Was ist Datenschutz?

Der Begriff „Datenschutz“ lässt sich nicht einheitlich definieren. Grundsätzlich meint Datenschutz den Schutz sämtlicher Informationen, die nicht für die Allgemeinheit frei verfügbar sind. Im Zentrum stehen solche Informationen, die mit einer bestimmten Person direkt in Verbindung stehen: persönliche und private Informationen sowie Kontaktdaten. Aber auch Daten über Sachen oder bestimmte Verhältnisse/ Beziehungen können schutzwürdig sein.

Aus rechtlicher Sicht haben die individuellen Daten von Personen die größte Relevanz. Das Datenschutzrecht untersucht und beurteilt den Umgang mit Daten. Dabei spielt eine Rolle, ob Daten überhaupt Schutz verdienen, wie dieser Schutz zu gewährleisten ist und schließlich ob der entsprechende Schutz eingehalten wurde.

Was sind personenbezogene Daten?

Der Begriff der „personenbezogenen Daten“ ist von zentraler Bedeutung für das Datenschutzrecht. Im Bundesdatenschutzgesetz (BDSG) wird er wie folgt definiert:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ (§ 3 Abs. 1 BDSG)

Personenbezogene Daten sind also solche Daten, die einer bestimmten Person zugeordnet werden können. Dazu gehören unter anderem Name, Adresse, Telefonnummer, E-Mail-Adresse und auch die IP-Adresse.

Was sind die wichtigsten Punkte des Datenschutzrechts?

Im deutschen Datenschutzrecht haben sich einige wesentliche Grundsätze herausgebildet, die insbesondere im Bereich des Internets große Bedeutung haben:

  • Grundsatz der Datenvermeidung und Datensparsamkeit

Es sollen immer nur die Daten erhoben werden, die unbedingt erforderlich sind um einen bestimmten Dienst zu erbringen. Ein Online-Shop braucht zum Beispiel die Adresse des Nutzers um ihm die Bestellung zusenden zu können. Ein soziales Netzwerk hingegen kann seinen Dienst auch ohne Kenntnis der Adresse des Nutzers erbringen. Die Erhebung muss daher freiwillig sein.

  • Erlaubnisvorbehalt

Solange die Erhebung, Speicherung oder Verarbeitung von Daten nicht ausdrücklich gesetzlich angeordnet ist, muss der Nutzer diesen Vorgängen zustimmen. Eine Erhebung von Daten gegen den Willen des Nutzers oder ohne dessen Kenntnis ist nicht zulässig.

  • Trennungsgrundsatz

Hat sich der Nutzer etwa bei mehreren verschiedenen Internetdiensten registriert, dürfen die Diensteanbieter die gesammelten Informationen nicht zusammenfügen. Dadurch soll verhindert werden, dass umfangreiche Profile der Nutzer erstellt werden. Außerdem darf durch einen Austausch von Daten nicht der Grundsatz der Datensparsamkeit umgangen werden.

Schließlich stehen dem Nutzer Auskunftsansprüche gegen die Stellen zu, die seine Daten gespeichert haben. Dadurch soll dem Nutzer die Möglichkeit gegeben werden, die Einhaltung des Datenschutzrechts in einem gewissen Maße selbst zu kontrollieren. Sind die gespeicherten Daten unvollständig oder fehlerhaft, hat der Nutzer außerdem einen Anspruch auf Berichtigung oder Löschung. 

Gibt es Datenschutz nur im Internet?

Nein, Datenschutz gab es schon lange vor dem Internet. Mit den zunehmenden Möglichkeiten der automatisierten Datenverarbeitung im 20. Jahrhundert stellte sich die Frage, wie und unter welchen Umständen die Verarbeitung von Daten ermöglicht werden soll. Schon sehr früh haben Wirtschaft und Staat die Vorteile einer massenhaften Erhebung von Daten erkannt. Das Internet hat die Datenerhebung nur weiter vereinfacht. Das Grundsatzurteil des Bundesverfassungsgerichts zum Datenschutz ist das sogenannte „Volkszählungsurteil“ von 1983. Unabhängig der heutigen Vorstellungen vom Internet hat das Gericht ausgeführt:

Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. […] Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“ 

Gibt es ein Datenschutzgesetz?

Ja, das Bundesdatenschutzgesetz (BDSG). Dort finden sich die grundlegenden Regeln zur Erhebung, Speicherung, Nutzung, Verarbeitung und Weitergabe von personenbezogenen Daten. Nicht erfasst vom BDSG ist der Umgang mit Daten im persönlichen und familiären Bereich.

Neben dem Bundesdatenschutzgesetz finden sich speziellere Regeln zum Datenschutz auch im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG).

Das TMG regelt hauptsächlich den Umgang mit den personenbezogenen Daten, die im Rahmen der elektronischen Kommunikation anfallen, womit das Internet gemeint ist. Bei der Erhebung von Daten auf einer Webseite ist also das TMG einschlägig.

Das TKG betrifft den eigentlichen Kommunikationsvorgang. Die Regelungen zum Datenschutz des TKG beziehen sich also nicht auf Inhalte, sondern auf deren Transport: Internet-Verbindung, E-Mail und auch Telefon. 

Gibt es ein Recht auf Datenschutz?

Ja, ein Recht auf den Schutz der eigenen Daten findet sich sogar im Grundgesetz. Zwar gibt es kein eigenes „Grundrecht auf Datenschutz“. Allerdings hat das Bundesverfassungsgericht 1983 in einer Grundsatzentscheidung (BVerfGE 65, 1 – Volkszählung) das sogenannte „Recht auf informationelle Selbstbestimmung“ geschaffen. Als Ausprägung des allgemeinen Persönlichkeitsrechts schützt es die Befugnis jedes einzelnen Menschen über seine personenbezogenen Daten und ihre Verwendung selbst zu bestimmen. Als Grundrecht hat es große Bedeutung für Rechtswissenschaft und Politik und hat so schon mehrere Vorhaben wie die automatisierte Erfassung von Kfz-Kennzeichen oder auch die Vorratsdatenspeicherung verhindert.

Neben dem Recht auf informationelle Selbstbestimmung gibt es das ebenfalls verfassungsrechtlich gewährleistete „Fernmeldegeheimnis“. Als Äquivalent zum Brief- und Postgeheimnis schützt es die Vertraulichkeit der unkörperlichen Übermittlung von Informationen im Rahmen der individuellen Kommunikation. Damit ist die Kommunikation per Telefon oder Internet gemeint. Das Fernmeldegeheimnis gewährt somit grundrechtlichen Schutz darauf, dass beispielsweise private E-Mails nicht von Dritten gelesen werden dürfen. 

Was bedeutet Datensicherheit?

Datensicherheit meint die Maßnahmen, die zur Gewährleistung des Datenschutzes zu ergreifen sind. Darunter fallen technische Schutzvorkehrungen wie Firewalls und Viren-Programme ebenso wie organisatorische Maßnahmen wie die Schulung von Mitarbeitern und das Aufstellen konkreter Regelungen im Umgang mit personenbezogenen Daten. 

Was ist ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte prüft und beurteilt die datenschutzrechtlich relevanten Abläufe in einem Betrieb. Seiner Kontrolle unterliegen zum einen die eingesetzten Datenverarbeitungsprogramme und zum anderen auch die Mitarbeiter. Außerdem fallen die Schulung und Einweisung der Mitarbeiter und die regelmäßige Information über Neuerungen im Bereich des Datenschutzes in seinen Aufgabenbereich. Wenn er Probleme oder Gefahren feststellt, unterbreitet er Vorschläge zur Änderung und Optimierung.

Der Datenschutzbeauftragte kann ein Mitarbeiter des Betriebs oder auch eine externe Fachkraft sein. Bei seiner Tätigkeit unterliegt er den Weisungen des Geschäftsführers, er hat keine eigene Entscheidungsgewalt.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft alle Unternehmen, die mehr als neun Personen mit der automatisierten Verarbeitung von personenbezogene Daten beschäftigen. Der Datenschutzbeauftragte ist während seiner Tätigkeit für den Betrieb zur Verschwiegenheit verpflichtet, weshalb die Pflicht zur Bestellung eines Datenschutzbeauftragten auch Betriebe wie Arztpraxen oder Rechtsanwaltskanzleien trifft.

Was ist eine Datenschutzerklärung?

In einer Datenschutzerklärung werden die Umstände der Erhebung, Speicherung, Nutzung und Verarbeitung von personenbezogenen Daten ausführlich beschrieben. Außerdem wird dargelegt, welche Daten erhoben werden und warum. Die Datenschutzerklärung soll dem Nutzer eines Dienstes also verdeutlichen, in welche datenschutzrechtlich relevanten Vorgänge er einwilligt bevor er einen Dienst in Anspruch nimmt. Stimmt der Nutzer der Datenschutzerklärung zu, dann genügt diese Einwilligung dem gesetzlich vorgeschriebenen Erlaubnisvorbehalt. Der Diensteanbieter darf dann mit den Daten des Nutzers verfahren wie in der Datenschutzerklärung beschrieben.

In der Praxis wird die Datenschutzerklärung entweder in die Allgemeinen Geschäftsbedingungen integriert oder separat dem Nutzer vorgelegt. Bei Registrierungsverfahren im Internet erfolgt die Zustimmung durch den Nutzer meist durch Anklicken einer entsprechenden Checkbox.

Das Muster einer Datenschutzerklärung finden Sie auf unserer Übersichtsseite zum Social-Media-Recht kostenlos zum Download.

Was ist „Big Data“?

Big Data beschreibt große Datensammlungen, die sich aus einzelnen Datenbeständen zusammensetzen. Den Weg in die Tagesberichterstattung hat Big Data durch die zunehmenden Möglichkeiten der automatisierten Auswertung von Datensammlungen gefunden.

Mit den entsprechenden Möglichkeiten kann Big Data dazu genutzt werden, Kategorisierungen und Verhaltensprofile zu erstellen. Der Anbieter einer bestimmten Dienstleistung könnte zum Beispiel anhand der Datensammlungen den lukrativsten Kundenstamm ermitteln. Durch Informationen über Alter, Geschlecht, Interessen und finanzielle Verhältnisse lassen sich zum Beispiel die geeignetsten Orte zur Platzierung von Werbung ermitteln.

Polizei und Geheimdienste können große Datensammlungen zur Erstellung von Verhaltensprofilen nutzen. Je größer und detaillierter die Datensammlungen, desto konkreter lassen sich bestimmte Verhaltensweisen statistisch vorhersagen.

Big Data ist daher ein rechtlich sehr brisantes aber noch wenig erforschtes Thema. Das wahre Potenzial von Big Data wird sich in den nächsten Jahren mit fortschreitender Digitalisierung zeigen. 

Privatpersonen

Betrifft das Thema Datenschutz auch Privatpersonen?

Ja, Datenschutz betrifft jeden! Nahezu alle Handlungen haben einen datenschutzrechtlichen Bezug. Nicht nur bei Registrierungen in sozialen Netzwerken oder Online-Foren werden personenbezogene Daten preisgegeben. Auch scheinbar neutrale Handlungen, wie das Bezahlen mit Geldkarten, der bloße Besitz eines Mobilfunktelefons oder auch jeder beliebige Vertragsschluss sind durch einen Datenaustausch geprägt. Die zunehmende Anzahl an Berichten über Hacker-Angriffe, Datenlecks und auch die massenhafte Datensammlungen der Geheimdienste zeigen, welchen Wert Daten in der heutigen Zeit haben.

Schließlich verdeutlichen Kreditkartenbetrügereien, Computer-Viren, Identitäts-Diebstähle und der unsorgsame Umgang mit Zugangsdaten zu Online-Shops oder Online-Banking-Accounts die Bedeutung von Datenschutz für Privatpersonen.

Wie schütze ich meine Daten?

Der beste Schutz der eigenen Daten besteht darin, so wenig wie möglich preiszugeben. Dieser Grundsatz hilft aber nur bedingt, da der Handel mit unseren Daten in der heutigen Zeit zum Alltag gehört.

Daher im Folgenden einige Tipps zum besseren Umgang mit den eigenen Daten:

  • Unterschiedliche Passwörter mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen verwenden.
  • Nicht jedes Internet-Portal benötigt zwingend korrekte Angaben. Solange keine rechtlich relevanten Verhältnisse begründet werden (z.B. Online-Shops, Online-Auktionshäuser, Abonnements) darf beim Ausfüllen des Anmeldeformulars auch geschummelt werden.
  • Um Spam und betrügerische E-Mails zu vermeiden sollte die eigene E-Mail-Adresse nicht bei jedem Registrierungsvorgang angegeben werden. Zu empfehlen sind entweder Zweit-Adressen für Werbung und ähnliches oder sogenannte „Burner-Mails“. Burner-Mails werden automatisch generiert und löschen sich nach einer gewissen Zeit von selbst.
  • Der eigene Computer sollte stets durch eine Firewall und ein Viren-Programm geschützt werden. Die Gefahr der Datenausspähung durch einen Virus kann so zwar nicht komplett gebannt, aber zumindest auf ein Minimum reduziert werden.
  • Es gibt nichts umsonst; weder bei freundlichen Menschen mit Klemmbrett in der Fußgängerzone, noch im Internet. Personenbezogene Daten haben für viele Marktforschungs- und Analyseunternehmen großen Wert. Daher sollte nie unüberlegt irgendein Formular unterschrieben oder der Anhang einer dubiosen E-Mail heruntergeladen
  • Die Wahl der Internetverbindung macht angreifbar. Das heimische WLAN sollte mit einem starken Passwort geschützt werden. Außerhalb des eigenen Netzwerks empfiehlt sich eine sorgfältige Auswahl möglicher Hotspots. Offenes WLAN im Café oder Kaufhaus stellt immer ein potenzielles Risiko dar. Selbst Laien können mit entsprechender Software innerhalb von Sekunden auf fremde Geräte in offenen Netzwerken zugreifen.
  • Passwörter dürfen nie weitergegeben werden. Kein Mitarbeiter einer Bank, eines Online-Shops oder eines Mobilfunkunternehmens wird jemals nach dem Zugangspasswort fragen.
  • Vertrauliche Kommunikation nur über vertrauenswürdige Dienste. Hier lohnt sich die ausführliche Auseinandersetzung mit den angebotenen E-Mail-, Chat- oder Telefonie-Dienstleistungen.
  • Mobile Datenträger wie Smartphones, USB-Sticks oder externe Festplatten nicht mit jedem beliebigen Computer verbinden. Insbesondere öffentlich zugängliche Computer sind anfällig für Viren die sich durch den sorglosen Umgang der Kunden verbreiten.
  • Cloud Computing ist eine sehr hilfreiche Methode um flexibel auf Daten zugreifen zu können aber keine sichere Option zur Speicherung oder Übermittlung vertraulicher Daten. 

Bin ich verpflichtet meine Daten zu schützen?

Eine gesetzliche Pflicht zum Schutz der eigenen Daten gibt es nicht. Sobald aber fremde Daten im Spiel sind, haben auch Privatpersonen die Pflicht zu einem ordnungsgemäßen Umgang. Als Beispiel dient die „Lindqvist-Entscheidung“ (EuGH, C-101/01): Eine Frau wurde nach europäischem Recht wirksam dafür verurteilt, dass sie Telefonnummern, Familienverhältnisse und weitere persönliche Angaben über Mitglieder ihrer Kirchengemeinde auf ihrem privaten Blog im Internet veröffentlicht hatte. 

Was sind die Folgen von Datenverlust und wie muss ich vorgehen?

Das variiert stark von Fall zu Fall. Belastungen des eigenen Bankkontos können nach Darlegung der Sachlage rückgängig gemacht werden. Der Veröffentlichung von persönlichen Informationen im Internet kann mit Abmahnungen und Unterlassungserklärungen begegnet werden. In der Praxis bestehen aber oftmals Probleme bei der Beweisbarkeit und der Durchsetzung der Ansprüche. Häufig werden Betrügereien nie oder erst sehr spät entdeckt; die Entfernung einmal im Internet veröffentlichter Informationen ist fast unmöglich.

Datenverlust kann viele verschiedene, oft unerwartete Folgen haben. Bei der Befürchtung eines Datenlecks oder der begründeten Annahme von Datenmissbrauch hilft im Einzelfall nur eine individuelle rechtliche Beratung.

Gewerblicher Bereich

Wann muss ein Datenschutzbeauftragter bestellt werden?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft alle Unternehmen, die mehr als neun Personen mit der automatisierten Verarbeitung von personenbezogene Daten beschäftigen. Der Datenschutzbeauftragte ist während seiner Tätigkeit für den Betrieb zur Verschwiegenheit verpflichtet, weshalb die Pflicht zur Bestellung eines Datenschutzbeauftragten auch Betriebe wie Arztpraxen oder Rechtsanwaltskanzleien trifft.

Wie wird der Schutz der Daten im Unternehmen gewährleistet?

Im Unternehmen sind mehrere Sicherheitsmaßnahmen zu beachten:

  • Der Internetzugang sollte über ein betriebsinternes WLAN mit verschlüsselten Routern möglich sein.
  • Wenn im Unternehmen sensible Kundendaten verarbeitet werden, ist über die Einrichtung eines Intranets Auf das Intranet kann nur per Passwort über die betriebseigenen Computer zugegriffen werden, wodurch ein Angriff von außen verhindert wird.
  • Falls die Arbeitnehmer das Internet auch privat nutzen dürfen stellt eine Internet-Policy den ordnungsgemäßen Umgang sicher.
  • Eine Einschränkung der Nutzung beliebiger mobiler Datenträger wie USB-Sticks durch die Arbeitnehmer verringert das Risiko einer Virusinfektion.
  • Regelmäßige Virenscans und entsprechende Software mit Echtzeitschutz sind zu empfehlen.
  • Geschäftliche Kommunikation nur über vertrauenswürdige Dienste.
  • Um bei Datenverlusten handlungsfähig zu bleiben empfehlen sich regelmäßige Datensicherungen auf externen Datenträgern.
  • Bestellung eines Datenschutzbeauftragten oder bei kleinen Unternehmen die regelmäßige Kontrolle der Datenverarbeitungsanlagen durch geschultes Fachpersonal.
  • Cloud Computing nur über sichere Dienste und möglichst ausgeschlossen der vertraulichen Daten.

Müssen Regeln zu Datenschutz und Datensicherheit im Unternehmen aufgestellt werden?

Um einer Haftung im Schadensfall zu entgehen müssen entsprechende Schutzvorkehrungen getroffen werden. Eine gesetzliche Pflicht zur Verschlüsselung des betriebseigenen WLAN ist nicht gesetzlich vorgeschrieben. Eine derartige Unachtsamkeit begründet im Schadensfall jedoch umfangreiche Ersatzansprüche.

Eine Internet-Policy stellt Regeln für den Umgang der Arbeitnehmer mit dem Internet auf. Insbesondere solche Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten, sollten über ein gewisses Know-How verfügen und gegebenenfalls geschult werden.

Welche Pflichten zum Schutz von Daten bestehen?

Die Pflichten zur Einhaltung des Datenschutzes variieren je nachdem wie ein Unternehmen am Markt auftritt und welche Dienste es erbringt.

  • Alle Unternehmen, die mehr als neun Personen mit der automatisierten Verarbeitung von personenbezogene Daten beschäftigen sind gesetzlich zur Bestellung eines Datenschutzbeauftragten
  • Sofern die Erhebung und Verarbeitung von Daten nicht unvermeidbar für die Erbringung eines Dienstes ist, muss vorher eine Einwilligung der Kunden eingeholt werden.
  • Die Kunden sind stets über Art und Umstände einer Datenerhebung und –verarbeitung zu informieren. Das geschieht grundsätzlich durch eine Datenschutzerklärung. Eine fehlende oder fehlerhafte Datenschutzerklärung ist wettbewerbswidrig und kann zu einer Abmahnung führen (Hanseatisches OLG, Urteil vom 27.06.2013 – 3 U 26/12). Der Bedarf einer Datenschutzerklärung ist im TMG für alle Webseitenbetreiber, die personenbezogene Daten erheben, vorgeschrieben.
  • Kundendaten sind ordnungsgemäß zu sichern. Im Falle eines Datenlecks können mangelnde Virenprogramme, unzureichende Verschlüsselungen und ein fahrlässiger Umgang der Mitarbeiter mit sensiblen Daten eine Haftung des Unternehmens begründen. Die Schäden sind stark einzelfallabhängig. Zur Berechnung eines Schadens durch Datenverlust hat sich der BGH geäußert: BGH, Urteil vom 9. 12. 2008 – VI ZR 173/07 

Was sind die Folgen von Datenverlust?

Der Verlust von Kundendaten kann je nach Art des Unternehmens weitreichende Folgen haben. In jedem Fall muss mit einem Imageschaden gerechnet werden, der abhängig von der Sensibilität der Daten beträchtlich sein kann. Wurde das Datenleck durch einen fahrlässigen Umgang mit den Daten verursacht, ist es schwer das Vertrauen der Kunden in die eigenen Dienste wiederherzustellen.

Darüber hinaus ist grundsätzlich an Schadensersatzansprüche zu denken. Ein Haftungsausschluss für Datenverlust in den Allgemeinen Geschäftsbedingungen ist fast immer unwirksam. Wenn das Unternehmen den Datenverlust selbst verschuldet hat, sei es durch unachtsame Mitarbeiter oder anfällige technische Einrichtungen, ist eine Haftung zu bejahen.

Die Schadenshöhe hängt jedoch vom Grad des Verschuldens, einem etwaigen Verschulden von Mitarbeitern, den konkreten Umständen und der Art der Daten ab und lässt sich somit im Vorhinein nicht abschätzen.

Schließlich ist ein Datenverlust immer mit innerbetrieblichen Störungen verbunden. Regelmäßige Datensicherungen sind daher unerlässlich um den alltäglichen Geschäftsbetrieb nicht zu gefährden und kostenintensive Ausfälle zu vermeiden. 

Wie funktioniert Datenschutz im Arbeitgeber-Arbeitnehmer-Verhältnis?

Neben Kundendaten spielen auch die Daten der Arbeitnehmer eine große Rolle. Bereits mit Durchsicht der Bewerbungsunterlagen fallen Daten an. Auch Arbeitnehmer müssen ausführlich darüber aufgeklärt werden, welche Daten der Arbeitgeber über sie erhebt. Sofern das betriebseigene E-Mail-Programm nicht ausschließlich auf geschäftliche Kommunikation beschränkt ist, darf der Arbeitgeber die E-Mails seiner Arbeitnehmer nicht lesen. Bei Unsicherheiten empfiehlt sich die Einführung einer Internet- und E-Mail-Policy.

Die Überwachung der Arbeitnehmer durch Videokameras ist stets unzulässig. Etwas anders kann sich in speziellen Einzelfällen nur bei einer Verdachtsüberwachung ergeben.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×