Datenschutzrecht

Das Datenschutzrecht ist ständig im öffentlichen Fokus und entwickelt sich schnell weiter.

In erster Linie geht es im Datenschutzrecht um den Schutz der Privatsphäre des Einzelnen und das Recht auf informationelle Selbstbestimmung.
Durch die elektronische Datenverarbeitung, insbesondere durch das Internet, werden heutzutage personenbezogene Daten – oft ohne Wissen der Nutzer – massenhaft gesammelt, gespeichert und verarbeitet. Firmen, Internetshops und andere datenverarbeitende Stellen haben verschiedene Datenschutzvorschriften, wie z.B. das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) zu beachten.

Worum geht es im Detail nun im Datenschutzrecht?
Wichtigster Anknüpfungspunkt im Datenschutzrecht sind die personenbezogenen Daten. Es handelt sich hierbei um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), Damit wurde für die Definition ein weiter Begriff gewählt, um möglichst alles was Schutz verdient zu erfassen. Darunter fallen zum Beispiel Name, Alter, Gesundheitsdaten, charakterliche Eigenschaften und Qualifikationen.
Auch bei IP-Adressen, einschließlich den dynamischen handelt es sich nach herrschender Meinung um personenbezogene Daten. Dabei ist insbesondere streitig ob es für die Bestimmbarkeit ausreicht, dass ein Dritter, nämlich der Access-Provider (Internetdiensteanbieter) über das nötige Technik und das nötige Fachwissen verfügt um den Anschlussinhaber hinter der IP-Adresse zu ermitteln, welche für den Websitebetreiber erst einmal nur eine Folge von Ziffern (und Buchstaben bei IPv6) darstellt. Hier sollte aufgrund der uneinheitlichen Meinungen in Rechtsprechung und Literatur eine IP-Adresse besser als personenbezogenes Datum eingestuft zu werden um datenschutz- und eventuell wettbewerbsrechtliche Sanktionen zu vermeiden.
Es kommt beim Datenschutz nicht darauf an, ob es sich um empfindliche Daten handelt, denn auch solche Daten, welche vermeintlich noch so trivial erscheinen mögen, sind unter Beachtung der Tatsache, dass eine Verknüpfung aller auffindbaren Daten zu komplexen Persönlichkeitsprofilen mit moderner Technik ohne weiteres möglich ist, keine belanglosen Daten und daher geschützt. Dennoch werden im BDSG bestimmte Daten einem besonderen Schutzregime unterworfen, nämlich solche über die rassische und ethnische Herkunft, religiöse oder philosophische Überzeugungen, Gesundheit, Gewerkschaftszugehörigkeit und Sexualleben. Für diese Daten gelten noch einmal strengere Anforderungen.

Öffentliche und nicht öffentliche Stellen
Das Datenschutzrecht unterscheidet zwischen öffentlichen und nicht öffentlichen Stellen. Öffentliche Stelle sind vor allem Behörden. Nicht-öffentliche Stellen dagegen sind natürliche Personen und juristische Personen des Privatrechts, also insbesondere Unternehmen, die personenbezogene Daten verarbeiten. Diese Personen oder Unternehmen sind sogenannte verantwortliche Stelle. Hierbei geht das Gesetz von einer juristischen Perspektive aus, wonach in einem Konzern alle Gesellschaften einzeln zu betrachten sind. Stelle ist nun jede verantwortliche Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies im Rahmen des Auftragsdatenverarbeitung durch eine andere Stellen vornehmen lässt.
Der Empfänger ist dann jede Person oder Stelle, die diese Daten erhält. So auch die Arbeitnehmer bei einem Unternehmen, welches personenbezogene Daten erhebt. Dritter dagegen ist dagegen jede Person oder Stelle außerhalb dieser verantwortlichen Stelle. Auch die Konzernunternehmen sind zueinander Dritte, wenn die juristisch selbstständig sind.

Die Datenerhebung
Erhebung von Daten meint dass Beschaffen von Daten über den Betroffenen.
Es muss gezielt erfolgen und nicht lediglich zufällige Folge eines anderen Geschäftsvorgangs sein. Der Begriff des Beschaffens ist weit zu interpretieren.
Datenverarbeitung meint in erster Linie die Speicherung. Es geht um das Erfassen, Aufnehmen und Aufbewahren personenbezogener Daten auf einem Datenträger mit dem Zweck ihrer weiteren Verarbeitung oder Nutzung. Der Datenträger ist ein weit auszulegender Begriff und reicht von Papier bis hin zu allen modernen Speichertechnologien.
Nutzen ist die Auswertung der erhobenen und verarbeiteten Daten ihre Weitergabe innerhalb der verantwortlichen Stelle.
Das Datenschutzrecht ist so konzipiert, dass jede Verwendung personenbezogener Daten vom Grundsatz her verboten ist.
Es muss also eine Ausnahme vorliegen. Eine solche liegt in den Rechtsvorschriften des BDSG und in anderen Gesetzen, sowie in der wichtigsten Ausnahme, der Einwilligung des Betroffenen. Die Einwilligung muss ausdrücklich eine freie Entscheidung des Betroffenen sein. Sie ist grundsätzlich schriftlich zu erteilen, kann aber auch in AGB erteilt werden. Dann müssen allerdings besondere Anforderungen erfüllt sein.
Im Datenschutzrecht gilt zudem der Grundsatz der Datenvermeidung und Datensparsamkeit. Dadurch sollen die Gefahren für die informationelle Selbstbestimmung von Anfang an minimiert werden. Sofern möglich sind Daten außerdem pseudonymisiert oder anonymisiert zu erheben.
Es ist untersagt Daten unbefugt zu verarbeiten. Dieses sogenannte Datengeheimnis ist unbedingt zu beachten bei der internen Organisation von Unternehmen.
Betroffene sind über die Datenverarbeitung zu unterrichten und haben Auskunftsansprüche und Berichtigungsansprüche. Unter Umständen können sogar Schadensersatzansprüche gegeben sein.

Automatisierte Datenverarbeitung
Besondere Vorsicht ist bei Verfahren automatisierter Datenverarbeitung walten zu lassen.
Hier sind unter Umständen Meldepflichten bei den Datenschutzbehörden zu beachten. Zudem sind an die Datensicherheit hohe Anforderungen zu stellen. Ebenso darf Videoüberwachung nicht auf die leichte Schulter genommen werden. Sie ist nur in engen Grenzen zulässig.
Das Beobachten öffentlich zugänglicher Räume per Videoüberwachung nur zulässig, soweit es zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist. Allerdings dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person, die von der Kamera erfasst wird, überwiegen. Die Überwachung ist an zahlreiche Pflichten gebunden. Insbesondere bestehen eine Hinweis- und Dokumentationsplicht, sowie eine Pflicht zu Löschung.
Outsourcing ist ein wichtiges Thema moderner Wirtschaft. Hierbei wird auch häufig die Verarbeitung personenbezogener Daten in die Hände externer Dienstleister gelegt. Hierbei haftet der Auftraggeber für Schäden die durch die Datenverarbeitung des externen Unternehmens entstehen. Er hat sicherstellen, dass die Daten nur im Rahmen der Weisungen des Auftraggebers erhoben werden.
Immer wichtiger wird auch die Datenübermittlung in das Ausland. Während dies innerhalb der EU relativ unproblematisch ist aufgrund europäischer Gesetzgebung die zu einem einheitlichen Datenschutzniveau führt, ist dies bei Drittländern sehr viel schwieriger. Lediglich für die Schweiz und für Kanada hat die EU-Kommission in Art. ein vergleichbares Schutzniveau festgestellt. Für alle anderen Drittstaaten ist das Datenschutzniveau kaum zu überblicken weshalb Ausnahmen vom Datenschutzniveau geregelt sind. Datenübermittlung in Drittstaaten liegt schon dann vor, wenn Cloudspeicher bekannter Dienstleister wie Dropbox und ähnliche zur Datensicherung von Kundendaten genutzt werden. Derartiges sollte im Zweifel stets vermieden werden. Unter Umständen würde dadurchh sogar der Tatbestand der Verletzung von Privatgeheimnissen gemäß § 203 StGB erfüllt.

Datenschutz und Social Media
Wegen der rasanten technischen Entwicklung ist in vielen Bereichen, wie etwa bei Social-Media, oft für längere Zeiträume unklar oder rechtlich umstritten, wie datenschutzrechtliche Normen auszulegen sind. So ist es bislang umstritten, ob die Verletzung datenschutzrechtlicher Aufklärungspflichten bei sozialen Netzwerken wettbewerbsrechtliche Ansprüche unter Mitbewerbern begründen kann.
Für Stellen, die regelmäßig Daten erheben und verarbeiten, ist ab einer gewissen Anzahl von Mitarbeitern die Bestellung eines Datenschutzbeauftragten erforderlich. Hierbei sind vielfältige Anforderungen zu beachten.

Wir, die Anwaltskanzlei Kim in Münster und Berlin, bieten Unternehmen und Selbständigen kompetente und umfängliche Beratung zum Thema Datenschutz.