Ob man will oder nicht: Das Datenschutzrecht ist in der EDV-geprägten Geschäftswelt ein zentrales Thema.
Das Datenschutzrecht ist geprägt durch das Spannungsverhältnis zwischen den Interessen der Daten erhebenden Stellen (Unternehmen oder Behörden) einerseits und den Interessen der Betroffenen am Schutz ihres allgemeinen Persönlichkeitsrechts andererseits. Das Bundesverfassungsgericht hat in seinem wegweisenden „Volkszählungsurteil“ bereits 1983 hervorgehoben, dass jede Verarbeitung personenbezogener Daten ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt, welcher einer Rechtfertigung bedarf. Die Gefährdung dieses Grundrechts liege bereits darin, dass der Einzelne nicht weiß, was mit seinen Daten geschieht und er sich deshalb anders verhält.
Datenschutz ist in der heutigen Geschäftswelt stets relevant, was bereits ein alltägliches Beispiel illustriert: Kauft ein Kunde in einem Webshop ein, muss dieser neben seinem Namen und Anschrift, Geburtsdatum und Geschlecht und - je nachdem welche Zahlungsart ausgewählt wird - seine Bankverbindung angeben. Möglicherweise werden die Kundendaten sogar ins Ausland – z.B. weil dort der Lieferant sitzt – versendet und das Internetunternehmen verwendet Google Analytics oder einen Facebook Like Button. All dies sind datenschutzrelevante Vorgänge, die das Internetunternehmen in seiner Datenschutzerklärung abbilden, d.h. sich vom Kunden die Zustimmung einholen muss. In vielen Fällen willigt der Kunde durch Bestätigung der AGB zudem darin ein, dass bei Auskunfteien (z.B. Schufa) Informationen zur Bonität eingeholt werden dürfen und der Kunde den Newsletter – vielleicht auch von Partnerunternehmen – erhalten möchte. Vielen Menschen ist die Bedeutung der Scores von Auskunfteien nicht bewusst – doch eben dieser maschinell ermittelte Wert entscheidet über den Abschluss eines Mietvertrages oder die Höhe der Zinsen bei einem Kreditvertrag. Personenbezogenen Daten können nicht nur der staatlichen Überwachung dienen – sie sind längst ein wertvolles Gut der Werbewirtschaft geworden.
Dabei ist das Datenschutzrecht eine Querschnittsmaterie, die es dem datenschutzrechtlichen Laien schwer macht, den Überblick zu behalten. Zentrale Gesetze sind die EU-DSGVO (Datenschutzgrundverordnung) und ergänzend das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze. Daneben finden sich Vorschriften für bestimmte Kommunikationswege (TKG, TMG) und Hunderten bereichsspezifischen Vorschriften. Allein im Krankenhaus können aus datenschutzrechtlicher Sicht schnell mehrere Dutzend Gesetze zu beachten sein. Die europäische Datenschutzgrundverordnung (EU-DSGVO) hat das Datenschutzrecht europaweit vereinheitlichen.
Dessen Grundgedanke geht von einem Verbot der Datenverarbeitung mit Erlaubnisvorbehalt aus, d. h. die Erhebung und Verarbeitung von Daten ist grundsätzlich nicht gestattet, soweit der Betroffene nicht einwilligt oder eine gesetzliche Rechtsgrundlage zur Datenverarbeitung besteht. Soll die Rechtmäßigkeit über eine Einwilligung erreicht werden, muss diese juristisch korrekt formuliert werden. Doch auch wenn es eine konkrete Rechtsgrundlage gibt, muss die Datenverarbeitung im Einzelfall erforderlich sein. Es ist eine umfassende Interessenabwägung zwischen den o. g. widerstreitenden Interessen vorzunehmen. | | Sobald die Erforderlichkeit nicht mehr gegeben ist, sind die Daten zu löschen bzw. aus dem operativen Geschäft zu entfernen.
Sobald Daten erhoben werden, stehen dem Betroffenen – je nach den Umständen des Einzelfalls – Rechte, insbesondere auf Benachrichtigung, Auskunft und Löschung nach der EU-DSGVO zu.
Ab einer bestimmten Unternehmensgröße hat der Betrieb einen Datenschutzbeauftragten zur Überwachung und Einhaltungen des Datenschutzrechts zu bestellen.
Die Rechtmäßigkeit der Datenverarbeitung wird durch die Datenschutzaufsichtsbehörden kontrolliert. Sie kontrollieren Behörden und privatwirtschaftliche Unternehmen und gehen Hinweisen von Betroffenen nach. Rechte werden aber zunehmend auch von den Betroffenen selbst geltend gemacht oder auch von Wettbewerben. Bislang ist zwar noch nicht höchstrichterlich geklärt, ob ein Datenschutzverstoß aufgrund eines Verstoßes gegen das Wettbewerbsrecht von Konkurrenten abgemahnt werden kann. Von den Instanzgerichten wird diese Frage bisher unterschiedlich beantwortet. Es besteht damit Abmahngefahr.
Datenschutz betrifft Unternehmen nicht nur in ihrem Handeln gegenüber ihren Kunden: Von jedem Mitarbeiter werden personenbezogene Daten erhoben und verarbeitet. Der Arbeitnehmerdatenschutz unterliegt den gesetzlichen Vorschriften und stellt eine eigene Herausforderung dar. Die Verarbeitung von Mitarbeiterdaten unterliegt weitgehend der betriebsverfassungsrechtlichen Mitbestimmung: Mittels Betriebsvereinbarungen können die Betriebsparteien eine eigene Rechtsgrundlage für die Datenerhebung und -verarbeitung schaffen. Der Betriebsrat hat seine Mitbestimmungs- und Kontrollrechte sowie die entsprechenden Pflichten.
Relevant ist die grundsätzliche Zulässigkeit der Datenerhebung und -verarbeitung von Mitarbeiterdaten. Die Übermittlung von Mitarbeiterdaten an dritte Unternehmen oder an Unternehmen innerhalb eines Konzerns, ggf. an den Mutterkonzern im Ausland wirft vielfältige Fragen auf. Denn das Datenschutzrecht kennt kein Konzernprivileg und fordert einen Erlaubnistatbestand für jede Phase der Datenverarbeitung. Ist die Speicherung nicht mehr zulässig, müssen die Daten gelöscht werden. In jüngster Zeit gewann die Frage, ob ein Unternehmen mit dem Bildnis eines ehemaligen Mitarbeiters werben darf und unter welchen Voraussetzungen dieser seine einmal erteilte Einwilligung widerrufen kann, an praktischer Bedeutung. Die Datenschutzskandale der vergangenen Jahre betrafen immer wieder auch unternehmensinternes Handeln. Hier fordert das unternehmerische Interesse, sich gesetzeskonform zu verhalten – denn die Bussgelder können nach der EU-DSGVO bis zu 20.000.000 Euro oder 4% des Weltumsatzes betragen!
Wir beraten kleine und mittelständische Unternehmen, Betriebsräte und Privatpersonen in allen datenschutzrechtlichen Fragestellungen. Wir stehen auch als externer Datenschutzbeauftrager für Ihr Unternehmen zur Verfügung. Profitieren Sie von unserer Expertise im Datenschutz. Wir zeigen Ihnen, wie Sie die datenschutzrechtlichen Vorgaben erfüllen, Ihre rechtlichen Texte formulieren und Unternehmensprozesse so gestalten, dass Sie das Risiko von Bußgeldern und Abmahnungen vermeiden.
Unsere im „Datenschutzrecht“ angebotenen Dienstleistungen finden Sie in dem rechts nebenstehenden Menü aufgelistet. | |
Wir freuen uns auf Ihre Kontaktaufnahme.
|