Datenschutz geht uns A l l e an - Datenschutz Pahlke

Warum Datenschutz?

Die Bedeutung des Datenschutzes ist seit der Entwicklung der Digitaltechnik stetig gestiegen, weil Datenerfassung, Datenhaltung, Datenweitergabe und Datenanalyse immer einfacher werden. Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen neue Möglichkeiten zur Datenerfassung.
Interesse an personenbezogenen Informationen haben sowohl staatliche Stellen als auch private Unternehmen.
Sicherheitsbehörden möchten beispielsweise durch Rasterfahndung und Telekommunikationsüberwachung die Verbrechensbekämpfung verbessern,
Finanzbehörden sind an Banktransaktionen interessiert, um Steuerdelikte aufzudecken.
Unternehmen versprechen sich von Mitarbeiterüberwachung (siehe Arbeitnehmerdatenschutz) höhere Effizienz, sollen beim Marketing helfen und Auskunfteien die Zahlungsfähigkeit der Kunden sicherstellen (siehe Verbraucherdatenschutz, Schufa, Creditreform).
Dieser Entwicklung steht eine gewisse Gleichgültigkeit großer Teile der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat.

Vor allem durch die weltweite Vernetzung, insbesondere durch das , nehmen die Gefahren hinsichtlich des Schutzes personenbezogener Daten laufend zu („Das Internet vergisst nicht.“).

Die Verlagerung (z.B. , Offshoring) von IT-Aufgaben in Regionen, in denen deutsche und europäische Gesetze nicht wirklich durchsetzbar sind und ausländische Regierungen Zugang zu nicht für sie bestimmte Daten suchen, macht Datenschutz praktisch oft wirkungslos.

Datenschützer müssen sich deshalb zunehmend nicht nur mit den grundlegenden Fragen des technischen Datenschutzes (Datensicherheit) sondern besonders mit der effektiven Durchsetzbarkeit von Datenschutz auseinandersetzen, wenn sie Erfolg haben wollen.

Der Begriff Datenschutz wird aber auch von Behörden oder Unternehmen missbräuchlich verwendet, um Forderungen nach mehr Transparenz oder Effizienz abzuweisen. So hatte etwa der Mobilfunkbetreiber den Wunsch eines Kunden, den Absender von Werbe-SMS zu erfahren, mit dem Hinweis auf Datenschutz abgewiesen - und wurde erst durch ein Urteil des Bundesgerichtshof (Az. I ZR 191/04) dazu gezwungen.

Internationale Regelungen
Seit 1980 existieren mit den OECD Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data international gültige Richtlinien, welche die Ziele haben, die mitgliedstaatlichen Datenschutzbestimmungen weitreichend zu harmonisieren, einen freien Informationsaustausch zu fördern, ungerechtfertigte Handelshemmnisse zu vermeiden und eine Kluft insbesondere zwischen den europäischen und US-amerikanischen Entwicklungen zu verhindern.
1981 verabschiedete der Europarat mit der eines der ersten internationalen Abkommen zum Datenschutz. Die Europäische Datenschutzkonvention ist bis heute in Kraft, sie hat jedoch lediglich empfehlenden Charakter. Dagegen sind die Datenschutzrichtlinien der Europäischen Union für die Mitgliedstaaten verbindlich und in nationales Recht umzusetzen.

Europäische Union
Mit der Europäischen Datenschutzrichtlinie haben das Europäische Parlament und der Europäische Rat Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben. Die Richtlinie gilt jedoch nicht für den Bereich der justiziellen und polizeilichen Zusammenarbeit, die so genannte Dritte Säule der Union. In Deutschland wurde die Richtlinie im Jahr 2001 mit dem Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze in nationales Recht umgesetzt. Geregelt wird auch die Übermittlung von personenbezogenen Daten in Drittstaaten, die nicht Mitglied der sind: Gemäß Artikel 25 ist die Übermittlung nur dann zulässig, wenn der Drittstaat ein „angemessenes Schutzniveau“ gewährleistet. Die Entscheidung, welche Länder dieses Schutzniveau gewährleisten, wird von der Kommission getroffen, die dabei von der so genannten Artikel-29-Datenschutzgruppe beraten wird. Aktuell (Stand 9/2004) wird gemäß Entscheidung der Kommission von folgenden Drittstaaten ein angemessenes Schutzniveau gewährleistet: Schweiz, Kanada, Argentinien, Guernsey, Insel Man, sowie bei der Anwendung der vom US-Handelsministerium vorgelegten Grundsätze des „Sicheren Hafens“ und bei der Übermittlung von Fluggastdatensätzen an die US-Zoll- und Grenzschutzbehörde (CBP).
Insbesondere die Entscheidung über die Zulässigkeit der Übermittlung von Fluggastdatensätzen an die US-amerikanischen Zollbehörden ist stark umstritten. Der Europäische Gerichtshof (EuGH) hat auf Grund einer Klage des Europäischen Parlaments diese Entscheidungen der Kommission und des Rates annulliert.
Ergänzt wurde die allgemeine Datenschutzrichtlinie durch die bereichsspezifische Datenschutzrichtlinie für elektronische Kommunikation.
Vom EU-Parlament wurde mit den Stimmen von Christdemokraten und Sozialdemokraten auf am 14. Dezember 2005 eine Richtlinie über eine obligatorische Vorratsdatenspeicherung von Verkehrsdaten der Telekommunikation und des Internets gebilligt. Diese Richtlinie verpflichtet die Mitgliedstaaten zur Einführung von Mindestspeicherungsfristen von sechs Monaten (Internet) bzw. einem Jahr (Telefonie). Diese wird von Bürgerrechtsorganisationen und Datenschutzbeauftragten kritisiert und ist ebenfalls Gegenstand einer Klage vor dem EuGH.

Bundesrepublik Deutschland
Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht (Recht auf informationelle Selbstbestimmung). Danach kann der Betroffene grundsätzlich selbst darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt.
Dieses Grundrecht wird im Grundgesetz allerdings nicht explizit erwähnt.
Dagegen wurde in den meisten eine Datenschutzregelung aufgenommen, so in Berlin (Art. 33), Brandenburg (Art. 11), Bremen (Art. 12), Mecklenburg-Vorpommern (Art. 6 Abs. 1 und 2), Nordrhein-Westfalen (Art, 4 Abs. 2 sowie die Verbürgung der Einrichtung des DSB in Art. 77a), Rheinland-Pfalz (Art. 4a), Saarland (Art. 2 Abs. 2), Sachsen (Art. 33), Sachsen-Anhalt (Art. 6 Abs. 1) und Thüringen (Art. 6).
Auf Bundesebene regelt das (BDSG) den Datenschutz für die Bundesbehörden und den privaten Bereich (d. h. für alle Wirtschaftsunternehmen und Privatperson gegenüber Privatperson). Daneben regeln die Landesdatenschutzgesetze der Bundesländer den Datenschutz in Landes- und Kommunalbehörden.
Neben den allgemeinen Datenschutzgesetzen (BDSG, Landesdatenschutzgesetze) gibt es eine Vielzahl bereichsspezifischer Datenschutzregelungen. So gelten für die Sozialleistungsträger die Datenschutz-Sonderregelungen des Sozialgesetzbuchs, insbesondere das zweite Kapitel des . Die bereichsspezifischen Datenschutzbestimmungen gehen den Regelungen des allgemeinen Datenschutzrechts vor.
Die öffentlichen Stellen des Bundes sowie die Unternehmen, die geschäftsmäßig Telekommunikations- oder Postdienstleistungen erbringen, unterliegen der Aufsicht durch den Bundesbeauftragten für den Datenschutz. Die Landesbehörden werden durch die Landesdatenschutzbeauftragten kontrolliert. Die privaten Unternehmen (bis auf Telekommunikation und Post) unterliegen der Aufsicht der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich, die beim Landesdatenschutzbeauftragten oder bei den Landesbehörden (z.B. Innenministerium) angesiedelt sind. Die EU-Kommission hat ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet, da einige Landesdatenschutzbeauftragte und alle Landesbehörden nicht „in völliger Unabhängigkeit“ arbeiten, sondern die Landesregierung weisungsbefugt ist.

Österreich
Rechtsgrundlage für den Datenschutz ist in Österreich das Datenschutzgesetz 2000 (DSG 2000).

Schweiz
Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige kantonale Datenschutzgesetz anwendbar.
Kontrolliert wird die Einhaltung des DSG im Bund SR 235.1) durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und sein Sekretariat. Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone zuständig. Sie sind dem Eidg. Datenschutzbeauftragten nicht unterstellt, sondern kontrollieren unabhängig.

Kirche
In der Kirche hat Datenschutz eine sehr lange Tradition. So wurden bereits 1215 n. Chr. Seelsorge- und Beichtgeheimnis im Kirchenrecht schriftlich verankert. Heute schützt für den Bereich der römisch-katholischen Kirche das weltweit gültige kirchliche Gesetzbuch (CIC) das Persönlichkeitsrecht auf Schutz der Intimsphäre in Canon 220. In Deutschland gelten die Datenschutzgesetze von Bund und Ländern im Bereich der öffentlich-rechtlichen Kirchen (einschließlich Caritas und Diakonie) nicht unmittelbar, da die Kirchen diesbezüglich ein Selbstbestimmungsrecht haben. In der Evangelischen Kirche in Deutschland (EKD) gilt das Datenschutzgesetz der EKD (DSG-EKD), in der römisch-katholischen Kirche in Deutschland die (KDO) und in der alt-katholischen Kirche die Ordnung über den Schutz von personenbezogenen Daten (Datenschutz-Ordnung, DSO) im Bereich des Katholischen Bistums der Alt-Katholiken in Deutschland.


Was heisst das konkret?

Generell schreibt das BDSG (Bundes Daten Schutz Gesetz) einen Datenschutzbeauftragten für Unternehmen vor, die personenbezogene Daten verarbeiten wenn die Formulierung des § 4f (1) zutreffend ist.

Diese lautet nach der jetzigen Fassung jetzt sinngemäss wie folgt:

Bislang bestand die Pflicht zur Bestellung eines Datenschutzbeauftragten für nicht-öffentliche Stellen, also für Unternehmen die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, wenn sie in der Regel damit mehr als vier Arbeitnehmer beschäftigen (§ 4f Abs. 1 BDSG).

Der Schwellenwert wurde auf neun Arbeitnehmer angehoben.

Sollten jedoch Unternehmen personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung automatisiert verarbeiten (Auskunfteien, Adresshändler, Markt- und Meinungsforschungsinstitute), muss weiterhin ein Datenschutzbeauftragter unabhängig von der Anzahl der Beschäftigten bestellt werden (§ 4 f Abs. 1 S.6 BDSG).

Dies gilt auch für Unternehmen, bei denen die automatisierte Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist und die eine Vorabkontrolle durchzuführen haben (§ 4 d Abs. 5 BDSG).

Werden Daten nicht automatisiert erhoben, verarbeitet oder genutzt, bleibt es bei der Pflicht zur Bestellung des Datenschutzbeauftragten, wenn damit zwanzig Personen beschäftigt sind.

Art der Beschäftigten

Die Beschäftigten müssen nicht mehr Arbeitnehmer oder Angestellte sein.
In der neuen Fassung ist von Personen die Rede.
Darunter fallen nunmehr auch freie Mitarbeiter.
Fraglich ist, ob zu "Personen" auch die Geschäftsleitung, die Organe von juristischen Personen, insbesondere GmbH und die Inhaber bzw. Gesellschafter z.B. einer GbR gehören. Dies würde den Kreis der mit zu zählenden Person unzweckmäßig vergrößern.

Sicherstellung der datenschutzrechtlichen Anforderungen

Sollte nach diesen Regeln keine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten bestehen, so verpflichtet der neue § 4g Abs. 2a BDGS den Leiter der jeweiligen nicht-öffentlichen Stelle sicherzustellen, dass die gesetzlichen Aufgaben des betrieblichen Datenschutzbeauftragten in anderer Weise erfüllt werden.

Freiwillige Bestellung eines externen Datenschutzbeauftragten

Eine weitere Neuerung ist , dass sich die Tätigkeit eines externen Datenschutzbeauftragten nun auch auf personenbezogene Daten erstrecken kann, die einem Berufs- oder besonderem Amtsgeheimnis unterliegen (§§ 4f Abs. 3 S. 3 und Abs. 4a BDSG).
Dem Datenschutzbeauftragten wird ein vom Willen des jeweiligen Geheimnisträgers abhängiges Zeugnisverweigerungsrecht eingeräumt.

Fachkunde des Datenschutzbeauftragten

Bisher wurde die besondere Fachkunde flexibel je nach konkreter Aufgabe vor Ort bestimmt.
Nunmehr wurde die besondere Fachkunde eines Datenschutzbeauftragten konkretisiert (§ 4f Abs.2 S. 2 BDSG).
Sie soll sich nach Umfang der datenverarbeitenden Stelle und Schutzwürdigkeit der personenbezogen Daten, die von dieser Stelle erhoben oder verwendet worden sind, richten. Damit soll der Schulungsaufwand für das Unternehmen vermindert werden.

Erfüllen Sie diese Kriterien?

Wenn nicht, dann sollten Sie schnell handeln.

Im Falle eines Verstosses können Bussgelder bis 250.000 € verhängt werden!

Als Berater in Sachen Datenschutz bin ich Ihr kompetenter Partner für alle Fragen im Zusammenhang mit den geforderten gesetzlichen Vorgaben des Bundesdatenschutzgesetzes.

Verlassen Sie sich nicht auf Ihr Gefühl sondern vertrauen Sie dem Experten.

Das BDSG greift heute in viele Bereiche eines Unternehmens ein und fordert gesetzlich verpflichtend die Umsetzung der vorhandenen Bestimmungen.
Egal ob Sie persönliche Daten verarbeiten, Ihren Mitarbeitern das Surfen im Internet gestatten oder einfach nur verpflichtet sind ein Verfahrensverzeichnis zu führen gibt es viele Punkte die beachtet werden müssen.
Als Geschäftsführer oder Inhaber sind Sie mit der Beachtung und Umsetzung dieser mannigfaltigen Vorschriften meist überfordert.

Nichtsdestotrotz besteht die gesetzliche Pflicht zur Beachtung und im Falle einer Zuwiderhandlung drohen empfindliche Strafen.


Sie haben Fragen ?