eRecht24 - Portal zum Internetrecht von Rechtsanwalt Sören Siebert

Datenschutz im Internet

Die Einhaltung von datenschutzrechtlichen Vorgaben für Anbieter von Tele- und Mediendiensten ist nicht nur wegen der erheblichen Bußgelder von zunehmender Bedeutung. § 43 Bundesdatenschutzgesetz etwa sieht Geldbußen bis zu 250.000 Euro vor.

Der Erfolg eines Unternehmens, das online personenbezogene Daten verarbeitet und nutzt, hängt stark vom Vertrauen der Nutzer in die Seriosität des Anbieters und der Transparenz des Angebotes ab. Es setzt sich bei immer mehr Unternehmen, die im Internet tätig sind die Erkenntnis durch, dass eine vollständige Umsetzung der gesetzlichen Vorgaben eine vertrauensbildende Maßnahme gegenüber dem Kunde darstellt. Hierdurch kann der Erfolg oder Misserfolg eines Unternehmens wesentlich mit beeinflusst werden. Die Unsicherheit der Kunden ist in diesem Bereich besonders hoch. Kann der Kunde nicht nachvollziehen, welche Daten für welche Zwecke gespeichert oder übermittelt werden, nimmt er im Zweifel die Dienstleistungen nicht in Anspruch oder wechselt den Anbieter. Man sollte daher die Einhaltung datenschutzrechtlicher Vorgaben nicht als notwendiges Übel, sondern als vertrauensbildende und kostengünstige Marketingmaßnahme begreifen.

Das Problem des Datenschutzes im Internet ist sehr vielschichtig. Es gibt unterschiedliche Gesetze, die auf die verschiedenen Arten von Dienstleistern anwendbar sind, diese Gesetze werden in relativ kurzen Zeitabständen neu gefasst. Deshalb soll hier zunächst ein kurzer Einstieg in die Problematik gegeben werden.

Die verschiedenen Arten von Diensten

Zu unterscheiden ist zunächst zwischen den Arten der angebotenen Dienste:

Transportdienste
Zum einen sind da die Dienste auf der reinen Transportebene (etwa e-Mail-Transport, DSL oder Online-Telefonie). Zu den hierfür maßgeblichen Vorschriften gehört insbesondere das Telekommunikationsgesetz, TKG und die Telekommunikationsdatenschutzverordnung, TDSV.

Die Offline-Ebene
Die "Offline-Ebene" von Diensten unterfällt dem Bundesdatenschutzgesetz, BDSG, oder den entsprechenden Landesdatenschutzgesetze. Auch bei Unternehmen, die im Internet tätig sind, erfolgt oftmals eine Datenverarbeitung ausserhalb des Internet.

Teledienste
Diese richten sich mit einer individuellen Nutzung an den einzelnen Kunden, sie sind für eine individuelle Nutzung bestimmt.
Beispiele sind etwa eBanking, elektronische Bestellungen in eShops oder Nutzung von Datenbanken ohne redaktionelle Bearbeitung. Für diese Dienste richtet sich der Datenschutz vornehmlich nach dem Teledienstegesetz, TDG und dem Teledienstedatenschutzgesetz, TDDSG.

Mediendienste
Bei Mediendiensten steht hingegen die redaktionelle Bearbeitung und elektronische Verteilung im Vordergrund, sie richten sich an eine Vielzahl von Kunden. Beispiele sind Online-Auftritte von Zeitungen, redaktionelle Newsletter, Unternehmenspräsentationen. Die hierfür maßgeblichen Normen sind dem MediendiensteStaatsvertrag, MDStV, zu entnehmen.

Eine genauere Unterscheidung zwischen Medien- und Telediensten ist schwierig und muss im jeweiligen Einzelfall erfolgen. Oftmals liegen bei einem Unternehmen auch Merkmale beider Dienste vor. Für eine datenschutzrechtliche Betrachtung ist diese Unterscheidung jedoch nicht unbedingt notwendig, da die maßgeblichen Vorschriften des TDG und des MDStV weitgehen gleichlautend sind.

Pflichten für die Diensteanbieter

Aus diesen Bestimmungen ergeben sich die unterschiedlichsten Pflichten für die Diensteanbieter.

Beispiele hierfür sind etwa:

• die Impressumspflicht,
  
  
• die Pflicht zur Unterrichtung der Nutzer bezüglich der Datenspeicherung,
  
  
• die Voraussetzung der Einwilligung des Nutzers in die Verarbeitung und Übertragung seiner Daten,
  
  
• Auskunftspflicht gegenüber Betroffenen bezüglich der gespeicherten Daten,
  
  
• die Pflicht für bestimmte Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten.

Impressumspflicht

Die Pflicht, den Anbieter einer Website im Impressum zu kennzeichnen, hat aufgrund zahlreicher Abmahnungen in der jüngsten Zeit zu Unsicherheiten im Netz geführt. Interessant dabei war, dass sogar Rechtsanwälte betroffen waren, die auf ihrer Kanzlei-Website wohl die ein oder andere Angabe im Impressum vergessen hatten und daraufhin von Kollegen abgemahnt wurden.
Voraussetzung für eine Kennzeichnungs- oder Impressumspflicht ist zunächst ein geschäftsmäßiges Betreiben des Diensteangebotes. Es muss sich also um ein Angebot handeln, das einer nachhaltigen und auf Dauer angelegten Tätigkeit dient. Eine Gewinnerzielungsabsicht ist für eine Geschäftsmäßigkeit nicht erforderlich, auch nichtkommerzielle Angebote können dieser Kennzeichnungspflicht unterliegen.
Ein vollständiges Impressum auf einer Website sollte folgende Angaben enthalten:

• Name und Anschrift
  
  
• bei juristischen Personen der oder die jeweils Vertretungsberechtigter
  
  
• Kontaktdaten
  
  
• Register/Registernummer
  
  
• Umsatzsteueridentifikationsnummer
  
  
• Zusätzliche Regelungen für bestimmte Berufe

Webseitenbetreiber und Webmaster haben die Möglichkeit, unseren kostenfreien Impressums-Generator zu nutzen und so teuren Abmahnungen vorzubeugen.

Zusätzliche Informationen zu den rechtlichen Pflichten im Zusammenhang mit der Planung und Erstellung der eigenen Website erhalten Sie in dem neuen eRecht24-Praxisleitfaden "Die rechtssichere Website".

Einwilligung des Nutzers in die Datenspeicherung

Es reicht im Falle von Tele- und Mediendiensten nicht aus, dem Kunden die Möglichkeit des Widerspruchs bezüglich der Verarbeitung seiner Daten einzuräumen, wie dies beispielsweise im Bundesdatenschutzgesetz vorgesehen ist. Der Nutzer muss vielmehr in die Verwendung seiner Daten immer dann ausdrücklich einwilligen, wenn die jeweils einschlägigen Gesetze die Verarbeitung nicht gestatten,§ 3 Abs.2 TDDSG, § 12 Abs.2 MDStV. Dies ist vor allem zu beachten bei der Übermittlung der Daten an Dritte zu Werbezwecken.

Die pauschale Einwilligung eines Nutzers in den allgemeinen Geschäftsbedingungen reicht jedoch für eine wirksame Einwilligung nicht aus, die Einwilligung muss deutlich hervorgehoben sein. Auch Sätze wie "Wir beachten die datenschutzrechtlichen Vorgaben" genügen in keiner Weise den gesetzlichen Vorgaben.

Problematisch sind in diesem Zusammenhang natürlich auch die Internationalen Bezüge. Bei der Übermittlung von Daten in Länder außerhalb der EU gibt es dann Schwierigkeiten, wenn diese Länder nicht über ein Datenschutzniveau verfügen, dass dem in Europa entspricht. Dieses angemessene Schutzniveau wurde zum Beispiel weder für die USA noch für Japan bestätigt.

Betrieblicher Datenschutzbeauftragter

Um die Einhaltung der komplizierten Datenschutzregeln zu gewährleisten, hat der Gesetzgeber für Unternehmen, die personenbezogene Daten verarbeiten, die Pflicht statuiert, einen betrieblichen Datenschutzbeauftragten zu bestellen.

Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen sind nach §§ 4g, 4f BDSG verpflichtet, die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen. Unternehmen, in denen mindestens 9 Arbeitnehmer mit der automatisierten Datenverarbeitung befasst sind oder Unternehmen, in denen 20 Personen personenbezogene Daten auf andere Art und Weise erheben, verarbeiten oder nutzen, haben schriftlich einen Beauftragten für Datenschutz zu bestellen.

Unabhängig von der Mitarbeiteranzahl ist ein betrieblicher Datenschutzbeauftragter in Unternehmen zu bestellen, die personenbezogene Daten geschäftsmäßig zum
Zweck der Übermittlung erheben, verarbeiten oder nutzen. Diese Pflicht gilt beispielsweise für Dienste, die Im Internet Bonitätsdaten von Unternehmen sammeln und übermitteln, für Auskunfteien sowie für Marktforschungs- und Meinungsforschungsunternehmen.

persönliche Voraussetzungen

Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Die erforderliche Fachkunde umfasst sowohl das Kenntnisse hinsichtlich des Datenschutzrechts sowie Kenntnisse bezüglich von Verfahren und Techniken der automatisierten Datenverarbeitung.

Darüber hinaus sollten Personen nicht zu betrieblichen Datenschutzbeauftragten berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden, die über das unvermeintliche Maß hinausgehen. Unvereinbar wäre es z.B., den Inhaber, Mitglieder des Vorstandes, den Geschäftsführer oder sonstige gesetzliche oder verfassungsmäßig berufene Vertretungsorgane zum Datenschutzbeauftragten zu bestellen, da diese sich nicht wirksam selbst kontrollieren können.

Aufgaben des Datenschutzbeauftragten

Die Aufgaben eines betrieblichen Datenschutzbeauftragten umfassen schwerpunktmäßig:

• die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben, insbesondere
  des Bundesdatenschutzgesetzes
• die ordnungsgemäße Anwendung der Datenverarbeitungs-Software, Risikoanalyse im Unternehmen
• die Entwicklung hausinterner Datenschutzrichtlinien und einer Datenschutz-Policy für Ihre Website
• die Bearbeitung datenschutzrechtlicher Beschwerden und Auskunftsersuchen von Nutzern
• die Schulung der bei der Datenverarbeitung tätigen Personen sowie die Durchführung von Vorabkontrollen vor Beginn der
  Verarbeitung bei besonders sensiblen Daten
• die Verpflichtung der Mitarbeiter auf den Datenschutz
• die Kontaktpflege mit der zuständigen Aufsichtsbehörde

Bestellung eines betrieblichen Datenschutzbeauftragten

Viele Unternehmen der IT-Branche sind sich dieser Pflicht zur Bestellung eines Datenschutzbeauftragten nicht bewusst. Wie bereits dargestellt, ist die Einhaltung datenschutzrechtlicher Vorgaben jedoch aus mehreren Gründe für ein Unternehmen notwendig. Bei Verstößen droht zum einen eine kostenpflichtige Abmahnungen durch die Konkurrenz. Die zuständigen Aufsichtsbehörden können bei Verstößen Bußgelder in Höhe von bis zu 250.000 Euro festlegen. Zum anderen sind die Nutzer gerade im Internet sehr sensibilisiert, wenn es um die Verarbeitung ihrer persönlichen Daten geht. Kein IT-Unternehmen kann es sich erlauben, in diesem Zusammenhang negative Schlagzeilen zu produzieren.

Der betriebliche Datenschutzbeauftragte muss kein Angestellter Ihres Unternehmens sein. In vielen Fällen wird im Unternehmen kein Mitarbeiter vorhanden sein, der die komplizierte Materie des Datenschutzrechts in allen Auswirkungen überblicken kann.

Wenn Sie beabsichtigen, einen betrieblichen Datenschutzbeauftragten zu bestellen oder diese Funktion auszulagern, können Sie sich mit mir in Verbindung setzten. Ich übernehme diese Funktion gerne für Ihr Unternehmen. Daneben berate ich Sie im Rahmen meiner Tätigkeit als Rechtsanwalt bei allen weiteren Fragen um den Datenschutz in Ihrem Unternehmen.

Aufgrund meiner Tätigkeit als Rechtsreferendar beim Datenschutzbeauftragten in Berlin, Bereich IT-Unternehmen, bin ich mit den Anforderungen der zuständigen Aufsichtsbehörde vertraut.

Rechtsanwalt Sören Siebert
www.Kanzlei-Siebert.de

Existenzgründer, Selbstständige und Freiberufler! Haben Sie die ewigen Mühen und Fehler beim "Word Copy&Paste" Rechnung schreiben satt? Scheuen Sie die Kosten und die unnötigen Funktionen einer teuren Rechnungssoftware?
» Dann schreiben Sie Rechnungen. Einfach, Finanzamt sicher, online!