Datenschutz schützt die Privatheit und Persönlichkeit der Menschen und dient als vertrauensbildende Maßnahme gegenüber Kunden. Ziel des Datenschutzes ist es, dass die Kunden selbst bestimmen können, wer was über sie erfahren soll. Daher spricht man auch von der informationellen Selbstbestimmung. Dieses Grundrecht wird abgeleitet aus dem Art. 1 GG die Würde des Menschen und dem Art. 2 GG der freien Entfaltung der Persönlichkeit. Was Unternehmer beachten müssen, wenn sie Daten erheben, erörtert dieser Beitrag genauer.

Funktion des Datenschutzrechts

Die Aufgabe des Datenschutzes ist es gemäß § 1 Abs. 1 BDSG den Schutz personenbezogener Daten vor Missbrauch bei ihrer Datenverarbeitung zu gewährleisten. Missbräuchlich ist in diesem Zusammenhang jede Datenverarbeitung, die nicht auf gesetzlicher Grundlage erfolgt, d.h. gesetzlich nicht legitimiert ist.

Was können Daten sein?

Der Begriff der Daten wird im Sinne von Einzelangaben oder Einzelinformationen verstanden. Der § 3 Abs. 1 BDSG definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person. Unter einer natürlichen Person versteht man eine lebende Person zwischen Geburt und Tod.

Persönliche Verhältnisse können u.a. Familienstand, Geburtsdatum und die Staatsangehörigkeit sein. Unter sachliche Verhältnisse versteht man z.B. Einkommen, Steuern, Versicherung oder Besitzverhältnisse.

Umgang mit Daten

Unter dem Ungang mit Daten versteht man, das Erheben ( § 3 Abs.3 BDSG), Verarbeiten ( §3 Abs.4 BDSG) und Nutzen ( § 3 Abs. 5 BDSG) von Daten.

Erheben ist das beschaffen von Personenbezogenen Daten.

Unter Verarbeitung versteht man das Speicher (Erfassen, Aufnehmen, Aufbewahren), Verändern (inhaltliche Umgestaltung) , Löschen, Sperren (weitere Nutzung und Verarbeitung einschränken) oder Übermitteln (Einsicht / Abruf Dritter, Übermittlung/Weitergabe an Dritte) von Daten. Eine Verarbeitung setzt stets voraus, dass es vom Gesetz erlaubt ist und die Einwilligung des Betroffenen vorliegt.

Unter dem Nutzen, versteht man die Verwendung von personenbezogenen Daten außerhalb der Verarbeitung.

Was wäre ohne Datenschutz?

Ohne Datenschutz wüsste der Nachbar wie hoch dein Kreditrahmen ist, der Arbeitgeber würde deine Krankheitsgeschichte kennen und es wäre bekannt wie viel Alkohol du trinkst und wo du ihn gerne trinkst. Einiges davon wäre nicht so tragisch, einiges aber schon. Daher wird Datenschutz ein immer wichtigeres Thema.

Mit zunehmender technischer Entwicklung steigt das Risiko von Datenverlusten oder noch schlimmer von Identitätsdiebstahl. Auch zur Ausübung von Meinungsfreiheit, Glaubensfreiheit ist Datenschutz wichtig, oder würdet ihr eure Meinung noch frei äußern oder Wählen gehen, wenn dies öffentlich passieren würde?

Kurz: Ohne Datenschutz könnten unterschiedliche Informationen miteinander verknüpft werden, was für den Betroffenen verheerende Folgen haben kann.

Welche Rechtsvorschriften regeln den Datenschutz?

Welches Gesetz zur Anwendung kommt wird danach bestimmt, ob die Datenverarbeitung im öffentlichen oder privaten Bereich stattfindet.

Datenschutzgesetze für den öffentlichen Bereich: Die Datenschutzgesetze der Länder regeln u.a. unter welchen Voraussetzungen die Behörden und sonstige öffentliche Stellen personenbezogene Daten verarbeiten dürfen. Neben den allgemeinen Datenschutzgesetzen gibt es auch Datenschutzregelungen, die in Spezialgesetzen des Bundes oder Länder enthalten sind, wie z.B. das Polizeigesetz. Das Bundesdatenschutzgesetz wiederum regelt die Datenverarbeitung durch Bundesbehörden, wie. z.B. Arbeitsagenturen.

Datenschutzgesetze für den privaten Bereich: Die allgemeinen Datenschutzanforderungen für den privaten Bereich regelt das Bundesdatenschutzgesetz. Unter Privaten Bereich versteht man u.a. Banken, Versicherungen oder Unternehmen wie ihr sie habt.  Daneben gibt es noch bereichspezifische Datenschutzregelungen, die in Spezialgesetzen wie das Telemediengesetz enthalten sind.

Zu beachten ist hierbei, dass Spezialgesetze immer vorrangig zu verwenden sind.

Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz regelt die Datenverarbeitung von personenbezogenen Daten. Nur natürliche Personen sind davon betroffen. Informationen über juristische Personen (Unternehmen) sind davon nicht betroffen. Darüber hinaus regelt das BDSG auch welche Rechte und Pflichten die Aufsichtsbehörden für den Datenschutz haben

Telemediengesetz (TMG)

Handelt es sich um personenbezogene Daten, die für die Durchführung eines Telemediendienstes verwendet werden, ist das speziellere TMG anwendbar.

Unter Telemedien versteht man elektronische Informations- und Kommunikationsdienste. Zu dem im TMG geregelten Telemedien gehören nahezu alle Angebote im Internet, Webshops, Online- Auktionshäuser, Suchmaschinen auch private Websites und Blogs. Daher wird das Telemediengesetz gern auch als Internetgesetz bezeichnet. Das TMG regelt u.a. die Impressumspflicht, dies dient mit Transparenzbestimmungen der Bekämpfung von Spam und bestimmt Datenschutz- und Haftungsregelungen der Provider.

Die sieben Grundprinzipien

Für den Datenschutz im Telemedienberreich ist vorrangig das Telemediengesetz anzuwenden. Nachrangig kommen jedoch auch die Schutzvorschriften des Bundesdatenschutzgesetzes zur Anwendung (§ 12 III TMG). So können die Regelungen zum Datenschutz mit den sieben Grundprinzipien dargestellt werden. Diese Grundprinzipien wirken nur miteinander, ein Vorgang muss allen Grundprinzipien entsprechen um wirksam zu sein.

Verbot mit Erlaubnisvorbehalt

Grundsätzlich ist das Erheben und Verwenden von personenbezogenen Daten durch den Dienstanbieter verboten, es sei denn ein Gesetz mit Bezug auf Telemedien oder der Nutzer selbst erlaubt es (§ 12 I TMG).

Die Einwilligung durch den Nutzer kann auch elektronisch erfolgen, jedoch sind dann an die Wirksamkeit der Einwilligung folgende Bedingungen geknüpft (§13 II TMG). So muss der Nutzer seine Einwilligung bewusst und eindeutig erteilt haben. Wobei hier anzumerken ist, dass nach der Rechtsprechung ein vorangekreuztes Kästchen ausreichend ist. Daneben muss die Einwilligung protokolliert werden. Dies ermöglicht schließlich die Nachweisbarkeit der Einwilligung. Darüber hinaus muss der Nutzer den Inhalt der Einwilligung jederzeit, während der Nutzung des Dienstes, abrufen können. Weiterhin muss der Nutzer jederzeit die Einwilligung mit Wirkung für die Zukunft widerrufen können. Schließlich ist zu beachten, dass auf formularmäßige Einwilligungserklärungen die Regelungen über allgemeine Geschäftsbedingungen der §§ 305 ff. BGB anzuwenden sind.

Neben der Erlaubnis durch den Nutzer erlaubt das TMG schließlich auch die Erhebung und Verwendung personenbezogener Daten im Falle von Bestands- und Nutzungsdaten. Bestandsdaten (§ 14 TMG) sind diejenigen Daten, die für die Begründung, Ausgestaltung oder Änderung eines Vertragsverhältnisses unerlässlich sind. Hierunter fallen bspw. Name, Anschrift, Mail-, IP-Adresse oder das Geburtsdatum des Nutzers. Nutzungsdaten (§15 TMG) dagegen sind die Daten, die durch die Nutzung des Telemediendienstes entstehen und für die Nutzung oder Abrechnung unerlässlich sind. Hierzu zählen z.B. Daten zur Identifikation des Nutzers, wie die IP-Adresse, oder auch Angaben über den Zeitraum, sowie Umfang der Nutzung von Telemediendiensten.

Direkterhebung

Sollte die Datenerhebung nach einem der oben genannten Erlaubnistatbestände zulässig sein, so müssen die Daten beim Betroffenen erhoben werden (§ 4 II BDSG). Der Nutzer soll also eine reale Möglichkeit haben zu entscheiden, welche Daten von ihm und zu welchem Zweck diese preisgegeben werden. Demnach müssen Daten immer unter Mitwirkung oder mindestens mit Kenntnis des Betroffenen erhoben werden. Ohne Mitwirkung, also nur mit Kenntnis, dürfen personenbezogene Daten nur erhoben werden, soweit eine Rechtsvorschrift dies zwingend voraussetzt, die Erhebung bei einem Dritten für den Geschäftszweck erforderlich ist oder die Erhebung beim Betroffenen mit unverhältnismäßigem Aufwand verbunden wäre. Eine zulässige Erhebung bei einem Dritten wäre bspw. bei der Einholung der Schufa-auskunft für die Kreditvergabe, oder die Weitergabe der Lieferadresse an das Transportunternehmen beim Versandkauf.

Datensparsamkeit & Datenvermeidung

Nach dem Grundsatz der Datensparsamkeit & Datenvermeidung (§ 3a BDSG) sollen nur so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt werden. Hierbei gilt, dass die Daten so früh wie möglich anonymisiert (§ 3 VI BDSG) oder pseudonymisiert (§ 3 VI a BDSG) werden müssen. Frühestmöglich bedeutet, dass die Daten sofort unkenntlich gemacht werden müssten, soweit dies nach dem legitimen Verwendungszweck möglich ist. Darüber hinaus besteht hier stets eine Interessenabwägung des Schutzinteresses des Betroffenen mit dem Nutzinteresse für die verarbeitende Stelle. Wird also z.B. die Wohnadresse eines Nutzers erhoben, müsste diese bei bloßer Verwendung für Marktforschungszwecke, wohl auf die Postleitzahl reduziert werden. Soll die Adresse jedoch für die Lieferung einer Bestellung erhoben werden, ist sie notwendig für die Erfüllung des Vertrages und muss noch nicht unkenntlich gemacht werden.

Transparenz

Jeder Nutzer sollte wissen, wann und wofür seine Daten genutzt werden. Verankert ist das Transparenz-Gebot z.B. in der Auskunftspflicht des Dienstanbieters (§ 13 VII TMG i.V.m. § 34 BDSG). Diese Auskunftspflicht gibt dem Betroffenen das Recht zu erfahren, welche Daten der Dienstanbieter über den Betroffenen speichert, an wen diese Daten weitergegeben wurden und zu welchem Zweck diese gespeichert wurden. Von praktisch größerer Bedeutung ist jedoch die Unterrichtungspflicht (§ 13 I TMG). Nach dieser muss der Dienstanbieter den Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung der personenbezogenen Daten unterrichten. Daneben muss der Dienstanbieter den Nutzer auch über das Widerrufsrecht bezüglich seiner Einwilligung in die Erhebung bzw. Verwendung personenbezogener Daten unterrichten. Die Unterrichtung muss zum Beginn der Nutzung erfolgen. Weiterhin muss sie ohne großen Suchaufwand und jederzeit während der Nutzung des Telemediendienstes abrufbar sein. In der Praxis wird regelmäßig auf einen deutlich hervorgehobenen Hyperlink auf der Startseite zurückgegriffen, der auf eine weitere Seite mit der Unterrichtung verweist. Inhaltlich muss diese Unterrichtung allgemein verständlich und deutsch sein. Darüber hinaus reicht es nicht aus, allgemein zu statuieren, die Daten würden im Rahmen der gesetzlichen Vorschriften erhoben und verwendet. Vielmehr muss detailliert und konkret über die Erhebung und Verwendung der personenbezogenen Daten informiert werden.

Zweckbindung

Personenbezogene Daten dürfen nur für einen zulässigen Zweck, z.B. für Vertragsverhältnisse, erhoben werden. Folglich dürfen diese Daten nur für den Zweck, für den sie erhoben wurden, verwendet werden. Ausnahmsweise dürfen Bestandsdaten für Zwecke der Strafverfolgung oder für Ähnliches verwendet werden (§ 14 II TMG). Darüber hinaus kann der jeweilige Nutzer natürlich auch nachträglich in weitere Zwecke der Datenverwendung einwilligen. Daneben dürfen aus Nutzungsdaten, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind, Abrechnungsdaten erstellt werden, welche über das Ende des Nutzungsvorgangs hinaus aufbewahrt werden dürfen. Schließlich dürfen aus den Nutzungsdaten zum Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien pseudonyme Nutzungsprofile, auch Cookies genannt, erstellt werden. Dieser Erstellung von Cookies muss der Nutzer widersprechen können.

Erforderlichkeit

Das Prinzip der Erforderlichkeit besagt, dass die zu erhebenden bzw. verwendenden Daten unerlässlich für den Telemediendienstvertrag sein müssen. Es darf also kein milderes Mittel, bezüglich des Datenschutzinteresses der Nutzer, mit gleichem Erfolg geben. Hat ein Telemediendienstanbieter vor, nur mit volljährigen Personen Verträge abzuschließen, so muss er sich im Zuge des Erforderlichkeits-Grundsatzes darauf beschränken, sich die Volljährigkeit mittels eines „Ich bin über 18“-Buttons bestätigen zu lassen. Die Erhebung des kompletten Geburtsdatums wäre folglich nicht erforderlich.

Kein Internetdienst ohne Datenschutzbedingungen

Um den Datenschutzprinzipien zu entsprechen, werden Datenschutzbedingungen benötigt. Diese sind vor allem wichtig, damit das Transparenz-Prinzip befolgt werden kann. Denn der Nutzer muss Klarheit über die Erhebung, Verarbeitung und Nutzung seiner Daten bekommen. Dies wird am besten mit der Hilfe von Datenschutzbedingungen gewährleistet.

Der Kunde muss zu diesen Datenschutzbedingungen jeder Zeit Zugang haben und über Änderungen der Bedingungen informiert werden. Die Formulierung der Bedingungen muss der Internetdienstanbieter nicht zwingend selbst formulieren. Diese können einfach kopiert werden, da es nicht gegen das Urheberrecht verstößt. Dies liegt daran, dass die Gestaltungshöhe des kopierbaren Textes nicht ausreicht, um als Werk im Sinne des Urheberschutzes zu geltend zu machen.

Dennoch sollte man nicht unüberlegt bzw. wahllos Texte kopieren und übernehmen, denn die Musterdatenschutzbedingungen aus dem Internet, sollten dem jeweiligen Internetdienst individuell angepasst werden. Sie dienen somit nur als Vorlage und Formulierungshilfe. Wenn eine Website z.B. mit Facebook verknüpft wird und einen Like-Button erhält, so muss der Kunde auch über diese Maßnahme informiert werden. In diesem Fall müsste bspw. den Datenschutzbedingungen beigefügt werden, dass der Kunde mit dem Anklicken dieses Buttons bewirkt, dass eine entsprechende Meldung in seinem Facebook-Profil erscheint.

Praktische Umsetzung

Man kann also z.B. bei Google „Musterdatenschutzbedingungen“ oder „Web-Shop“ in das Suchfeld eingeben. Auf diese Weise lassen sich Seiten finden, die solche Muster – bestenfalls auch kostenlos – zur Verfügung stellen. So lässt sich der Mustertext in Form eines HTML-Codes, in den Quelltext der eigenen Website einfügen. Man sollte allerdings darauf achten, den Text noch an den eigenen Internetdienst anzupassen. Dieser sollte möglichst auch noch von einer externen Person – z.B. von Freunden und Verwandten gelesen werden, um unnötige Fehler zu vermeiden. Dabei wird getestet ob die Datenschutzbedingungen vom durchschnittlichen Kunden verstanden werden.

Einverständniserklärung einholen ist Pflicht

Der Kunde muss die Datenschutzbedingungen jedoch nicht nur lesen können. Er sollte darüber hinaus die Möglichkeit haben, erkenntlich zu machen, ob er mit ihnen einverstanden ist. Es bedarf also der Einholung einer Einverständniserklärung des Kunden. Am einfachsten und effizientesten erfolgt dies, durch ein Anklickhäkchen, welches oftmals schon bei der Registrierung ganz am Ende eingeholt wird (an dieser Stelle auch ratsam). Empfehlenswert ist es neben diesem Häkchen den direkten Zugriff auf die Bedingungen zu gewähren, z.B. durch einen Hyperlink. Das ist benutzerfreundlich und schafft Rechtssicherheit. Denn mit dem Setzen eines Hakens, macht der Kunde erkenntlich, dass sich über sein Einverständnis bewusst ist und dieses freiwillig erteilt.

Änderung der Datenschutzbedingungen

Im Falle einer Änderung der Datenschutzbedingungen (z.B. die Einführung einer neuen Funktion wie Google-Analytics), ist die Einverständniserklärung des Kunden erneut einzuholen. Denn der Betreiber der Website kann nicht einfach davon ausgehen, dass der Kunde die neueingeführten Funktionen akzeptiert. Daher muss der Kunde über Änderung deutlich informiert werden und ihnen zustimmen, bevor diese für ihn geltend gemacht werden.

Datenschutzbeauftragter?

In nicht-öffentlichen Stellen, also Unternehmen, ist ein Datenschutzbeauftragter zu bestellen, wenn Daten automatisiert verarbeitet werden und mehr als neun Personen mit deren Verarbeitung beschäftigt sind oder Zugriff auf sie haben.

Folgen der Verletzung von Datenschutzrechten

Werden einzelne oder mehrere Prinzipien des Datenschutzes verletzt, können verschiedene Konsequenzen auf den Internetdienstbetreiber zukommen. Der betroffene Kunde hat nach wie vor Anspruch auf die Auskunft über seine eigenen Daten. Sollte sich herausstellen, dass diese falsch sind, hat er einen Anspruch auf deren Berichtigung. Sollte die Speicherung der Daten unzulässig gewesen sein, hat der Kunde einen Löschungsanspruch. Daneben kann es in sehr schweren Fällen der Datenschutzverletzung auch zu strafrechtlichen Folgen kommen, z.B. bei illegalem Datenhandel.

In der Praxis häufiger sind dagegen Bußgelder und Abmahnungen. Denn fehlender oder fehlerhafter Datenschutz, ist ein sehr beliebter Angriffspunkt, um einem Unternehmen zu schaden.

So kann im Prinzip jede Person, die das Unternehmen nicht gutheißt und ihm daher schaden möchte, eine Beschwerde bei der Datenschutzbehörde einreichen. Die Behörde wird daraufhin die Datenschutzbedingungen prüfen. Sollte sich die Beschwerde als gerechtfertigt erweisen, muss ein Bußgeld an den Staat gezahlt werden, welches bis zu 50.000 € hoch sein kann.

Es ist zu beachten, dass ausschließlich Wettbewerber die Möglichkeit haben, das Unternehmen abzumahnen. Dazu wird ein Anwalt eingeschaltet, welcher dem Unternehmen in einem Schreiben erklärt, welche Fehler zu beheben oder welche Handlungen zu unterlassen sind. Oft geht solch ein Schreiben mit einer Unterlassungserklärung des Abgemahnten einher. Wird gegen die Unterlassungserklärung verstoßen, indem eine bestimmte Handlung eben nicht unterlassen wird, fällt eine Mahngebühr an. Doch auch wenn der Abmahnung fristgerecht nachgekommen wird, werden in der Regel die Anwaltskosten auf den Abgemahnten umgewälzt.

Fazit

Um dem Datenschutz gerecht zu werden, ist es auf jeden Fall ratsam sich zumindest die §§ 11 – 15a TMG durchzulesen. Was man sich aber dringend merken sollte:

  • nicht mehr Daten erheben als für das jeweilige Vertragsverhältnis nötig ist
  • unbedingt die Einverständniserklärung des Kunden einholen
  • den Datenerhebungszweck offen legen bzw. Transparenz schaffen

Daraus folgt also: Kein Internetdienst ohne Datenschutzbedingungen, welche leicht auffindbar, gut verständlich und in irgendeiner Weise hervorgehoben sein sollen.

Schließlich ein paar hilfreiche Links: