Inhalt
Zielformulierung 6
1 Entwicklung und Grundprinzipien des Datenschutzes 8
1.1 Die Entwicklung des Datenschutzrechts 8
1.2 Grundprinzipien des Datenschutzes 9
1.2.1 Datenvermeidung und -sparsamkeit 10
1.2.2 Systemdatenschutz 10
1.2.3 Identitätsmanagement 10
1.2.4 Zweckbindung 11
1.2.5 Einwilligung, Freiwilligkeit 11
2 Grundlagen des Datenschutzrechts 13
2.1 Gute Gründe für den Datenschutz 13
2.1.1 Datenschutz als Ausdruck der Menschenwürde 13
2.1.2 Datenschutz als Marketingargument 13
2.1.3 Datenschutz als Voraussetzung netzbasierter Geschäftsmodelle 14
2.1.4 Datenschutz als Karrierefaktor 14
2.2 Rechtsgrundlagen 15
2.2.1 Internationale Regelungen 15
2.2.2 Nationale Regelungen 15
2.3 Systematik und Abgrenzung der Datenschutzregelungen 16
2.3.1 Bundes- und Landesgesetze 16
2.3.2 Allgemeine und bereichsspezifische Regelungen 17
2.3.2.1 Abgrenzung im Verhältnis zum BDSG 17
2.3.2.2 Telekommunikation und Telemedien 18
2.3.2.3 Abgrenzung zu Geheimnisschutznormen 20
2.3.3 Aufbau des BDSG 21
2.3.3.1 Allgemeiner Teil 21
2.3.3.2 Regelungen für den öffentlichen Bereich 22 2.3.3.3 Regelungen für den nichtöffentlichen Bereich 22
2.3.4 Terminologie des Datenschutzrechts 22
2.3.4.1 Personenbezogene Daten 22
2.3.4.2 Anonymisieren und Pseudonymisieren 25
2.3.4.3 Erhebung 27
2.3.4.4 Verarbeitung 27
2.3.4.5 Nutzung 28
2.3.4.6 Dateien, Akten und Datenverarbeitungsanlagen 28
2.3.4.7 Verantwortliche Stelle 29
2.3.4.8 Datenschutz und Datensicherheit 30
2.3.5 Erlaubnis durch Einwilligung 31
3 Grundzüge des Umgangs mit personenbezogenen Daten 34 3.1 Grundsätzliches Verbot und Beschreibung der Ausnahmen 34 3.2 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
für eigene Zwecke 34
3.2.1 Allgemein zugängliche Daten 34
3.2.2 Zum Zweck der Vertragsabwicklung 35
3.2.3 Anderweitige Erhebung, Speicherung, Veränderung und
Nutzung 35 3.2.4 Besondere Arten von personenbezogenen Daten 36
3.3 Zulässigkeit der geschäftsmäßigen Datenverarbeitung,
-speicherung und -veränderung 36
3.4 Zulässigkeit der Datenübermittlung 37
3.4.1 Übermittlung von Daten an Dritte für eigene Zwecke 37
3.4.2 Geschäftsmäßige Datenübermittlung 38
3.4.3 Übermittlung von Daten ins Ausland 39
3.5 Nutzung zur werblichen Ansprache 40
3.5.1 „Opt-in“- und „Opt-out“-Prinzip 40
3.5.2 Flankierende Regelungen des Wettbewerbsrechts 40
3.6 Löschung der Daten 41
4 Verantwortlichkeit bei der Auftragsdatenverarbeitung 42 4.1 Die Vorgaben des § 11 BDSG für das Outsourcing 42
4.2 Begrenzung durch Funktionsübertragung 44
5 Rechte der Betroffenen 46
5.1 Benachrichtigung 46
5.2 Widerruf der Einwilligung 46
5.3 Auskunft, Einsicht in das Verfahrensverzeichnis 46
5.4 Berichtigung 47
5.5 Sperrung 47
5.6 Löschung 49
6 Kontrolle der Aktivitäten und Sanktionen 50
6.1 Der betriebliche Datenschutzbeauftragte 50
6.1.1 Notwendigkeit der Bestellung 50
6.1.2 Vorabkontrolle 51
6.2 Rechtsstellung der Datenschutzaufsichtsbehörde 51
6.3 Datenschutzaudit 52
6.4 Sanktionen 53
6.4.1 Zivilrechtliche Haftung 53
6.4.2 Ordnungswidrigkeiten und Strafbarkeit 54
7 Datenschutz in Sonderbereichen 55
7.1 Datenschutz bei Banken und Versicherungen 55
7.1.1 Banken 55
7.1.1.1 Outsourcing 56
7.1.1.2 Online-Banking 57
7.1.2 Versicherungen 58
7.2 Datenschutz im öffentlichen Bereich 59
7.3 Datenschutz in den Medien 59
7.4 Datenschutz in Medizin und Forschung 60
Zusammenfassung 61
Übungsaufgaben 63
Lösungen 65
Literaturverzeichnis 69
Zielformulierung
Datenschutz spielt in der IT-Branche eine herausragende Rolle, denn im Kern geht es beim Datenschutz um den Einsatz von Technologie zur Nutzung von Informationen. Dabei haben Informationen in den letzten zehn Jahren einen ganz neuen Stellenwert gewonnen. Schon immer galt der Satz: „Wissen ist Macht.“ Heute bedeuten Informationen nicht nur Macht, sie sind auch zu einem bedeutenden Wirtschaftsgut geworden: Schließlich leben wir im „Informationszeitalter“.
Nicht überraschend ist es daher, dass der Umgang mit Informationen wie der Umgang mit anderen bedeutenden und sensiblen Gütern rechtlichen Einschränkungen und Regelungen unterworfen ist.
Jedes Entwicklungsprojekt in der IT muss diese rechtlichen Rahmenbedingungen schon in der Planungsphase berücksichtigen, um ein verwertbares Ergebnis zu erzielen. Aber auch bei der Durchführung von Verträgen über eine längere Laufzeit muss, wenn der darin beabsichtigte Umgang mit den Informationen auch rechtlich zulässig sein soll, der Datenschutz berücksichtigt werden. Ihr Ziel als Verantwortlicher für die Gestaltung, Verhandlung oder die Durchführung eines IT-Projekts sollte es sein, dafür zu sorgen, dass Verstöße gegen geltendes Recht ausgeschlossen sind.
Damit ist das wesentliche Ziel dieses Skriptums bereits grob umrissen. Sie sollen in die Lage versetzt werden, schon in der Planungsphase eines IT-Projekts beurteilen zu können, ob der beabsichtigte Umgang mit Informationen Probleme des Datenschutzes berührt und, wenn ja, wie diese vermieden werden können. Dazu ist es erforderlich, dass Sie beurteilen können, ob die verwendeten Informationen als personenbezogene Daten zu beurteilen sind. Nur dann ist auch der Datenschutz zu beachten. Werden Daten verarbeitet, die zu einem Bereich gehören, in dem eine besondere Verschwiegenheitspflicht besteht, können aber auch Informationen geschützt sein, die nicht als personenbezogene Daten zu qualifizieren sind. Hierzu gehören vor allem Informationen, die von Banken, Behörden oder von Ärzten, Rechtsanwälten und anderen zur Verschwiegenheit verpflichteten Berufsgruppen verwendet werden.
Zur Beurteilung der datenschutzrechtlichen Situation sollten Sie auch einen groben Überblick über die Ziele haben, die der Gesetzgeber bei der Formulierung des Gesetzestextes verfolgt hat. Diese Lektion macht Sie dazu mit den übergreifenden Prinzipien des Datenschutzes vertraut.
Nach diesem ersten Schritt werden Sie die verschiedenen Rechtsgrundlagen des Datenschutzes und die wichtigsten Gesetze mit ihrem Anwendungsbereich kennen lernen. Sie werden so in die Lage versetzt, das richtige Gesetz zu finden, das für Ihren „Fall“ einschlägig ist. Weiter wird Ihnen diese Lektion die
Struktur des Bundesdatenschutzgesetzes und die Fachbegriffe des Datenschutzes mit ihrem Inhalt nahe bringen.
Weiterhin werden Sie die wichtigsten Regeln für den Umgang mit Daten kennen lernen und einen Überblick über die Rechte der Betroffenen erhalten. Dazu sollten Sie auch wissen, welche Aufgaben der betriebliche Datenschutzbeauftragte hat und weshalb er in einem IT-Projekt von Bedeutung sein kann. Zur Abrundung des Bildes lernen Sie die Datenschutzaufsichtsbehörden und ihre Eingriffsmöglichkeiten kennen. Schließlich werden Sie die Folgen eines Verstoßes gegen den Datenschutz kennen lernen und mit dem Datenschutz in Sonderbereichen vertraut gemacht. Hierzu gehören auch die Banken und Versicherungen, bei denen Schutz von Informationen besonders strikt gehandhabt wird.
Am Ende der Lektion haben Sie Gelegenheit, sich eingehender mit dem Datenschutz beim Outsourcing vertraut zu machen.
1 Entwicklung und Grundprinzipien des Datenschutzes
1.1 Die Entwicklung des Datenschutzrechts
Das Datenschutzrecht ist eine sehr junge Rechtsmaterie, weil die Menschheit erst seit etwa 50 Jahren über die Möglichkeit verfügt, Informationen maschinell zu verarbeiten. Wie es auch erst mit der Entwicklung von Maschinen zur Bearbeitung von Werkstoffen notwendig wurde, die sich daraus ergebenden speziellen Probleme zu regeln, so wurde auch der Datenschutz erst als regelungsbedürftig erkannt, als es technisch möglich wurde, Informationen maschinell zu bearbeiten. Die neuen Möglichkeiten schufen nämlich auch Gefahren. So war es nun möglich, Informationen in gewaltigem Umfang zu speichern und wieder aufzufinden sowie in kürzester Zeit Informationen aufzubereiten und zusammenzuführen. Immer mehr Lebensäußerungen des Bürgers wurden erfasst und aufgezeichnet, um bei Bedarf die Daten zusammenzuführen und so ein umfassendes Bild von einer Person zu erhalten. Dieser Gefahr sollten die Datenschutzgesetze begegnen. Dementsprechend sind auch nicht nur besonders sensible Daten geschützt, sondern alle Daten, die Bezug zu einer Person aufweisen, sobald die Möglichkeit besteht, diese maschinell oder quasi maschinell zu verwenden.
Nicht die Art der Daten ist entscheidend, sondern die Möglichkeiten, Daten zu sammeln, aufzubereiten und zusammenzuführen.
Allerdings darf nicht aus den Augen verloren werden, dass sensible Daten schon immer einem besonderen Schutz unterlagen. Die ersten Regelungen über den Schutz von Informationen entstanden in Deutschland wohl mit dem Aufkommen des Bankwesens in der Mitte des 17. Jahrhunderts. Die Bank ist seit ihrer Entstehung nicht denkbar ohne das Bankgeheimnis, das den Bankier dazu verpflichtet, vor Dritten geheim zu halten, mit wem er Bankgeschäfte abwickelt und welchen Inhalt diese haben. Während ein Verstoß gegen das Bankgeheimnis in seinen Anfängen noch der Zeit entsprechend blutig mit dem Abhacken einer Hand bestraft wurde, müssen Sie heute keine so
drakonischen Strafen befürchten. Allerdings kann eine Verletzung des Datenschutzes heute mit bis zu zwei Jahren Haft geahndet werden. Im schlimmsten Falle wird eine solche Strafe also nicht einmal mehr zur Bewährung ausgesetzt.
Ebenso sind auch andere Berufsgruppen, die mit besonders sensiblen Informationen umgehen, ohne das ihnen eigene Berufsgeheimnis nicht denkbar. Informationen, die diesen Berufsgruppen bekannt werden, sind besonders geschützt, weil es sich um Informationen handelt, die üblicherweise nicht jedem bekannt werden sollen und daher besonders sensibel sind. Der Betroffene offenbart sich den Angehörigen dieser Berufe nur dann vorbehaltlos, wenn er sicher ist, dass seine Informationen nicht weiterverbreitet werden.
Spätestens seit dem „Volkszählungsurteil“ des BVerfG von 1983 hat sich die Überzeugung durchgesetzt, dass es keine belanglosen Daten gibt. Durch die Verknüpfung mit anderen Daten kann jede Information erhebliche Bedeutung erlangen, wenn auch nur als bloßes Bindeglied, das es erlaubt, zwei brisante Informationen zu verknüpfen oder mit einer bestimmten Person zu verbinden. Jede weitere Information kann die bisherige „Gleichung mit zwei Unbekannten“ damit lösbar machen.
Diese Erkenntnisse wuchsen in Deutschland gegen Ende der 60er-Jahre mit dem zunehmenden Interesse an der Stärkung der Bürgerrechte. Ausschlaggebend war auch die verstärkte und innovative Terrorfahndung Mitte der 70er-Jahre. Das BKA legte große Datensammlungen an, um beispielsweise die „Schleppnetzfahndung“ möglich zu machen. Dabei kamen auch immer wieder unbescholtene Bürger in das Visier der Polizeibehörden, sodass anfänglich vor allem eine Restriktion des Staates und seiner Behörden im Mittelpunkt des Interesses am Datenschutz stand.
Später wurden die Maschinen zur Bearbeitung von Informationen immer billiger in der Anschaffung und in der Bedienung, sodass auch private Stellen immer größere Datensammlungen anlegten. Einen weiteren Entwicklungssprung nahm die Datensammlung dann mit dem Internet und der damit einhergehenden Entwicklung von Geschäftsmodellen, die einzig und allein das Sammeln und Verbreiten von Informationen zur Aufgabe haben. Mittlerweile verfügt die Firma eBay nach eigenen Aussagen über eine der größten Datenbanken der Welt, die nur noch von wenigen staatlichen Datensammlungen übertroffen wird.
Entsprechend hat der Bundesbeauftragte für den Datenschutz, Peter Schaar, in letzter Zeit mehrfach klargestellt, dass die Überwachung der privaten Datensammler stärker als bisher berücksichtigt werden sollte.
1.2 Grundprinzipien des Datenschutzes
Zur Gewährleistung eines hohen Datenschutzniveaus wurden und werden verschiedene Grundprinzipien entwickelt, die gesetzesübergreifend zu beachten sind. Auch bei der Auslegung von Normen oder der grundsätzlichen Konzeption von IT-Projekten können Sie diese Grundprinzipien heranziehen.
Im Zweifel wird bei der Beurteilung der Zulässigkeit einer Maßnahme immer auch geprüft werden, ob den Grundprinzipien Genüge getan wurde. Insbesondere bei den Erlaubnistatbeständen, die auf einer Interessenabwägung beruhen, müssen Sie damit rechnen, dass eine Nichtbeachtung der Prinzipien den Ausschlag geben kann. Wenn Sie die Grundprinzipien des Datenschutzes umgesetzt haben, wird meist auch Ihr Vorhaben erlaubt sein, sodass eine Unzulässigkeit mit all ihren straf- und zivilrechtlichen Folgen vermieden werden kann.
1.2.1 Datenvermeidung und -sparsamkeit
Das Prinzip der Datensparsamkeit bedeutet, dass personenbezogene Daten möglichst sparsam einzusetzen sind. Die Datenvermeidung bezieht sich auf den möglichst weit reichenden Einsatz von Pseudonymen anstelle der Namen der Betroffenen. Wenn möglich, sollten Datensätze anonymisiert werden. Sie sollten grundsätzlich nur so wenige Daten erheben wie erforderlich sind, um die gesetzte Aufgabe erfüllen zu können. Zum Zweiten soll die Weitergabe von Daten vermieden werden und schließlich sollen Daten auch so bald wie möglich wieder gelöscht werden. Insbesondere Letzteres ist ein Vorgang, der einige Selbstdisziplin erfordert, da die Speicherung von Daten relativ einfach und kostengünstig ist, ihre Wiedergewinnung aber nicht.
Sie sind gehalten, möglichst wenige personenbezogene Daten zu verwenden. Soweit möglich, müssen Pseudonyme Verwendung finden oder Daten anonymisiert werden.
1.2.2 Systemdatenschutz
Das Prinzip des Systemdatenschutzes basiert auf der Überlegung, dass eine Risikovermeidung schon bei der technischen Konzeption ansetzt. So wie im Bereich der Produkthaftung schon bei der technischen Konzeption von Geräten Wert auf die Vermeidung von Risiken zu legen ist, sollen auch IT-Systeme und Verfahren so ausgelegt werden, dass Risiken für den Datenschutz wenn möglich vermieden werden. Dies beginnt mit einer hohen Datensicherheit von Hard- und Software und setzt sich fort mit einer möglichst schonenden Gestaltung von Datenverarbeitungsverfahren.
Technik und Prozesse zur Verarbeitung von personenbezogenen Daten sind schon bei ihrer Entwicklung so auszulegen, dass der Datenschutz angemessene Berücksichtigung findet.
1.2.3 Identitätsmanagement
Das Identitätsmanagement soll dem Nutzer von Datenverarbeitung ermöglichen, Pseudonyme einzusetzen. Je nach Kontext, in dem er sich befindet, können die verwendeten Pseudonyme mit einer unterschiedlich hohen Sicherheit gegen Zurechenbarkeit der mit ihnen verursachten Informationsspuren ausgestattet sein. Hierzu werden Programme genutzt bzw. sind zu entwickeln, die E-Mail Adressen, Log-in-Daten und Passwörter verwalten und damit eine problemlose Nutzung datenschutzfreundlicher Pseudonyme ermöglichen.
1.2.4 Zweckbindung
Im Datenschutzrecht gilt das strikte Gebot der Zweckbindung. Daten dürfen nur zu dem einzigen Zweck verwendet werden, zu dem sie einstmals erhoben wurden. Von besonderer Relevanz ist dies immer dann, wenn der Betroffene über die Erhebung seiner Daten informiert oder eine Einwilligung des Betroffenen eingeholt wird. Bei der Formulierung ist dann immer darauf zu achten, den Zweck der Erhebung bzw. Einwilligung so konkret wie möglich zu beschreiben, um nachträglich die Daten auch wirklich in der beabsichtigten Weise nutzen zu können.
Alle personenbezogenen Daten sind mit einem besonderen Zweck ihrer Speicherung oder Nutzung verbunden. Eine Verwendung zu anderen Zwecken ist unzulässig.
Gleichfalls ist jeder nachträglichen Änderung des Zwecks der Verarbeitung oder der Nutzung von personenbezogenen Daten eine strikte Absage zu erteilen. Auf diese Weise soll die Zusammenführung von Daten aus verschiedenen Quellen zu einem Persönlichkeitsbild verhindert werden. Damit muss klar sein, dass Daten nur so genutzt werden dürfen wie dies vorab bereits mitgeteilt wurde oder sich aus den Umständen der Datenerhebung ergab.
1.2.5 Einwilligung, Freiwilligkeit
Der Datenschutz tritt immer hinter einer Einwilligung des Betroffenen zurück. Der Betroffene kann grundsätzlich in jede datenschutzrechtlich relevante Verwertung seiner Daten einwilligen. Grenzen der Einwilligung, wie sie etwa für das Rechtsgut Leben anerkannt sind, existieren für die informationelle Selbstbestimmung nicht.
Das Rechtsgut Leben ist nicht disponibel. Es ist daher nicht möglich, in die eigene Tötung durch eine andere Person wirksam einzuwilligen. Hingegen ist das Rechtsgut informationelle Selbstbestimmung disponibel. Jedermann kann in die Nutzung seiner Daten in jeder denkbaren Weise einwilligen.
Allerdings sind besondere Formvorschriften für die datenschutzrechtliche Einwilligung zu beachten.
Denken Sie auch daran, dass eine Einwilligung unwirksam sein kann, wenn dem Betroffenen der Text der Einwilligungserklärung vorgegeben wird. Je umfangreicher die Einwilligung, desto wahrscheinlicher ist die Unwirksamkeit.
Gehen Sie bei der Einholung einer Einwilligung behutsam vor.
Stellt sich später heraus, dass sie nicht wirksam ist, kann dies das Ende der Verarbeitung der Daten bedeuten.
Schließlich gilt auch das Prinzip der „informierten Einwilligung“. Das bedeutet, dass der Betroffene über den Inhalt und die Folgen seiner Einwilligungserklärung zu informieren ist. Ist dies nicht der Fall, kann die Einwilligungserklärung ebenfalls unwirksam sein.
2 Grundlagen des Datenschutzrechts
2.1 Gute Gründe für den Datenschutz
2.1.1 Datenschutz als Ausdruck der Menschenwürde
Das Bundesverfassungsgericht hat in mehreren Urteilen den Begriff des „informationellen Selbstbestimmungsrechts“ geformt und bestätigt. Die Entfaltung und Entwicklung der menschlichen Persönlichkeit setzt voraus, dass ein Individuum selbst bestimmt, welches Verhalten es annehmen möchte, um zu beeinflussen, wie es von seiner Umwelt wahrgenommen wird. Die Ausbildung von Individualität setzt voraus, dass Verhalten auch einmal spielerisch ausprobiert werden kann. Der oft erhobene Einwand, dass „man ja nichts zu verbergen habe“, ist nur bedingt richtig, da jeder Mensch Geheimnisse hat, die er auch seinen engsten Vertrauten nicht offenbaren möchte. Wenn aber das Vertrauen verloren geht, dass diese Geheimnisse gewahrt bleiben, weil eine Speicherung und Auswertung durch einen unbekannten Personenkreis jederzeit erfolgen kann, so besteht die Gefahr, dass bestimmte Verhaltensweisen nicht im geschützten Rahmen ausgelebt werden, sondern ganz unterbleiben.
Notwendig ist es auch, die Möglichkeit zu erhalten, sein Verhalten und seine Persönlichkeit je nach Situation zu verändern. Diese Möglichkeit zur Veränderung bzw. die Wahrnehmung einer solchen Veränderung ist eingeschränkt, wenn Dritten ein umfassendes Persönlichkeitsprofil vorliegt. Daher ist es dem Bürger zu gewährleisten, grundsätzlich selbst bestimmen zu können, welche Daten über ihn gespeichert und genutzt werden.
Die Gewissheit, dass es einen privaten, vor den Augen Dritter verborgenen Lebensbereich gibt, ist eine Grundvoraussetzung für die freie Entfaltung der Persönlichkeit des Menschen. Schon das Bestehen des bloßen Risikos, dass eine Lebensäußerung aufgezeichnet und bei Bedarf wieder verwendet werden kann, genügt, um ein angepasstes Verhalten des Menschen hervorzurufen. Es liegt auf der Hand, dass es darum geht, die Bedingungen für ein menschenwürdiges Dasein zu erhalten.
Dies gilt für den Schutz natürlicher Ressourcen ebenso wie für den Schutz von Privatsphäre und Unbeobachtetheit. Was George Orwell in seinem Roman „1984“ als Horrorszenario einer Totalüberwachung des Menschen entworfen hat, wurde im wirklichen Jahr 1984 bei weitem nicht erreicht. Trotz der damaligen Aufregung um die wachsenden Überwachungsmöglichkeiten durch IT.
In der kurzen Zeitspanne seither sind aber die technischen Möglichkeiten der Aufzeichnung und Speicherung von Daten über Lebensumstände der Menschen jedoch so rapide gewachsen, dass uns die Überwachung in „1984“ nur wie laues Lüftchen erscheint.
2.1.2 Datenschutz als Marketingargument
Mit der zunehmenden Verfügbarkeit von Daten und dem zunehmenden Wert, den diese z. B. für die Kundengewinnung haben, sind auch die Begehrlichkeiten gestiegen. Immer mehr Bürger haben unangenehme oder zumindest befremdende Erfahrungen mit unerwarteten Werbesendungen oder sehr gezielten Kundenansprachen gemacht. Entsprechend fragen sich immer mehr Menschen, welche ihrer persönlichen Daten eigentlich durch wen gespeichert wurden. Insbesondere seit den Datenaffären des vergangenen Jahres ist der Datenschutz stark in den Fokus der Öffentlichkeit gerückt. Mit dieser zunehmenden Sensibilisierung gewinnt der Datenschutz als Marketingargument an Bedeutung. Viele Geschäftsmodelle, die zwingend voraussetzen, dass der Kunde dem Unternehmen sensible Daten
mitteilt, sind darauf angewiesen, dem Kunden die strikte Beachtung datenschutzrechtlicher Vorgaben zu garantieren. Entsprechend kann ein zusätzliches Verkaufsargument gewonnen werden, wenn dem Datenschutz nachvollziehbar und glaubwürdig eine höhere Bedeutung eingeräumt wird als beim Wettbewerber.
Sicherlich ist der Datenschutz nie das entscheidende Argument, er kann aber, abhängig von der Art des Geschäfts, zu einem bedeutenden Faktor werden.
2.1.3 Datenschutz als Voraussetzung netzbasierter Geschäftsmodelle
Viele moderne Geschäftsmodelle basieren ausschließlich auf der Verwendung von Informationen.
Selbstverständlich ist dabei darauf zu achten, dass die Sammlung, Aufbereitung und Verteilung der Informationen mit dem Datenschutzrecht in Einklang steht. So wie der Handel mit stark wirksamen Medikamenten reglementiert ist, ist auch der Handel mit Informationen reglementiert. Es hat daher wenig Aussicht auf Erfolg, eine Apotheke gründen zu wollen, ohne über die Voraussetzungen für die Zulassung und den Betrieb eines solchen Unternehmens zu verfügen. Ebenso wenig wird sich beispielsweise eine Kontaktbörse für ehemalige Mitschüler und Klassenkameraden betreiben lassen, ohne die datenschutzrechtlichen Voraussetzungen für einen solchen Betrieb zu gewährleisten. Daher ist eventuell schon vor dem ersten Grobkonzept darauf zu achten, ob Daten mit Personenbezug eine Rolle spielen können. Viele Geschäftsmodelle scheitern an dieser Hürde. Wenn nur Sie in der Lage sind, die datenschutzrechtliche Zulässigkeit zu gewährleisten, bieten Sie Ihre Leistung automatisch in Alleinstellung an. Konkurrenten, die die rechtliche Zulässigkeit ihres Betriebs nicht sicherstellen können, werden früher oder später aus dem Wettbewerb ausscheiden.
2.1.4 Datenschutz als Karrierefaktor
Zwar ist die Beachtung datenschutzrechtlicher Regelungen sicher keine Voraussetzung, um Karriere zu machen. Jedoch kann die Missachtung des Datenschutzes zu einem schnellen Ende der Karriere führen, wie die Beispiele bei Lidl, der Deutschen Telekom, der Deutschen Bahn und anderen zeigen.
Hier wurden jeweils leitende Angestellte bzw. sogar der Vorstand entlassen, teilweise auch Ermittlungsverfahren eingeleitet. Während bislang die Verletzung von zwingendem Datenschutzrecht eher als „Kavaliersdelikt“ behandelt wurde, muss man mittlerweile mit einschneidenden Sanktionen rechnen. Selbst die Verhängung von Haftstrafen ist nicht mehr ausgeschlossen.
2.2 Rechtsgrundlagen
2.2.1 Internationale Regelungen
Datenschutzgesetze existieren in vielen Ländern der Erde. Innerhalb der EU ist eine weit gehende Harmonisierung des Datenschutzniveaus vorgesehen. Auch dies ist vor dem Hintergrund zunehmender wirtschaftlicher Bedeutung des Datenschutzes zu verstehen. Vor allem die Richtlinie 95/46/EG vom 24.10.1995 und die Richtlinie 2002/58/EG vom 12.07.2002 enthalten datenschutzrechtliche Vorgaben.
Die Richtlinie 95/46/EG betrifft den allgemeinen Datenschutz, die Richtlinie 2002/58/EG regelt den Datenschutz in der Telekommunikation. In Zweifelsfällen ist immer zu beachten, dass die deutschen Regelungen im Sinne der EG-Richtlinien zu interpretieren sind. Das Bundesdatenschutzgesetz (BDSG) ist in seiner neuesten Bekanntmachung von 2003 nur mehr eine Umsetzung der Datenschutzrichtlinie EG 95/46/EG in deutsches Recht. Ebenso setzt das neue
Telekommunikationsgesetz (TKG) die Richtlinie EG 2002/58/EG in deutsches Recht um.
Weiterhin wichtig sind die so genannten Safe-Harbour-Prinzipien, die zwischen der EU-Kommission und dem Department of Commerce der USA ausgehandelt wurden. Da die USA ein weitaus geringeres Datenschutzniveau aufweisen als die Europäische Union, ist ein Datenaustausch zwischen Stellen, die auf beiden Seiten des Atlantiks ansässig sind, zunächst unzulässig. Hat sich ein US- Unternehmen jedoch dem Regelwerk der Safe-Harbour-Regeln unterworfen, können Daten aus den EU-Mitgliedstaaten importiert und verarbeitet werden. Daneben bestehen noch durch die EU- Kommission anerkannte Vertragsmuster für den Austausch von Daten, die eine Übermittlung von Daten in Staaten mit einem geringeren Datenschutzniveau rechtfertigen können.
2.2.2 Nationale Regelungen
Auf nationaler Ebene existieren zunächst Bundesgesetze. Dies sind vor allem das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG) sowie weitere Gesetze. Weiterhin existiert in jedem Bundesland ein Landesdatenschutzgesetz.
Daneben gibt es aber auch eine ganze Reihe von Gesetzen für spezielle Anwendungsbereiche, die als bereichsspezifische Regelungen bezeichnet werden.
Die Abgrenzung der Regelungsbereiche wird Ihnen im Folgenden noch erläutert.
Bereichsspezifische Regelungen für die Medien
Hierzu gehören das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) und bedingt auch der Rundfunkstaatsvertrag (RStV). Diese Gesetze sind von besonderer Bedeutung für IT- Verträge, denn die Telekommunikation dient oft als Medium der IT-Leistung. Nachdem Sie einen Überblick über die übrigen Regelungen gewonnen haben, werden wir uns diesem Punkt wieder zuwenden.
Weitere bereichsspezifische Datenschutzgesetze
Neben den oben genannten bereichsspezifischen Gesetzen gibt es aber auch Regelungen für sehr spezielle Materien, etwa im Sozialgesetzbuch X, im Bundesarchivgesetz, im Ausländergesetz, im Bundesstatistikgesetz und vielen anderen Gesetzen, die Materien regeln, in denen Daten eine Rolle spielen.
Geheimnisschutz
Wie oben bereits angedeutet existierten schon vor den Datenschutzgesetzen Regelungen zum Schutz von sensiblen Daten oder Geheimnissen, wie sie vor allem besondere Berufsgruppen zur Ausübung ihrer Tätigkeit benötigen. Auch diese Regelungen können im Kern die Verwendung von Daten einschränken. Hierzu gehören die Geheimhaltungspflichten für Ärzte, Psychologen, Sozialarbeiter, Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Amtsträger und für den öffentlichen Dienst besonders bestellte Personen. In § 203 StGB sind die betroffenen Berufsgruppen nahezu vollständig genannt. Das Bankgeheimnis stützt sich jedoch weit gehend auf Gewohnheitsrecht und ist in der Praxis meist vertraglich zwischen Bank und Kunde vereinbart.
2.3 Systematik und Abgrenzung der Datenschutzregelungen
Nachdem Sie nun einen Überblick über alle Regelungen gewonnen haben, die Sie bei der Beurteilung eines datenschutzrechtlichen Problems in Betracht zu ziehen haben, fragen Sie sich nun sicher, wie das richtige Gesetz gefunden werden kann. Als grober Erfahrungswert lässt sich festhalten, dass in den allermeisten Fällen das BDSG die Antworten auf Ihre Fragen enthalten wird. Im Folgenden lernen Sie die Anwendungsbereiche der Gesetze kennen.
2.3.1 Bundes- und Landesgesetze
Das BDSG ist ein Bundesgesetz. Es kann aber auch ein Landesdatenschutzgesetz anwendbar sein. Für den Datenschutz haben die Länder konkurrierende Gesetzgebung, d. h., sie sind berechtigt, eigene Gesetze zu erlassen, wenn nicht das Bedürfnis für eine bundeseinheitliche Regelung besteht. Ein solches Bedürfnis besteht regelmäßig dann nicht, wenn ein Sachverhalt auf ein Bundesland begrenzt bleibt. Dies ist immer dann der Fall, wenn die Daten von einer Behörde, Körperschaft oder anderen Stelle, die einem Bundesland zugehörig ist, gespeichert oder genutzt werden.
Handelt eine Landesbehörde oder eine Körperschaft, die nach Landesrecht errichtet wurde, ist mit hoher Wahrscheinlichkeit das entsprechende Landesdatenschutzgesetz anwendbar.
Von diesem Grundsatz gibt es nun wieder gewichtige Abweichungen. Beispielsweise handelt es sich bei den Sparkassen um Anstalten, die nach Landesrecht errichtet wurden – folglich ein klarer Fall für die Anwendung des jeweiligen Landesdatenschutzgesetzes. Allerdings haben sämtliche Länder entschieden, für die Sparkassen und andere Wettbewerbsunternehmen des öffentlichen Rechts auf das BDSG zu verweisen. Für staatliche Unternehmen, die im Wettbewerb mit privaten Unternehmen stehen, sollen mit kleineren Ausnahmen gleiche Bedingungen herrschen. Das gilt auch für den Datenschutz.
2.3.2 Allgemeine und bereichsspezifische Regelungen 2.3.2.1 Abgrenzung im Verhältnis zum BDSG
Bereichsspezifische Regelungen haben immer Vorrang vor den allgemeinen Datenschutzgesetzen, unabhängig davon, ob es sich um das Bundes- oder das Landesdatenschutzgesetz handelt.
Nur wenn eine bereichsspezifische Norm einen Sachverhalt erkennbar nicht regelt, kann zur Füllung der Regelungslücke auf das BDSG zurückgegriffen werden.
Daher wird das BDSG mitunter als „einsame Insel im Meer der bereichsspezifischen Regelungen“
bezeichnet. So klein und unscheinbar ist der Anwendungsbereich des BDSG jedoch sicher nicht. Zwar
muss man den Anwendungsvorrang der speziellen Gesetze ernst nehmen und davon ausgehen, dass eine Maßnahme untersagt ist, wenn sie in dem speziellen Gesetz nicht ausdrücklich erlaubt ist, jedoch regeln viele bereichsspezifische Gesetze ihren Anwendungsbereich nur sehr lückenhaft, sodass oft auf das BDSG zur Füllung der Lücken zurückgegriffen werden muss. Das BDSG ist die zentrale und wichtigste Norm des Datenschutzes.
Ein Versandhaus bietet im Internet an, den eigenen Versandkatalog per Post an Interessenten zu versenden. Dies ist zunächst ein Teledienst. Das TMG enthält aber nur Regelungen zur Behandlung der Daten, die für den Teledienst von Belang sind. Die postalische Anschrift des Kunden dient aber dazu, die Leistung außerhalb des Internets zu erbringen. Daher ist das BDSG anwendbar auf die Verarbeitung der Postadresse.
2.3.2.2 Telekommunikation und Telemedien
Das früher sehr unübersichtliche Problem der Abgrenzung von Mediendiensten (MDStV), Telediensten (TDDSG) und Telekommunikationsdiensten (TKG) in den neuen Medien ist glücklicherweise seit dem 01.03.2007 durch Erlass des neuen Telemediengesetzes (TMG) stark vereinfacht worden.
Die Konvergenz der Medien hat dazu geführt, dass nur noch Telemedien und Telekommunikation unterschieden werden. Für redaktionelle Inhalte, die per Radio oder Fernsehen übertragen werden, gilt der Rundfunkstaatsvertrag. Dieses Medium ist jedoch meist klar von den vorgenannten Diensten zu trennen.
Ein Teledienst, für den das TMG Anwendung findet, ist ein Dienst, der über Telemedien erbracht wird, z. B. die Homepage eines Anwaltes, die Abwicklung eines Bankgeschäfts im Online-Banking oder die Darstellung eines bestimmten Kartenausschnitts in einem elektronischen Stadtplan auf Anfrage des Nutzers. Der Telekommunikationsdienst, geregelt durch das TKG, beschränkt sich auf die bloße Übertragung von Inhalten über elektronische Netze. Hinzugenommen wurden auch die
„telekommunikationsgestützten Dienste“. Dies sind Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird. Damit sollen auch Dienste erfasst werden, die nach der im folgenden dargelegten Definition zu den Telemedien zu zählen wären, die aber mit den Telekommunikationsdiensten so eng verwandt sind, dass eine Zuschlagung zu den Telemedien nicht sachgerecht wäre.
Die Abgrenzung des Telekommunikationsdienstes vom Teledienst kann auf technischer Ebene erfolgen. Das OSI-Modell (engl. Open Systems Interconnection Reference Model), wie auch das modernere TCP/IP-Modell sind theoretische Modelle, die entwickelt wurden, um die Übertragung von Nachrichten darzustellen. Es unterscheidet zwischen verbindungs- und anwendungsbezogenen Schichten. Oft wird die Vorstellung geäußert, das OSI-Schichtenmodell verdeutliche die Abgrenzung zwischen Telekommunikationsdienst und Teledienst.
Der Telekommunikationsdienst wird ausschließlich auf verbindungsbezogenen Schichten vollzogen.
Wird zusätzlich eine datenverarbeitende Anwendung mit einbezogen, liegt ein Teledienst vor. Der Telekommunikationsdienst ist danach auf die bloße physikalische Übertragung beschränkt.
Damit wird bereits deutlich, dass oftmals alle Formen von Diensten gemeinsam vorliegen und damit auch beide Regelungen (TKG und TMG) nebeneinander anzuwenden sind.
Ein typischer Internet Access Provider, wie etwa T-Online, bietet seinen Kunden eine Vielzahl von Leistungen über das Internet an. Zum einen können Sie mit T-Online E-Mails versenden, eine Homepage einrichten und gestalten, aber auch Tagesnachrichten lesen. Hier sind alle Dienste miteinander verwoben. Aus dieser Erkenntnis ergibt sich die weitere Frage, welches Datenschutzgesetz denn nun durch T-Online anzuwenden ist.
Wenn Sie in dieser Frage unsicher sind, wenden Sie im Zweifel beide Gesetze nebeneinander an.
Überschneidungen zwischen ihnen gibt es zahlreiche, Widersprüche nur sehr selten, und zumindest der Bundesbeauftragte für den Datenschutz tendiert zu dieser Lösung. Andere Stimmen, die darauf abstellen, in welchem Dienst denn der Schwerpunkt liegt oder welcher denn in dem Mischangebot überwiegt, haben sich nicht durchsetzen können.
Schließlich müssen Sie zum Teledienst auch noch wissen, dass im Rahmen der Abwicklung über Telemedien nicht nur Bestands-, Abrechnungs- und Nutzungsdaten entstehen, sondern auch Inhaltsdaten.
Die Bestandsdaten umfassen alle Daten, die den Nutzer eines Teledienstes und seine vertragliche Beziehung zum Anbieter kennzeichnen. Die Nutzungsdaten entsprechen den Logfiles, die festhalten, wann und wie lange der Teledienst von dem Kunden genutzt wurde. Die Abrechnungsdaten wiederum enthalten Informationen über Rechnungsstellung, offene Beträge und Zahlungsmodalitäten. Neben diesen stark auf die Erbringung des Teledienstes bezogenen Daten bestehen auch noch Inhaltsdaten, also die Daten, die Inhalt des Dienstes selbst waren. Für diese Daten soll das BDSG einschlägig sein, denn das TMG enthalte keine Regelungen zu diesen Daten, es sei also das BDSG als Auffangregelung anzuwenden.
Die Versendung von Grußkarten über das Internet ist ein Teledienst. Allerdings sind die Inhalte der Grußkarten, die der Kunde individuell festlegt, keiner der Datenkategorien des TMG zuzuordnen. Für diese so genannten Inhaltsdaten kann nur das BDSG Anwendung finden, auch wenn dies im Gesetz so nicht vorgesehen ist.
Zu beachten ist, dass die Kategorie der Inhaltsdaten entwickelt wurde, als das alte TDDSG noch galt.
Aus dem Text des TMG, welches das TDDSG abgelöst hat, lässt sich jedoch nicht der Schluss ziehen, dass der Gesetzgeber diese Differenzierung aufgehoben wissen wollte. Im Gegenteil: Die Tatsache, dass dieses Problem nicht aufgegriffen wurde, zeigt, dass Inhaltsdaten weiterhin durch das BDSG reguliert werden sollen.
2.3.2.3 Abgrenzung zu Geheimnisschutznormen
In § 1 Abs. 3 Satz 2 BDSG ist das Verhältnis zu gesetzlichen Geheimhaltungspflichten geregelt. Zu ihnen gehören die Berufsgeheimnisse, die Sie oben bereits kennen gelernt haben.
Die wichtigsten Berufsgeheimnisträger sind in Abschnitt 2.2.1.3. aufgezählt. Ihre Pflicht zur Verschwiegenheit ergibt sich aus § 203 Strafgesetzbuch.
Immer dann, wenn eine Information gleichzeitig dem Datenschutz unterliegt und als Geheimnis im rechtlichen Sinne zu qualifizieren ist, stellt sich die Frage, welche Regelung Anwendung findet.
Überschneidungen ergeben sich bei allen wahren Tatsachen, die sich auf eine bestimmbare natürliche Person beziehen, zum Geheimnis geeignet, somit nicht trivial sind und an deren Geheimhaltung ein Interesse besteht. Die Information darf noch nicht offenbart worden sein und muss in EDV-Anlagen geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verwendet werden.
Sind diese Voraussetzungen bei einem Berufsgeheimnisträger gegeben, sollen die Geheimhaltungspflichten „unberührt“ neben dem BDSG stehen. Um zu ergründen, was darunter zu verstehen ist, müssen Sie drei mögliche Fälle unterscheiden:
Fall 1: Der Schutz der Geheimhaltungsvorschrift ist besser und umfassender als der des BDSG. Dann gilt die Geheimhaltungsvorschrift.
Das Arztgeheimnis verbietet die Verwendung einer Information, während das Datenschutzgesetz eine Verwendung unter bestimmten Umständen erlauben würde. Das Berufsgeheimnis bleibt dann vom Datenschutz unberührt. Die Nutzung der Information ist verboten.
Fall 2: Das Schutzniveau von Datenschutz und Geheimhaltungsnorm ist gleich. Es sind beide Normen einzuhalten.
Das Arztgeheimnis erlaubt die Verwendung einer Information unter bestimmten Umständen. Das Datenschutzgesetz erlaubt die Nutzung ebenfalls unter ähnlichen Voraussetzungen. Die Nutzung der Information ist dann erlaubt, wenn die Bedingungen, die beide Normen für die Nutzung stellen, erfüllt sind.
Fall 3: Das Schutzniveau der Geheimhaltungsvorschrift ist geringer als das des Datenschutzes.
Das Arztgeheimnis erlaubt die Verwendung einer Information, während das Datenschutzgesetz dies verbietet. Zwar soll die Geheimhaltungsvorschrift vom Datenschutz unberührt bleiben, jedoch ist das BDSG der zwingende Mindeststandard für die Nutzung von personenbezogenen Daten, sodass die striktere Norm ausschlaggebend ist. Die Nutzung der Information ist dann verboten.
Im letzteren Fall müssen Sie also entscheiden, welche Norm die strikteren Regeln aufstellt. Diese sind dann zu befolgen.
Im Ergebnis sind der Datenschutz und die Geheimhaltungsvorschrift unabhängig voneinander wie zwei Hürden zu betrachten, die nacheinander zu bewältigen sind, um das Ziel der zulässigen Nutzung einer Information zu erreichen.
2.3.3 Aufbau des BDSG
Nach diesen Vorbemerkungen konzentrieren wir uns nun auf das wichtigste Datenschutzgesetz, das BDSG. Dieses Gesetz besitzt in seinem Aufbau und in der Definition verschiedener Fachbegriffe Modellcharakter für andere Datenschutzgesetze, insbesondere die Landesdatenschutzgesetze.
Weiterhin sind die bereichsspezifischen Regelungen so lückenhaft, dass meistens auf das BDSG zurückgegriffen werden muss.
2.3.3.1 Allgemeiner Teil
§ 1 bis § 11 sind der allgemeine Teil des BDSG. Diese Regelungen haben gleichermaßen Bedeutung für alle anderen Teile. Sie enthalten die Begriffsbestimmungen, die Regelungen über die Rechtsstellung des Datenschutzbeauftragten und Bestimmungen über besondere Formen der Datenerhebung und -nutzung, z. B. die Auftragsdatenverarbeitung mit dem für das Outsourcing entscheidenden § 11 BDSG.
Die Regelungen in diesem Abschnitt sind so zu verstehen, als wären sie „vor die Klammer“ gezogen.
Sie müssen sie daher bei den folgenden besonderen Regelungen zum Datenschutz immer im Auge behalten.
Weitere Vorschriften, die diesem allgemeinen Teil zuzuordnen wären, finden sich in § 39 bis § 46 BDSG. Hier ist vor allem geregelt, welche Bußgelder und Strafen drohen, wenn gegen den Datenschutz verstoßen wird.
2.3.3.2 Regelungen für den öffentlichen Bereich
In § 12 bis § 26 des BDSG sind ausschließlich Regelungen mit Belang für öffentliche Stellen des Bundes, also Behörden und Körperschaften etc. des öffentlichen Rechts enthalten. In diesem Abschnitt ist auch die Position des Bundesbeauftragten für den Datenschutz geregelt.
Dieser Abschnitt ist nur in einem Ausnahmefall für die Beurteilung der Verwendung von Daten durch private Unternehmen und Personen von Belang.
2.3.3.3 Regelungen für den nichtöffentlichen Bereich
§ 27 bis § 38a BDSG enthalten die Regelungen für den nichtöffentlichen Bereich, also das weite Feld der freien Wirtschaft. In diesem Abschnitt werden Sie am ehesten Antwort auf Fragen finden, die IT- Verträge zwischen Unternehmen betreffen.
2.3.4 Terminologie des Datenschutzrechts
Das Datenschutzrecht verfügt über ein kleines, aber wichtiges Fachvokabular, das Sie kennen sollten, bevor Sie sich mit den Einzelheiten des Datenschutzes befassen. Dadurch wird eine Struktur geschaffen, die es Ihnen ermöglicht, relevante Informationen herauszufiltern und richtig einzuordnen.
Im Kern regelt das Datenschutzrecht danach die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten. Bitte vergegenwärtigen Sie sich, dass jeder dieser Vorgänge datenschutzrechtlich relevant ist und ausdrücklich erlaubt sein muss. Finden Sie keine Erlaubnis in einem Gesetz, bleibt nur eine Einwilligung der Person, auf die sich die Daten beziehen. Fehlt auch diese, ist der Vorgang verboten. Wichtig ist, sich klar zu werden, dass diese dreistufige Prüfung unumgänglich ist.
Bei der Gestaltung eines Vertrages sollten Sie sich also fragen, ob die Daten einer natürlichen Person in relevanter Weise behandelt werden. Sollte dies der Fall sein, muss eventuell im selben Vertrag sichergestellt werden, dass der Vorgang auch zulässig ist.
2.3.4.1 Personenbezogene Daten
Der Kernbegriff des Datenschutzrechts ist der Begriff des „personenbezogenen Datums“ („Datum“ im Sinne des Singular von „Daten“). Nur solche Informationen, die Aussagen über eine Person enthalten, also personenbezogene Daten sind, werden datenschutzrechtlich geschützt. Da jede Kommunikation auf Informationsaustausch basiert, muss der Datenschutz eine sinnvolle Einschränkung erfahren, um Kommunikation dort nicht zu erschweren, wo dazu kein Grund besteht. Daher sind nur solche Daten geschützt, die einen Bezug zu einer natürlichen Person haben. Eine Sache bedarf keines Schutzes.
Auch juristische Personen (also Gesellschaften wie eine GmbH oder AG, Körperschaften etc.) benötigen keinen Schutz, denn sie verfügen nicht über eine „Menschenwürde“ in gleicher Art und gleichem Ausmaß wie ein Mensch. Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG „Einzel- angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“.
Im Bereich der Telekommunikation sind auch die Einzelangaben über juristische Personen, die dem Fernmeldegeheimnis unterliegen, geschützt.
Enthalten die Daten ausreichend Informationen, um den Kreis der von den Informationen betroffenen Personen auf eine einzige einzugrenzen und mit ihr eventuell auch in der realen Welt Kontakt aufzunehmen (Name, Adresse, Telefonnummer), so ist die Person bestimmt. Besondere Schwierigkeiten wirft die Frage auf, wann eine Person „bestimmbar“ ist, was für den Personenbezug auch ausreicht. Bestimmbar bedeutet, dass die Daten nicht genügend Informationen enthalten, um die Person im oben genannten Sinn zu individualisieren, aber es besteht das Potenzial, dies zu tun. Weisen die vorhandenen Daten dieses Potenzial nicht auf, muss zusätzliches Wissen erreichbar sein, um die Individualisierung möglich zu machen.
Eine Bibliothek erfasst und speichert die Nummern der Benutzerausweise und welche Bücher unter Vorlage dieser Ausweise ausgeliehen wurden. Wenn nur die Signatur eines Buches bekannt ist, können die Personen, die es ausgeliehen hatten, nicht individualisiert werden. Dazu ist die Datei mit den Benutzerdaten erforderlich. Dies ist Zusatzwissen, das zur Individualisierung der Benutzer notwendig ist.
Generell soll ein Personenbezug auch vorliegen, wenn die speichernde Stelle im konkreten Fall solches Zusatzwissen, mit dem die betroffene Person bestimmbar wird, nicht selbst besitzt, diese Möglichkeit aber bei Dritten gegeben ist. Fraglich ist, auf welchem Wege und unter welchen Anstrengungen das Zusatzwissen erreichbar sein muss, damit der Betroffene für die verantwortliche Stelle bestimmbar ist.
Über eine Person ist neben anderen Informationen nur die E- Mail-Adresse bekannt. Wer sich dahinter verbirgt, ist nicht festzustellen. Dies wäre nur über den Internetprovider möglich, der
den E-Mail-Account verwaltet und die Abrechnungsdaten besitzt. Der Internetprovider wird aber nicht jedermann dieses Zusatzwissen mitteilen. Ist der Personenbezug trotzdem gegeben?
Bei einer E-Mail-Adresse ist der Personenbezug auch dann gegeben, wenn der bürgerliche Name des Verwenders nicht darin enthalten oder in anderer Weise in Erfahrung zu bringen ist. Die E-Mail- Adresse ist ein namensersetzendes Kennzeichen, das ebenfalls zur Individualisierung einer bestimmten Person ausreicht.
Aber auch ohne diese Besonderheit ist davon auszugehen, dass die Abrechnungsdaten für Dritte nicht unerreichbar sind, so dass von einer Zugänglichkeit auszugehen ist. Selbst die Daten eines
Kraftfahrzeughalters werden als nicht völlig unzugänglich angesehen, wenn nur das Kfz-Kennzeichen bekannt ist.
Der Personenbezug ist aber zumindest auch dann gegeben, wenn Zusatzwissen aus allgemein zugänglichen Quellen erhältlich ist. Weil aber nicht sicher ist, ob das Zusatzwissen in der Zukunft allgemein zugänglich werden könnte, muss jedes Zusatzwissen in die Überlegungen mit einbezogen werden, das durch Dritte gespeichert wird.
Eine Person ist nicht bestimmbar, wenn die speichernde Stelle die Identität der Person auch mit dem bei beliebigen Dritten vorhandenen Zusatzwissen auch in Zukunft mit Sicherheit nicht feststellen kann.
Daraus ergibt sich auch, dass alle IP-Adressen, egal ob statisch oder nicht statisch personenbezogene Daten sind. Es zeigt sich immer wieder, dass Internetaccess-Provider Verbindungsdaten selbst zu dynamischen IP-Adressen an Strafverfolgungsbehörden und damit auch an die Geschädigten bei Urheberrechtsverstößen weiterreichen. Die daraufhin in Anspruch genommenen werden nicht den Eindruck haben, dass es nur mit unverhältnismäßigem Aufwand möglich war, ihre Person zu bestimmen. Im Gegenteil: Dies ist auch durch die Vorratsdatenspeicherung sehr leicht geworden.
Urteile, die den Personenbezug für solche Daten generell ablehnen, sind insoweit unzutreffend.
In § 3 Abs. 9 BDSG hat der Gesetzgeber nun eine Aufzählung für Daten hinzugefügt, die besonders sensibel sind. Wie Sie zuvor schon erfahren haben, ist dies eigentlich ein Systembruch, denn der Datenschutz soll vor den Gefahren der maschinellen Datenverarbeitung schützen, unabhängig von der Art der Daten. Trotzdem hat man sich nun entschieden, für besondere Daten auch besondere zusätzliche Regeln aufzustellen. Diese finden Sie in § 28 Abs. 6 bis 9 BDSG für den Bereich der Datenverarbeitung durch private Stellen.
Auch in Hinblick auf die Bestellung eines betrieblichen Datenschutzbeauftragten und die Vorabkontrolle von datenverarbeitenden Verfahren bringt die Verarbeitung der besonderen Arten von personenbezogenen Daten Verschärfungen mit sich.
Nähere Informationen zu diesem Punkt finden Sie in Abschnitt 6.1.2.
Die Verarbeitung von personenbezogenen Daten für persönliche oder familiäre Zwecke ist datenschutzrechtlich nicht von Belang. Auf solche Handlungen ist das BDSG nicht anwendbar.
2.3.4.2 Anonymisieren und Pseudonymisieren
Die gesetzliche Definition beider Begriffe ist in § 3 Abs. 6 und 6a BDSG enthalten. Bei den anonymisierten Daten handelt es sich um Daten, die gewissermaßen „namenlos“ (so der Wortstamm) sind. Nach der Anonymisierung verbleibt nur ein undifferenzierter „Datenbrei“, der in keiner Weise
einer Person zugeordnet werden kann oder eine Ergänzung durch weitere Daten erfordert.
Von den anonymen Daten unterscheiden Sie die pseudonymen Daten durch zwei Kennzeichen. Zum einen besteht die Möglichkeit der Identifizierung des Pseudonyms, zum anderen die Möglichkeit der Verkettung von Daten.
Die Kennung eines autorisierten Nutzers im Unternehmensnetzwerk ist ein Pseudonym. Es bietet die Möglichkeit, den Nutzer wiederzuerkennen, wenn er sich erneut einloggt, und dient dazu, neue Daten, die der Nutzer verursacht, in Verbindung mit seiner Kennung zu speichern. Trotzdem kann die Identität des Nutzers unbekannt bleiben.
Die unter Pseudonym auftretende Person verbirgt zwar ihre wahre Identität, gewährt aber, wenn das Pseudonym registriert und erkannt ist, die Identifikation eines Ausschnitts ihrer Identität. So kann die Zugehörigkeit zu einer bestimmten Personen- oder Berufsgruppe aufgedeckt werden (Rollenpseudonym), um z. B. Zugriff auf ein Firmenintranet als Vertriebspartner oder als registrierter Nutzer eines Teledienstes zu erhalten. Außerdem dient die Identifizierung einer Disziplinierung des Trägers des Pseudonyms. Regelverstöße können einem Pseudonym zugeordnet und es kann eine Sanktion verhängt werden, etwa der Entzug einer Berechtigung oder bei schweren Verstößen sogar das Lüften des Pseudonyms mit der daraus folgenden Möglichkeit straf- oder zivilrechtlicher Verfolgung.
Zum Zweiten bietet die Pseudonymisierung anders als die Anonymisierung die Möglichkeit, Daten miteinander zu verketten. Während nach der Anonymisierung die Daten ohne Zuordnungsmöglichkeit zu weiteren Daten existieren, besteht bei Pseudonymen die Möglichkeit, weitere Daten einem Pseudonym zuzuordnen. Wird also ein Datensatz, wie z. B. ein Persönlichkeitsprofil, lediglich durch die Löschung des Namens der betroffenen Person anonymisiert, so kann dies auch eine Pseudonymisierung darstellen, wenn der Datensatz einen anderen „Kristallisationspunkt“ enthält, über den der gesamte Datensatz erschlossen werden kann. An die Stelle des Namens tritt dann z. B. das Geburtsdatum oder die Telefonnummer als Pseudonym.
Gleichzeitig müssen Sie sowohl die anonymisierten Daten wie auch die pseudonymisierten Daten aber von reinen Sachdaten abgrenzen. Bei den beiden ersten Kategorien handelt es sich immer noch um Angaben über Personen. Entsprechend besteht die Gefahr der (Re-)Individualisierung. Diese kann entweder durch Zusatzwissen oder durch statistische und mathematische Verfahren erfolgen, sodass die betroffene Person doch noch bestimmbar sein kann. Es ist also strikt zu unterscheiden, ob eine Anonymisierung oder Pseudonymisierung so gründlich erfolgt ist, dass der Personenbezug nicht mehr hergestellt werden kann. Es wird daher unterschieden zwischen absoluter und relativer Anonymität bzw. Pseudonymität, wobei nur die absolute Anonymität bzw. Pseudonymität den Personenbezug ausschließt. Bitte erinnern Sie in diesem Zusammenhang, dass Personenbezug und Anonymisierung bzw. Pseudonymisierung sich gegenseitig nicht ausschließen, denn die Datenschutzgesetze sind weiter auf anonymisierte und pseudonymisierte Daten anzuwenden. Wäre mit der Anonymisierung bzw.
Pseudonymisierung zwingend auch der Personenbezug entfallen, wäre das BDSG schon gar nicht auf solche Daten anwendbar, und weitere Regelungen zur Behandlung anonymer oder pseudonymer Daten, wie z. B. in §§ 30 Abs. 1, 40 Abs. 2 BDSG oder im TMG würden sich erübrigen.
Sollten Sie datenschutzrechtlichen Problemen begegnen oder Bedenken wegen der Zulässigkeit eines
bestimmten Vorgehens hegen, empfiehlt es sich zu prüfen, ob die Lösung in der Anonymisierung oder in der Verwendung von Pseudonymen liegen kann. Auch bei den Pseudonymen ist rechtlich gesehen alleine die Bestimmbarkeit des Betroffenen maßgeblich dafür, ob der Personenbezug entfällt und damit die datenschutzrechtlichen Auflagen entfallen. Für eine Erleichterung der datenschutzrechtlichen Auflagen ist entscheidend, ob die Zuordnung zu dem Betroffenen erheblich erschwert ist. Dies können Sie über die Kontrolle der Zuordnungsregel zwischen Pseudonym und tatsächlicher Identität steuern. Die Kontrolle hierüber kann dem Nutzer selbst überlassen werden, womit Sie ihm aber auch die Macht geben, durch Offenlegung der Zuordnung selbst den Personenbezug wieder herzustellen. Sicherer ist es, wenn Sie die Zuordnung selbst verwalten und eventuell ganz löschen, sodass eine Herstellung der Zuordnung gänzlich ausgeschlossen wird.
2.3.4.3 Erhebung
Die Erhebung von Daten ist das erste Element des Dreiklangs „Erhebung, Verarbeitung und Nutzung“
von Daten. Diese Begriffe müssen Sie sich merken, um die Feinheiten der datenschutzrechtlichen Erlaubnisse zu verstehen, weil eine Erlaubnis eventuell nur einzelne Teile der Verarbeitungsphasen erfasst. Gemäß § 3 Abs. 3 BDSG ist die Erhebung das Beschaffen von Daten über den Betroffenen.
Aus dieser gesetzlichen Definition ergibt sich, dass ein aktives Tun der verantwortlichen Stelle erforderlich ist. Es kann aber auch eine eher passive Videoüberwachung ausreichen. Keine Erhebung ist gegeben, wenn der Betroffene oder ein Dritter die Daten ohne Aufforderung liefert. Bitte beachten Sie aber: Zwar liegt keine Datenerhebung vor, wenn der Betroffene Daten über sich selbst liefert, aber er kann dabei Zusatzwissen zugänglich machen und dadurch den Personenbezug zu solchen Daten herstellen, die bisher nicht auf den Betroffenen beziehbar waren.
2.3.4.4 Verarbeitung
Die Verarbeitung ist ein Oberbegriff für fünf Unterbegriffe, die die verschiedenen Verarbeitungsphasen kennzeichnen. Sie sollten neben dem Dreiklang „Erheben, Verarbeiten, Nutzen“
auch diese Unterbegriffe lernen und wissen, dass sie dem Oberbegriff „Verarbeiten“ zuzuordnen sind.
Die Phasen der Verarbeitung sind: Speichern, Verändern, Übermitteln, Sperren und Löschen.
Die Definitionen finden Sie in § 3 Abs. 4 BDSG.
Das Speichern ist das Erfassen, Aufnehmen oder Aufbewahren von Daten. Gemeint sind damit alle Vorgänge der Verkörperung oder Fixierung von optischen, akustischen oder elektronischen Signalen auf Medien, wie Papier, Magnetstreifen, Film oder optischen Datenträgern (CD, DVD), einschließlich des Vorrätighaltens zur weiteren Verwendung.
Das Verändern erfasst jedes inhaltliche Umgestalten von Daten. Hierzu zählt nicht die nur äußerliche Umgestaltung, etwa das Verändern des Speichermediums. Die inhaltliche Umgestaltung ist die Änderung oder Ergänzung des Informationsgehalts, etwa durch eine Verknüpfung mit anderen Daten.
Das Übermitteln ist die Bekanntgabe an Dritte von personenbezogenen Daten, die durch Speicherung
oder Veränderung gewonnen wurden. Die Weitergabe erfolgt entweder dadurch, dass die Daten zur Einsicht oder zum Abruf bereitgehalten werden und sie abgerufen oder eingesehen werden oder dass die Daten weitergegeben werden. Die Weitergabe kann mündlich, schriftlich, durch Übergabe von Datenträgern oder durch elektronische Übermittlung (Fax, E-Mail, FTP) geschehen. Kein Übermitteln liegt z. B. bei der Auftragsdatenverarbeitung vor.
Näheres hierzu finden Sie in Abschnitt 4.3.2.
Das Sperren ist das Kennzeichnen personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Das Sperren ist eine Vorstufe zur Löschung, die angewendet wird, wenn zwar die Daten nicht mehr verarbeitet werden dürfen, eine Löschung jedoch ausscheidet, weil gesetzliche Aufbewahrungsfristen oder schutzwürdige Belange des Betroffenen der Löschung entgegenstehen.
Löschen schließlich ist das Unkenntlichmachen gespeicherter personenbezogener Daten. Dies ist erreicht, wenn die Daten nicht mehr zur Kenntnis genommen werden können, dieser Vorgang unumkehrbar ist und die Daten auch nicht reproduziert werden können. Dem Wortsinn nach könnte auch eine Anonymisierung den Erfordernissen der Löschung gerecht werden, denn um personenbezogene Daten handelt es sich nach einer absoluten, unumkehrbaren Anonymisierung nicht mehr. Bei der Anonymisierung bleibt jedoch zumindest ein Teil des Informationsgehalts bei der speichernden Stelle zurück. Es ist daher im Einzelfall zu klären, ob eine Löschung durch die Anonymisierung erfolgt ist.
2.3.4.5 Nutzung
Die Nutzung von personenbezogenen Daten dient als Auffangtatbestand für alle übrigen Formen und Arten der Verwendung von personenbezogenen Daten, die zuvor nicht beschrieben wurden.
Insgesamt kann festgestellt werden, dass der Gesetzgeber bestrebt war, möglichst umfassend jeden denkbaren Umgang mit personenbezogenen Daten zu erfassen.
2.3.4.6 Dateien, Akten und Datenverarbeitungsanlagen
Das BDSG ist für Private nur dann anwendbar, wenn eine Datenverarbeitungsanlage eingesetzt wird oder die Daten in oder aus einer nichtautomatisierten Datei verarbeitet werden.
Bitte stellen Sie keine zu hohen Anforderungen an den Begriff der Datenverarbeitungsanlage. Schon ein handelsüblicher PC mit Bildschirm wird diesem recht aufwändig klingenden Begriff gerecht. Es spricht sicher auch nichts dagegen, ein elektronisches Notizbuch unter diesen Begriff zu fassen. Ein Mobiltelefon hingegen ist sicher auch geeignet, personenbezogene Daten zu erheben und zu speichern, es ist aber daran zu denken, dass damit der Kreis derjenigen Unternehmen, die einen Datenschutzbeauftragten bestellen müssten, stark ausgeweitet würde. Man wird daher zusätzlich zumindest voraussetzen müssen, dass die Mobiltelefone über PDA-Funktionen verfügen und regelmäßig mit einer zentralen (Adress-)Datenbank des Unternehmens synchronisiert werden, um zur
Erforderlichkeit eines Datenschutzbeauftragten zu gelangen.
Näheres zum betrieblichen Datenschutzbeauftragten erfahren Sie in Abschnitt 6.1.
Noch schwieriger wird die Abgrenzung dann, wenn eine Datenverarbeitungsanlage nicht verwendet wird. Dann müssen die Daten in einer nichtautomatisierten Datei enthalten sein. Darunter ist im Sinne des § 46 Abs. 1 Ziffer 2 BDSG jede Sammlung personenbezogener Daten zu verstehen, „die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann“. Dies entspricht in den meisten Fällen einer üblichen Akte, wie sie in Verwaltungen angelegt wird, wenn eine manuelle Auswertung oder Umordnung in einem automatisierten Verfahren möglich ist. Der Begriff der „Akte“ wird im BDSG nicht mehr definiert. Es wird aber definiert, was darunter zu verstehen ist, wenn dieser Begriff in anderen Gesetzen noch auftauchen sollte.
Neu hinzugetreten ist der Begriff der „mobilen personenbezogenen Speicher- und Verarbeitungsmedien“. Das BDSG regelt für diese Medien in § 6c BDSG ausdrücklich bestimmte Verpflichtungen für verantwortliche Stellen, die solche Medien herausgeben. Diese Regelungen wurden vor allem in Hinblick auf die RFID-Technologie eingefügt. Mit RFID-Chips kann eine Abfrage des Dateninhaltes kontaktlos erfolgen, da sie ein elektrisches Feld, das von außerhalb einwirkt, als Energiequelle nutzen, um ihre Daten ohne physischen Kontakt „per Funk“ zu übermitteln. Wer einen RFID-Chip mit sich trägt (in der Kleidung oder anderen Gegenständen), bemerkt nicht, wenn der Inhalt der Chips ausgelesen wird. Zwar unterscheiden sich RFID-Chips damit nicht wesentlich von Chips, die bisher auch z. B. in Kunden- und Kreditkarten enthalten waren, jedoch macht die Möglichkeit des kontaktlosen Lesens der Informationen und die Möglichkeit, diese Chips eventuell zu „verstecken“, besondere Verpflichtungen notwendig.
2.3.4.7 Verantwortliche Stelle
Zunächst ist festzustellen, dass das BDSG mit dem Begriff der „Stelle“ eine Begriffsschöpfung verwendet, die sich an keiner anderen Stelle in der Gesetzesliteratur findet. Auch hier zeigt sich das Bestreben des Gesetzgebers, möglichst umfassend neben den natürlichen Personen auch alle denkbaren Formen juristischer Personen öffentlichen und privaten Rechts zu erfassen. Als verantwortliche Stelle gilt, wer Träger der Pflichten ist, die aus dem Datenschutzrecht erwachsen. Dies ist üblicherweise, nicht immer, die Person, die den Verarbeitungsvorgang vornimmt. Nur bei der Auftragsdatenverarbeitung ist der Auftraggeber die verantwortliche Stelle, obgleich der Auftragnehmer die Verarbeitung vornimmt.
Näheres zur Auftragsdatenverarbeitung finden Sie in Kapitel 4.
Gleichzeitig umschreibt der Begriff der verantwortlichen Stelle aber auch die Grenzen der Übermittlung. Eine Übermittlung liegt nicht vor, wenn Daten innerhalb einer Stelle, z. B. von einem Server auf den Client, weitergegeben werden. Ist der Empfänger jedoch als eine andere Stelle zu
qualifizieren, liegt ein Übertragungsvorgang vor, der entsprechend datenschutzrechtlich auf seine Zulässigkeit geprüft werden muss.
Stelle im Sinne des Datenschutzes ist jedes rechtlich selbstständige Unternehmen. Dies gilt auch bei verbundenen Unternehmen im Konzern, unabhängig davon, wie eng die Verbindung ausgestaltet ist. Unselbstständige Niederlassungen eines Unternehmens bilden untereinander nur eine verantwortliche Stelle, sodass ein Datentransfer keine Datenübermittlung zwischen ihnen darstellt und damit auch datenschutzrechtlich nicht relevant ist.
2.3.4.8 Datenschutz und Datensicherheit
Datenschutz ist der Schutz personenbezogener Daten, der vornehmlich durch rechtliche Gestaltung geboten wird. Datensicherheit ist die Gewährleistung der Integrität und Vollständigkeit von personenbezogenen Daten durch technische Maßnahmen. Diese beiden Begriffe existieren in einer Art Symbiose. Ohne den Datenschutz kann die Datensicherheit nicht erfolgreich sein. Ohne die Datensicherheit wäre der Datenschutz sinnlos.
Während der Datenschutz naturgemäß im BDSG einen breiten Raum einnimmt, wird die Datensicherheit in § 9 BDSG und in der Anlage dazu geregelt. Es werden verschiedene technische und organisatorische Maßnahmen beschrieben, die personenbezogene Daten gegen Missbrauch, aber auch gegen Gefahren während des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage sichern sollen. Hierzu gehören:
• die Kontrolle des Zutritts, Zugangs zu und der Benutzung von Datenverarbeitungsanlagen, die personenbezogene Daten enthalten;
• die Kontrolle des Zugriffs auf die personenbezogenen Daten;
•
die Protokollierung der Eingabe und Veränderung von
personenbezogenen Daten, um festzustellen, wer sie veranlasst hat;
• die Kontrolle und Protokollierung der Weitergabe von personenbezogenen Daten;
• die Gewährleistung der Verfügbarkeit von personenbezogenen Daten;
• die getrennte Verarbeitung von personenbezogenen Daten für unterschiedliche Zwecke.
Instrumente, die dies sicherstellen, sind Authentifikation des Nutzers, kryptografische Verschlüsselung, Protokollierung der Nutzung, Abwehr externer Angriffe und die Anlage von Sicherungskopien. Ein gutes Hilfsmittel zur Sicherstellung der (technischen) Datensicherheit stellt das
„Grundschutzhandbuch“ des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.de) dar.
Gerade wo z. B. der Vertragspartner Daten aus Ihrem Unternehmen erhält und speichert, lohnt es sich, diese Fragen auch in einem Vertrag bindend zu regeln. Wenn es sich um sensible Daten handelt, sollten diese natürlich entsprechend geschützt werden. Dies ist auch sinnvoll, wenn es sich nicht um personenbezogene Daten, sondern etwa technische Daten handelt.
2.3.5 Erlaubnis durch Einwilligung
Die Einwilligung des Betroffenen kann jede Form der Verwendung von Daten zulässig werden lassen.
Nicht ganz eindeutig geklärt ist die Frage, ob auch Minderjährige wirksam einwilligen können. Die Aufsichtsbehörden gehen davon aus, dass mit Vollendung des 14. Lebensjahres ein Jugendlicher die notwendige Einsichtsfähigkeit besitzt.
Diese grundsätzliche Freiheit bringt jedoch auch Einschränkungen mit sich. So ist die Einwilligung nur ausdrücklich, d. h. nicht in der für AGB ausreichenden Form und außerhalb von AGB, im Zusammenhang mit anderen Erklärungen nur mit besonderer drucktechnischer Hervorhebung wirksam. Die Einwilligung muss schriftlich erfolgen oder per qualifizierter elektronischer Signatur gemäß § 126a BGB. Eine bloß mündlich erteilte Einwilligung ist nicht wirksam!
Im elektronischen Verkehr bei Telediensten oder Telekommunikationsdiensten sind besondere Formvorschriften zu beachten. Diese sind in § 94 TKG und § 13 Abs. 2 TMG enthalten. Die Einwilligung kann demnach auch elektronisch erklärt werden, wenn
• der Teilnehmer oder Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
• die Einwilligung protokolliert wird,
• der Teilnehmer oder Nutzer den Inhalt der Einwilligung jederzeit abrufen kann.
und im Fall der Telekommunikation der Teilnehmer oder Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Zusätzlich gelten im Medienbereich besondere Hinweis- und Informationspflichten gemäß § 5 und § 6 TMG, sowie § 93 TKG.
Von den Formerfordernissen kann nur unter sehr engen Voraussetzungen abgewichen werden. Als sehr seltene Ausnahme kann bei Vorliegen besonderer Umstände eine Einwilligung auch durch schlüssiges Verhalten erteilt werden.
Der Betroffene ist vollständig, detailliert und richtig zu informieren. Insbesondere ist auf die Erhebung, Verarbeitung oder Nutzung besonderer Arten von personenbezogenen Daten gemäß § 3 Abs. 9 BDSG hinzuweisen.
Die Einwilligung des Betroffenen macht grundsätzlich jede Datennutzung möglich. Sie müssen aber darauf achten, dass diese Einwilligung nur aufgrund umfassender und zutreffender Information über den Zweck der Erhebung, Verarbeitung oder Nutzung und die Folgen der Verweigerung der Einwilligung erfolgen kann. Der Betroffene kann einer Verarbeitung oder Nutzung seiner Daten jederzeit widersprechen und ist auf dieses
Recht hinzuweisen.
Eine Ausnahme von dem soeben formulierten Grundsatz existiert jedoch im geplanten Beschäftigtendatenschutz. Bei Drucklegung dieser Auflage lag das Gesetz, mit dem besondere Regelungen zum Datenschutz von Arbeitnehmern in das BDSG aufgenommen werden sollten noch nicht in der Endfassung vor. Es ist jedoch damit zu rechnen, dass die Einwilligung eines Arbeitnehmers oder eines Bewerbers für einen Arbeitsplatz in die Nutzung seiner Daten nicht wirksam erteilt werden kann. Grund ist, dass Bewerber oder Arbeitnehmern sich einem besonderen Zwang zur Kooperation (potentiellen) Arbeitgeber ausgesetzt sehen, der dazu führt, dass die Einwilligung nicht freiwillig erfolgt.
Es ist nachvollziehbar, dass ein Bewerber, der sich mit vielen anderen Konkurrenten um einen Arbeitsplatz bewirbt, keine Chance mehr hat, wenn er zum Beispiel die Teilnahme an einem Assessment Center mit ausgefeilter psychologischer Diagnostik verweigert. Eine Einwilligung in die Nutzung dieser höchstpersönlichen Daten wird also immer erteilt werden, wenn auch nicht freiwillig.
Dies gilt auch, wenn die Datennutzung durch den Arbeitgeber vordergründig für den Arbeitnehmer Vorteile mit sich bringt. So bestehen viele Arbeitgeber darauf, dass die Navigationsgeräte in Firmenwagen oder zur Verfügung gestellten Mobilfunkgeräten mit GPS Empfang, den Standort der Arbeitnehmer jederzeit an den Arbeitgeber übermitteln. Begründet wird dies mit der rascheren Hilfe in Notfällen oder mit besserer Auslastung der Ressourcen. Tatsächlich geht damit aber eine erhebliche Einengung des Freiheit des Arbeitnehmers einher.
Daher ist es richtig in solchen (und ähnlichen) Fällen die Einwilligung als nicht wirksam zu erachten, wenn Zweifel bestehen, dass die Einwilligung wirklich freiwillig erteilt wird. Ähnliche Zwangslagen können sich bei Quasi-Monopolisten ergeben, deren Leistung für den Einwilligenden von besonderer Wichtigkeit ist. Auch hier wird die Einwilligung zur Datennutzung unfreiwillig erteilt werden, denn viele Kunden werden die Einwilligung erteilen, weil sie als das geringere Übel gegenüber dem Ausschluss von der Nutzung der Leistung erscheint. Bedenken Sie, welche weitgehende Einwilligung von Nutzern der Google Leistungen abverlangt wird. Trotzdem wird die Einwilligung damit erteilt, weil die Nutzung erheblichen Nutzen verspricht und zum Beispiel das Android Betriebssystem eben nur funktioniert, wenn die Einwilligung erteilt wird. Würde das Ausmaß der Datennutzung durch Google freigestellt werden, würden viele Nutzer wohl nicht einwilligen. Deer gerechtigkeit halbe sei aber auch auf die aktuelle Diskussion um die Speicherung von Standortdaten von Apples iOS verwiesen.
Eine datenschutzrechtliche Einwilligung können Sie nicht in AGB aufnehmen. Zum einen fehlt es an der Schriftform, wenn die AGB oder eine zugehörige Urkunde nicht unterzeichnet ist, und zum anderen ist der besonderen Hervorhebung nur dann Genüge getan, wenn die Einwilligungserklärung gesondert abgedruckt ist. Bei Online-Formularen ist darauf zu achten, dass bei einer Einwilligung durch Anklicken einer „Klickbox“ diese im Grundzustand frei ist und der Nutzer tatsächlich die Box anklicken muss, damit sie aktiviert wird.
Ein Unternehmen hatte im Internet neben die Formulierung des Umfangs der Einwilligung und den Text „Ja, ich willige ein“, eine „Klickbox“ gesetzt, die bereits mit einem Kreuz ausgefüllt war. Der Kunde musste auf das Kreuz klicken, um nicht einzuwilligen. Diese Vorgehen war unzulässig. Eine wirksame Einwilligung bestand nicht.
Ebenfalls ist im Online-Bereich darauf zu achten, dass dem Kunden verschiedene Alternativen angeboten werden, wenn eine umfassende Einwilligung abverlangt wird. Anders als im Offline- Bereich hat der Kunde hier keine Möglichkeit, die Teile einer Einwilligungserklärung zu streichen, die er nicht in seine Erklärung aufnehmen möchte. Es mangelt dann an der Freiwilligkeit der Erklärung.
Bei der Einwilligung in einem Teledienst sollten Sie darauf achten, dass dem Nutzer die Möglichkeit gegeben wird, eine vorformulierte Erklärung einzuschränken. Der Nutzer muss in der Lage sein, die einzelnen Teile der Erklärung, die er als zu weit gehend empfindet, zu streichen.
Bitte beachten Sie, dass die Einwilligung freiwillig erfolgen muss. Hieran kann es auch mangeln, wenn die Verweigerung der Einwilligung nachteilige Konsequenzen hat. Die Verarbeitung und Nutzung der Daten in einer besonders umfassenden und über das notwendige Maß hinausgehenden Weise darf nicht zur Voraussetzung für die Gewährung von Leistungen gemacht werden, insbesondere wenn die Leistung bei Dritten nur schwer erhältlich ist oder in anderer Weise einen besonderen Anreiz darstellt.
Die datenschutzrechtliche Einwilligung muss frei, zweckgebunden, informiert, bestimmt und schriftlich erfolgen.
3 Grundzüge des Umgangs mit personenbezogenen Daten
3.1 Grundsätzliches Verbot und Beschreibung der Ausnahmen
Das Grundrecht des Einzelnen auf informationelle Selbstbestimmung führt dazu, dass jede Nutzung von Daten zunächst verboten ist. Die Grenzen dieses Rechts werden jedoch durch das Datenschutzrecht konkretisiert, indem Art und Umfang zulässiger Datenverarbeitungen bestimmt werden.
