Datenschutz
Datenschutz und der Datenschutzbeauftragte

Datenschutz – ein Thema für jedermann

[Beitrag vom Mindener Rechtsanwalt Markus Rassi Warai] Der Datenschutzbegriff gewann in den letzten Jahren fortwährend an Bedeutung. Gerade im Internet ist der Schutz personenbezogener Daten ein stetes Thema. Diskutiert wurden in den vergangenen Jahren (dieser Artikel wurde erstellt am 14. Nov. 2011) Datenschutzaspekte im Hinblick auf Plattformen wie Facebook (u.a. dem Facebook Like Button), Google Analytics, Google +1, Twitter, StudiVZ, SchuelerVZ, dem Playstation Network (PSN) oder Online Banking. Auch die Diskussion um die Bundesverfassungsgerichtsentscheidung zur Vorratsdatenspeicherung erregte in jüngster Vergangenheit die Gemüter und warf nebenbei Fragen zum Datenschutz auf. Unter dem Datenschutz ist der Schutz einer Person vor dem Missbrauch seiner personenbezogenen Daten zu verstehen. Der Datenschutz ist nach dem Bundesverfassungsgericht ein Grundrecht. Jedermann steht das Recht auf informationelle Selbstbestimmung zu. Dementsprechend kann jeder grundsätzlich selbst darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt.

Datenschutzrecht und Datenschutzbeauftragter

Als Kanzlei vertreten wir die Interessen von Unternehmen und Betroffenen aus Minden und Umgebung in Sachen Datenschutz und Datenmissbrauch. Darüber hinaus berät der Namensgeber der in Minden ansässigen Kanzlei, Markus Rassi Warai, der die Qualifikation „Datenschutzbeauftragter (Zertifikat der TÜV NORD Akademie)“ besitzt, datenerhebende und datenverarbeitende Unternehmen sowie unternehmensinterne und externe Datenschutzbeauftragte in allen Fragen des Datenschutzes. Soweit ein datenerhebendes Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, droht ihm im Rahmen der unterlassenen Bestellung die Verhängung eines empfindlichen Bußgeldes. Getreu § 43 BDSG handelt auch derjenige ordnungswidrig, der vorsätzlich oder fahrlässig einen Datenschutzbeauftragten nicht rechtzeitig bestellt. Damit droht eine Bußgeldverhängung in Höhe von bis zu 50.000,00 Euro und mehr. Zur Vermeidung dieser Problematik kann ein externer Datenschutzbeauftragter bestellt werden. Auch Unternehmer, die bereits einen internen Datenschutzbeauftragten bestellt haben, sehen sich oft mit komplexen Fragen des Datenschutzrechts konfrontiert. Gerade diesen Unternehmen steht die Rechtsanwaltskanzlei Rassi Warai mit ihrem datenschutzrechtlichen Know How beratend und rechtsgestaltend zur Seite. Bereits seit 2007 befasst sich die Mindener Anwaltskanzlei umfassend mit allen Fragen des Datenschutzrechts.

Die Bedeutung des Datenschutzes ist mit dem Fortschreiten der Kommunikationstechnik und insbesondere mit der vermehrten Nutzung des Internets stetig gestiegen. Durch die weitergehende globale Vernetzung der Daten versuchen neben staatlichen Stellen auch Unternehmen, Produktforscher und Unternehmen an das wertvolle Informationsgut (die personenbezogenen Daten) zu gelangen. Da die Datenverarbeitung, Datenerfassung und die Weitergabe von Daten immer einfacher wird und die verschiedenen technischen Entwicklungen, wie beispielsweise Strukturen im Internet, E-Mail Verkehr oder in der Kommunikationstechnik der Smartphone Industrie und der Entwicklung der elektronischen Zahlungsmethodik immer neue Möglichkeiten zur Datenerhebung schaffen, steigt demgegenüber auch das Interesse am Schutz der preiszugebenden personenbezogenen Daten.

Im Zuge dessen hat das Europäische Parlament mit einer europäischen Datenschutzrichtlinie und einer Datenschutzrichtlinie für elektronische Kommunikation gewisse Mindestvoraussetzungen für den Datenschutz in den einzelnen Mitgliedsstaaten festgeschrieben. Die Bundesrepublik Deutschland hat diese Vorgaben unter anderem mit der Änderung des Bundesdatenschutzgesetzes in nationales Recht umgesetzt.

Das Bundesdatenschutzgesetz (BDSG) und die Datenschutzgesetze der einzelnen Bundesländer regeln, wie Daten in der Bundesrepublik Deutschland erhoben, verarbeitet oder genutzt werden dürfen.

Datenerhebung

Unter dem „Erheben“ von Daten ist das Beschaffen derselben, unter dem „Verarbeiten“ das Speichern, Verändern, Übermitteln, Sperren oder Löschen von Daten und unter dem „Nutzen“ die Verwendung von Daten (soweit es sich nicht um „Verarbeiten“ handelt), zu verstehen.

Dementsprechend muss jeder, der Daten in irgendeiner Form (und insbesondere im Wege der elektronischen Kommunikation) erhebt, gewisse Vorgaben im Umgang mit den erhobenen Daten erfüllen.

So muss sichergestellt werden, dass eine Stelle benannt wird, die für die nach den datenschutzrechtlichen Bestimmungen für die erhobenen Daten verantwortlich ist. Dies kann – abhängig von der Größe eines Unternehmens – sogar darin ufern, dass eine Pflicht erwächst, eine zusätzliche (und als betrieblichen Datenschutzbeauftragten zu benennende) Stelle geschaffen werden muss.

Mit der jeweiligen Datenerhebung muss sich der Betroffene einverstanden erklären. Dies kann üblicherweise dadurch sichergestellt werden, dass der Betroffene darauf hingewiesen wird, dass die Nutzung eines Leistung, beispielsweise der Besuch eines Webauftritts, bereits als entsprechendes Einverständnis gewertet wird.

Ferner hat eine umfassende Belehrung der Betroffenen, beispielsweise auf einer Internetseite, zu erfolgen. Der datenerhebende Seitenbetreiber hat darüber zu informieren, ob und wann bei einer Kontaktaufnahme (oder bereits beim Besuch seiner Webpräsenz – hervorzuheben sind insoweit insbesondere die Verwendung von des Google Analytics Service, des Webalizers oder anderen Web Analytics Software Produkten zur Datenerfassung) personenbezogenen Daten erhoben, verarbeitet oder verwendet werden. Hierbei muss zum Beispiel bereits darüber informiert werden, welche Daten beim bloßen Besuch des betreffenden Webauftritts – ohne ein weiteres Zutun des Seitenbesuchers – erhoben werden. Für den Fall, dass eine Internetseite betrieben wird, sollte in der Regel auch eine Belehrung darüber erfolgen, durch wen der jeweilige Auftritt gehostet wird und in welchem Staat sich der Serverstandort des Hosters befindet.

Je mehr Daten erhoben werden, desto umfangreicher wird auch die Informationspflicht der die Daten erhebenden Stelle ausfallen. Schafft beispielsweise ein in einem Webauftritt integriertes Kontaktfeld die Möglichkeit, Anfragen oder Kommentare abzugeben, so ist der Nutzer dieses Kontaktfeldes darüber zu informieren, dass sämtliche eingegebenen Daten, wie beispielsweise Name, Adresse, gewähltes Synonym, angegebene Emailadresse oder der Kommentartext (oder was darüber hinaus noch an Daten verwendet wird) gespeichert werden. Sollten Cookies, Programme wie beispielsweise Google Analytics verwendet werden oder Funktionen wie der Facebook-Like-Button oder andere soziale Netzwerke, zum Beispiel Google+1 oder Twitter in einen Internetauftritt eingebunden werden, so sind weitreichende und sorgfältige gesonderte Belehrungen erforderlich (da hierbei nicht selten eine Weitergabe der Daten an Dritte erfolgt).

Weitergabe von Daten an Dritte

Vorsicht bei der Weitergabe von Daten an Dritte!

Eine Weitergabe der anvertrauten Daten an Dritte ist grundsätzlich verboten, es sein denn, dass dies für die Erbringung der Leistung notwendig ist. Möglich ist auch die Einholung des Einverständnisses des Betroffenen. In dem erstgenannten Falle kann sodann eine Weitergabe jedoch ausschließlich an die im Rahmen der Vertragsabwicklung beteiligten Dienstleistungspartner, wie z.B. ein mit den Zahlungsangelegenheiten beauftragtes Kreditinstitut zu erfolgen. So geben Telekommunikationsunternehmen personenbezogenen Daten zumeist nur heraus, wenn Sie hierzu durch eine rechtskräftige gerichtliche Entscheidung berechtigt sind. Darüber hinaus dürfen Daten nur für die Durchsetzung bestehender Rechte des die Daten Erhebenden aus dem zugrunde liegenden Vertragsverhältnis weitergegeben werden, wenn dies im Rahmen einer Abwägung erforderlich ist oder gesetzliche Bestimmungen – beziehungsweise gerichtliche Entscheidungen – den Erhebenden zur Herausgabe der Daten verpflichten. Auch hierüber hat derjenige, der die Daten erhebt, den Betroffenen zu informieren. Des Weiteren hat er einen Nutzer darüber zu unterrichten, dass dieser unentgeltlich Auskunft im Hinblick auf die ihn betreffenden gespeicherten personenbezogenen Daten zu erhalten hat und dass unrichtige Daten nach einem entsprechenden Hinweis berichtigt werden. Ferner muss der von der Datenerhebung Betroffene dahingehend belehrt werden, wie eine auf die Verwendung und Speicherung der Daten erteilte Zustimmung durch den jeweiligen Nutzer widerrufen werden kann oder wie und unter welchen Voraussetzungen der Nutzer, die Sperrung oder Löschung seiner Daten beantragen kann.

All diese Bedingungen sollten in einer umfassenden und individuell zusammengestellten Datenschutzerklärung unter der Berücksichtigung der tatsächlich erhobenen Daten zusammengefasst und dem Nutzer zugänglich gemacht werden. So ist es bei dem Betreiben einer Internetseite durchaus geboten, diese Datenschutzerklärung so in den Internetauftritt einzubinden, dass sie von allen Unterseiten mit einem einzigen Mausklick eingesehen werden kann. Als Kanzlei beraten wir viele Unternehmen aus Minden und ganz Deutschland in solchen Belangen, führen Webseitenchecks durch und zeigen Probleme auf.

Die Einhaltung des Bundesdatenschutzgesetzes und der Datenschutzbestimmungen der Länder sowie der weiterführenden Regelungen werden durch den Bundesbeauftragten für den Datenschutz, die Landesdatenschutzbeauftragten und die weiteren Datenschutzaufsichtsbehörden überwacht.

Sofern der sorgfältige Umgang mit den personenbezogenen Daten nicht sichergestellt ist oder entsprechende Belehrungen unterbleiben, können empfindliche Bußgelder für die Nichteinhaltung von Datenschutzbestimmungen erlassen werden.

Datenschutzerklärung

Im Übrigen können Fehler in der Datenschutzerklärung durch Verbraucherschutzverbände abgemahnt werden. Dies kann mit nicht unerheblichen Kosten verbunden sein. Um dem entgegen zu wirken, ist die Einholung einer professionellen Beratung durch einen mit dem Gebiet des Datenschutzrechts betrauten Rechtsanwalts zu empfehlen.

Trotz der hohen Resonanz, die das Thema Datenschutz in der Öffentlichkeit und den Medien erfährt und ungeachtet der drohenden Sanktionen, kommt es immer wieder zu Fällen des Datenmissbrauchs. Zwar werden derartige Datenlecks zumeist im kleinen Rahmen nur fahrlässig verursacht, jedoch gibt es auch Firmen, für welche die Weitergabe der personenbezogenen Daten eine sehr lukrative Einnahmequelle darstellt. Man kann in diesem Zusammenhang gar von einem spezifischen Datenhandel sprechen, bei dem sich aus fiskalischen Motiven bewusst über den Willen der Betroffenen hinweg gesetzt wird.

So kommt es in der Praxis immer wieder vor, dass sich Firmen an Personen wenden und vorgeben, diese hätten unter der Angabe der beigefügten personenbezogenen Daten Rechtsgeschäfte getätigt. Derartige Geschäfte sollen zumeist im Internet oder über das Telefon abgeschlossen worden sein. Die Betroffenen geben dabei häufig an, keinerlei Daten an diese Firmen übermittelt zu haben. In diesen Fällen ist es angeraten, die entsprechenden Firmen unter Verweis auf die einschlägigen Regelungen zur Offenlegung, Sperrung und Untersagung der Verwendung, der Speicherung oder der Übermittlung der Daten anzuhalten. Ferner sollte auch die schriftliche Einlassung der datenschutzverletzenden Firma zum  Verwendungszweck der gespeicherten Daten verlangt werden.

Dieses ist nur ein Beispiel von vielen, dass aufzeigt, dass eine zurückhaltende Einstellung im Umgang mit den eigenen Daten und auf der anderen Seite (also auf Seiten der Verwender) eine unabdingbare Einhaltung der rechtlichen Maßgaben zum Datenschutz nur dringlichst angeraten werden können. Personenbezogene Daten sind ein wertvolles Gut. Die Verwendung dieses Gutes kann – bedacht eingesetzt – in seiner rechtstreuen Verwendung durchaus eine zielgerichtete Erkenntniserhebung im Hinblick auf Konsumverhalten und damit eine konstruktive Verbesserung der eigenen Vertriebsstrukturen eines Unternehmens (und sekundär nachhaltige Umsatzsteigerungen) versprechen. Niemand wundert sich beim Einkaufen heutzutage noch über die von Kassiererinnen und Kassieren gebetsartig vorgetragenen Aufforderungen zur Vorlage der Prämien- und Bonuskarten (und ihnen zugrundeliegenden der Erhebungsabsichten der prämienversprechenden Unternehmen). Wir leben in einer Zeit, in der von einem großen us-amerikanischen Onlinevertriebshaus das Konsumentenverhalten so effektiv ausgewertet werden kann, dass dem Besucher des Onlinewarenhauses bei jedem Aufruf des Webshops für ihn passende Produkte empfohlen werden, d.h. Waren, die seinem Konsumverhalten und seinen Interessen entsprechen. Selbst der „neue“ Personalausweis mit seiner Online-Identifikationsfunktion eröffnet weitreichende Möglichkeiten. Dies zeigt beispielhaft, dass die Zeichen der Zeit die Datenerhebung erfordern. Doch die Sicherheit der Daten sollte stets an erster Stelle stehen. So ist die rigorose Verteidigung der Datenschutzaspekte zu begrüßen. Einem Datenverwender kann angesichts der drohenden Sanktionen bei einem Datenmissbrauch nur eindringlich empfohlen werden, sich mit allen rechtlichen Bestimmungen und dem ihn obliegenden Datenschutz- und Belehrungspflichten auseinanderzusetzen. Sollten Sie Fragen bzgl. des Themas haben oder selbst von Datenmissbrauch betroffen sein, können Sie uns in Minden besuchen oder per Telefon, Email oder Livechat erreichen.