Was bringt der Datenschutz?
Der Erfolg eines Unternehmens, das online personenbezogene Daten verarbeitet und nutzt, hängt stark vom Vertrauen der Nutzer in die Seriosität des Anbieters und der Transparenz des Angebotes ab. Es setzt sich bei immer mehr Unternehmen, die im Internet tätig sind die Erkenntnis durch, dass eine vollständige Umsetzung der gesetzlichen Vorgaben eine vertrauensbildende Maßnahme gegenüber dem Kunde darstellt. Hierdurch kann der Erfolg oder Misserfolg eines Unternehmens wesentlich mit beeinflusst werden.
Die Unsicherheit der Kunden ist in diesem Bereich besonders hoch. Kann der Kunde nicht nachvollziehen, welche Daten für welche Zwecke gespeichert oder übermittelt werden, nimmt er im Zweifel die Dienstleistungen nicht in Anspruch oder wechselt den Anbieter. Man sollte daher die Einhaltung datenschutzrechtlicher Vorgaben nicht als notwendiges Übel, sondern als vertrauensbildende und kostengünstige Marketingmaßnahme begreifen.
Fragen des Datenschutzrechts im Internet sind jedoch sehr komplex. Die geltenden Gesetze hinken der tatsächlichen Entwicklung im Netz stets um Jahre hinterher. Zudem gibt es in fast keinem Rechtsbereich eine so große Diskrepanz zwischen der Gesetzeslage und der praktischen Umsetzung und Kontrolle. Es soll hier zunächst ein kurzer Einstieg in die Problematik gegeben werden.
In unserem Artikel zur Datenschutzgrundverordnung (DSGVO) erfahren Sie noch mehr zum Thema Datenschutz und den aktuellen Regelungen.
Die verschiedenen Datenschutzgesetze
Bundesdatenschutzgesetz (BDSG)
Als wichtigstes Gesetz regelt das Bundesdatenschutzgesetz (BDSG) die Voraussetzungen der Datenerhebung, Weitergabe und Verarbeitung.
Das BDSG gilt sowohl für Unternehmen als auch für Behörden. Es regelt alle Bereiche des Datenschutzes von der Erhebung, Speicherung und Verarbeitung bis hin zur Weitergabe von Daten etwa zu Zwecken der Werbung. Das Bundesdatenschutzgesetz gilt zudem für alle Bereiche der Datenverarbeitung, agel ob diese online oder offline erfolgt.
Telemediengesetz
Nachdem das Teledienstegesetz und der Mediendienstestaatsvertrag nicht mehr in Kraft sind, gilt hier das Telemediengesetz (TMG) als wichtigste gesetzliche Vorschrift.
Das Telemediengesetz regelt für die Tele- und Mediendienste, also spezifisch für die Internetbranche, verschiedene Bereiche. Neben Haftungsfragen sind dies in den §§ 11 – 15a TMG insbesondere fragen des Datenschutzes.
Pflichten für Webseitenbetreiber
Aus diesen Bestimmungen ergeben sich die unterschiedlichsten Pflichten für Onlineshops, Webseitenbetreiber oder Blogger. Beispiele hierfür sind etwa:
- die Impressumspflicht
- die Pflicht zur Unterrichtung der Nutzer bezüglich der Datenspeicherung (Datenschutzerklärung)
- die Voraussetzung der Einwilligung des Nutzers in die Verarbeitung und Übertragung seiner Daten
- Auskunftspflicht gegenüber Betroffenen bezüglich der gespeicherten Daten
- die Pflicht für bestimmte Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten.
Impressumspflicht
Die Pflicht, den Anbieter einer Website im Impressum zu kennzeichnen, hat aufgrund zahlreicher Abmahnungen in der jüngsten Zeit zu Unsicherheiten im Netz geführt. Interessant dabei war, dass sogar Rechtsanwälte betroffen waren, die auf ihrer Kanzlei-Website wohl die ein oder andere Angabe im Impressum vergessen hatten und daraufhin von Kollegen abgemahnt wurden.
Voraussetzung für eine Kennzeichnungs- oder Impressumspflicht nach § 5 TMG ist zunächst ein "geschäftsmäßiges Betreiben" des Internetangebotes. Es muss sich also um ein Angebot handeln, das einer nachhaltigen und auf Dauer angelegten Tätigkeit dient. Eine Gewinnerzielungsabsicht ist für eine Geschäftsmäßigkeit nicht erforderlich, auch nichtkommerzielle Angebote können dieser Kennzeichnungspflicht unterliegen.
Ein vollständiges Impressum auf einer Website sollte folgende Angaben enthalten:
- Name und Anschrift
- bei juristischen Personen der oder die jeweils Vertretungsberechtigter
- Kontaktdaten
- Register/Registernummer
- Umsatzsteueridentifikationsnummer
- Zusätzliche Regelungen für bestimmte Berufe
Webseitenbetreiber und Webmaster haben die Möglichkeit, unseren kostenfreien Impressums-Generator zu nutzen und so teuren Abmahnungen vorzubeugen.
Zusätzliche Informationen zu den rechtlichen Pflichten im Zusammenhang mit der Planung und Erstellung der eigenen Website erhalten Sie in dem neuen eRecht24-Praxisleitfaden "Die rechtssichere Website".
Einwilligung des Nutzers in die Datenspeicherung
Es reicht im Falle von Tele- und Mediendiensten nicht aus, dem Kunden die Möglichkeit des Widerspruchs bezüglich der Verarbeitung seiner Daten einzuräumen, wie dies beispielsweise im Bundesdatenschutzgesetz vorgesehen ist. Der Nutzer muss vielmehr in die Verwendung seiner Daten immer dann ausdrücklich einwilligen, wenn die jeweils einschlägigen Gesetze die Verarbeitung nicht gestatten. Dies ist vor allem zu beachten bei der Übermittlung der Daten an Dritte zu Werbezwecken.
Die pauschale Einwilligung eines Nutzers in den allgemeinen Geschäftsbedingungen reicht jedoch für eine wirksame Einwilligung nicht aus, die Einwilligung muss deutlich hervorgehoben sein. Auch Sätze wie "Wir beachten die datenschutzrechtlichen Vorgaben" genügen in keiner Weise den gesetzlichen Vorgaben.
Problematisch sind in diesem Zusammenhang natürlich auch die Internationalen Bezüge. Bei der Übermittlung von Daten in Länder außerhalb der EU gibt es dann Schwierigkeiten, wenn diese Länder nicht über ein Datenschutzniveau verfügen, dass dem in Europa entspricht. Dieses angemessene Schutzniveau wurde zum Beispiel weder für die USA noch für Japan bestätigt.
Betrieblicher Datenschutzbeauftragter
Um die Einhaltung der komplizierten Datenschutzregeln zu gewährleisten, hat der Gesetzgeber für Unternehmen, die personenbezogene Daten verarbeiten, die Pflicht statuiert, einen betrieblichen Datenschutzbeauftragten zu bestellen.
Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen sind nach §§ 4g, 4f BDSG verpflichtet, die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen. Unternehmen, in denen mindestens 9 Arbeitnehmer mit der automatisierten Datenverarbeitung befasst sind oder Unternehmen, in denen 20 Personen personenbezogene Daten auf andere Art und Weise erheben, verarbeiten oder nutzen, haben schriftlich einen Beauftragten für Datenschutz zu bestellen.
Unabhängig von der Mitarbeiteranzahl ist ein betrieblicher Datenschutzbeauftragter in Unternehmen zu bestellen, die personenbezogene Daten geschäftsmäßig zum
Zweck der Übermittlung erheben, verarbeiten oder nutzen. Diese Pflicht gilt beispielsweise für Dienste, die Im Internet Bonitätsdaten von Unternehmen sammeln und übermitteln, für Auskunfteien sowie für Marktforschungs- und Meinungsforschungsunternehmen.
persönliche Voraussetzungen
Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Die erforderliche Fachkunde umfasst sowohl das Kenntnisse hinsichtlich des Datenschutzrechts sowie Kenntnisse bezüglich von Verfahren und Techniken der automatisierten Datenverarbeitung.
Darüber hinaus sollten Personen nicht zu betrieblichen Datenschutzbeauftragten berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden, die über das unvermeintliche Maß hinausgehen. Unvereinbar wäre es z.B., den Inhaber, Mitglieder des Vorstandes, den Geschäftsführer oder sonstige gesetzliche oder verfassungsmäßig berufene Vertretungsorgane zum Datenschutzbeauftragten zu bestellen, da diese sich nicht wirksam selbst kontrollieren können.
Aufgaben des Datenschutzbeauftragten
Die Aufgaben eines betrieblichen Datenschutzbeauftragten umfassen schwerpunktmäßig:
- die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben, insbesondere
des Bundesdatenschutzgesetzes - die ordnungsgemäße Anwendung der Datenverarbeitungs-Software, Risikoanalyse im Unternehmen
- die Entwicklung hausinterner Datenschutzrichtlinien und einer Datenschutz-Policy für Ihre Website
- die Bearbeitung datenschutzrechtlicher Beschwerden und Auskunftsersuchen von Nutzern
- die Schulung der bei der Datenverarbeitung tätigen Personen sowie die Durchführung von Vorabkontrollen vor Beginn der
Verarbeitung bei besonders sensiblen Daten - die Verpflichtung der Mitarbeiter auf den Datenschutz
- die Kontaktpflege mit der zuständigen Aufsichtsbehörde
Bestellung eines betrieblichen Datenschutzbeauftragten
Viele Unternehmen der IT-Branche sind sich dieser Pflicht zur Bestellung eines Datenschutzbeauftragten nicht bewusst. Wie bereits dargestellt, ist die Einhaltung datenschutzrechtlicher Vorgaben jedoch aus mehreren Gründe für ein Unternehmen notwendig. Bei Verstößen droht zum einen eine kostenpflichtige Abmahnungen durch die Konkurrenz. Die zuständigen Aufsichtsbehörden können bei Verstößen Bußgelder in Höhe von bis zu 300.000 Euro festlegen. Zum anderen sind die Nutzer gerade im Internet sehr sensibilisiert, wenn es um die Verarbeitung ihrer persönlichen Daten geht. Kein IT-Unternehmen kann es sich erlauben, in diesem Zusammenhang negative Schlagzeilen zu produzieren.
Der betriebliche Datenschutzbeauftragte muss kein Angestellter Ihres Unternehmens sein. In vielen Fällen wird im Unternehmen kein Mitarbeiter vorhanden sein, der die komplizierte Materie des Datenschutzrechts in allen Auswirkungen überblicken kann.
Wenn Sie beabsichtigen, einen betrieblichen Datenschutzbeauftragten zu bestellen oder diese Funktion auszulagern, können Sie sich mit mir in Verbindung setzten. Ich übernehme diese Funktion gerne für Ihr Unternehmen. Daneben berate ich Sie im Rahmen meiner Tätigkeit als Rechtsanwalt bei allen weiteren Fragen um den Datenschutz in Ihrem Unternehmen.
Aufgrund meiner Tätigkeit als Rechtsreferendar beim Datenschutzbeauftragten in Berlin, Bereich IT-Unternehmen, bin ich mit den Anforderungen der zuständigen Aufsichtsbehörde vertraut.
Tracking im Internet
Zu der Frage, was im Zusammenhang mit Tracking, Analysetools und Webcontrolling datenschutzrechtlich erlaubt ist, finden Sie einen gesonderten Beitrag auf unseren Seiten:
Tracking, Analysetools und Webcontrolling: Was ist datenschutzrechtlich erlaubt?
Autor: Rechtsanwalt Sören Siebert
www.Kanzlei-Siebert.de



