DTV-Reihe: Recht in der Praxis. 24. Grundlagen des Datenschutzes. I. Wen schützt das BDSG?

Transkript

1 DTV-Reihe: Recht in der Praxis 24. Grundlagen des Datenschutzes Eine erfolgreiche touristische Geschäftspolitik kommt heute ohne Direktmarketing kaum mehr aus. Daher sind Kundendaten für Anbieter touristischer Leistungen ein kostbares Gut. Die elektronische Datenverarbeitung macht es möglich, dass Daten nahezu unbegrenzt gespeichert, verknüpft und ausgewertet werden können. Um das Persönlichkeitsrecht des Einzelnen zu schützen und Datenmissbrauch zu verhindern, bedarf jede personenbezogene Datenverarbeitung einer gesetzlichen Grundlage. Die Grundlagen des Datenschutzes sind im Bundesdatenschutzgesetz (BDSG) geregelt. Daneben gibt es eine Vielzahl von spezialgesetzlichen Regelungen (z.b. Meldegesetze der Länder, TelekommunikationsG, TelemedienG). I. Wen schützt das BDSG? Das BDSG schützt natürliche Personen bei der Verwendung ihrer personenbezogenen Daten. Personenbezogene Daten im Sinne des BDSG sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (z.b. Name, Adresse, Titel, Telefonnummer, -Adresse, IP- Adresse und sonstige Angaben zu den persönlichen und wirtschaftlichen Verhältnissen einer Person wie Gehalt, Vermögen, Arbeitsverhalten, PC-Nutzerkennung, politische und religiöse Überzeugungen, Gewerkschaftszugehörigkeit usw.). Auch Daten ohne direkten Personenbezug (z.b. ohne Namensangabe) können personenbezogene Daten sein, wenn aus ihnen auf die zugehörige Person geschlossen werden kann (z.b. Personalnummer, Kundennummer, Autokennzeichen). Daten über juristische Personen, Personenvereinigungen, Vereine, Verbände usw. unterliegen nicht dem BDSG. Die datenschutzrechtlichen Regelungen gelten auch nicht bei anonymisierten oder aggregierten Daten oder personenbezogenen Daten, die ausschließlich im persönlichen oder familiären Bereich genutzt werden. Beispiele: Geschützt sind demnach Mitarbeiter, Kunden und Lieferanten oder deren Ansprechpartner. Die Daten eines Fremdenverkehrsvereins oder einer Tourismusmarketing GmbH unterliegen nicht dem BDSG, wohl aber die personenbezogenen Daten 1

2 der jeweiligen Ansprechpartner (z.b. private Handy-Nummer des zuständigen Sachbearbeiters). Soweit Daten anonymisiert (z.b. Erfassung der Gästezahl bei der Erhebung einer Kurtaxe ohne Angabe des Namens) oder aggregiert (Erfassung der Anzahl der Hotelgäste über 50 Jahren, Erfassung der Anzahl der Geschäftsreisenden) werden, so dass ein Rückschluss auf eine bestimmte Person nicht mehr möglich ist, findet das BDSG keine Anwendung. II. Wer muss das BDSG beachten? Behörden Natürliche und juristische Personen des Privatrechts, wie privatrechtliche Organisationen und Firmen, Personen, die personenbezogene Daten für eigene Zwecke verarbeiten, z.b. Selbständige, Vereine, Produktions-, Handels- und Dienstleistungsunternehmen. Sonstige privatwirtschaftliche Organisationen, deren Geschäftszweck die Verarbeitung personenbezogener Daten für Dritte ist, z.b. Service-Rechenzentren, Wirtschaftsauskunfteien, Markt- und Meinungsforscher, Adresshändler, Medien usw. III. Wer ist in einem Unternehmen verantwortlich für die Einhaltung des Datenschutzes? 1. Verantwortliche Stelle im Sinne des 3 Abs. 7 BDSG Das Unternehmen hat die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung. Das BDSG spricht daher von der verantwortliche Stelle ( 3 Abs. 7 BDSG). Im Unternehmen ist die Geschäftsleitung für die Einhaltung der Datenschutzvorschriften nach innen und nach außen verantwortlich. 2. Verpflichtung auf das Datengeheimnis Jeder einzelne Mitarbeiter eines Unternehmens ist dem Datengeheimnis verpflichtet. Mitarbeiter dürfen nicht unbefugt personenbezogene Daten erheben, verarbeiten oder nutzen. Der Arbeitgeber ist verpflichtet, die mit der Datenverarbeitung betrauten Personen über die Vorschriften des BDSG sowie weitere relevante Datenschutzvorschriften zu belehren und sie bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten ( 5 BDSG). 2

3 3. Auftragsdatenverarbeitung Hat das Unternehmen externe Dienstleister mit der Datenverarbeitung beauftragt (sog. Auftragsdatenverarbeitung, z.b. Lohnbuchhaltung durch Steuerberater, Mail- Server bei IT-Dienstleister, Aktenvernichtung durch Fremdfirma), bleibt der Auftraggeber dennoch verantwortliche Stelle im Sinne des BDSG. Der Auftraggeber hat durch vertragliche Vereinbarungen mit dem Auftragnehmer dafür zu sorgen, dass dieser die notwendigen technischen und organisatorischen Maßnahmen zur Einhaltung der Datenschutzbestimmungen schafft und er muss deren Einhaltung auch kontrollieren. 4. Betrieblicher Datenschutzbeauftragter Hat ein Unternehmen mehr als neun Personen, die personenbezogene Daten automatisiert verarbeiten, muss ein betrieblicher Datenschutzbeauftragter bestellt werden. Aufgabe des Datenschutzbeauftragten ist die Kontrolle der Einhaltung der Datenschutzbestimmungen. Hierzu gehört insbesondere: Beratung der Geschäftsleitung und der Mitarbeiter in allen Fragen zum datenschutzgerechten Umgang mit personenbezogenen Daten und Fragen der Datensicherheit. Erfassung aller im Unternehmen stattfindenden DV-Abläufe (Erstellung eines sog. Verfahrensverzeichnisses gemäß 4e, 4g BDSG), welche der Datenschutzbeauftragte jedermann auf Antrag zugänglich machen muss. Überwachung der DV-Programme. Schulung und Verpflichtung der Mitarbeiter auf das Datengeheimnis. Kontrolle von Auftragsdatenverarbeitung und Outsourcing. Vorabkontrolle bei kritischer Datenverarbeitung. Erarbeitung und Pflege von Datenschutzrichtlinien. Wahrung der Rechte Betroffener und Dritter bei der Verarbeitung ihrer personenbezogenen Daten. Der Datenschutzbeauftragte hat somit die Aufgabe eines innerbetrieblichen Kontrollorgans. Soweit in einem Betrieb kein Mitarbeiter mit der erforderlichen Fachkunde zur Verfügung steht, kann auch eine externe Person (z.b. Rechtsanwalt, IT-Beauftragter) mit den Aufgaben des Datenschutzbeauftragten betraut werden. In Unternehmen mit weniger als neun Mitarbeitern sind die Aufgaben des Datenschutzbeauftragten von der Geschäftleitung wahrzunehmen. 3

4 IV. Wann und in welchem Umfang ist Datenverarbeitung zulässig? Im Datenschutzrecht gelten drei wesentliche Grundsätze. Das Verbotsprinzip, der Zweckbindungsgrundsatz sowie der Grundsatz der Datensparsamkeit. 1. Das Verbotsprinzip Das Verbotsprinzip besagt, dass jede Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten einer gesetzlichen Grundlage oder einer Einwilligung des Betroffenen bedarf. Datenverarbeitung ist erlaubt, a) wenn eine Erlaubnis nach dem BDSG vorliegt. Das BDSG erlaubt die Verarbeitung personenbezogener Daten, wenn sie dem Zweck des Vertrags (Begründung, Durchführung, Beendigung eines Vertrages) oder der Vertragsanbahnung mit dem Betroffenen dient, wenn die berechtigten Interessen des Unternehmens die schutzwürdigen Interessen des Betroffenen der Datenverarbeitung überwiegen, wenn die Daten allgemein zugänglich sind oder aufgrund ihres Charakters veröffentlicht werden durften ( 28 BDSG). Oder b) wenn eine Erlaubnis durch andere Rechtsvorschriften vorliegt. Neben dem BDSG gibt es spezialgesetzliche Regelungen, die eine Datenverarbeitung erlauben bzw. hierzu sogar verpflichten können. Beispielsweise Regelungen aus dem Steuer- bzw. Sozialversicherungsrecht für die Entgeltabrechnung, Regelungen zum Melderecht mit den allgemeinen Meldepflichten und besonderen Regelungen zum Meldeschein für Beherbergungsbetriebe, das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) mit den Regelungen für Kommunikations- und Internetanbieter. Oder c) wenn eine Einwilligung des Betroffenen vorliegt. Eine Datenverarbeitung ist immer erlaubt, wenn der Betroffene der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten ausdrücklich und in der Regel schriftlich zustimmt. Dabei muss der Kunde aber über drei Dinge umfassend informiert sein: 1. über die Art der verarbeiteten Daten, 2. über das Daten verarbeitende Unternehmen und 3. über den Verarbeitungszweck. 4

5 2. Der Zweckbindungsgrundsatz Der Unternehmer muss den Betroffenen über den Datenverarbeitungszweck informieren und er ist an diese Zweckbestimmung gebunden. So dürfen beispielsweise die Kundendaten einer Reisebuchung auch nur zur Abwicklung und Durchführung der gebuchten Leistung genutzt werden. Werbemaßnahmen mit diesen Daten sind nur dann zulässig, wenn der Kunde vorher zugestimmt hat oder die Werbemaßnahmen gesetzlich erlaubt sind. Bei Marketingmaßnahmen gilt es daher folgendes zu beachten: Hat ein Kunde in die Zusendung von Werbung eingewilligt, ist dies immer nur eine Einwilligung für postalische Werbung. Will ein Unternehmen auch per Fax oder werben, dann muss der Kunde auf die geplante Nutzung ausdrücklich hinweisen und seine Faxnummer bzw. die -Adresse abgefragt werden. Anders sieht es bei der Mitteilung der eigenen Telefonnummer durch den Kunden aus. Diese Angabe kann gewöhnlich nicht als Einwilligung zu Telefonmarketingmaßnahmen verstanden werden. Denn Telefonwerbung stellt einen erheblichen Eingriff in das Persönlichkeitsrecht des Betroffenen dar und bedarf daher der vorherigen ausdrücklichen Zustimmung des Kunden ( 7 Abs. 2 Nr. 2 UWG). 3. Grundsatz der Datensparsamkeit Kundendaten dürfen nicht auf Vorrat erhoben und verarbeitet werden. Betreiber von Internetseiten neigen dazu, in Online-Formularen durch sogenannte Pflichtfelder möglichst umfangreiche Angaben über ihre Kunden abzufragen. Der Grundsatz der Datensparsamkeit erlaubt eine Abfrage von Kundendaten jedoch nur, soweit dies für die Abwicklung der jeweiligen Leistung erforderlich ist. Wer sich also für einen Online- Newsletter anmeldet, muss lediglich seine -Adresse angeben. Wer an einem Gewinnspiel teilnimmt, das per Internet abgewickelt wird, muss ebenfalls nur seine E- Mail-Adresse angeben. Soll die Gewinnbenachrichtigung allerdings per Post erfolgen, dürfen zusätzlich Name und Adresse des Teilnehmers abgefragt werden. Die Angabe einer Telefonnummer ist jedoch freiwillig und darf grundsätzlich nicht verlangt werden. V. Maßnahmen zur Datensicherheit Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. 5

6 Die 8 Gebote des Datenschutzes lauten (Anlage zu 9 Satz 1 BDSG): Das Daten verarbeitende Unternehmen hat Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren, z.b. durch Festlegung der befugten Personen, Ausweisleser, Abschließen der Räume (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können, z.b. durch Verwendung von Passwörtern (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, z.b. durch Einschließen der Datenträger, Lagerung in einem Sicherungsbereich, Regelungen für die sichere Vernichtung nicht mehr benötigter Datenträger (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist, z.b. durch Verschlüsselung der Daten, Transport der Datenträger in verschlossenen Behältnissen (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.b. durch Protokollierung (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust (z.b. durch Wasserschäden, Blitzschlag, Stromausfall) geschützt sind. Z.B. 6

7 durch Erstellen von Sicherungskopien, die an besonders geschützten Orten gelagert werden (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Gebot der Datentrennung). VI. Rechte des Betroffenen Zum Schutze der Persönlichkeitsrechte räumt das BDSG natürlichen Personen ( Betroffenen : das sind Kunden, Ansprechpartner von Kunden, eigene Mitarbeiter) Transparenz,- Korrektur- und Unterstützungsrechte ein. 1. Transparenzrechte Bei der erstmaligen Erhebung personenbezogener Daten hat die Daten erhebende Stelle eine Informationspflicht gegenüber dem Betroffenen. Werden Daten nicht vom Unternehmen direkt, sondern z.b. durch Dritte (Auskunfteien, Adresshändler) oder aus allgemein zugänglichen Quellen erhoben, dann besteht für diese Daten ebenfalls eine Benachrichtigungspflicht bei der erstmaligen Datenübermittlung. Die Daten verarbeitende Stelle muss dem Betroffenen bei der Datenerhebung ihre Identität, den Zweck der Erhebung, Verarbeitung oder Nutzung der Daten sowie mögliche Kategorien von Empfängern mitteilen ( 33 BDSG). Auf Anfrage des Betroffenen besteht eine schriftliche und i.d.r. unentgeltliche Auskunftspflicht über die gespeicherten Daten, deren Herkunft und mögliche Empfänger sowie über den Zweck der Speicherung ( 34 BDSG). Gemäß 4g Abs. 2 S. 2 BDSG hat der Datenschutzbeauftragte bzw. die verantwortliche Stelle jedermann auf Antrag Einsicht in das Verfahrensverzeichnis ( 4e BDSG) zu gewähren. Das Verfahrensverzeichnis enthält einen nicht personenbezogenen pauschalen Überblick über die gesamte Datenverarbeitung eines Unternehmens (Muster für ein Verfahrensverzeichnis siehe unter VIII,4). 2. Korrekturrechte a) Der Betroffene hat ein Recht auf Berichtigung von unrichtigen Daten. 7

8 b) Bei unzulässig gespeicherten Daten oder bei Wegfall des Speicherungszwecks (z.b. Abwicklung des Vertragsverhältnisses für das die Daten erhoben wurden oder Ende der Kundenbeziehung) kann der Betroffene die Datenlöschung, d.h. die völlige Unkenntlichmachung der Daten verlangen ( 35 Abs. 2 BDSG). c) Sind für gespeicherte Daten gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsvorschriften zu beachten, dann besteht statt der Löschung die Pflicht zur Sperrung der Daten ( 35 Abs. 3 BDSG). Sofern die Löschung von Daten wegen der Art der Speicherung einen unverhältnismäßigen Aufwand bedeutet, reicht eine Sperrung aus. Eine Sperrpflicht besteht auch, wenn der Betroffene im Rahmen einer bestehenden Geschäftsbeziehung der Nutzung seiner Daten zu Werbezwecken widersprochen hat. Ist die Rechtmäßigkeit der Datenerhebung streitig, sind die Daten bis zur endgültigen Klärung des Sachverhalts ebenfalls zu sperren. Sperrung der Daten bedeutet, dass die Daten gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken. d) Allgemeines Widerspruchsrecht des Betroffenen aufgrund entgegenstehender subjektiver Belange des Betroffenen ( 35 Abs. 5 BDSG, z.b. kann ein Hotelgast der Speicherung seiner Adressdaten in der Gästekartei zur Rabattgewährung bei einem erneuten Besuch widersprechen). Ferner steht dem Betroffenen ein jederzeitiges Widerspruchsrecht gegen eine erteilte Einwilligung zur Datenverarbeitung zu (z.b. Widerruf einer erteilten Einwilligung für Werbesendungen). VII. Konsequenzen von Datenschutzverstößen Je nach Schwere des Verstoßes gegen das Datenschutzrecht kommen folgende Sanktionen in Betracht: 1. Ordnungswidrigkeit Nach 43 BDSG können unbefugte Datenerhebung und -verarbeitung mit einen Bußgeld von bis zu und Gewinnabschöpfung, sonstige Verstöße mit Bußgeldern bis zu geahndet werden. 8

9 2. Strafrechtliche Konsequenzen Nach 44 BDSG werden strafrechtlich relevante Verstöße gegen den Datenschutz mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe sanktioniert. 3. Schadensersatzpflichten Ein Unternehmen haftet auf Schadensersatz, wenn ein Betroffener durch die unzulässige oder unrichtige Datenerhebung, Verarbeitung oder Nutzung einen nachweisbaren Schaden erleidet. 4. Arbeitsrechtliche Konsequenzen Verstöße gegen den Datenschutz können für Mitarbeiter arbeitsrechtliche Konsequenzen von der Abmahnung bis zur Kündigung haben. VIII. Handreichungen zum Datenschutz (Quelle: IHK Seminar betrieblicher Datenschutzbeauftragter, Potsdam, Procado, Consulting, IT & Medienservice GmbH, Berlin 1. Mitarbeiterverpflichtung auf das Datengeheimnis nach 5 BDSG 2. Muster-Datenschutzerklärung 3. Muster-Auftragsdatenverarbeitung 4. Muster-Verfahrensverzeichnis 5. Bestellung eines Datenschutzbeauftragten 6. Linkliste Datenschutz Musterformulare/-vereinbarungen siehe Teil 2 zu Recht in der Praxis 24 Stand. Dezember

10 Hinweis: Dieser Beitrag sowie die anliegenden Mustervereinbarungen/-formulare zum Datenschutz wurden mit größter Sorgfalt erstellt. Eine Gewähr für Richtigkeit, Vollständigkeit und Aktualität des Inhalts kann jedoch nicht übernommen werden. Für Schäden, die aus der Benutzung dieses Beitrages sowie der Musterformulare entstehen, können wir keine Haftung übernehmen. 10