Recht:

 

Datenschutzgerechter Umgang mit Kundendaten

Der Erhalt möglichst umfangreicher Kundendaten ist für Unternehmen seit jeher von großem Interesse. Sie ermöglichen u.a. die Erstellung einzelner Kundeprofile und sind daher Rohstoff und Kapital für viele Branchen. Dem steht regelmäßig das Interesse der Betroffenen an einer Ausforschung ihrer Lebensumstände und –gewohnheiten entgegen. Der Gesetzgeber versucht diesen widerstreitenden Interessen Rechnung zu tragen und hat neben dem allgemein gültigen Bundesdatenschutzgesetz (BDSG) inzwischen auch bereichsspezifische Sonderregelungen, für das Internet beispielsweise in Form des Teledienstedatenschutzgesetzes (TDDSG), erlassen. Immer wieder fällt jedoch auf, dass sowohl auf Seiten der Unternehmen als der Kunden Unsicherheit über den richtigen Umgang mit Kundendaten herrscht.

Der datenschutzrechtliche Schutz setzt voraus, dass überhaupt Daten mit Personenbezug vorliegen. Das ist immer dann der Fall, wenn einzelne Informationen mit einer Person in Verbindung gebracht werden können. Bei Daten wie der Anschrift, der Telefonnummer, dem Geburtsdatum etc. liegt das auf der Hand. Weniger eindeutig ist dies jedoch beispielsweise im Internet beim Einsatz von sog. Cookies zu bestimmen. Allein bei der Verknüpfung z.B. mit einer dynamischen IP-Adresse oder einem numerischen Erkennungsmuster wird ein Personenbezug nicht festzustellen sein. Dagegen ist die Speicherung des Namens oder der eMail-Adresse wegen der Identifizierbarkeit des Nutzers datenschutzrechtlich relevant.

Zulässigkeit der Datenverarbeitung

Grundsätzlich gilt: jegliche Datenverarbeitung, die nicht ausdrücklich erlaubt ist, ist verboten! Die erforderliche Erlaubnis kann sich nur aus der Einwilligung des Betroffenen oder aus einer gesetzlichen Ausnahmeregelung ergeben. Und Letztere sind reichlich vorhanden: So ist beispielsweise die Datenverarbeitung im Rahmen von Vertragsverhältnissen immer erlaubt, wenn sie dem Vertragszweck dient. Diese gesetzlichen Ausnahmebestimmungen unterliegen dabei jedoch einer engen Zweckbindung. Das bedeutet, dass z.B. die Nutzung von Vertragsdaten für
einen anderen Zweck (wie beispielsweise Werbung) grundsätzlich nicht zulässig ist. Andererseits gewährt das BDSG den Unternehmen auch einen gewissen Freiraum. So ist die Datenverarbeitung beispielsweise gesetzlich erlaubt, wenn „es zur Wahrung berechtigter Interessen erforderlich ist“ und „die schutzwürdigen Belange des Betroffenen nicht überwiegen“. Im Einzelfall ist es für den Betroffenen freilich schwer nachzuvollziehen, ob sich ein Unternehmen berechtigterweise darauf beruft. Im Internet gelten aufgrund der bereichsspezifischen Situation grundsätzlich strengere Maßstäbe. Hier müssen z.B. sog. Nutzungsdaten, also alle Daten, die bei der Nutzung eines Dienstes anfallen, unmittelbar nach Ende des Nutzungsvorgangs gelöscht werden, soweit sie nicht gleichzeitig für Abrechnungszwecke benötigt werden.

Einwilligung des Betroffenen


In vielen Fällen hilft den Unternehmen letztlich nur die Einwilligung des Betroffenen. Diese ist jedoch an bestimmte Wirksamkeitsvoraussetzungen gebunden. So ist insbesondere eine pauschale Einwilligung in nicht näher bezeichnete Zwecke unzulässig. Soll eine Einwilligungsklausel in die Allgemeinen Geschäftsbedingungen aufgenommen werden bedarf es zu ihrer Wirksamkeit zudem einer deutlichen Hervorhebung. Für den Bereich des Internets gelten wiederum strengere Anforderungen. Hier muss der Nutzer ausdrücklich durch eine bewusste Handlung (z.B. durch Aktivierung eines Kontrollkästchens) in die Verarbeitung seiner Daten einwilligen.

Rechte der Betroffenen


Meist völlig unbekannt ist, welche Rechte die Betroffenen eines Datenverarbeitungsvorgangs haben. Grundsätzlich ist der Betroffene über die Erhebung seiner Daten zu benachrichtigen. Das Gesetz sieht hiervon jedoch einige Ausnahmen vor, so z.B., wenn der Betroffene ohnehin davon weiß oder wenn die Unterrichtung einen unverhältnismäßigen Aufwand erfordern würde. Des Weiteren besteht regelmäßig ein unentgeltlicher Auskunftsanspruch gegenüber der Daten verarbeitenden Stelle. Ist die Verweigerung einer direkten Auskunft ausnahmsweise zulässig, so
kann zumindest die Erteilung der Auskunft an den Bundesbeauftragten für den Datenschutz verlangt werden. Unter Umständen hat der Betroffene wegen einer unzulässigen Datenverarbeitung sogar einen Schadensersatzanspruch gegen das Unternehmen.

Facts:

• Eine wirksame Einwilligung setzt voraus:
- Erklärung vor Beginn des Datenverarbeitungsvorgangs
- Vorherige Information über die Identität der verantwortlichen Stelle sowie den Zweck und die Folgen einer Verweigerung der Einwilligung
- Einsichtsfähigkeit bezüglich der Tragweite und freie Entscheidung des Betroffenen
- Schriftform, sofern keine besonderen Umstände für eine Abweichung bestehen
- Kein Widerruf der Einwilligung
• Die elektronische Einwilligung (Internet) erfordert zusätzlich:
- eindeutige und bewusste Handlung des Nutzers
- Protokollierung der Einwilligung
- Jederzeitige Abrufbarkeit für den Nutzer
• Die Datenerhebung ist grds. beim Betroffenen durchzuführen
• Die Datennutzung ist regelmäßig an den Erhebungszweck gebunden
• Mögliche Folgen bei Datenschutzverstößen:
- Ahndung als Ordnungswidrigkeit mit Geldbußen bis zu € 250.000
- Ahndung als Straftat mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe, sofern Schädigungs- oder Bereicherungsabsicht vorliegt
- Evtl. Ahndung nach dem Strafgesetzbuch, sofern einschlägig (Ausspähen von Daten, Verletzung von Dienstgeheimnissen, Computerbetrug, Datenveränderung etc.)
- Negative Risikobewertung der IT-Sicherheit und des Datenschutzstandards bei Kreditvergaben (Basel II)
- Überprüfung der Beachtung von Datenschutzvorschriften und –standards durch die örtliche Datenschutzaufsicht ohne Ankündigung vor Ort


Autor: Rechtsanwalt Dr. Matthias Schaefer (LL.M.), http://www.ks-legal.de
Kanzlei für Zivilrecht, Medienrecht und Gewerblichen Rechtsschutz