Was bedeuten Datenschutz und Datensicherheit?
Unter Datenschutz ist die gesetzliche Verpflichtung der Daten verarbeitenden Stelle zu verstehen, mit personenbezogenen Daten nur auf die zugelassene Art und Weise umzugehen. Dahinter steht die Verpflichtung des Grundgesetzes, dass der Staat die Persönlichkeit und damit den Menschen, seine Individualität und Freiheit schützen soll.
Die Datensicherheit befasst sich demgegenüber vor allem mit den technischen und organisatorischen Maßnahmen, die nötig sind, um Daten verfügbar zu halten, d.h. vor dem Zugriff Unberechtigter oder gar vor Verlust, aber auch vor Veränderung zu schützen. Gegenstand dieser Maßnahmen können natürlich neben allgemein bekannten, dennoch wertvollen Daten, Geheimnisse, einschließlich Geschäfts- und Betriebsgeheimnisse, aber auch persönliche sowie die personenbezogenen Daten sein.
Wo ist der Datenschutz geregelt?
Am bekanntesten dürfte das Bundesdatenschutzgesetz (BDSG) aus dem Jahre 1977 sein, das zuletzt im September 2009 eine umfassende Reform erfahren hat. Diese Änderungen werden auch als Datenschutznovellen I und II bezeichnet. Es handelt sich um ein Bundesgesetz, das sich einerseits an den Staat, d.h. sämtliche öffentlichen Stellen des Bundes und der Länder richtet. Andererseits enthält es die Regelungen zum Datenschutz für jedermann und insbesondere auch für die Privatwirtschaft. Daneben gelten die Landesdatenschutzgesetze der Bundesländer, die sich an öffentlichen Stellen der jeweiligen Länder richten (vgl. etwa § 1 DSG NRW).
Weiterhin sind für bestimmte “Gefahrenbereiche” eine Vielzahl von Datenschutzvorschriften in die Gesetze eingefügt. Für den Bereich der Telekommunikation finden sich in den §§ 88 ff TKG oder für den Bereich Internet, nämlich die Telemediendienste, in den §§ 11-15a TMG Vorschriften zum Datenschutz. Ähnliches gibt es für den Gesundheitsbereich oder auch den Bereich der Sozial- und Finanzdatenverarbeitung (sogenannten bereichsspezifische Vorschriften zum Datenschutz).
Die Grundlagen für den gesamten Datenschutz finden sich jedoch in der Verfassung, dem Grundgesetz. Art. 1 und Art. 2 GG schützen die allgemeine Handlungsfreiheit sowie die Person als solche. Daraus hat das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung abgeleitet (Volkszählungsurteil). Aus Artikel 10 GG folgt der Schutz des Fernmeldegeheimnisses. Auch das Postgeheimnis ist dort geregelt – E-Mail fällt jedoch bislang nicht unter das Postgeheimnis. Mit der Entscheidung vom 27. Februar 2008 zur Onlinedurchsuchung hat das Bundesverfassungsgesetz weiterhin eine Art Computergrundrecht geschaffen, nämlich das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (vgl. unsere Beiträge vom27.02.2008 und vom 29.02.2008 ).
Was sind personenbezogene Daten?
Der Begriff ist im Gesetz ausdrücklich definiert: Personenbezogene Daten „sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (§ 3 Abs. 1 BDSG). Das sind in der Regel Vor- und Zuname, Anschrift, Geburtsdatum, Telefon- und Faxnummern, Bankverbindungs- und Personaldaten oder auch sozialversicherungsrechtliche Kennziffern und Daten.
Im Medien- und Kommunikationszeitalter gehören natürlich noch eine Vielzahl weiterer Daten dazu:
- E-Mail-Adresse
- Mobilfunkadresse
- private Internetseite
- Account- und Zugangsdaten bzw. digitale ID’s
In diesem Zusammenhang besteht häufig eine erhebliche Unsicherheit darüber, ob ein Datum zu den personenbezogenen Daten zu zählen ist oder. Dann muss, so hat es der Gesetzgeber vorgesehen, für jeden Einzelfall rechtlich geprüft werden, ob eine Zuordnung zu einer natürlichen Person gegeben ist oder nicht. Für die IP-Adresse haben das etwa die Landesdatenschutzbehörden so entschieden, obwohl einige Gerichte dies mitunter anders beurteilt haben.
Wer ist verantwortliche Stelle?
Diese Fragestellung ist aus zwei Perspektiven heraus zu stellen und zu beantworten.
Stellt sich ein Betroffener die Frage, ob eine öffentliche Stelle oder ein Unternehmen zurecht seine Daten speichert, nutzt, weitergibt oder sonst wie verarbeitet, so kann er versuchen, über die Anbieterkennzeichnung oder die Datenschutzbelehrung die verantwortliche Stelle in Erfahrung zu bringen.
Die Daten verarbeitende Stelle wird der Frage nach der verantwortlichen Stelle nachgehen, wenn Verarbeitungsprozesse ausgelagert bzw. Dienstleister beauftragt wurden. Denn dann muss entschieden werden, wer für die Einhaltung der datenschutzrechtlichen Vorgaben zu sorgen hat.
Ich habe die Verarbeitung ausgelagert, wer ist dann verantwortlich für den Datenschutz?
Die Grundidee des BDSG beantwortet diese Frage dahingehend, dass auch die Auslagerung von Datenverarbeitungsprozessen zu keiner Verlagerung der Verantwortlichkeit führt. Nach Lesart des BDSG nennt sich dieser Vorgang Auftragsdatenverarbeitung und die Details hierzu sind im § 11 BDSG geregelt. Danach hat die verantwortliche Stelle den Dienstleister sorgfältig auszuwählen, sodann datenschutzrechtlich korrekt zu verpflichten und im weiteren Verlauf auch zu überwachen bzw. zu kontrollieren. All dies muss in einem schriftlichen (!) Vertrag über die Auftragsdatenverarbeitung festgelegt werden.
Internet und Datenschutz – wie vertragen sich diese beiden Welten?
Im Grundsatz lässt sich sagen: Zwei unvereinbare Welten krachen aufeinander! Das Internet stellt datentechnisch betrachtet nichts anderes dar, als eine riesige Quelle von Daten, die sekündlich und über alle Grenzen hinweg ausgetauscht werden. Das Internet interessiert sich nicht für die Grenzen von Ländern oder die dort jeweils geltenden gesetzlichen Bestimmungen. Zudem ist das Internet technisch so konstruiert, dass es ausfallende Knotenpunkte umgehen kann und soll.
Der Datenschutz soll demgegenüber, siehe oben, die natürliche Person davor schützen, dass sie kontrolliert, überwacht bzw. lediglich als Profil, als Typ oder “Datenklasse”, wahrgenommen bzw. darauf reduziert wird. Dies verstößt gegen die Grundrechte, dies verstößt gegen das Menschenrecht, den Schutz der Persönlichkeit als Individuum. Darin sind sich die europäischen Rechtsordnungen als auch die Unterzeichner der Menschenrechtskonventionen im Grundsatz einig. Strittig sind jedoch viele Detailregelungen, etwa wie sich der Datenschutz auf die Nutzung des Internets, insbesondere die Web 2.0 Techniken auswirken soll.
Datenschutz für den klassischen Internetauftritt?
Das deutsche Recht schreibt mit der Grundregeln des § 13 Abs. 2 TMG vor, dass der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten hat. Außerdem hat er den Nutzer über die Verarbeitung seiner Daten in Staaten außerhalb der EU (im weiteren Sinne) zu informieren.
Diese sehr strenge Vorgabe wurde von einigen Gerichten auch konsequent angewendet und führte dazu, dass Tunnelseiten vorzuschalten waren.
In der Regel wird aktuell der gesetzlichen Anforderungen dadurch entsprochen, dass eine Datenschutzerklärung auf dem Internetauftritt zum Abruf bereit gehalten wird. Allerdings muss diese den oben genannten gesetzlichen Anforderungen entsprechen. Das ist beispielsweise nicht der Fall, wenn die Unterschiede nicht bedacht und der eine vom anderen – falsch – abschreibt.
Wann liegt eine Rechtsverletzung vor?
Die Erhebung, Speicherung oder Weitergabe von personenbezogenen Daten ist nur erlaubt, wenn das Gesetz dies zulässt oder aber der Betroffene wirksam eingewilligt hat. Verstößt ein Unternehmen dagegen, hat der Betroffene verschiedene Rechtsansprüche.
Wird im Rahmen eines Newsletterformulars etwa auch die Handynummer oder die private Anschrift abgefragt, ohne dass der Nutzer darüber informiert wird, zu welchen Zwecken diese Daten erhoben und an welche Stellen sie möglicherweise weitergeleitet werden, so stellt dies eine Datenschutzverletzung dar.
Eine unangeforderte Werbe-E-Mail an einen personalisierten E-Mail-Account, stellt eine Datenschutzverletzung dar.
Die Verwendung sogenannter Social-Media-Schaltflächen, die über eine im Hintergrund ablaufende Scriptingfunktion verfügen und etwa Daten austauschen, ohne dass dies dem Besucher vorab mitgeteilt wird, verstößt gleichfalls gegen den Datenschutz.
Kundenstammdaten innerhalb eines Konzerns oder innerhalb sogenannter Werbenetzwerke oder Werbepartnerschaften weiterzugeben, ohne zuvor die Zustimmung des Betroffenen einzuholen, stellt gleichfalls eine Datenschutzverletzung dar.
Personenbezogene Daten in die Cloud zu verlagern, ohne dass der Betroffene zuvor belehrt, informiert und sodann zugestimmt hat, stellt gleichfalls eine solche Rechtsverletzung dar.
Die Fall-Liste lässt sich beliebig verlängern.
Folgen einer Rechtsverletzung?
Es stellt sich daher aus unternehmerischer Sicht häufig die Frage nach den Konsequenzen einer Rechtsverletzung. Neben dem Reputationsverlust, der je nach Branche – etwa im Bankenbereich – den größten Schaden darstellen kann, drohen vor allem Ordnungswidrigkeiten- bzw. Strafverfahren, Aufsichtsverfahren durch die Landes- und Bundesbehörden, zivilrechtliche Inanspruchnahmen durch die Betroffenen selbst und Abmahnverfahren durch Mitbewerber sowie hierzu berechtigten Vereinigungen. Das können Verbraucherschutzvereine sein, die etwa im Verhältnis zu Facebook Inc. und Google Inc. aktiv geworden sind. Das können aber auch Vereinigungen zum Schutz des lauteren Wettbewerbs sein. Schließlich ist an die internen Umstellungsprozesse zu denken, die Kosten verursachen und Ressourcen binden.
Wie teuer kann ein solcher Fall werden?
Im Bankenbereich wurden etwa wegen Targeting-Marketingmaßnahmen Bußgelder von über 1 Million EUR verhängt. Wettbewerbsrechtliche Abmahnverfahren können Kosten von rund 2.000 EUR verursachen. Aufgrund der gestiegenen Sensibilität aller Beteiligten werden die “Tarife” im Zweifel immer höher ausfallen.