Rechtsanwalt Datenschutzrecht

Datenschutzrecht – Vom Randkomplex zum Top-Thema im Unternehmen

Gerade weil in Zeiten des Internets viele ganz unterschiedliche Unternehmungen mit verschiedensten Daten (Personaldaten, Nutzerdaten aus dem Internet, Kundendaten etc.) in Kontakt kommen, ist heute dennoch nahezu jedes Unternehmen, jeder Unternehmer und Freiberufler mit Fragen des Datenschutzrechtes befasst. Oftmals ist dabei vielen Unternehmen gar nicht klar, dass sie sich bei aktuellen Projekten auf dem Gebiet des Datenschutzrechts befinden. Sätze wie: „Wir sparen kräftig, seitdem wir unsere Personalabrechnungen von einem Dienstleister machen lassen.“ oder: „Letzte Woche bei der Inventur habe ich mich endlich von vielen lästigen Unterlagen getrennt. Was das Finanzamt nicht mehr braucht, kann ja in den Müll.“ Sicherlich, was man nicht aufheben muss, kann entsorgt werden, doch zumeist nicht in einer Mülltonne. Nachfragen nach dem Inhalt der Dokumente beantwortet der Mandant mit Hinweisen auf "alte Bestellungen", "Angebote", "Auftragsunterlagen", "Telefonlisten" etc. Spätestens jetzt sollten die Alarmleuchten angehen. Haben Sie gerade etwa Unterlagen mit personenbezogenen Daten offen und lesbar in einen Mülleimer geworfen? Es bleibt zu hoffen, dass vorher zumindest ein Schredder im Einsatz war, denn sonst befindet sich der Mandant mitten in einem datenschutzrechtlichen Problem. Ebenso, wenn stolz über den Erfolg ihrer Internetpräsenz berichtet und Statistiken dritter Unternehmen präsentiert werden. Welche IP-Adresse hat sich wie lange auf meinen Internetseiten aufgehalten, welcher Inhalt war besonders interessant etc. Die technischen Möglichkeiten sind mannigfaltig, ebenso sind es die sich hieraus aus datenschutzrechtlicher Sicht ergebenden Probleme.

Datenschutz ist – dies muss man sich vergegenwärtigen – kein Randthema mehr. Ein Datenschutzverstoß kann sich vielmehr schnell und ungewollt zu einem „Datenskandal“ ausweiten, der in Zeiten Edward Snowdens und der damit einhergehenden verstärkten Sensibilität innerhalb der Bevölkerung schnell erhebliche Auswirkungen auf das Unternehmensergebnis zeichnen kann.

Datenschutzrecht – Verstöße können teuer werden

In den vergangenen Jahren haben sich „Datenschutzinseln“ etabliert, die große und mittlere Unternehmen – insbesondere solche des Online-Marktes – zum Forum-Shopping einluden; insbesondere Irland galt dabei als Mittel der Wahl und geriet für seine im EU-Vergleich schwachen Datenschutzvorschriften immer wieder in die Kritik. Mit Inkrafttreten der EU-Datenschutzgrundverordnung 2018 dürfte das Forum-Shopping indes ein Ende finden, denn diese gilt – ohne dass es einer Umsetzung ins nationale Recht bedarf – unmittelbar in allen Mitgliedstaaten und setzt dem bestehenden Flickenteppich von Datenschutzvorschriften innerhalb des europäischen Wirtschaftsraums ein Ende. Der insgesamt über 200 Seiten starke Verordnungstext stellt sich damit als große Herausforderung für jedes Unternehmen dar, das in Europa aktiv ist und hier personenbezogene Daten verarbeitet. Jedes Unternehmen sollte daher bereits jetzt und frühzeitig damit beginnen, sich auf die neuen Anforderungen der EU-Datenschutzgrundverordnung einzustellen und seine Datenbestände und Datenverarbeitungsprozesse nach den Vorgaben der Verordnung zu analysieren. Denn, bei Verstößen gegen die Verordnung drohen hohe Bußgelder, die weit über die hinausgehen, die bislang in Europa und vor allem in der Bundesrepublik galten. So drohen zukünftig je nach Art des Verstoßes Bußgelder von 10 Mio. Euro oder 2 Prozent, bzw. 20 Mio. Euro oder 4 Prozent des Jahresumsatzes, wobei der jeweils höhere Wert gilt (Artikel 79 des Entwurfs). Dabei ist in Punkto Jahresumsatz, auf den des gesamten (weltweiten) Konzerns und nicht etwa nur auf den in Europa erwirtschafteten Umsatz abzustellen.

Was und wen schützt das Datenschutzrecht?

Zweck des Datenschutzrechts ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Der Begriff des personenbezogenen Datums ist damit in der datenschutzrechtlichen Diskussion von entscheidender Bedeutung. § 3 Abs. 1 BDSG definiert diesen als "Einzelangabe über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person".

Aus den Einzelangaben müssen sich persönliche oder sachliche Verhältnisse des Betroffenen ergeben. Es muss sich mit anderen Worten um Informationen über den Betroffenen selbst oder einen Sachverhalt mit Bezug zum Betroffenen handeln.

Angaben über persönliche Verhältnisse des Betroffenen meint Angaben über den Betroffenen selbst. Lediglich beispielhaft seien hier genannt: Name, Geburtsdatum, Geschlecht, Konfession, Ausbildungsstand, Beruf, Kaufgewohnheiten, Gesundheitszustand, biometrische Daten (DNA) wie auch Ton- und Bildaufnahmen einschließlich Röntgenbildern.

Juristische Personen und Personengemeinschaften fallen nach bisherigem Verständnis nicht unter den Schutz der deutschen Datenschutzgesetze und auch nicht unter den der Datenschutzrichtlinie. Dies bedeutet indes nicht, dass nicht wenigstens einzelnen Mitgliedern einer Personengemeinschaft oder juristischen Person – auch in dieser Funktion – der Schutz des BDSG zuteilwerden kann. Das ist jedenfalls dann anzunehmen, wenn Angaben über die juristische Person oder Personengemeinschaft einen Bezug zum Mitglied aufweisen, sie also auf das Mitglied „durchschlagen“. Augenfällig ist dies bei Angaben über eine Einzelfirma oder eine Ein-Mann-GmbH (vgl. § 35 Abs. 3 GmbHG).

Aufgrund der Vorgaben des Art. 8 RiL 95/46/EG, unterliegen besonders sensitive Daten als „besondere Arten personenbezogener Daten“ einer besonderen Handhabung. Als besondere Arten personenbezogener Daten definiert das Gesetz Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Die Datenschutzgesetze sind beim Umgang mit Daten zu beachten. Dieser kann in der Form der Erhebung, der Verarbeitung oder der Nutzung auftreten.

Um überhaupt Daten verarbeiten und nutzen zu können, muss die verantwortliche Stelle über die Daten verfügen können. Voraussetzung ist also die Erhebung von Daten. Erheben ist in § 3 Abs. 3 BDSG definiert als das Beschaffen von Daten über den Betroffenen. Gemeint ist damit ein aktiver Vorgang, anlässlich dessen die verantwortliche Stelle Kenntnis von derartigen Daten erlangt. Der Begriff der Datenverarbeitung umfasst als Oberbegriff nach § 3 Abs. 4 BDSG fünf Varianten des Umgangs mit Daten. Dazu gehören das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Das Nutzen von Daten ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. Ein Nutzen von Daten liegt immer dann vor, wenn sich die jeweilige Aktivität nicht einer der Phasen der Verarbeitung zuordnen lässt. Beispiele hierfür sind die Anfertigung von Kopien oder der Abgleich von Daten mit anderen Daten. Auch die Mitteilung von Daten an den Betroffenen selbst stellt eine Nutzung dar. Ebenso verhält es sich mit der Weitergabe von Daten innerhalb der verantwortlichen Stelle. Im Sozialdatenschutz wird dies ausdrücklich in § 67 Abs. 7 SGB X hervorgehoben. Dagegen erfüllt die rein statistische Auswertung von Daten regelmäßig nicht den Tatbestand des Nutzens, da es an einer personenbezogenen Verwendung fehlt.

Anwendungsfälle des Datenschutzrechts

I. Vertrieb

Seinen Kunden zu kennen gilt als eines der Erfolgskonzepte des Marketings. Die persönliche Ansprache des Konsumenten durch die Anbieter von Waren und Dienstleistungen, gehört deshalb zu den effizientesten Mitteln der Kundengewinnung und -bindung. Unternehmen jeder Größe und jedes Wirtschaftszweiges unterhalten daher mehr oder minder umfassende Kundendatenverwaltungen mit dem Ziel der verbesserten Kundenorientierung. Neben der Vertrags- und Leistungsabwicklung sind Kundendaten dabei zunehmend für Zwecke des Direktmarketings von entscheidender Bedeutung. Eine gezielte zielgruppenorientierte Werbemaßnahme vermeidet Streueffekte und ermöglicht eine individuelle Befriedigung von Kundenbedürfnissen. Die Zielsetzung des BDSG im Kopf, wird dabei schnell deutlich, dass sich nicht alles, was technisch möglich und wirtschaftlich interessant ist, ohne Berührungspunkte zum Datenschutzrecht realisieren lässt. Vielmehr liegt die Konfrontation des Unternehmens mit datenschutzrechtlichen Vorgaben auf der Hand. Zahlreiche Publikationen beschäftigen sich daher speziell mit den Problemen rund um den sogenannten „Kundendatenschutz“.

II. Adressdatenhandel & Nutzung zu Werbezwecken

Der Adressdatenhandel ist ein wichtiges Instrument für eine Werbewirtschaft, die einen Großteil ihrer Kundenkontakte dem Direktmarketing verdankt. So flossen allein 2007 ca. 11,5 Milliarden Euro in adressierte Werbesendungen. 46 Prozent der Ausgaben entfielen auf den Handel, 44 Prozent auf die Dienstleistungsbranche. Der Bundesverband des Deutschen Versandhandels e. V. bezeichnet die Nutzung fremder Adressdaten sogar als für „weite Teile der Wirtschaft überlebensnotwendig, um den natürlichen Kundenschwund aufzufangen und neue Kunden gezielt über das eigene Produktangebot zu informieren“.

Hinsichtlich der Direktwerbung an sogenannte Kaltadressen, d. h. an solche Telefon- und Telefaxnummern bzw. an Anschlussinhaber, die mit dem Werbenden nicht in einer geschäftlichen Beziehung stehen bzw. für eine derartige Ansprache keine Einwilligung erteilt haben, sind neben den Bestimmungen des BDSG auch die Bestimmungen des Gesetzes gegen den Unlauteren Wettbewerb (UWG) zu beachten.

Im Bereich der Werbung sollte das BDSG daher niemals isoliert und ohne Blick auf das UWG betrachtet werden. Denn eine Erlaubnis zur Erhebung von Adressen eines Kunden ist wenig wert, wenn das Unternehmen diese dann doch nicht anschreiben oder anrufen darf. BDSG und UWG verfolgen unterschiedliche Zwecke, die in der Werbung kumulieren. Das BDSG schützt nach § 1 Abs. 1 BDSG das informationelle Selbstbestimmungsrecht des Betroffenen. Es ist das Recht des Einzelnen, selbst darüber zu bestimmen, wer von seinen persönlichen Daten Kenntnis hat und sie nutzt. Datenschutz ist damit präventiver Natur. Das UWG hingegen schützt den lauteren Wettbewerb und – flankierend dazu – den Einzelnen vor Belästigung. Es ist das Recht des Einzelnen, allein gelassen zu werden, also Privatsphärenschutz, auch vor dem Werbefax, der Werbe-E-Mail oder dem Werbeanruf. Der Schutz des Wettbewerbsrechts ist daher defensiv.

Will ein Unternehmen personenbezogene Daten verarbeiten und zu Werbezwecken nutzen, so ist sowohl die datenschutzrechtliche als auch die wettbewerbsrechtliche Zulässigkeit zu prüfen.

III. Erhebung und Verarbeitung besonderer Arten von personenbezogenen Daten

Besonderen Arten personenbezogener Daten wird ein besonderer Schutz durch das Gesetz zuteil. So hat eine Verarbeitung besonders sensitiver Daten grundsätzlich zu unterbleiben. Hiervon sind indes zahlreiche Ausnahmen zugelassen.

IV. Datenschutz im Internet

Bei der Nutzung des Internets in seinen zahlreichen Ausgestaltungsformen (vom klassischen Surfen zur Informationsbeschaffung, dem Online-Kauf oder aktuellen Web-2.0-Anwendungen etc.) hinterlässt der Nutzer eine Vielzahl von Spuren im Netz. Die Möglichkeiten, die das Internet für seine Nutzer eröffnet, sind mannigfaltig, ebenso sind es die im Rahmen der Internetnutzung zu beachtenden datenschutzrechtlichen Problemstellungen.

V. Datenschutz im Medienbereich

Es liegt auf der Hand, dass der Datenschutz und das durch ihn geschützte Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) mit den Kommunikationsgrundrechten (Art. 5 Abs. 1 GG) in einem Spannungsverhältnis steht. Ent-sprechendes gilt für die auf Ebene des Rechts der Europäischen Union geltenden Grundrechte und Grundfreiheiten. Die Informationsgesellschaft, einschließlich der durch sie ermöglichten Medienlandschaft haben in demokratischen Gesellschaften zwar eine konstitutive Bedeutung und stellen wichtige wie auch notwendige Pfeiler der Freiheit zur Entfaltung der Persönlichkeit dar. Jedoch liegt in ihnen zugleich eine zumindest potenzielle Bedrohung für den Einzelnen durch Eingriffe in sein Persönlichkeitsrecht und seine Privatsphäre. Hier gilt aber das sog. Medienprivileg (§ 41 Abs. 1 BDSG), nach dem für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken besondere Regelungen zur Anwendung gelangen.

VI. Informationsrechte, Löschungs-, Berichtigungs- und Benachrichtigungspflichten

Schon Art. 8 der Charta der Europäischen Grundrechte normiert in seinem Abs. 2, dass jede Person das Recht hat, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Das Auskunftsrecht stellt damit ein zentrales Element der individuellen Datenschutzrechte dar: Nur wer weiß, wer welche personenbezogenen Daten über seine Person gespeichert hat, kann seine Rechte auf Korrektur, Löschung oder Sperrung falscher oder fehlerhafter Daten durchsetzen und einer ungehinderten Datenverwendung wirksam entgegentreten. Dementsprechend normieren zahlreiche spezialgesetzliche Vorschriften, umfassende Auskunftsansprüche des Betroffenen mit Blick auf die über seine Person gespeicherten personenbezogenen Daten.

VII. Auftragsdatenverarbeitung

Die automatisierte Datenverarbeitung wird häufig nicht von der für die Aufgabenerfüllung zu-ständigen Stelle selbst erledigt, sondern extern vergeben. Die mit derartigen Outsourcing-Maßnahmen verbundene Flexibilität kann – jedenfalls dort, wo im Rahmen einer solchen Maßnahme auch personenbezogene Daten verarbeitet werden – datenschutzrechtlich problematisch sein.

VIII. Mitarbeiterdatenschutz

Vor allem im Jahr 2009 hat der Datenschutz dabei erheblich an Bedeutung gewonnen. Nachdem das gesamte Ausmaß der massiven, unzulässigen Überwachung von Beschäftigten und Außenstehenden bei der Deutschen Bahn bekannt geworden war, trat der Vorstandsvorsitzende des Unternehmens zurück. Nach Abschluss der Überprüfung des „Datenskandals“ bei der Deutschen Bahn verhängte der Berliner Datenschutzbeauftragte als zuständige Behörde ein Rekordbußgeld in Höhe von 1.123.503,50 Euro gegen das Unternehmen. Fragen des Beschäftigten- oder Arbeitnehmerschutzes gewinnen damit zunehmend an Bedeutung. Schwierigkeiten treten oft im Zusammenhang mit sogenannten Compliance-Verfahren oder im Bereich der Korruptionsbekämpfung auf.

IX. Datenex- und import

Die fortschreitende Globalisierung des Wirtschaftslebens und die damit einhergehende zunehmende Vernetzung von Informationen und technischen Kommunikationssystemen erfordert Regelungen zum Schutz des Persönlichkeitsrechts derjenigen, die von grenzüberschreitenden Informations- und Datenflüssen betroffen sind. Praktisch häufig kann es z. B. vorkommen, dass die Personalabteilung einer Konzernmuttergesellschaft ihren Sitz im Ausland hat und Daten des bei einer Inlandsniederlassung eingestellten oder angestellten Personals an die Unternehmenszentrale weitergeleitet werden. Für besondere öffentliche Aufmerksamkeit hat die Übermittlung von Fluggastdaten an US-amerikanische Sicherheitsbehörden im Gefolge der Terroranschläge vom 11. September 2001 gesorgt. Zu einem Datentransfer ins Ausland kommt es aber auch dann regelmäßig, wenn Reisedaten von Touristen durch das Reisebüro an die im Ausland ansässigen Leistungserbringer wie z. B. Hotels oder Autovermietungen weitergegeben werden. In all diesen Fällen ist zu besorgen, dass die übermittelten Daten mit der notwendigen Sensibilität behandelt werden, denn längst nicht alle Staaten der Erde verfügen über eine Datenschutzgesetzgebung, und selbst wenn dies der Fall ist, heißt das nicht zugleich, dass dort ein Schutzniveau sichergestellt ist, welches hier als üblich angesehen wird. Umgekehrt stellt sich die Frage, wie mit Daten umzugehen ist, die im Ausland in einer Weise erhoben oder verarbeitet wurden, die mit hiesigen Rechtsvorstellungen nicht oder nur schwer vereinbar sind, und anschließend nach Deutschland transferiert werden.

Die Übermittlung von Daten an Stellen im Ausland, welche nicht dem EU-/EWR-Binnenraum zuzuordnen sind – in der Regel als "Drittländer" bezeichnet –, und die auch nicht ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Union fallen, ist dabei in der Regel besonders problematisch. Hier können beispielsweise vertragliche Regelungen Abhilfe schaffen. Dies hat vor allem Bedeutung für international agierende Unternehmen, deren Niederlassungen sich zum Teil außerhalb des Gebietes der Europäischen Union befinden, ist aber nicht auf diese beschränkt. Die vertragliche Lösung muss die Grundsätze der Datenschutzrichtlinie beachten, insbesondere die Zweckbindung der Datenübermittlung und die Einräumung von Rechten für die Betroffenen. Gewährleistet sein muss, dass die Rechtsordnung des Staates, in welchem sich die Empfängerstelle befindet, die vertraglichen Bestimmungen als formell wirksam ansieht. Aufgrund der praktischen Schwierigkeiten und um die Rechtsanwendung zu erleichtern, hat die EU-Kommission von ihrer Möglichkeit nach Art. 26 Abs. 4 RiL 95/46/EG Gebrauch gemacht und sogenannte "Standardvertragsklauseln" entwickelt, die sie in förmlichen Entscheidungen veröffentlicht hat. Ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte im Sinne des § 4c Abs. 2 Satz 1 BDSG, können auch durch verbindliche Unternehmensregelungen (sogenannte "Binding Corporate Rules") hergestellt werden. Aufgrund fehlender Verbindlichkeit sind reine Wohlverhaltenserklärungen (sogenannte "Codes of Conduct") nicht hinreichend. Auch für verbindliche Unternehmensregelungen gilt, dass die wesentlichen Grundprinzipien der Datenschutzrichtlinie gewährleistet sein müssen.