Rechtstipp des Monats – Die Grundlagen zum Datenschutz im Unternehmen

Redaktion   //   Oktober 5, 2011   //   0 Kommentare

Die Unsicherheit wächst, denn die datenschutzrechtlichen Vorgaben sind stets in Veränderung und für viele Unternehmer, ganz gleich ob Jungunternehmer oder bereits eingesessenes  mittelständisches Unternehmen, ist Datenschutz zu einem unübersichtlichen und kostenintensiven Thema geworden. Die aktuelle Making Games Rechtstipp-Reihe widmen wir daher dem Datenschutz. Nach einer ersten Einführung zu den Grundlagen des Datenschutzes werden wir uns im Schwerpunkt den Themen private Internet- und E-Mailnutzung am Arbeitsplatz, Zulässigkeit von Analysetools wie Google Analytics und des »Gefällt mir«-Buttons von Facebook sowie den Besonderheiten bei Online-Spielen beschäftigen.


Das Thema Datenschutz und der richtige Umgang mit Daten in und außerhalb des eigenen Unternehmens sind angesichts der zunehmenden Verarbeitung von Daten und der immer stärkeren Regulierung durch staatliche Maßnahmen in aller Munde. Vor allem größere und bekannte Unternehmen gerieten in den letzten Jahren immer häufiger in die Schlagzeilen und das Visier von Datenschützern. Auch die Spielebranche ist von diversen Hackerangriffen nicht verschont geblieben und kämpft um die Gunst der Nutzer.
 

Teil 1: Die Grundlagen zum Datenschutz im Unternehmen

Das deutsche Datenschutzrecht ist in den allgemeinen Gesetzen des Bundes (BDSG) und der Länder zum Datenschutz und in besonderen gesetzlichen Regelungen geregelt. Das Grundrecht auf Datenschutz, das zugleich die Grundlage des Datenschutzrechts bildet, leitet sich aus dem Allgemeinen Persönlichkeitsrecht ab, konkret dem »Grundrecht auf informationelle Selbstbestimmung« (Art. 2 Abs. 1, Art. 1 Abs. 1 GG). Demnach darf grundsätzlich jeder Einzelne von uns selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen. Diesem Zweck dient auch das BDSG, das den Umgang mit personenbezogenen Daten regelt. Hierunter versteht man Name, Anschrift, Familienstand, Geburtsdatum, E-Mail Adresse, Telefonnummer einer Person und seine Interessen (Produktnutzung, Hobbies, Werbeaffinitäten) und Lebensumstände (Haushaltsgröße, Wohnumfeld).

 

Die Neuerungen im Datenschutzrecht

Seit September 2009 bzw. im Laufe des Jahres 2010 sind wesentliche Neuerungen des Bundesdatenschutzgesetzes (BDSG) in Kraft getreten, die jeder Unternehmer kennen sollte, um das Datenmanagement im Unternehmen an diese Bedingungen anzupassen und Rechtsstreite bzw. Strafen zu vermeiden.

So regelt § 28 BDSG konkret und übersichtlich, wann und für welchen Zweck Daten verwendet werden dürfen und dass dies nur nach vorheriger Einwilligung des Betroffenen erfolgen darf. Einige wenige Ausnahmetatbestände, wie z.B. die geschäftliche Werbung an eine Geschäftsadresse oder die Werbung für steuerbegünstigende Spenden unterliegen nicht dem Einwilligungsvorbehalt. Gemäß § 28 III b BDSG darf der Abschluss eines Vertrages nicht an die Einwilligung des Betroffenen in die werbliche Verwendung gekoppelt werden. Weiterhin wurden die Anforderungen an die Auftragsdatenverarbeitung (§ 11 BDSG), die Übermittlung von Daten an Auskunftsdateien (§ 28 a BDSG) verschärft und der Bußgeldkatalog erheblich erweitert (§ 43 BDSG). Eine der wichtigsten Neuerung ist die Umsetzung der Rechtsprechung des Bundesarbeitsgerichts und Bundesgerichtshofs im Bereich Arbeitnehmerdatenschutz gem. § 32 BDSG, wonach Mitarbeiterdaten nur noch zum Zweck der Abwicklung des Beschäftigungsverhältnisses erhoben, verarbeitet und genutzt werden dürfen.
 

Die goldenen Regeln des Datenschutzes in aller Kürze

Das BDSG fordert von Unternehmen den bewussten und sorgfältigen Umgang mit personenbezogenen Daten von der Erhebung, über die Speicherung und Verarbeitung bis hin zur Löschung.

Die goldenen Regeln des Datenschutzes lassen sich daher grob wie folgt zusammenfassen:

  • Generelles Verbot zum Erheben, Verarbeiten und Nutzen von personenbezogenen Daten, es sei denn der Betroffene hat zuvor eingewilligt oder eine Rechtsgrundlage erlaubt es.
  • Der Zweck der Datenerhebung ist bei Erhebung festzulegen und mitzuteilen.
  • Der Umgang mit den Daten muss transparent erfolgen und jederzeit nachvollzogen werden können.
  • Personenbezogene Daten sind direkt vom Betroffenen einzuholen.
  • Die Erhebung, Verarbeitung und Nutzung von Daten muss verhältnismäßig sein, d.h. für die Erledigung von Aufgaben erforderlich sein.
  • Es gilt immer das Prinzip der Datensparsamkeit.

·         
Rechte des Betroffenen und Pflichten des Unternehmers

Das BDSG legt allgemein fest, welche Rechte der Betroffene gegenüber dem erhebenden Unternehmen in Bezug auf seine personenbezogenen Daten hat. Dazu gehören das bedingungslose Auskunftsrecht, das Recht über seine Daten benachrichtigt zu werden, das Recht Korrekturen zu fordern, das Löschungsrecht nach Zweckerledigung, das Recht Daten sperren zu lassen, wenn z.B. Aufbewahrungspflichten der Löschung entgegen stehen, das Anrufungsrecht einer Kontrollinstanz und das Recht bei Fehlern Schadensersatz zu verlangen.

Neben den Rechten des Betroffenen, die auch als Selbstkontrolle bezeichnet werden, wurden mit der Eigenkontrolle der Unternehmen und der Fremdkontrolle durch die Aufsichtsbehörden (Datenschutzbeauftragte des Bundes und der Länder) zwei weitere Kontrollinstanzen geschaffen. Die Eigenkontrolle wird im Unternehmen durch den Datenschutzbeauftragten realisiert, der intern oder extern berufen werden kann.

Darüber hinaus sind Unternehmen in § 9 BDSG technische und organisatorische Pflichten auferlegt worden, wozu die Zutritts-, Zugangs- und Zugriffskontrolle gehören, Kontrollen bei der Eingabe und Weitergabe von Daten, Kontrollen bei der Auftragsdatenverarbeitung, Sicherung der Verfügbarkeit und der zufälligen Zerstörung von Daten sowie die Pflicht Daten mit unterschiedlichem Zweck voneinander zu trennen.
 

Der Datenschutzbeauftragte des Unternehmens

Der Beauftragte für Datenschutz wirkt auf die Einhaltung des BDSG und anderer Gesetze wie z.B. dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) hin. Seine Aufgaben und Tätigkeiten sind in den  §§ 4f und 4g BDSG sowie den landesrechtlichen Vorschriften geregelt. Eine wesentliche Aufgabe ist die Kontrolle und Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen und die Schulung des Personals, das mit dem Umgang von personenbezogenen Daten beschäftigt ist.

Ein Datenschutzbeauftragter muss im Unternehmen bestellt werden, wenn personenbezogene Daten (z. B. Arbeitnehmer-, Kunden- und Interessentendaten) automatisiert (wie z.B. durch PCs) verarbeitet werden und wenn mindestens  10 Personen mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben. Diese Grenze entfällt nur in Ausnahmefällen, wo z.B. ein bestimmtes Risiko vermutet wird, welches eine sofortige Bestellung erforderlich macht. Bei einer nicht automatisierten Datenverarbeitung greift die Vorschrift erst ab 20 Personen (§ 4 f Abs. 1 S. 1 u. 3 BDSG). Bei der Beurteilung der Personenzahl sind auch Teilzeitkräfte, Selbständige und freiberufliche Mitarbeiter zu berücksichtigen.

Der Betrieb muss spätestens einen Monat nach Aufnahme seiner Tätigkeit einen Datenschutzbeauftragten bestellen (§ 4 Abs. 1 S. 2 BDSG), sonst kann ein Bußgeld bis 50.000 Euro drohen.
 

Tipp: Betreiben Sie vorbeugendes Datenschutzmanagement.

Unternehmen sollten sich zunächst einen Überblick über die allgemein geltenden gesetzlichen Anforderungen des Datenschutzes verschaffen und darüber hinaus frühzeitig eine individuelle Richtlinie oder ein Konzept für die datenverarbeitenden Verfahrensmethoden und die Organisation der Daten entwickeln und diese im Unternehmen einführen. Die bestehenden Prozesse sollten analysiert und dokumentiert werden, um zunächst für die nötige Transparenz zu sorgen. Hierbei sollten vor allem die Mitarbeiter eingebunden werden und deren Wissenslücken mit Schulungen gefüllt werden. Denn sie sind es, die zuerst in Kontakt mit den Daten der Kunden, Vertragspartner und Kollegen kommen und die das Datenmanagement letztlich ausführen. Zudem sollten Unternehmen für die stetige Weiterentwicklung der Prozesse Sorge tragen und es auch für mögliche Risiken wie Hacking, Spionage, technische und menschliche Fehler sensibilisieren.

Im nächsten Rechtstipp befassen wir uns mit dem Thema E-Mail und Internetnutzung am Arbeitsplatz und welche Probleme die häufig erlaubte Privatnutzung mit sich bringen kann.

 


 

 

 

 

Rechtsanwältin Janine Smitkiewicz, LL.M.
Die Autorin ist Partnerin der Kanzlei Auer & Smitkiewicz, Partnerschaft von Rechtsanwälten in München. Ihre Tätigkeitsschwerpunkte liegen im Gewerblichen Rechtsschutz und Urheberrecht mit Fokus auf die Rechtsberatung rund um die Themen Games, Software und Internet.

 

  

 

 

 

 

Rechtsanwalt Thomas Auer
Der Co-Autor ist Partner der Kanzlei Auer & Smitkiewicz, Partnerschaft von Rechtsanwälten in München. Seine Tätigkeitsschwerpunkte liegen im Gesellschaftsrecht, Erbrecht und dem Recht der Unternehmensnachfolge sowie dem Immobilienrecht.

Informationen über ihre Kanzlei finden Sie unter www.auer-smitkiewicz.de.

 

 

 

 

Wichtiger Hinweis
Der vorliegende Rechtsbeitrag stellt weder eine Rechtsberatung dar noch ersetzt er die Beratung durch einen Rechtsanwalt, bei der die Besonderheiten des Einzelfalls berücksichtigt werden können. Der Beitrag ist abgestimmt auf die der Autorin bei der Veröffentlichung bekannte Rechtsprechung und die herrschende Meinung in der einschlägigen Rechtsliteratur. Es ist nicht auszuschließen, dass einzelne Textpassagen im Lichte eines unbekannten oder nicht veröffentlichten Urteils zu beanstanden sind. Bitte informieren Sie sich über derartige Umstände oder holen im Zweifel fachkundigen Rat ein.

Kommentare

Einen Kommentar hinterlassen

Um einen Kommentar hinterlassen zu können, müssen Sie sich zuerst anmelden oder registrieren.

» zur Anmeldung
» zur Registrierung