Recht:
Datenschutzgerechter Umgang mit Kundendaten
Der Erhalt möglichst umfangreicher Kundendaten ist für Unternehmen
seit jeher von großem Interesse. Sie ermöglichen u.a. die Erstellung
einzelner Kundeprofile und sind daher Rohstoff und
Kapital für viele Branchen. Dem steht regelmäßig das Interesse der
Betroffenen an einer Ausforschung ihrer Lebensumstände und
–gewohnheiten entgegen. Der Gesetzgeber versucht diesen
widerstreitenden Interessen Rechnung zu tragen und hat neben dem
allgemein gültigen Bundesdatenschutzgesetz (BDSG) inzwischen auch
bereichsspezifische Sonderregelungen, für das
Internet beispielsweise in Form des Teledienstedatenschutzgesetzes
(TDDSG), erlassen. Immer wieder fällt jedoch auf, dass sowohl auf
Seiten der Unternehmen als der Kunden
Unsicherheit über den richtigen Umgang mit Kundendaten herrscht.
Der datenschutzrechtliche Schutz setzt voraus, dass überhaupt Daten
mit Personenbezug vorliegen. Das ist immer dann der Fall, wenn
einzelne Informationen mit einer Person in
Verbindung gebracht werden können. Bei Daten wie der Anschrift, der
Telefonnummer, dem Geburtsdatum etc. liegt das auf der Hand. Weniger
eindeutig ist dies jedoch beispielsweise im
Internet beim Einsatz von sog. Cookies zu bestimmen. Allein bei der
Verknüpfung z.B. mit einer dynamischen IP-Adresse oder einem
numerischen Erkennungsmuster wird ein
Personenbezug nicht festzustellen sein. Dagegen ist die Speicherung
des Namens oder der eMail-Adresse wegen der Identifizierbarkeit des
Nutzers datenschutzrechtlich relevant.
Zulässigkeit der Datenverarbeitung
Grundsätzlich gilt: jegliche Datenverarbeitung, die nicht
ausdrücklich erlaubt ist, ist verboten! Die erforderliche Erlaubnis
kann sich nur aus der Einwilligung des Betroffenen oder aus einer
gesetzlichen Ausnahmeregelung ergeben. Und Letztere sind reichlich
vorhanden: So ist beispielsweise die Datenverarbeitung im Rahmen von
Vertragsverhältnissen immer erlaubt, wenn sie
dem Vertragszweck dient. Diese gesetzlichen Ausnahmebestimmungen
unterliegen dabei jedoch einer engen Zweckbindung. Das bedeutet,
dass z.B. die Nutzung von Vertragsdaten für
einen anderen Zweck (wie beispielsweise Werbung) grundsätzlich nicht
zulässig ist. Andererseits gewährt das BDSG den Unternehmen auch
einen gewissen Freiraum. So ist die
Datenverarbeitung beispielsweise gesetzlich erlaubt, wenn „es zur
Wahrung berechtigter Interessen erforderlich ist“ und „die
schutzwürdigen Belange des Betroffenen nicht überwiegen“. Im
Einzelfall ist es für den Betroffenen freilich schwer
nachzuvollziehen, ob sich ein Unternehmen berechtigterweise darauf
beruft. Im Internet gelten aufgrund der bereichsspezifischen
Situation
grundsätzlich strengere Maßstäbe. Hier müssen z.B. sog.
Nutzungsdaten, also alle Daten, die bei der Nutzung eines Dienstes
anfallen, unmittelbar nach Ende des Nutzungsvorgangs
gelöscht werden, soweit sie nicht gleichzeitig für Abrechnungszwecke
benötigt werden.
Einwilligung des Betroffenen
In vielen Fällen hilft den Unternehmen letztlich nur die
Einwilligung des Betroffenen. Diese ist jedoch an bestimmte
Wirksamkeitsvoraussetzungen gebunden. So ist insbesondere eine
pauschale Einwilligung in nicht näher bezeichnete Zwecke unzulässig.
Soll eine Einwilligungsklausel in die Allgemeinen
Geschäftsbedingungen aufgenommen werden bedarf es zu ihrer
Wirksamkeit zudem einer deutlichen Hervorhebung. Für den Bereich des
Internets gelten wiederum strengere Anforderungen. Hier muss der
Nutzer ausdrücklich durch eine bewusste
Handlung (z.B. durch Aktivierung eines Kontrollkästchens) in die
Verarbeitung seiner Daten einwilligen.
Rechte der Betroffenen
Meist völlig unbekannt ist, welche Rechte die Betroffenen eines
Datenverarbeitungsvorgangs haben. Grundsätzlich ist der Betroffene
über die Erhebung seiner Daten zu benachrichtigen. Das
Gesetz sieht hiervon jedoch einige Ausnahmen vor, so z.B., wenn der
Betroffene ohnehin davon weiß oder wenn die Unterrichtung einen
unverhältnismäßigen Aufwand erfordern würde. Des
Weiteren besteht regelmäßig ein unentgeltlicher Auskunftsanspruch
gegenüber der Daten verarbeitenden Stelle. Ist die Verweigerung
einer direkten Auskunft ausnahmsweise zulässig, so
kann zumindest die Erteilung der Auskunft an den Bundesbeauftragten
für den Datenschutz verlangt werden. Unter Umständen hat der
Betroffene wegen einer unzulässigen
Datenverarbeitung sogar einen Schadensersatzanspruch gegen das
Unternehmen.
Facts:
• Eine wirksame Einwilligung setzt voraus:
- Erklärung vor Beginn des Datenverarbeitungsvorgangs
- Vorherige Information über die Identität der verantwortlichen
Stelle sowie den Zweck und die Folgen einer Verweigerung der
Einwilligung
- Einsichtsfähigkeit bezüglich der Tragweite und freie Entscheidung
des Betroffenen
- Schriftform, sofern keine besonderen Umstände für eine Abweichung
bestehen
- Kein Widerruf der Einwilligung
• Die elektronische Einwilligung (Internet) erfordert zusätzlich:
- eindeutige und bewusste Handlung des Nutzers
- Protokollierung der Einwilligung
- Jederzeitige Abrufbarkeit für den Nutzer
• Die Datenerhebung ist grds. beim Betroffenen durchzuführen
• Die Datennutzung ist regelmäßig an den Erhebungszweck gebunden
• Mögliche Folgen bei Datenschutzverstößen:
- Ahndung als Ordnungswidrigkeit mit Geldbußen bis zu € 250.000
- Ahndung als Straftat mit Freiheitsstrafe bis zu zwei Jahren oder
Geldstrafe, sofern Schädigungs- oder Bereicherungsabsicht vorliegt
- Evtl. Ahndung nach dem Strafgesetzbuch, sofern einschlägig
(Ausspähen von Daten, Verletzung von Dienstgeheimnissen,
Computerbetrug, Datenveränderung etc.)
- Negative Risikobewertung der IT-Sicherheit und des
Datenschutzstandards bei Kreditvergaben (Basel II)
- Überprüfung der Beachtung von Datenschutzvorschriften und
–standards durch die örtliche Datenschutzaufsicht ohne Ankündigung
vor Ort
Autor: Rechtsanwalt Dr. Matthias Schaefer (LL.M.),
http://www.ks-legal.de
Kanzlei für Zivilrecht, Medienrecht und Gewerblichen Rechtsschutz
|