefunden werden.

Ethik der Personalverantwortlichen

Human-Resources-Verantwortliche in aller Welt surfen sowieso im Netz nach Informationen über Kandidatinnen und Kandidaten - darüber muss man sich keine Illusionen machen. Für die User führt deshalb kein Weg darum herum, bei ihren Postings die Selbstverantwortung wahrzunehmen und sich zu fragen, mit was sie inskünftig gerade bei Vorstellungsgesprächen nicht konfrontiert werden wollen. Dies dürfte mittlerweile - so ist zu hoffen - bei vielen Twitterusern und Facebookanhängern ins Bewusstsein gedrungen sein.

Personalverantwortliche sind ihrerseits aufgerufen, Zurückhaltung zu üben. Mitarbeitende sollten aufgrund der Informationen eingeschätzt werden, die im offiziellen Bewerbungsprozess ausgetauscht werden, und nicht aufgrund von Angaben, die man im Netz findet, die nur in den wenigsten Fällen arbeitsrelevant sind und zu denen sich die Betroffenen nicht einmal äussern können. Der Nutzen von solchen Informationen für HR-Belange ist keineswegs offensichtlich - es gibt im Internet ja bekanntlich keine Qualitätskontrolle.

In den USA kritisieren Politiker und Juristen die Praxis, Stellenbewerbern oder Mitarbeitenden die Zugangsdaten zu ihrem Facebook-Account abzuverlangen, scharf. Es sind in verschiedenen Staaten Gesetze in Planung, welche dies verbieten sollen. Informationen, die im Gespräch nicht erfragt werden dürfen, gehören auch nicht im Internet gegoogelt.

Quellen:

  • FAZ vom 28.3.2012
  • TA vom 27.3.2012
  • Le Temps vom 13.01.2012
Tipps

Schadensbegrenzung

Unsere Mobiltelefone sind schon lange nicht mehr nur zum Telefonieren da. Umso umfassender sind denn auch die Datenmengen, die auf den Smartphones gespeichert sind - und die im Falle eines Verlusts des Geräts unter Umständen auch verloren sind. Daher sollte man vorsorgen: Eine Bildschirmsperre mit einem zuverlässigen Code (nicht etwa das Geburtsdatum!) ist unerlässlich, um Unbefugten im Fall von Verlust oder Diebstahl den Zugriff zu den Daten zu verwehren. Ebenso wichtig ist aber auch die regelmässige Sicherung der Daten. Als naheliegende Lösung bietet sich die Sicherung auf dem eigenen Computer an. Weitere Möglichkeiten stellen die Smartphone-Hersteller ihrer Kundschaft meist kostenlos zur Verfügung. Bei diesen Onlinevarianten sind die Daten bei den Betriebssystemanbietern gespeichert, was irgendwo auf der Welt sein kann. Der Zugriff auf die persönlichen Daten liegt in den Händen der Anbieter. Auf jeden Fall müssen die Datenschutzbestimmungen genau betrachtet werden, bevor man sich für ein Angebot entscheidet.

TagesAnzeiger 25.06.2012

Aus der Presse

Ausgestellt beim Volkslauf

Die Teilnahme an den immer zahlreicher werdenden Breitensportanlässen kann unangenehme Folgen zeitigen: Nicht selten klingelt in den Folgewochen das Telefon mit Angeboten von Krankenkassen, finden sich im Briefkasten Sportartikelkataloge oder Anmeldeformulare für Volksläufe, von denen man noch nie gehört hat; oder, horribile dictu, man findet sich plötzlich in unansehnlicher Pose, verschwitzten Kleidern und verzerrten Gesichtszügen fotografisch im Internet verewigt.

Auf der Hand liegt, dass Veranstalter die Personendaten der Teilnehmerinnen und Teilnehmer für alle für die Durchführung von solchen Anlässen notwendigen Zwecke (bspw. zur Erstellung von Start- und Ranglisten) bearbeiten dürfen. Für alles, was darüber hinaus geht, wie etwa die Weitergabe an Sponsoren, Krankenversicherungen, Fotografen oder andere Dritte, braucht der Veranstalter die Einwilligung der Betroffenen. Er muss transparent machen, was mit den Daten passiert und an wen sie weitergegeben werden, und er muss den Teilnehmenden eine Möglichkeit bieten, solche Bearbeitungen zu untersagen.

Nähere Informationen bieten unsere Erläuterungen unter http://www.edoeb.admin.ch/datenschutz/00627/00781/01018/index.html?lang=de 

Quellen:

  • Der Bund vom 23.06.2012
  • K-Tipp vom 18.04.2012

In eigener Sache

Twitter-Auftritt als @derBeauftragte

Der EDÖB hat beschlossen, Twitter künftig als zusätzlichen Verbreitungskanal für seine Verlautbarungen zu benutzen. Unter @derBeauftragte wird er die Twittercommunity künftig auf dem Laufenden halten über Stellungnahmen, Pressemitteilungen, Veranstaltungen und neue Inhalte auf seiner Webseite. Das Profil ist ab sofort aktiv.

Revision der Postverordnung

Bereits zu Beginn des Jahrtausends befasste sich der EDÖB mit den Kosten, die die Post im Zusammenhang mit Adressänderungen denjenigen Kundinnen und Kunden auferlegte, die keine Weitergabe ihrer neuen Adresse an Dritte wünschten. Damals konnten wir erreichen, dass die Post für ihre Mehrkosten nur das doppelte berechnen darf. Dies wurde durch das UVEK gestützt.

Auf den ersten Oktober hin wurde die Postverordnung nun revidiert, und wir begrüssen die datenschutzfreundlichen Bestimmungen. So müssen die Anbieter im Umgang mit Personendaten Transparenz schaffen und die Betroffenen informieren. Das ergibt sich zwar bereits aus dem Datenschutzgesetz, ist jetzt jedoch explizit in der Verordnung erwähnt. Ein Austausch der Adressdaten bzw. ihre Weitergabe an Dritte ist darüber hinaus nur mit Einwilligung erlaubt (das gilt auch für Anbieterinnen mit kleinem Umsatz). Die Informationspflicht umfasst eine genauere Beschreibung der Kategorien möglicher Datenempfänger, also der «Dritten». Widersetzen sich die Betroffenen einer Weitergabe ihrer Adressdaten, darf das für sie keine Kostenfolgen nach sich ziehen; mit anderen Worten kostet der umzugsbedingte Nachsendeauftrag den Kunden gleichviel, egal, ob er die Datenweitergabe untersagt oder nicht. Man kann diese Weitergabe übrigens auch unabhängig von einem solchen Auftrag untersagen sowie frühere Einwilligungen zurückziehen. Dies entspricht auch dem Grundrecht auf informationelle Selbstbestimmung, festgehalten in der Bundesverfassung.

«datum» ist eine Publikation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und erscheint zweimal jährlich.

Beiträge aus dem «datum» dürfen mit Quellenangabe kopiert bzw. weiterverwendet werden.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/newsletter/datum-01-2012.html