Datenschutzrecht: Neue Mindestanforderungen an Unternehmen

*von Johannes Fiala, Rechtsanwalt (München), Mediator (Univ.), MBA Financial Services (Univ.Wales), MM (Univ.), geprüfter Finanz- und Anlageberater (A.F.A.), EG-Experte (C.I.F.E.), Lehrbeauftragter (Univ. of Cooperative Education), Bankkaufmann (https://www.fiala.de/>www.fiala.de)
Der Schutzheilige des Deutschen muß „St.Bürokratius“ heissen. Ein Präsident der Steinbeiß-Stiftung brachte es anlässlich einer Ansprache auf den Punkt „Die Deuschen haben ein geradezu erotisches Verhältnis zu Formularen“. Der Gesetzgeber hat den Unternehmen weitere, teilweise nur formale Belastungen, beschert.
Gemäß dem „Artikel 1 des Ersten Gesetzes zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständigen Wirtschaft (BGBl. I S. 1970) vom 22.08.2006“ kommen seit wenigen Tagen zusätzliche Belastungen auf kleine und mittlere Unternehmen zu.
Bußgeld und Abmahnung drohen bei Verstoß gegen den Datenschutz In zahlreichen Unternehmen wurden die Vorschriften auch bei der eigenen elektronischen Datenverarbeitung (EDV) noch nicht umgesetzt. Dies kann z.B. ein Bußgeld und eine kostenpflichtige Abmahnung nach dem Gesetz gegen unlauteren Wettbewerb (UWG) nach sich ziehen.
öffentliches Verfahrensverzeichnis – mehr Bürokratie? Bereits seit 23.05.2004 gilt für alle Unternehmer die Verpflichtung nach dem Bundesdatenschutzgesetz (BDSG), ein öffentliches Verfahrensverzeichnis zu besitzen. Von dieser Pflicht ist auch jeder Freiberufler betroffen, § 4 e BDSG.
Inhalt des Verfahrsverzeichnisses: Im Verfahrensverzeichnis ist insbesondere niedergelegt, welche Daten zu welchen Zwecken erhoben, an wen die Daten übermittelt, sowie wann die Daten wieder gelöscht werden. Beispiel:http://index.php/datenschutzinformation/777/0/>https://www.fiala.de/cms/index.php/datenschutzinformation/777/0/
Nach einem Urteil des Verwaltungsgericht Gießen vom 16.07.2004 (Az. 22 L 2286/04) kann die Löschung von Daten verlangt werden, wenn das Verfahrensverzeichnis nicht bzw. nicht ordnungsgemäß erstellt vorliegt, denn dann ist die EDV rechtswidrig.
Gesetzlicher Grundsatz: Anmeldung bei der Aufsichtsbehörde vor EDV-Einsatz Nach § 4d Abs. 1 BDSG besteht für „Verfahren automatisierter Verarbeitungen von Daten“, also den Einsatz einer EDV, im Grundsatz eine Meldepflicht bei der Aufsichtsbehörde.
Die Meldung an die Aufsichtsbehörde hat praktisch zur Folge, dass die Behörde den Unternehmer drängen wird, einen Datenschutzbeauftragten (bDSB) zu bestellen. Denn die Behörde wird aus Kapazitätsgründen weiterhin nur den „Problemfällen“ nachgehen wollen.
Ausnahmen von der Meldepflicht Die Meldepflicht kann nach § 4 d III BDSG entfallen, wenn a) nur Daten mit Einwilligung des Betroffenen verarbeitet werden oder b) die Verarbeitung nur für vertragliche Zwecke erfolg, § 28 I 1 BDSG.
Trifft keine dieser beiden Alternativen für sämtliche Daten zu, so soll regelmäßig ab der ersten Person, die personenbezogene Daten automatisch verarbeitet, ein bDSB zu bestellen. Anderenfalls muß ein bDSB erst bestellt werden, wenn es sich um mehr als neun Personen handelt.
Ist ein bDSB bestellt, so entfällt die Meldepflicht, § 4d II BDSG. Allerdings kann nicht die Geschäftsleistung zum bDSB bestellt werden. Ein üblicher Anstellungsvertrag ist für die Bestellung zum bDSB nicht ausreichend. Oft wird ein sogenannter externer bDSB bestellt.
Auskunftspflicht gegenüber Jedermann Jedermann kann beim bDSB beantragen, dass ihm das sogenannte Verfahrensverzeichnis überlassen wird, §§ 4e S.1 Nr. 1 bis 8, 4g II S.2 BDSG. Falls kein bDSB bestellt ist, trifft diese Pflicht das Unternehmen selbst. Sofern das öffentliche Verfahrensverzeichnis auf der Homepage des Unternehmers zur Einsicht gespeichert ist, kann allerdings darauf verwiesen werden.
Datenschutzbeauftragter fehlt: Einstellung der EDV-Nutzung und Datenlöschung Spätestens sobald mehr als neun Personen (eingeschlossen freie Mitarbeiter, Azubi, Teilzeitkräfte, Firmeninhaber bzw. Unternehmensleiter) regelmäßig (also nicht gelegentlich, z.B. im Krankheitsfalle als Vertretung) personenbezogene Daten bearbeiten, so muß vor Inbetriebnahme der EDV ein bDSB bestellt werden oder die Datenverarbeitung bei der Aufsichtsbehörde gemeldet worden sein. Anderenfalls kann die Lösung unberechtigter Datenspeicherung verlangt werden, § 35 BDSG.
Wettbewerbsrecht Es gibt Meinungen, nach denen es einen unlauteren Wettbewerb darstellt, wenn die Bestellung eine bDSB nicht erfolgt ist, obwohl ein solcher nach dem Gesetz bestellt werden müsste. Der unlautere Wettbewerbsvorteil bestehe darin, dass man sich durch den Verstoß gegen das Gesetz einen Vorteil gegenüber den das Gesetz befolgenden Unternehmern verschafft.
Auskunftsrechte, strafbare Datenweitergabe, Datensperre und -berichtigung: Wenn beispielsweise einem Schuldner unberechtigt mit einem „Schufa“-Eintrag gedroht wird, so kann darin eine versuchte Nötigung (§§ 240, 22 StGB) oder Erpressung (§§ 253, 22 StGB) liegen.
Wirtschafts- und Bonitätsauskunfteien haben nach einer Anforderung auch offen zu legen, wem welche Daten übermittelt wurden. Ausnahmsweise kann hier ein Betriebsgeheimnis vorrangig sein, § 34 I S.1 BDSG. Unrichtige Daten sind zu sperren, zu berichtigen und ggf. zu löschen (Urteil vom 16.05.2002 des LG München I).
ärzte und Steuerberater dürfen über Ihre Patienten bzw. Mandanten ohne Erlaubnis keine Bonitätsauskunft einholen. Allein die Tatsache einer Geschäftsbeziehung unterfällt der Verschwiegenheitspflicht, § 3 Abs. 9 BDSG, § 203 Abs. 1 Nr. 1 StGB.
Feindliche übernahmen und „Interessengemeinschaften“ (IG) Gelegentlich melden sich „Interessengemeinschaften“ oder Rechtsbeistände mit Serienbriefen, beispielsweise bei Aktionären, Finanzdienstleistern, Wohnungseigentümern, Kommanditisten von Beteiligungsgesellschaften. Die IG verfolgt dann beispielsweise als Ziele, die feindliche übernahme von Gesellschaften mit Stimmrechtsvollmachten, die Neubesetzung von Schlüsselpositionen im Bereich von Verwaltungsrat, Aufsichtsrat oder WEG-Beirat, sowie eigene Auftragsbeschaffung.
Die unberechtigte Datenweitergabe, wie insbesondere der Verkauf von Daten durch ehemalige Mitarbeiter, ist nach deutschem Recht strafbar, §§ 44 I i.V.m. 43 II Nr. 3 BDSG.
Die Verarbeitung und Nutzung durch Datendiebstahl erhobener personenbezogenen Daten (z.B. von Aktionären, Mitgliedern, Kommanditisten) ist regelmäßig unzulässig, § 4 Abs. 1 BDSG. Den Betroffenen steht gegen die IG ein Anspruch auf Auskunft über die gespeicherten Daten zu, auch über die Herkunft (§ 34 I 1 Satz 1 Nr. 1 BDSG), und zusätzlich ein Löschungsanspruch nach § 35 II 2 Nr. 1 und 3 BDSG.
Aktionsmöglichkeiten für Betroffene: Ein beispielhaftes Vorgehen bei Spam mit Mustertexten findet sich unterhttp://www.safer-networking.org/de/articles/spamandthelaw.html>http://www.safer-networking.org/de/articles/spamandthelaw.html
Eine erste Maßnahme kann es auch sein, den Rechtsbruch der „Wettbewerbszentrale“ zu melden. Sie kann dann überprüfen, ob sie eine Abmahnung verschickt, weil beispielsweise kein öffentliches Verfahrensverzeichnis vorliegt. Diese Bemühungen werden dann schriftlich fixiert, zugestellt, und eine Kostennote beigefügt.
Es kann auch ein Bußgeld bis zu 250.000 Euro drohen, § 43 III BDSG. Die Bundes- bzw. Landesdatenschutzbeauftragten werden hier nach einer Mitteilung prüfend tätig.http://www.datenschutz-berlin.de/recht/de/bdsg/bdsg01.htm#§4d>http://www.datenschutz-berlin.de/recht/de/bdsg/bdsg01.htm#§4d
Typische Fälle, welche ein Datenschutzbeauftragter hinterfragen wird, sind Serienbriefe und -mails an Kapitalanleger in Haftungsfällen, oder wenn Akteneinsichten dafür genutzt werden, gezielt neue Daten für eine Akquisition zu erlangen.
Einige Unternehmen haben erkannt, dass die Bereitstellung eines öffentlichen Verfahrensverzeichnisses mit anderen Informationen im Rahmen professioneller öffentlichkeitsarbeit als Vertrauenswerbung verknüpft werden kann.
Juristische Basisinformationen zum Datenschutzrecht finden sich im Internet, beispielsweise sehr kompetent auf den Web-Seiten von RA Prof. Dr. Sakowski.http://www.sakowski.de/skripte/daten.html>http://www.sakowski.de/skripte/daten.html
Aktionsmöglichkeiten für Jedermann: Beispielsweise der Berliner Datenschutzbeauftragte hält eine Reihe von Musterschreiben bereit, insbesondere für Datenauskunft, Datenberichtigung, Datenlöschung und Datensperre.http://www.datenschutz-berlin.de/infomat/datensch/inhalt.htm>http://www.datenschutz-berlin.de/infomat/datensch/inhalt.htm
Artikel in Gewerbereport 4/2006, 14 Süßwarenproduktion (Ausgabe 17 / 2006) www.channelpartner.de (Artikel vom 02.10.2006) www.experten.de (Artikel vom 27.09.2006)
Mit freundlicher Genehmigung vonhttp://www.bvd-cedi.de/> www.bvd-cedi.de

Möchten Sie mehr Informationen oder suchen Sie juristische Beratung / Beistand? Vereinbaren Sie Ihren persönlichen Termin bei uns oder nutzen Sie unseren Rückrufservice.

Hier Kontakt aufnehmen

(Das erste Telefonat über Ihr Anliegen erfolgt unentgeltlich)