Skip to main content

Bestens verdrahtet, wenn es um Ihre IT-Themen geht.

Der erste Schritt zum Erfolg ist die Wahl des richtigen Partners. Wir verfügen über die notwendige Erfahrung und Expertise, die im Datenschutzrecht den Unterschied macht.

Datenschutzrecht

Beratung im Datenschutzrecht

Bedingt durch immer neue gesetzgeberische und regulatorische Vorgaben (z.B. durch die Datenschutzgrundverordnung oder das IT-Sicherheitsgesetz) sowie eine zunehmende Verlagerung von Daten in ortsunabhängige virtuelle Datenspeicher müssen Unternehmen ihre betrieblichen Datenverarbeitungsvorgänge analysieren und datenschutzkonform organisieren. Anderenfalls drohen Auflagen und erhebliche Bußgelder, welche durch die zuständigen Datenschutzbehörden verhängt werden können.

"Das Datenschutzrecht sowie die Datenschutz-Compliance sind längst ein zentrales Thema auch für mittelständische Unternehmen."

Wir beraten Sie umfassend zum Aufbau einer Datenschutzorganisation und beseitigen die Schwachstellen und Einfallstore für Datenschutzverstöße in Ihrem Unternehmen. Ein Schwerpunkt unserer Beratungstätigkeit liegt dabei neben der Datenschutzorganisation u.a. auf dem Arbeitnehmerdatenschutz sowie einer effektiven Datenschutz-Compliance-Beratung, um Haftungsgefahren für die Geschäftsführung im Bereich Datenschutz zu vermeiden.

Das Datenschutzrecht ist zudem häufig Gegenstand wettbewerbsrechtlicher Auseinandersetzungen zwischen Unternehmen. Insofern stehen wir Ihnen bei der Durchsetzung und Abwehr wettbewerbsrechtlicher Ansprüche mit besonderem Bezug zum Datenschutzrecht zur Seite.

Wissenswertes zum Datenschutzrecht

Datenschutzrecht ist eine relativ junge Rechtsmaterie. Im Jahr 1983 entwickelte das Bundesverfassungsgericht im sog. Volkszählungsurteil das in Art. 2 Abs. 1 GG verankerte Grundrecht auf informationelle Selbstbestimmung. Gegenstand dieses Grundrechts ist das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Vornehmliche Aufgabe des Datenschutzrechts ist es, dieses Grundrecht und rechtlich geschützte Geheimnisse zu schützen.

In Deutschland ist das Datenschutzrecht in mehreren verschiedenen Gesetzen geregelt. Die allgemeingültigen Regeln finden sich im Bundesdatenschutzgesetz (BDSG) und den Landesdatenschutzgesetzen (LDSG). Daneben sind datenschutzrechtliche Regeln in den Gesetzen der jeweiligen speziellen Materie geregelt. Betroffen hiervon ist nahezu jedes Rechtsgebiet vom Telekommunikationsrecht über die Strafprozessordnung bis zum Sozialgesetzbuch. In der Europäischen Union ist der Datenschutz in mehreren – umsetzungsbedürftigen – Richtlinien geregelt, allen voran der Richtlinie 95/46/EG. Diese soll durch die geplante Datenschutz-Grundverordnung ersetzt werden.

Das Datenschutzrecht führte lange Zeit ein Schattendasein. Im Zuge der Digitalisierung ist aber ein gewachsenes Datenschutzbewusstsein der betroffenen Personenkreise zu beobachten, während der Datenschutz in vielen datenverarbeitenden Betrieben noch sehr vernachlässigt wird. Aufgrund der vielen Erscheinungsformen der Datenverarbeitung von der Videoüberwachung über das Shreddern von Patientenakten bis zur Nutzung von Social-Media-Plugins auf Webseiten sind sich viele Unternehmen über die datenschutzrechtliche Relevanz einzelner Vorgänge häufig nicht im Klaren.

Obwohl die datenschutzrechtlichen Erfordernisse je nach Branche, Personal- und EDV-Einsatz von Betrieb zu Betrieb unterschiedlich sind, gibt es einige typische Berührungspunkte mit dem Datenschutz, die in nahezu jedem Betrieb Bedeutung erlangen. Hierzu gehören insbesondere der Arbeitnehmerdatenschutz und der Kundendatenschutz.

  • Arbeitnehmerdatenschutz

Mit dem Arbeitnehmerdatenschutz kommen Unternehmen schon vor dem Vorstellungsgespräch in Kontakt. Bereits der Umgang mit den Bewerbungsunterlagen ist von datenschutzrechtlicher Bedeutung. Auch die Internetrecherche zum Bewerber, etwa auf Plattformen von Social Media oder von Businessnetworks können Datenerhebungen sein. Auch die umfangreiche Rechtsprechung der Arbeitsgerichte zur Zulässigkeit von Fragen im Bewerbungsgespräch lässt sich auf § 32 BDSG zurückführen.

Während des Arbeitsverhältnisses kommt vor allem Überwachungsmaßnahmen datenschutzrechtliche Bedeutung zu. Dies betrifft nicht nur die gezielte Überwachung, etwa mittels einer Videoanlage, sondern sämtliche zur Überwachung geeignete Maßnahmen wie die Speicherung von Logdaten in der EDV. Besonders deutlich wird die datenschutzrechtliche Relevanz bei der Durchsuchung des betrieblichen E-Mail-Accounts eines Arbeitnehmers. Eine solche kann notwendig werden, wenn dort wichtige geschäftliche Dokumente zu finden sind, der Arbeitnehmer aber an der Weiterleitung nicht mitwirkt. Schwierigkeiten gibt es dann insbesondere in den Fällen, in denen der Arbeitnehmer mit Duldung oder gar Erlaubnis des Arbeitgebers den betrieblichen E-Mail-Account auch zu privaten Zwecken nutzt.

Hervorzuheben ist die Bedeutung des Arbeitnehmerschutzes im Bereich Compliance. Dort kommt es zu widerstreitenden Verpflichtungen der Geschäftsführung, die einerseits zur Haftungsvermeidung gehalten ist, die Einhaltung von Rechtsvorschriften durch Arbeitnehmer zu überwachen, andererseits dessen datenschutzrechtliche Belange berücksichtigen muss. In diesem Bereich ist das Datenschutzrecht gleichzeitig Grenze und Gegenstand der Kontrollmaßnahmen.

Erschwert wird die Handhabung des Datenschutzes in diesem Sektor dadurch, dass klare gesetzliche Regeln fehlen. Die im Arbeitnehmerdatenschutz wichtigsten Vorschriften in §§ 32; 28; 4a und 6b BDSG enthalten nur fragmentarische Regeln, die im Einzelfall ausgefüllt werden müssen.

  • Kundendatenschutz

Jedes Unternehmen lebt von seiner Kundschaft. Die Anbahnung und Abwicklung der Umsatzgeschäfte ist ohne die Erhebung von Kundendaten nicht denkbar. Die in der Praxis wichtigsten Fragen betreffen die Sammlung von Adressdaten oder die Nutzung von zur Vertragsabwicklung erhobenen Daten zu Werbemaßnahmen. Ebenfalls von Bedeutung ist der effektive Schutz der Kundendaten vor dem Zugriff unbefugter Dritter, der mit einer enormen Bandbreite von Einzelfragen verbunden ist, vom Serverstandort bei Cloud-Lösungen bis zur Größe der Teilchen bei der Vernichtung einer Papierkartei.

  • Auftragsdatenverarbeitung

Verarbeitet ein Unternehmen personenbezogene Daten nicht selbst, sondern bedient sich hierbei der Hilfe eines Dritten, muss die Weitergabe der Daten an diesen Dritten nicht zwingend eine – häufig unzulässige – Übermittlung der Daten an einen Dritten sein. Wenn, insbesondere aus Kostengründen, ein Outsourcing der Datenverarbeitung stattfinden soll, kann dies auch im Wege eine sog. Auftragsdatenverarbeitung gemäß § 11 BDSG geschehen. Der Vorteil liegt darin, dass die Weitergabe der Daten an den externen Dienstleister nicht gesondert gerechtfertigt werden muss. Allerdings sind für eine zulässige Auftragsdatenverarbeitung besondere Anforderungen an die Zuverlässigkeit des Auftragnehmers zu stellen, der sorgfältig auszuwählen ist und ein Sicherheitskonzept vorlegen muss. Zudem ist der Auftrag schriftlich zu erteilen, und die Auftragserteilung muss einem in § 11 Abs. 2 S. 2 BDSG enthaltenen Katalog von Mindestanforderungen genügen. Erfüllt ein Auftrag diese Anforderungen nicht, droht dem Auftraggeber die Verhängung von Bußgeldern.

Datenschutzrechtliche Fragen stellen sich stets, wenn ein Unternehmen einen eigenen Internetauftritt unterhält. Auch ohne dass Besucher der Webseite bewusst Daten preisgeben, kann es zur Erhebung seiner Daten kommen. Dies ist etwa der Fall, wenn Tracking- oder Analysetools wie Google Analytics zum Einsatz kommen, wobei regelmäßig eine Datenübertragung ins außereuropäische Ausland stattfindet. Sind auf der Webseite sog. Social-Media-Plugins installiert, etwa das Facebook Like-Button, können je nach technischer Ausgestaltung auch die Betreiber der Plugin-Funktion Besuche ihrer Kunden auf einer Webseite erkennen, ohne dass dies für den Betreiber der eigentlichen Webseite notwendig oder auch nur förderlich wäre. Soweit eine Webseite sog. Cookies setzt, kommt es zu einer besonderen datenschutzrechtlichen Herausforderung: Die europäische Richtlinie 2002/58/EG, die sog. e-privacy Richtlinie, sieht seit einer Ergänzung aus dem Jahr 2009 vor, dass die Betreiber von Internetseiten für das Setzen von Cookies die Einwilligung des Besuchers einholen müssen. Da die Richtlinie nicht ausdrücklich in deutsches Recht umgesetzt wurde, ist unklar, welche Maßnahmen hierfür erforderlich sind.

Über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über deren Verarbeitung im Nicht-EU-Ausland muss der Betreiber einer Internetseite gemäß § 13 Abs. 1 TMG in einer Datenschutzerklärung unterrichten. Da die Erklärung einerseits die technischen Vorgänge korrekt wiedergeben und andererseits auch im Übrigen den gesetzlichen Vorschriften genügen muss, ist deren Erstellung insbesondere für technische und rechtliche Laien eine besondere Herausforderung, eine unzureichende Umsetzung kann zu Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände führen.

Standort Koblenz

Casinostr. 38
56068 Koblenz

Fon: +49 (0)261 9886 80 00
Fax: +49 (0)261 9886 80 02

Mail: koblenz@kanzlei-mww.de
Web: www.kanzlei-mww.de

Standort Bonn

Friedrich-Ebert-Allee 13
53113 Bonn

Fon: +49 (0)228 299 712 80
Fax: +49 (0)228 299 712 89

Mail: bonn@kanzlei-mww.de
Web: www.kanzlei-mww.de

Online-Anfrage Nutzen Sie unser Anfrageformular für Fragen oder Kontaktwünsche, wir melden uns umgehend bei Ihnen.