Datenschutz Leitfaden. Stand: Juni 2010 Rechtsanwalt Volker Löhr,

Transkript

1 Stand: Juni 2010 Rechtsanwalt Volker Löhr,

2 Vorwort Der Umgang mit personenbezogenen Daten ist innerhalb Europas durch die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr geregelt. Die Umsetzung der EG-Richtlinie in verbindliche Rechtsvorschriften erfolgt durch die EU- Mitgliedsstaaten auf nationaler Ebene, in Deutschland insbesondere durch das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMD). Verfassungsrechtlich verankert ist der Datenschutz im deutschen Grundgesetz durch Art. 2 i.v.m. Art. 1 GG als das Recht auf informationelle Selbstbestimmung. Danach kann jedermann selbst entscheiden, ob und in welchem Umfang zu welchem Zweck seine Daten erhoben und verarbeitet werden. Der vorliegende Leitfaden versteht sich als Unterstützung für EVVC- Mitglieder zum rechtskonformen Umgang insbesondere mit personenbezogenen Daten im Rahmen von Werbemaßnahmen. Grundregeln Als Grundregeln und Prinzipien im Datenschutz werden zur Anwendung empfohlen: Zulässigkeit Zweckbindung Datensparsamkeit Transparenz Datenverkauf Die Erhebung Verarbeitung und Nutzung personenbezogener Daten erfolgt nur soweit dies gesetzlich erlaubt ist, der Betroffene auf Art und Umfang der Nutzung hingewiesen wurde und soweit erforderlich eingewilligt hat. Eine Datenverarbeitung und -nutzung erfolgt nur zu dem Zweck, zu dem die Daten zulässigerweise erhoben wurden. Der künftige Zweck der Nutzung muss zum Zeitpunkt der Datenerhebung bereits feststehen. Eine Datenerhebung auf Vorrat ohne konkrete Zweckbindung ist unzulässig. Das Sammeln und Horten personenbezogener Daten ohne klare Zweckbestimmung und erkennbare Verwendungsabsicht verstößt gegen das Grundprinzip der Datenvermeidung und -sparsamkeit. Organisatorische Prozesse und technische Datenverarbeitungssysteme müssen deshalb das Ziel verfolgen, keine personenbezogenen Daten ohne eindeutige, zulässige Zweckbestimmung zu erheben, zu verarbeiten oder zu nutzen. Der von der Datenerhebung Betroffene ist frühzeitig über Art, Umfang, Zweck und Verwendung seiner Daten zu informieren, wenn er nicht erkennbar mit der Verarbeitung seiner Daten rechnen muss. Der Verkauf, die Vermietung oder die sonstige Überlassung personenbezogenen Daten an Dritte zur Nutzung für werbliche oder sonstige Zwecke ist nur in engen Grenzen mit Einwilligung des Betroffen gestattet. 2/10

3 Datenübermittlung Eine Übermittlung oder Weiterleitung von Daten an Dritte erfolgt nur im Rahmen der vertraglichen Zweckbestimmung, soweit der Betroffene erkennbar damit rechnen muss, oder darauf eindeutig hingewiesen wird. Soweit gesetzlich gefordert wird vor der Übermittlung die Einwilligung des Betroffenen eingeholt. Korrekturrecht Datensicherung Selbstkontrolle Es besteht die Pflicht auf Anforderung des Betroffenen Auskunft zu erteilen, seine Daten zu berichtigen, und auf Widerspruch Daten zu sperren oder zu löschen. Die innerbetriebliche Organisation der Datenprozesse ist so zu gestalten, dass sie die Integrität, Authentizität und Verfügbarkeit der Daten nach den Anforderungen des Datenschutzes gewährleisten kann. Die Grundregeln und die darauf aufbauenden konkretisierenden Festlegungen zum betrieblichen Datenschutz sind regelmäßig auf ihre Anwendung und Wirksamkeit zu überprüfen. Datenschutz innerhalb von Geschäfts- und Vertragsbeziehungen Im Rahmen von bestehenden oder sich anbahnenden Geschäfts- und Vertragsbeziehungen (z.b. Veranstaltungsvertrag, Mietvertrag, Ticket-Besuchervertrag, Arbeitsvertrag, Werk- und Dienstleistungsvertrag) werden in unterschiedlichster Form geschäftliche und personenbezogene Daten erhoben, verarbeitet und genutzt. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen einer sich anbahnenden oder bereits bestehenden Geschäfts- und Vertragsbeziehung ist zulässig, wenn 1. die jeweilige Aufgabe ohne den konkreten Datensatz (die Dateninformation) nicht oder nicht vollständig erfüllt werden kann (objektive Erforderlichkeit), 2. die Aufgabe auf andere Weise nur unter unverhältnismäßig großen Schwierigkeiten, mit einem unvertretbar höheren Aufwand oder verspätet erfüllt werden könnte und keine entgegenstehenden Interessen des Betroffenen zu erkennen sind, 3. der Vertragspartner (bzw. der potentielle Vertragspartner bei einer sich anbahnenden Geschäftsbeziehung) mit der Speicherung, Verarbeitung und beabsichtigten Nutzung im Rahmen des Geschäftsprozesses rechnen muss, 4. der Vertragspartner auf die Speicherung und die sich anschließende Art der Verarbeitung und Nutzung klar und eindeutig hingewiesen wurde, 5. die im Einzelfall gesetzlich vorgeschriebene Einwilligungen durch den Betroffenen eingeholt worden ist. Abhängig von der Art der beabsichtigten Nutzung sind eindeutige Datenschutzhinweise oder auch Einwilligungen des Betroffenen erforderlich. Daten die für die Durchführung/Abwicklung eines Geschäftsprozesses/ Vertrags objektiv nicht erforderlich sind, dürfen niemals als Pflichtdaten sondern lediglich als freiwillige Daten erhoben werden. Der Betroffene muss stets in der Lage sein selber zu entscheiden, wer welche Daten von ihm erhält. 3/10

4 Beachtung des Grundsatzes der Zweckbindung: Alle gespeicherten Daten dürfen nur zu dem Zweck genutzt werden, zu dem sie in rechtlich zulässigerweise erhoben wurden. Der Zweck zu dem die einzelnen Daten genutzt werden sollen, muss deshalb zum Zeitpunkt der Erhebung des Datensatzes intern feststehen und dem Betroffen bekannt gegeben werden. Datenschutz bei Werbung und Information Die Abgrenzung zwischen werblicher Ansprache auf der einen Seite und Information des Kunden/Vertragspartners innerhalb eines bestehenden Geschäftsprozesses auf der anderen Seite bestimmt maßgeblich die Anforderungen, die an die rechtliche Zulässigkeit des Vorhabens gestellt werden. Für die Zusendung von Werbung über elektronische Kommunikationswege ( / Fax/ Telefon) ist grundsätzlich die Einwilligung des Betroffenen erforderlich. Die Zusendung von Newslettern wird in der Regel als Werbung anzusehen sein. Für die Einordnung als Information im Rahmen einer bestehenden Geschäftsbeziehung in Abgrenzung zur (belästigenden) Werbung können folgende Gesichtspunkte sprechen: - Die beabsichtigte Maßnahme hat in erster Linie die zielgruppenorientierte Ansprache von bestehenden Kunden/ Vertragspartnern im Hinblick auf thematisch verwandte Inhalte zum Gegenstand - Die Maßnahme erfolgt im Rahmen einer bestehenden Kundenbeziehung, die insbesondere mit Blick auf das geschäftlich geprägte Interesse an spezifischer Fachinformation des Betroffenen keinen Anlass für die Annahme eines überwiegenden entgegenstehenden Interesses bietet. Vielmehr ist die Situation so einzuschätzen, dass der Betroffene an dem Informationsangebot regelmäßig interessiert sein wird und dieses insoweit nicht als Belästigung sondern als (selbstverständlichen) Service ansieht. Stellt sich die Maßnahme nicht als Werbung sondern als Information innerhalb eines bestehenden Geschäftskontakts dar, sollte in den Datenschutzbestimmungen (AGB und Internetauftritt) zumindest ein entsprechender Datenschutzhinweis aufgenommen werden, da die Grenze zwischen Information und Werbung fließend ist und ohne entsprechenden Hinweis Anlass zu wettbewerbsrechtlichen Abmahnungen geben kann. Für die im Einzelfall erforderliche Abwägung, ob eine Einwilligung oder nur ein Hinweis erforderlich ist, ist die Kategorie der Beworbenen (B2B oder B2C) und die Art/ Intensität der geplanten Maßnahme maßgeblich. Es kommt entscheidend darauf an, ob sich die Maßnahme aus Sicht des Adressaten als Belästigung darstellen kann. Beispiel für einen Hinweis mit Widerspruchsmöglichkeit: Wir überlassen die im Vertrag bezeichneten Veranstaltungsräume- und Flächen zur Durchführung von Konzerten, Kongressen, Tagungen sowie für Veranstaltungen sportlicher, kultureller oder sonstiger Art. Zur Erfüllung der vertraglich vereinbarten Geschäftszwecke erfolgt auch die Erhebung, Verarbeitung und Nutzung der an uns übermittelten personenbezogenen Daten. Im Rahmen der bestehenden Geschäftsbeziehung versenden wir regelmäßig fachspezifische Informationen vor und nach der Veranstaltung an unsere Vertragspartner. Sollten Sie dies nicht wünschen und uns hierfür keine Einwilligung erteilen, können Sie durch Streichung dieses Absatzes aber auch jederzeit später der Zusendung entsprechender Informationen widersprechen. 4/10

5 Die Zusendung von Informationen aber insbesondere von Werbung an bestehende Geschäftspartner (Mieter, Geschäftskunden etc.) muss stets durch die, bekanntgegebenen Datenschutzhinweise bzw. notwendigen Einwilligungen in rechtlicher Hinsicht legitimiert sein. Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung ist nur unter folgender Voraussetzung zulässig: Der Betroffene hat ausdrücklich und freiwillig eingewilligt, dass seine Daten zur werblichen Ansprache verwendet werden dürfen, die rechtlichen Anforderungen an die Form der Einwilligung wurden beachtet und der Betroffene wird bei jeder werblichen Ansprache deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann und der Betroffene hat der Verwendung seiner Daten zu Werbezwecken bislang nicht widersprochen. Beispiel einer Einwilligung bei postalischer Zusendung von Werbung: ich bin damit einverstanden, dass meine erhobenen persönlichen Daten (Name, Anschrift, -adresse ) für die Zusendung von Werbung (auch von Newslettern) durch den Vertragspartner gespeichert, verarbeitet und genutzt werden. Sind Sie nicht einverstanden, streichen Sie die Klausel. Der Bundesgerichtshof hat jüngst in einem Urteil vom 11. November 2009 (VIII ZR 12/08) entschieden, dass mit einer vergleichbaren Klausel eine wirksame Einwilligung erzielt werden kann. Auch nach der neuen Fassung des Bundesdatenschutzgesetzes ist eine "optout"-regelung zur Erteilung der Einwilligung in die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung per Post zulässig. Anzuwendende Rechtsgrundlage war in dem entschiedenen Streitfall aber allein das BDSG. Einwilligung bei elektronischer Zusendung von Werbung: Eine darüber hinausgehende Einwilligung in die Verwendung solcher Daten für Werbung im Wege elektronischer Post (SMS, ) ist nach nach 13 TMG nur wirksam und nach 7 Abs. 2 Nr. 3 UWG nur zulässig, wenn eine ausdrückliche Erklärung als "opt-in" abgegeben wird. 13 TMG (1) (2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. (3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend (4) 5/10

6 7 UWG (Unzumutbare Belästigungen) UWG 7 Unzumutbare Belästigungen (1) Unlauter im Sinne von 3 handelt, wer einen Marktteilnehmer in unzumutbarer Weise belästigt. (2) Eine unzumutbare Belästigung ist insbesondere anzunehmen 1. bei einer Werbung, obwohl erkennbar ist, dass der Empfänger diese Werbung nicht wünscht; 2. bei einer Werbung mit Telefonanrufen gegenüber Verbrauchern ohne deren Einwilligung oder gegenüber sonstigen Marktteilnehmern ohne deren zumindest mutmaßliche Einwilligung; 3. bei einer Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post, ohne dass eine Einwilligung der Adressaten vorliegt; (4) (3) Abweichend von Absatz 2 Nr. 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn 1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat, 2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, 3. der Kunde der Verwendung nicht widersprochen hat und 4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Beispiel für eine Einwilligung bei elektronischer Zusendung von Werbung Opt In Ja - ich bin damit einverstanden, dass meine Daten durch Sie zu Werbezwecken genutzt werden. Ja - bitte senden Sie mir regelmäßig ihren Newsletter zu. Widerspruch und Korrekturrechte des Betroffenen Widerspricht ein Betroffener der Nutzung seiner personenbezogenen Daten insgesamt oder zu einem bestimmten Zweck, sind die Daten zumindest zu sperren. Eine spezielle Form für den Widerspruch des Betroffenen ist nicht vorgeschrieben. Jede abgegebene Erklärung ist grundsätzlich ausreichend. Für den Fall eines Widerspruches gegen die Erhebung und Speicherung von Daten darf für diesen keine strengere Form verlangt werden als für die Begründung des Schuldverhältnisses selbst. Bei der Ansprache des Betroffenen muss eine Information über dieses Widerspruchsrecht erfolgen. Als Folge des Widerspruchs sind die Daten mit einem Sperrvermerk zu versehen. 6/10

7 Zu den weiteren Korrekturrechten der Betroffenen gehört der Anspruch auf Auskunft, unverzügliche Berichtigung, Löschung und Sperrung der zu ihrer Person gespeicherten Daten. - Berichtigung o unrichtige Daten, unabhängig davon, ob der Betroffenen einen Berichtigungsanspruch geltend macht - Löschung, wenn o Speicherung unzulässig o Richtigkeit besonderer Arten personenbezogener Daten nicht bewiesen werden kann o Kenntnis für Erfüllung des Zwecks nicht mehr erforderlich ist und keine wie handels- oder steuerrechtliche Aufbewahrungspflichten bestehen - Sperrung, wenn o gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen o durch die Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden o Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist Bonn, 07.Juni 2010 Volker Löhr Rechtsanwalt 7/10

8 Begriffe, Definitionen, Regelwerke Wichtige Begriffe im Datenschutz automatisierte Verarbeitung Eine automatisierte Verarbeitung gemäß 3 Abs. 2 BDSG liegt vor, wenn personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt werden. Als Datenverarbeitungsanlagen werden Einrichtungen verstanden, die Daten nach vorgegebenen Programmen und Verfahren verarbeiten. Betroffener Datenverarbeitung Erhebung Verarbeitung Nutzung Dritter Betroffener ist die natürliche Person, deren Daten erhoben oder verarbeitet werden. Unter Datenverarbeitung wird jedes systematische Verarbeiten personenbezogener Daten verstanden. Darunter fallen das Erheben, das Verarbeiten und das Nutzen von Daten. Unter Erhebung wird das Beschaffen von Daten über den Betroffenen bei ihm selbst, bei Dritten oder aus sonstigen Quellen verstanden, 3 Abs. 3 BDSG. Die Verarbeitung von Daten umfasst die Speicherung, Veränderung, Übermittlung und Sperrung, 3 Abs. 4 BDSG. Speicherung ist das Erfassen, Aufnehmen und Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verwendung oder Nutzung. Veränderung bedeutet die inhaltliche Umgestaltung gespeicherter Daten. Übermittlung ist die Weitergabe von Daten an Dritte bzw. die Einsichtnahme oder der Abruf durch Dritte. Sperrung meint die Kennzeichnung gespeicherter Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Datennutzung stellt jede sonstige Verwendung der Daten außer ihrer Verarbeitung dar, z.b. das Duplizieren oder Kopieren von Daten und Erstellen personenbezogener Anwendungen, 3 Abs. 5 BDSG. Dritter ist jede Stelle außer dem Betroffenen, der für die Verarbeitung Verantwortlichen und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen befugt sind, Daten zu verarbeiten. Rechtlich unselbstständige Zweigstellen eines Unternehmens fallen nicht unter den Begriff Dritter. Rechtlich selbstständige Einrichtungen sind jedoch auch dann Dritte, wenn sie organisatorisch, räumlich oder personell mit der speichernden Stelle verbunden sind. 8/10

9 Löschung von Daten Löschung bedeutet das Unkenntlichmachen von Daten, so dass sie für niemanden mehr zugänglich sind. personenbezogene Daten besondere Arten Personenbezogene Daten sind nach 3 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Persönliche Verhältnisse sind etwa Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Beruf und Konfession. Sachliche Verhältnisse sind beispielsweise Einkommen, Eigentumsverhältnisse, Steuern, und Versicherungen. Unter dem Begriff besondere Arten personenbezogener Daten werden besonders sensible Arten von personenbezogenen Daten verstanden, die in 3 Abs. 9 BDSG aufgelistet sind. Darunter fallen alle Angaben und Daten über: - rassische und ethnische Herkunft - politische Meinungen - religiöse oder philosophische Überzeugungen - Gewerkschaftszugehörigkeit - Gesundheit und Sexualleben An die Erhebung, Verarbeitung und Nutzung dieser Daten werden höhere Anforderungen gestellt als bei der Datenverarbeitung nur personenbezogener Daten. Recht auf informationelle Selbstbestimmung Nach dem Grundrecht auf informationelle Selbstbestimmung, als besondere Ausprägung des allgemeinen Persönlichkeitsrechts, besteht ein "Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten". Es wird verfassungsrechtlich aus Art. 2 Abs. 1 (sog. allgemeine Handlungsfreiheit) in Verbindung mit Art. 1 Abs. 1 GG (Menschenwürde- Garantie) hergeleitet. Das Bundesverfassungsgericht verdeutlicht aber auch, dass ein funktionierendes Gemeinwesen auf Informationen angewiesen ist und dem Betroffenen deshalb die Preisgabe seiner Daten nicht immer überlassen werden kann. Übermittlung von Daten Veränderung von Daten Verantwortliche Stelle siehe Verarbeitung siehe Verarbeitung siehe Stelle 9/10

10 Verfahren Verfahrensverzeichnis Ein Verfahren meint ein Bündel von Verarbeitungen, die über eine vom Verantwortlichen definierte Zweckbestimmung verbunden sind. Als Verfahrensverzeichnis wir die Übersicht bezeichnet, die auf Antrag jedermann in geeigneter Weise verfügbar zu machen ist und neben der Identität der datenverarbeitenden Stelle eine grobe Aufzählung enthält, zu welchen Zwecken Daten verarbeitet werden und an wen diese ggf. weitergegeben werden dürfen. Wichtige Rechtliche Vorschriften im Datenschutz Die EG-Datenschutz-Richtlinie Die europäische Datenschutz-Richtlinie 95/46/EG bestimmt die Mindeststandards für den Datenschutz und verfolgt die Sicherstellung gleicher Datenschutz-Standards in allen Mitgliedsstaaten der Europäischen Union. Sie wurde durch das BDSG ins deutsche Recht integriert. Das Bundesdatenschutzgesetz Das Bundesdatenschutzgesetz (BDSG) stellt den gesetzlichen Rahmen dar, um den Einzelnen vor Beeinträchtigungen seines Persönlichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten zu schützen. Damit soll dem Gebot des Grundgesetzes auf individuelle Selbstbestimmung auch bei der Datenverarbeitung Rechnung getragen werden. Der wesentliche Grundsatz des BDSG ist das Verbotsprinzip mit Erlaubnisvorbehalt. Danach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten. Eine Erlaubnis besteht nur in Fällen spezieller gesetzlicher Regelung oder bei ausdrücklicher Einwilligung des Betroffenen in den Umgang mit seinen Daten. Das BDSG sieht neben dem Auskunftsrecht über die zu seiner Person gespeicherten Daten auch Rechte der Berichtigung, Löschung oder Sperrung vor. Das Telemediengesetz (TMG) Das TMG regelt die rechtlichen Rahmenbedingungen für sogenannte Telemedien. Es ist eine der zentralen Vorschriften des Internetrechts. Telemedien ist ein aus Teledienste und Mediendienste gebildeter Oberbegriff für elektronische Informations- und Kommunikationsdienste. Zu den Telemedien gehören (nahezu) alle Leistungen, die über Internet angeboten werden. Der Abschnitt 4 des TMG mit den Vorschriften der 11 bis 15 enthält zahlreiche Spezialregelungen zum Datenschutz im Internet. Der betriebliche Datenschutzbeauftragte Von Gesetzes wegen haben öffentliche und nicht öffentliche Stellen (Unternehmen) einen Datenschutzbeauftragten zu bestellen (vgl. 4f BDSG). Der betriebliche Datenschutzbeauftragte ist Ausdruck des gesetzgeberischen Gedankens der Selbstverantwortlichkeit oder Eigenverantwortlichkeit, die sich im Prinzip der innerbetrieblichen Selbstkontrolle ausdrückt. 10/10