M4.1 Rechtliche Aspekte/Datenschutz - Repetitorium - Dr. iur. Lorenz Franck Gesellschaft für Datenschutz und Datensicherheit (GDD e.v.

Transkript

1 M4.1 Rechtliche Aspekte/Datenschutz - Repetitorium - Dr. iur. Lorenz Franck Gesellschaft für Datenschutz und Datensicherheit (GDD e.v.)

2 Meilensteine des Datenschutzrechts 1890 Right to privacy (Warren/Brandeis) 1970 Erstes dt. Datenschutzgesetz in Hessen 1977 Bundesdatenschutzgesetz 1978 Erstes Datenschutzgrundrecht in NRW 1983 Volkszählungsurteil 2004 Großer Lauschangriff 2008 Computergrundrecht 2010 Vorratsdatenspeicherung 2

3 Datenschutzgesetze Bund: BDSG Länder: LDSGs (16x!) Kirchen: KDO; DSG-EKD Sozialleistungsträger: SGB I & X Telekommunikationsanbieter: TKG Telemedienanbieter: TMG Wettbewerb: UWG (Geschäftsgeheimnisse/Werbung) Recht am Bild: KUG Strafrecht: 203 StGB/ 202a ff. StGB/303a ff. StGB u.v.m. 3

4 Was soll Datenschutz? 1 Abs. 1 BDSG: Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. 3 Abs. 1 BDSG: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). 4

5 Informationelle Selbstbestimmung Grundrecht Unterfall des sog. Allgemeinen Persönlichkeitsrechts. Zusammensetzung aus den Artt. 1 und 2 GG Art. 1 Abs. 1 S. 1 GG: Die Würde des Menschen ist unantastbar. Art. 2 Abs. 1 GG: Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit [ ]. 5

6 Volkszählungsurteil Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. [...] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. 6

7 Datenschutzgrundregeln Verbot mit Erlaubnisvorbehalt Datensparsamkeit Transparenz Direkterhebung Zweckbindung 7

8 Erlaubnistatbestände 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Einwilligung Betriebsvereinbarung 28 BDSG 32 BDSG 30a BDSG [...] 8

9 9

10 TOMs 9 BDSG (Technische und organisatorische Maßnahmen) Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. [ ] + Anlage zu 9 BDSG Zutrittskontrolle (Zutritt zu Datenverarbeitungsanlagen) Zugangskontrolle (Nutzung von Datenverarbeitungsanlagen) Zugriffskontrolle (Berechtigungskonzept, kein unbefugtes Lesen oder Verändern) Weitergabekontrolle (kein unbefugtes Lesen oder Verändern beim Transfer) Eingabekontrolle (wer hat befugtermaßen eingeben und verändert) Auftragskontrolle (Weisungen nach 11 BDSG) Verfügbarkeitskontrolle (Schutz gegen gegen zufällige Zerstörung oder Verlust) Trennungsgebot (Unterschiedliche Zwecke bedingen getrennte Verarbeitung) [Verschlüsselung] 10

11 Anlage Satz 2 zu 9 BDSG Verschlüsselung Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. (ebenso Anlage S. 2 zu 78 SGB X) 13 Abs. 4 Nr. 3 TMG Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass [ ] der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann 13 Abs. 7 S. 1 Nr. 2 lit b) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass [ ] diese [ ] gegen Verletzungen des Schutzes personenbezogener Daten [ ] gesichert sind 11

12 Videoüberwachung; 6b BDSG Voraussetzungen: Optisch-elektronische Einrichtung Öffentlich zugänglicher Raum Beobachtung Anwendungsfall und Zweckfestlegung Erforderlichkeit Kenntlichmachung ( 6b Abs. 2 BDSG) 12

13 Recht der Datenschutzbeauftragten Kernvorschriften: 4f, 4g BDSG Aufgabe: 4g Abs. 1 BDSG, Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Voraussetzungen: Fachkunde Zuverlässigkeit (Vorsicht Interessenkonflikte!) 13

14 Recht der Datenschutzbeauftragten Pflicht zur Bestellung: Öffentliche Stellen bei automatisierter Verarbeitung Nicht-öffentliche Stelle bei automatisierter Verarbeitung durch 10 Personen Jegliche Verarbeitung durch 20 Personen Vorabkontrollpflichtige Verfahren Geschäftsmäßige Verarbeitung zum Zweck der (anonymisierten) Übermittlung Geschäftsmäßige Verarbeitung für Zwecke der Markt- oder Meinungsforschung 14

15 Recht der Datenschutzbeauftragten Besondere Rechte: Unmittelbar der Leitung unterstellt ( 4f Abs. 3 S. 1 BDSG) Weisungsfreiheit ( 4f Abs. 3 S. 2 BDSG) Abberufungsschutz ( 4f Abs. 3 S. 4 BDSG) Kündigungsschutz ( 4f Abs. 3 S. 5 & 6 BDSG) Benachteiligungsschutz ( 4f Abs. 3 S. 3 BDSG) Anspruch auf Unterstützung ( 4f Abs. 5 S. 1 BDSG) Fort- und Weiterbildungsanspruch ( 4f Abs. 3 S. 7 BDSG) Beratung durch Aufsichtsbehörden ( 4g Abs. 1 S. 3 BDSG) Kontrollrechte ( 4g Abs. 1 S. 4 Nr. 1 Hs. 1; 4g Abs. 2 S. 1 BDSG) 15

16 Werbung Definition: Jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern (Art. 2 a Richtlinie 2006/114/EG) Jede Äußerung zum Zwecke der Absatzsteigerung Kernvorschriften: 28 Abs. 3 BDSG (Datenquelle) 7 UWG (Werbemaßnahme) 16

17 28 Abs. 3 BDSG Einwilligung Oder: Listenprivileg ( listenmäßig oder sonst zusammengefasste Daten ) sowie Nrn. 1 bis 3 (Eigenwerbung, berufliche Tätigkeit, Spenden) 17

18 Listenprivileg Zugehörigkeit zu konkreter Personengruppe Berufs-, Branchen- oder Geschäftsbezeichnung Name Titel akademischer Grad Anschrift Geburtsjahr NICHT: Telephonnummer oder -adresse! ACHTUNG: 28 Abs. 3 S. 3 BDSG 18

19 28 Abs. 3 BDSG Was außerdem noch geht: Hinzuspeichern Übermitteln von Listendaten Werbung für fremde Angebote Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 [lies: 5] ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. 19

20 7 UWG Unzumutbare Belästigung? Abs. 1: Abstraktes Verbot Abs. 2: Konkretisierung Abs. 3: Ausnahme 20

21 7 II UWG Nr. 1: Weniger belästigende Varianten (Briefwerbung etc.) Nr. 2: Telephon Nr. 3: automatische Anrufmaschinen, Fax und vor allem [Nr. 4: Verschleierung, überteuerte Widerrufsmöglichkeit, Telemedienrechtswidrige Websites] 21

22 -werbung ( 7 II Nr. 3, III UWG) Einwilligung! Oder: Nur, wenn Adresse im Zusammenhang mit Verkauf von Waren oder Dienstleistungen erhalten Nur für eigene ähnliche Waren oder Dienstleistungen Nur ohne Werbewiderspruch Nur mit Widerspruchsmöglichkeit 22

23 Kundenzufriedenheitsumfrage Erlaubte Marktforschung oder unerlaubte Werbung? Für Zwecke der Terminvereinbarung hinterlassene Telephonnummer darf jedenfalls nicht für Kundenbefragung verwendet werden, LG Köln, Urteil vom O 52/11 (Nur weil ein Marktforschungsunternehmen eingeschaltet wurde, handelt es sich noch nicht um neutrale Marktforschung.) 23

24 Marktforschung Marktforschung ist die systematische Sammlung, Aufbereitung, Analyse und Interpretation von Daten über Märkte und Marktbeeinflussungsmöglichkeiten zum Zweck der Informationsgewinnung für Marketing-Entscheidungen. (Böhler) Marktforschung ist die Sammlung, Verarbeitung und Analyse von Informationen über gegenstände, die für das Marketing relevant sind. (Lehmann/Gupta/Steckel) Markforschung ist die systematische Sammlung, Aufzeichnung und Analyse von Daten über Probleme, die in Beziehung stehen zum Marketing von Gütern und Dienstleistungen. (American Marketing Association) Empirische Sozialforschung ist eine Gesamtheit von Methoden, Techniken und Instrumenten zur wissenschaftlich korrekten Durchführung von Untersuchungen des menschlichen Verhaltens und weiterer sozialer Phänomene. (Häder) Definition im Rechtssinne fehlt. Kernvorschrift 30a BDSG 24

25 30a BDSG; Struktur Abs. 1: Datenquellen, Zweckbindung für besondere Arten personenbezogener Daten Abs. 2: Zweckbindung und Zweckänderung Abs. 3: Anonymisierung, Pseudonymisierung und Dateitrennung 25

26 30a BDSG; Besonderheiten Personenbezug! (Demoskopie, keine Ökoskopie) Geschäftsmäßigkeit (=Wiederholungsabsicht) Keine methodischen Vorgaben (ABER: Datensparsamkeit!) Eingeschränktes Direkterhebungsprinzip Eingeschränktes Zweckbindungsprinzip Eingeschränktes Dateitrennungsprinzip Baldmögliche Anonymisierung 26

27 Wissenschaftsfreiheit Art. 5 Abs. 3 GG: Kunst und Wissenschaft, Forschung und Lehre sind frei. Die Freiheit der Lehre entbindet nicht von der Treue zur Verfassung. (Vgl. Art. 2 I GG: Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. ) 27

28 Wissenschaftsfreiheit 30a Abs. 1 S. 1 Nr. 1 BDSG: Markt- oder Meinungsforschung ist zulässig, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat. Grundrechtsabwägung: Freiwilligkeit, Widerspruchsrecht, Sperrdatei, Transparenz, Anonymisierung 28

29 Untersuchungsablauf 1. Definition des Problems 2. Festlegung des Untersuchungsziels 3. Festlegung des Untersuchungsdesigns 4. Entwicklung der Meßinstrumente 5. Datensammlung 6. Datenanalyse 7. Bericht (Phasen nach Kuß/Kleinaltenkamp, Marketing-Einführung 2013, S. 97) 29

30 30a BDSG; Regierungssicht Markt- und Meinungsforschung übernehmen eine wichtige gesellschaftliche Aufgabe und sind wichtige Voraussetzung für die nachhaltige demokratische und wirtschaftliche Entwicklung. (Bundestags-Drucksache 16/13657, S. 31 ff.) 30

31 Standesregeln ICC/ESOMAR Kodex, CESOMAR Code_German.pdf ICC/ESOMAR Erklärung für das Bundesgebiet, laerung_rdms.pdf Verbandsrichtlinien, 31

32 Verbandsrichtlinien Aufzeichnung und Beobachtung von Gruppendiskussionen und qualitativen Einzelinterviews Einsatz von Mystery Research in der Markt- und Sozialforschung Studien im Gesundheitswesen zu Zwecken der Markt- und Sozialforschung Telefonische Befragungen nebst Richtlinienergänzung Befragung von Minderjährigen Veröffentlichung von Ergebnissen der Wahlforschung Umgang mit Adressen in der Markt- und Sozialforschung Umgang mit Datenbanken in der Markt- und Sozialforschung Online-Befragungen Einsatz von Datentreuhändern in der Markt- und Sozialforschung Untersuchungen in den und mittels der Sozialen Medien 32

33 Marktforschung und Werbung ICC/ESOMAR-Kodex (Bundesgebiet): Wissenschaftliche Untersuchungen der Markt-, Meinungs- und Sozialforschung müssen [ ] klar erkennbar gegenüber anderen Tätigkeiten abgegrenzt sein [ ], insbesondere gegenüber allen Tätigkeiten des Direktmarketings, der Werbung und der Verkaufsförderung. PROBLEM: Wissenschaftlichkeit alleine genügt nicht zur Abgrenzung 33

34 Marktforschung und Werbung Begriffsverwirrung: Anschriften im Sinne von 28 Abs. 3 BDSG (Listendaten) sind nur die Hausadressen Marktforschungs- Adressen sind hingegen auch Telephonnummern und -adressen 34

35 Marktforschung und Werbung Echte Markt- und Meinungsforschung wird nicht von 7 UWG erfaßt. Keine unzumutbare Belästigung! (Vgl. Folie Kundenzufriedenheitsumfrage, LG Köln, Urteil vom O 52/11) 35

36 CATI Computer Aided Telephone Interviewing Theoretisch nutzbarer Nummernraum Zufällige Bildung von Nummernblöcken Feststellung tatsächlicher Nummernvergabe PROBLEM: Geheimnummern 36

37 Benachrichtigungspflicht Sie bekommen im Rahmen eines Forschungsprojektes nach 30a BDSG vom Auftraggeber Kontaktadressen der Bestandskunden übermittelt. Müssen die Betroffenen hierüber informiert werden? Grds. ja, 33 Abs. 1 S. 1 BDSG. Ausnahme: 33 Abs. 2 S. 1 Nrn. 5 bzw. 9 BDSG. 37

38 Beschwerdemanagement Rat der deutschen Markt- und Sozialforschung An den Rat kann sich jeder wenden, der sich als Befragter, Auftraggeber oder Wettbewerber durch ein den Berufsgrundsätzen und Standesregeln widersprechendes Verhalten eines Markt- und Sozialforschers, eines Markt- und Sozialforschungsinstituts oder einer im Bereich der Markt- und Sozialforschung tätigen betrieblichen Stelle oder sonstigen Einrichtung in seinen Rechten verletzt sieht. ( 38