- Worum es geht
- Datenschutzrecht im Überblick
- Datenerhebung im Unternehmen
- Welche Anforderungen müssen beim Umgang mit sensiblen Personaldaten erfüllt sein?
- Wann muss ein Unternehmen einen Datenschutzbeauftragten ernennen?
- Wie kann ein Datenschutzbeauftragter wieder abberufen werden?
- Arbeitnehmer-/Arbeitgeberrechte und Datenschutz
- Ist die heimliche Videoüberwachung eines Arbeitnehmers zulässig?
- Bei Einstellung: Darf nach einer möglicherweise bestehenden Schwangerschaft gefragt werden?
- Bei Einstellung: Darf nach einer möglicherweise bestehenden Schwerbehinderung gefragt werden?
- Bei Einstellung: Darf nach Vorstrafen gefragt werden?
- Verbraucherrechte bei Weitergabe von Daten
- Erteilung der Einwilligung bei Kundenkarten und mögliche Konsequenzen
- Welche Anforderungen sind an die Einwilligung bei Kundenkarten zu stellen?
- Datenschutz und Schufa
- Welche Daten werden bei der Schufa gespeichert und weitergegeben?
- Was tun bei fehlerhaft gepeicherten Daten?
- Wie lange dürfen negative Einträge gespeichert werden?
- Welche Auswirkungen hat der Score-Wert?
- Ist das Scoring-Verfahren zulässig?
- Sollte der Verbraucher der Schufa die Auskunft an Firmen untersagen?
- Welche Möglichkeiten bleiben?
- Sind die von der Schufa verlangten Kosten für eine Eigenauskunft rechtmäßig?
- Internet und Datenschutz
- Welche Hinweispflichten sind im E-Commerce zu beachten?
- Unter welchen Voraussetzungen ist das Erstellen von Nutzerprofilen zulässig?
Ob bei der Suche nach einer Wohnung, im Arbeitsverhältnis, dem Abschluss eines Mobilfunkvertrags oder der Nutzung
des Internets: Regelmäßig werden sensible Daten erhoben. Gerade die neueren technischen Entwicklungen haben auch
neue Möglichkeiten der Datenerfassung geschaffen. Unternehmen versprechen sich von der Mitarbeiterüberwachung eine
höhere Effizienz. Zudem sollen Kundenprofile das Marketing unterstützen und Auskunftsdateien die Zahlungsfähigkeit
der Kunden sicherstellen.
Wie kann jedoch sichergestellt werden, dass Daten nicht an unberechtigte Dritte weitergegeben werden? Wann tritt
die Verpflichtung ein, die erhobenen Daten wieder zu löschen? Welche Voraussetzungen haben Unternehmen zu erfüllen,
wenn personenbezogene Daten erhoben werden sollen?
Dies sind Fragen aus dem Bereich des Datenschutzrechts.
Zurück zur Übersicht
Neben dem Bundesdatenschutzgesetz (BDSG) und den Datenschutzgesetzen der Länder existiert eine immer größere Zahl
bereichsspezifischer Gesetze, die vorrangige datenschutzrechtliche Bestimmungen enthalten. Soweit solche Regelungen
bestehen, treten das Bundesdatenschutzgesetz und die Datenschutzgesetze der Länder dahinter zurück.
So enthalten etwa das Telemediengesetz (TMG), die Gewerbeordnung (GewO), das Straßenverkehrsgesetz (StVG) oder die
Abgabenordnung (AO) einzelne Rechtsvorschriften, die den Umgang mit personenbezogenen Daten betreffen. Dabei ist es
wichtig, den Überblick zu behalten. Dazu beraten wir Sie gerne.
Nachfolgend finden Sie ausgesuchte Teilbereiche des Datenschutzrechts mit dort jeweils typisch auftretenden Probleme.
Zurück zur Übersicht
Die zunehmende gesetzliche Regelungsdichte im Bereich des Datenschutzrechts stellt Unternehmen vor neue
Herausforderungen. Häufig fehlt jedoch das notwendige Problembewusstsein. Daher sollte geprüft werden, ob die
eigenen Arbeitsabläufe den gesetzlichen Anforderungen entsprechen.
Welche Anforderungen müssen beim Umgang mit sensiblen Personaldaten erfüllt sein?
Das Bundesarbeitsgericht hat beispielsweise entschieden, dass der Arbeitnehmer einen Anspruch auf Berücksichtigung
seiner Interessen beim Umgang des Arbeitgebers mit Gesundheitsdaten, die in seiner Personalakte angelegt sind, hat.
So darf er diese sensiblen Daten nicht einfach in der Personalakte abheften, wenn die Akte allgemein zugänglich ist.
Vielmehr müssen besondere Vorkehrungen getroffen werden, wie z.B. das Verwenden verschlossener Umschläge innerhalb
der Akte oder das Separieren in einem besonderen geschlossenen Schrank o.ä. Je sensibler die Daten sind, desto
höher sind die Anforderungen an die Schutzmaßnahmen, Bundesarbeitsgericht, Urteil vom 12.09.2006, Aktenzeichen 9 AZR 271/06.
Prüfen Sie daher genau, wie sensibel die jeweiligen Informationen sind und welche Pflichten daraus folgen.
Zurück zur Übersicht
Wann muss ein Unternehmen einen Datenschutzbeauftragten ernennen?
Wenn personenbezogene Daten von öffentlichen oder nichtöffentlichen Stellen automatisiert erhoben, verarbeitet
oder genutzt werden, sind sie nach § 4f Bundesdatenschutzgesetz (BDSG) verpflichtet, einen Datenschutzbeauftragten zu ernennen. Eine Ausnahme
besteht nur dann, wenn höchstens vier Mitarbeiter im Bereich der Erhebung, Verarbeitung und Nutzung von
personenbezogenen Daten beschäftigt sind.
Prüfen Sie daher genau, ob Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen.
Zurück zur Übersicht
Wie kann ein Datenschutzbeauftragter wieder abberufen werden?
Gerade in mittelständischen Unternehmen wird regelmäßig ein Datenschutzbeauftragter ernannt, der diese Tätigkeit
zusätzlich zu seinem bisherigen Arbeitsbereich übernehmen soll.
Soll er jedoch später, z.B. aufgrund von Umstrukturierungen, von seiner Tätigkeit entbunden werden, stellt sich
die Frage nach dem dazu erforderlichen Vorgehen. Wenn ein Datenschutzbeauftragter erst einmal bestellt ist, kann
ihm dieser Tätigkeitsbereich nicht ohne weiteres wieder entzogen werden; so hat das Bundesarbeitsgericht entschieden, dass zum
Aufgabenfeld des Arbeitnehmers, der zusätzlich - neben seiner bisherigen Aufgabe - zum Datenschutzbeauftragten
des Unternehmens wurde, nunmehr arbeitsvertraglich auch der datenschutzrechtliche Bereich gehört.
Er wird quasi Teil des arbeitsvertraglichen Pflichtenkreises, mit der Folge, dass die Bestellung für diesen
Teilbereich nicht einfach widerrufen werden kann. Vielmehr ist bei Weigerung des Arbeitnehmers, von dieser
Tätigkeit entbunden zu werden, der Widerruf im Allgemeinen unwirksam. Es bleibt für den Arbeitgeber nur die mit
wesentlich höheren Anforderungen versehene Teilkündigung dieses Tätigkeitsbereichs, so das Bundesarbeitsgericht, Urteil vom
13.03.2003, Aktenzeichen 9 AZR 612/05.
Zurück zur Übersicht
Häufig bestehen Unklarheiten über die Zulässigkeit einzelner Maßnahmen, die auch persönliche Daten des Arbeitnehmers
betreffen. Gerade die Überwachung von Arbeitnehmern und der Umgang mit den dadurch gewonnenen Informationen, die
auch zu den persönlichen Daten des Arbeitnehmers gehören, spielt eine große Rolle.
Ist die heimliche Videoüberwachung eines Arbeitnehmers zulässig?
Die heimliche Videoüberwachung eines Arbeitnehmers wird vielfach dann von Arbeitgeberseite durchgeführt, wenn es zu
Unregelmäßigkeiten gekommen ist. Sie ist aber nur dann zulässig, wenn der konkrete Verdacht einer strafbaren
Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht und weniger einschneidende Mittel
zur Aufklärung des Verdachts nicht bestehen. Die Videoüberwachung muss praktisch einziges zur Verfügung stehendes
Mittel sein, Bundesarbeitsgericht, Urteil vom 27.03.2003, Aktenzeichen 2 AZR 51/02.
Es sollte daher im Einzelfall immer genau geprüft werden, ob so konkrete Anhaltspunkte für eine Verfehlung vorliegen,
dass eine Videoüberwachung zulässig sein könnte. Die bloße Vermutung reicht nicht.
Zurück zur Übersicht
Bei Einstellung: Darf nach einer möglicherweise bestehenden Schwangerschaft gefragt werden?
Die Frage nach einer bestehenden Schwangerschaft einer Bewerberin stellt eine unzulässige Geschlechterdiskriminierung
dar und ist damit unzulässig.
Da diese Frage nicht gestellt werden darf, bleibt auch die Lüge der Bewerberin folgenlos: eine Anfechtung des
Arbeitsvertrages durch den Arbeitgeber wegen arglistiger Täuschung besteht nicht, Bundesarbeitsgericht, Urteil vom 06.02.2003,
Aktenzeichen 2 AZR 621/01.
Zurück zur Übersicht
Bei Einstellung: Darf nach einer möglicherweise bestehenden Schwerbehinderung gefragt werden?
Die Frage nach einer Schwerbehinderung muss nach wohl noch vorherrschender Auffassung in der Rechtsprechung
wahrheitsgemäß beantwortet werden, da sie überwiegend als zulässig angesehen wird. So hat das Bundesarbeitsgericht
entschieden, dass eine Lüge auf diese Frage zur Anfechtung des Arbeitsvertrags durch den Arbeitgeber berechtigt,
Bundesarbeitsgericht, Urteil vom 03.12.1998, Aktenzeichen 2 AZR 754/97.
Informieren Sie sich daher vorher, welche Fragen gestellt werden dürfen und welche Folgen eine falsche Angabe
dann haben kann.
Zurück zur Übersicht
Bei Einstellung: Darf nach Vorstrafen gefragt werden?
Bei Einstellungsgesprächen besteht häufig die Unsicherheit, ob der potentielle künftige Arbeitgeber nach
möglichen Vorstrafen des Bewerbers fragen darf.
Grundsätzlich gilt, dass der Arbeitgeber lediglich Informationen über einschlägige Vorstrafen verlangen darf. Dies
bedeutet beispielsweise bei einer Bewerbung als Berufskraftfahrer, dass nur Fragen nach eventuell erfolgten Vorstrafen
im Bereich der Verkehrsdelikte gestattet sind; eine Verurteilung etwa wegen Betruges muss der Bewerber nicht angeben.
Zurück zur Übersicht
Erteilung der Einwilligung bei Kundenkarten und mögliche Konsequenzen
Wenn sensible Verbraucherdaten, wie Anschriften, Kaufverhalten etc. erhoben und genutzt werden sollen, setzt dies
im Allgemeinen die Einwilligung der Betroffenen voraus. Das erforderliche Problembewusstsein, welche Konsequenzen die
Einwilligung hat, ist jedoch nicht immer vorhanden.
So ist beispielsweise das System der Kundenbindungssysteme über Bonus- oder Rabattkarten weit verbreitet. Sie versprechen
dem Verbraucher einen finanziellen Vorteil. Im Gegenzug willigt der Einzelne jedoch häufig in die Nutzung seiner Daten
ein, mit der Folge, dass genaue Profile seines Kaufverhaltens erstellt werden können. Gerade aus Sicht des Marketings sind
diese Daten wertvoll, um z.B. maßgeschneiderte und damit individualisierte Werbung zu entwickeln. Ob der Einzelne diesen
Preis für die gewährten Vergünstigungen zahlen möchte, ist eine individuelle Entscheidung.
Problematisch wird die Situation jedoch dann, wenn beispielsweise in einem umfangreichen Vertragstext lediglich versteckt
im Fließtext auf die mit der Unterschrift unter diesen Vertrag gegebene Einwilligung zur Nutzung und Weitergabe
hingewiesen wird. Dadurch besteht die Gefahr, dass der Betroffene die Tragweite seines Handelns nicht erkennen kann.
Entscheidend ist damit die Frage der Einwilligung und der Anforderungen an die Erteilung.
Zurück zur Übersicht
Welche Anforderungen sind an die Einwilligung bei Kundenkarten zu stellen?
Gerade im Bereich der Erhebung der für Werbezwecke wertvollen Verbraucherdaten ist umstritten, in welcher Form die
Einwilligung zu erteilen ist.
In den Bedingungen bei den Kundenkartensystemen ist häufig in einem umfassenden Regelungswerk von mehreren Seiten
auch die Einwilligungsklausel vorhanden, dass die Daten zu Marktforschungszwecken erhoben und auch weitergegeben
werden dürfen. Entweder kann dann angekreuzt werden, dass die Einwilligung zur Verarbeitung und Weitergabe der Daten
gegeben wird; oder aber, ein Kreuz ist dann erforderlich, wenn die Weitergabe ausgeschlossen werden soll.
Ersteres erfordert die aktive Zustimmung, letzteres erfolgt ohne aktives Zutun, damit besteht also auch die Gefahr,
eine solche Klausel schlicht zu überlesen. Rechtlich ist nicht geklärt, ob der Verbraucher aktiv durch Ankreuzen
eines vorgefertigten Textes zustimmen muss, oder es ausreicht, wenn er als Ausschluss ein Kreuz bei einem vorgefertigten
Text nicht setzt.
Nach Auffassung des Oberlandesgerichts München reicht es z.B. aus, wenn ein Feld in den Bedingungen vorgehalten wird, vor dem ein
Kästchen zum Ankreuzen vorhanden ist und das Kreuz die Wirkung hat, dass dann die Einwilligung zur Weitergabe versagt
wird; ist es also nicht angekreuzt, kann weitergegeben werden, Oberlandesgericht München I, Urteil vom 28.09.2006, Aktenzeichen 29 U 2769 / 06.
Diese Frage ist jedoch nicht abschließend entschieden. Auch wenn es sich um mitunter umfangreiche Vertragstexte handelt,
sollte der Einzelne sich die Zeit nehmen, sie möglichst aufmerksam und vollständig zu lesen.
Zurück zur Übersicht
Die Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) sammelt Daten über Verbraucher zur Beurteilung der Bonität.
Dazu wertet sie auch Schuldnerverzeichnisse der Amtsgerichte aus. Dieses Verfahren ist nicht unumstritten und wirft für
die Betroffenen zahlreiche Fragen auf.
Zurück zur Übersicht
Welche Daten werden bei der Schufa gespeichert und weitergegeben?
Bei der Schufa erhalten angeschlossene Firmen drei unterschiedliche Auskünfte: Die so genannte A-Auskunft, die die
gesamten Belastungen einer Person enthält; sie ist besonders für Banken interessant.
Die B-Auskunft gibt Hinweise auf die Vertragstreue des Betroffenen.
Der Score-Wert: Eine Zahl, die in Punkten die Bonität prognostizieren soll.
Zurück zur Übersicht
Was tun bei fehlerhaft gepeicherten Daten?
Wenn die bei der Schufa gespeicherten Daten nicht korrekt sind, sollte sich der Verbraucher selbst an die zuständige
Schufa-Geschäftsstelle wenden und eine Berichtigung verlangen.
Hierbei sollte mittels einfachem Brief unter Berufung auf § 33 Bundesdatenschutzgesetz (BDSG) die Berichtigung der falschen
Daten verlangt werden.
Da sich die Schufa mitunter auf den Standpunkt zurückzieht, sie sammle nur die Daten, die ihr von den einzelnen
Vertragsunternehmen mitgeteilt würden, ist es günstig, gleichzeitig das die Fehlinformation verursachende
Unternehmen anzuschreiben. Verlangen Sie dort, dass die falschen Daten korrigiert und erneut an die Schufa weitergegeben
werden.
Zurück zur Übersicht
Wie lange dürfen negative Einträge gespeichert werden?
Die Einträge bei der Schufa dürfen nicht unbegrenzt gespeichert werden. Anfragen bei Banken, um ein Konto
zu eröffnen, sind beispielsweise nach einem Jahr zu löschen. Ist ein Kredit zurückgezahlt worden, müssen
die Informationen hierüber mit dem Ende des dritten Kalenderjahres nach vollständiger Tilgung gelöscht
werden. Auch wenn ein Kredit nicht ordnungsgemäß bedient wurde, bleiben die Daten bis zum Ablauf des dritten
Kalenderjahres, nachdem schließlich getilgt wurde, bestehen. Danach müssen sie gelöscht werden.
Zurück zur Übersicht
Welche Auswirkungen hat der Score-Wert?
Die Risiken des Scoringverfahrens liegen auf der Hand. Es ist für Außenstehende nicht ersichtlich, wie dieser Wert
entsteht, bzw. wie er im Detail beeinflusst werden kann. Gleichzeitig sind die Folgen eines schlechten Scoringwertes
mitunter erheblich: so kann sich ein Kredit erheblich verteuern, wenn der Wert zu niedrig ist.
Die wirtschaftlichen Folgen sind daher erheblich.
Zurück zur Übersicht
Ist das Scoring-Verfahren zulässig?
Die Zulässigkeit des Scoringverfahrens ist umstritten. In einem sicherlich nicht zu verallgemeinernden Urteil hat das
Amtsgericht Hamburg die Schufa verurteilt, es zu unterlassen, den Scorewert des Klägers an die anfordernden Unternehmen
herauszugeben, da der Betroffene das Recht habe, der Weitergabe zu widersprechen, Amtsgericht Hamburg, Urteil vom 27.06.2001,
Aktenzeichen 9 C 168/01.
Zurück zur Übersicht
Sollte der Verbraucher der Schufa die Auskunft an Firmen untersagen?
Dies wäre, gerade unter Bezugnahme auf das vorgenannte Urteil, möglich. Das Problem dürfte jedoch sein, dass bei
Untersagung der Weitergabe künftig keine Kredite, Mobilfunkverträge o.ä. mehr zu erhalten sein dürften. Denn die meisten
Unternehmen werden dann, wenn sie keine entsprechende Auskunft über die Schufa beziehen können, nicht mehr in Vorleistung
treten.
Daher sollte man sich der Tragweite dieser Untersagung bewusst sein.
Zurück zur Übersicht
Welche Möglichkeiten bleiben?
Der Einzelne hat die Möglichkeit, wenigstens auf die Richtigkeit der dort gespeicherten Daten und vor allem deren
rechtzeitige Löschung zu drängen.
So bietet es sich an, in regelmäßigen Abständen eine Selbstauskunft einzuholen, um die Daten abzugleichen. Damit kann
wenigstens verhindert werden, dass Fehlinformationen den eigenen Score-Wert verschlechtern und so zusätzliche finanzielle
Belastungen durch schlechtere Kreditkonditionen o.ä. entstehen können. Die Schufa verlangt zur Zeit für eine
Selbstauskunft 7,60 Euro.
Zurück zur Übersicht
Sind die von der Schufa verlangten Kosten für eine Eigenauskunft rechtmäßig?
Dies ist umstritten. Nach einem Urteil des Landgerichts Berlin wurde die Schufa zu einer Erstattung eines Teils der
erhobenen Kosten verurteilt. Sie musste einen Teilbetrag zurückzahlen, da das geforderte Entgelt die tatsächlichen Kosten der
Auskunft um diesen Betrag übersteige und dies unzulässig sei, Landgericht Berlin, Urteil vom 14.01.1999, Aktenzeichen 14 O 417/97.
Das Amtsgericht Aachen entschied jedoch, dass die Schufa Anspruch auf den vollen, von ihr verlangten Betrag habe, die erhobene
Gebühr damit rechtmäßig sei, Amtsgericht Aachen, Urteil vom 29.01.2003, Aktenzeichen 82 C 344/02.
Angesichts der im Verhältnis zu den Auskunftskosten erheblichen Gerichtskosten kann ein Vorgehen im Wege der Klage gegen
diese Gebühr nicht empfohlen werden.
Sollten die so erhaltenen Eintragungen nicht stimmen, oder hätten sie mangels Aktualität bereits gelöscht werden müssen,
sollte unbedingt die Berichtigung der Daten und die vorübergehende Sperrung verlangt werden. Auch sollte in Betracht
gezogen werden, denjenigen in Anspruch zu nehmen, der den falschen Datensatz an die Schufa übermittelt hat, also
in der Regel eines der Vertragsunternehmen, mit denen der Betroffene in der Vergangenheit Kontakt hatte. Dieses
Unternehmen haftet unter Umständen auch für die Folgen der Falschübermittlung, wie z.B. überhöhten Kreditkonditionen
oder den eigenen Rechtsanwaltskosten.
Zurück zur Übersicht
Gerade im Bereich des Internets haben sich vielfach neue datenschutzrechtliche Problemstellungen entwickelt. Sowohl
für Diensteanbieter wie Internetprovider oder im E-Commerce tätige Unternehmen sollten die ihnen gesetzlich auferlegten
Pflichten genau geprüft werden.
Welche Hinweispflichten sind im E-Commerce zu beachten?
Aus Unternehmenssicht schaffen die neuen technischen Möglichkeiten auch eine Vielzahl von Pflichten. Die Folgen der
Nichtbeachtung der Vorgaben sind erheblich: es drohen wettbewerbsrechtliche Ansprüche der Konkurrenz mit oft
schmerzhaften finanziellen Forderungen. Auch Schadensersatz- und Unterlassungsansprüche sind denkbar sowie die Erhebung
von Bußgeldern, § 16 Telemediengesetz (TMG).
Vor Beginn des Nutzungsvorgangs muss beispielsweise ein Diensteanbieter gemäß § 13 Absatz 1 des Telemediengesetzes (TMG)
umfassend informieren, dass Daten im automatisierten Verfahren erhoben werden und damit die spätere Identifizierung
des Nutzers ermöglicht wird. Der Nutzer ist auch darauf hinzuweisen, wenn Cookies auf seinem Rechner gespeichert werden.
Dabei ist konkret auf Zweck, Inhalt und Verfallsdatum der Cookies hinzuweisen, der pauschale Hinweis reicht nicht aus.
Zurück zur Übersicht
Unter welchen Voraussetzungen ist das Erstellen von Nutzerprofilen zulässig?
Durch neue technische Möglichkeiten lässt sich die Wettbewerbsfähigkeit eines Unternehmens erheblich steigern, da nunmehr
sehr einfach das Erstellen von Konsumentenprofilen möglich ist. Damit kann der Verbraucher je nach Interessen und
Kaufgewohnheit gezielt angesprochen werden. Der Streuverlust der eigenen Werbung kann erheblich verringert werden.
Das Erstellen dieser Profile ist rechtlich nicht unproblematisch.
Zunächst ist festzustellen, dass eine gesetzliche Definition, was Nutzungsprofile sind, nicht besteht. In ein solches
Profil einfließen dürfen jedoch zumindest die Nutzungsdaten, die zulässiger Weise erhoben worden sind. Typische
Nutzungsdaten, die erhoben werden dürfen, sind z.B. IP-Adressen oder Nutzerkennungen.
Auch wenn solche Daten ohne Einwilligung erhoben werden dürfen, ist dafür zu sorgen, dass z.B. der Nutzer die Verbindung
mit seinem Diensteanbieter jederzeit abbrechen kann und die anfallenden Daten unmittelbar nach Beendigung gelöscht werden.
Von diesem Grundsatz sind jedoch Ausnahmen möglich:
So kann das den Internetzugang vermittelnde Unternehmen nach einer Entscheidung des Amtsgerichts Bonn die Internet-Verkehrsdaten
bis zu sieben Tage lang speichern, wenn dies dem Erkennen, Eingrenzen oder der Beseitigung von Störungen oder Fehlern
an dessen Telekommunikationsanlagen dienen soll, wie beispielsweise der Bekämpfung von Spam, Amtsgericht Bonn, Urteil vom
05.07.2007, Aktenzeichen 9 C 177/07.
Unzulässig ist es jedoch nach § 15 Absatz 3 des Telemediengesetzes (TMG), Nutzungsprofile zu erstellen, die eine direkte
Zuordnung zur Person des Betroffenen ermöglichen, so z.B. durch den Namen oder ihn identifizierende Merkmale wie
Kontoverbindungen oder die Anschrift.
Prüfen Sie daher genau, ob die Art der erhobenen Daten und die Dauer der Speicherung die gesetzlichen Vorgaben erfüllen.
Zurück zur Übersicht
Interessante und nützliche Urteile rund um das Datenschutzrecht finden Sie auch im Unterpunkt
Aktuelle Entscheidungen.
