Disclaimer: Der Inhalt dieser Seite spiegelt lediglich meine persönliche Meinung wider und steht in keinem Zusammenhang mit beruflichen/gewerblichen Interessen.
Datenschutzrecht: Umgang mit personenbezogenen Daten im Alltag
Der Datenschutz bzw. das Datenschutzrecht ist seit einigen Jahren in der Rechtspraxis ein großes Thema. Denn nicht nur die Juristen, sondern auch die allgemeinen Medien berichten in jüngster Zeit häufiger über etwaige „Datenschutzprobleme“ und diskutieren über die Notwendigkeit des Datenschutzrechts. Doch obgleich die Mehrzahl der Unternehmen, aufstrebenden App-Betreiber und Internet-Anbieter mehr oder weniger großen Wert auf den Datenschutz legen, ist die korrekte Einhaltung der datenschutzrechtlichen Vorschriften nicht immer ganz einfach und hängt von teils sehr speziellen Gesetzen und einer einzelfallbezogenen Rechtsprechung ab. Und auch die technische Entwicklung stellt die Juristen vor neuen Herausforderungen.
In den Medien wird immer wieder über den unzureichenden Datenschutz in den sozialen Netzwerken wie z.B. Facebook oder auch den trendigen Apps für das Smartphone wie beispielsweise WhatsApp oder Tinder diskutiert. Ebenso fällt der Begriff der „Datenschutzerklärung“ oft im Zusammenhang mit Google bzw. Google Analytics oder den Anforderungen an rechtskonforme Webseiten.
Was ist der „Datenschutz“ – was steht im Gesetz?
Der Datenschutz richtet sich primär nach dem Bundesdatenschutzgesetz (BDSG) sowie unter Umständen nach den datenschutzrechtlichen Landesvorschriften z.B. Hamburger Datenschutzgesetz (HmbDSG) bei Vorgängen der öffentlichen Stellen (in Hamburg). Hinzu kommen zahlreiche, nebengesetzliche Vorschriften. Ebenso verweisen verschiedene spezielle Gesetze wie das Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) auf Normen des BDSG. Und spätestens in zwei Jahren (ab Mitte 2018) wird die neue Datenschutz-Grundverordnung der EU den Datenschutz in den einzelnen Mitgliedstaaten wesentlich beeinflussen und reglementieren. Noch ist nicht abzusehen, inwieweit dann die deutschen Vorschriften überhaupt noch Bestand haben oder ersetzt bzw. durch die Vorgaben der EU-DSGVO auszulegen sein werden.
Grundsätzlich findet das deutschlandweit geltende Bundesdatenschutzgesetz erst Anwendung, wenn sogenannte personenbezogene Daten betroffen sind und ein datenschutzrechtlich relevanter Vorgang beim Umgang mit diesen Daten (z.B. die Erhebung und Speicherung) durch eine verantwortliche Stelle wie z.B. den Webseiten-Betreiber oder der Adresshändler erfolgt.
Das alte Gesetz: Sinn und Zweck des Bundesdatenschutzgesetzes ist, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ (§ 1 Abs. 1 BDSG). Aus dem allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1, 1 Abs. 1 Grundgesetz (GG) wird auch das Recht auf informationelle Selbstbestimmung abgeleitet, das einen wesentlichen Kern des heutigen Datenschutzrechts bildet (Vgl. das „Volkszählungsurteil“ des Bundesverfassungsgerichts vom 15. Dezember 1983).
Das damalige BDSG beinhaltete sodann eine Definition für diese Begrifflichkeit in § 3 Abs. 1 BDSG:
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Zu diesen personenbezogenen Daten zählen z.B. folgende Angaben: Name, Alter, Geschlecht, Geburtsort bzw. Wohnort, Größe, Gewicht, Haarfarbe, die Wohnadresse wie auch z.B. die E-Mail-Adresse oder nach überwiegender Auffassung auch die IP-Adresse des Internet-Nutzers. Aber auch ein Foto oder sonstige Abbildung des Betroffen fallen hierunter, sofern ein gewisser Grad der Erkennbarkeit gegeben ist. Die Herkunft, politische Meinung, Gesundheit oder das Sexualleben sind sogar besonders sensible personenbezogene Daten (§ 3 Abs. 9 BDSG), die einen noch höherem Schutzlevel unterliegen.
Die häufigsten Formen des Umgangs mit den Daten sind die Erhebung und Speicherung sowie die Übermittlung der Daten. Somit ist selbst das „Beschaffen“ der Daten und natürlich das Aufschreiben oder Eingeben der Informationen in ein System oder eine Datenbank hiermit gemeint. Die Übermittlung der Daten erfolgt in der Regel durch die Veröffentlichung im Internet oder dem Transfer zu einer anderen verantwortlichen Stelle. Bei der Übermittlung solcher Informationen in die USA ist an die „safe-harbor“-Entscheidung des Europäischen Gerichtshof zu denken. Diesbezüglich wird derzeit auf der EU-Ebene an einem neuen Abkommen mit den USA gearbeitet, das eine (neue) Rechtsgrundlage für diese Vorgänge ermöglichen soll.
Was sind die typischen Fälle des Datenschutzes?
Zu den meist diskutiertesten Anwendungsfeldern im Datenschutz zählen:
- Datenverarbeitung von personenbezogenen Daten im Internet oder in Netzwerken durch Unternehmen
- Die Übermittlung von personenbezogenen Daten in die USA und ins EU-Ausland
- Adresshandel, Werbung, Gewinnspiele, E-Mail Newsletter
- Kredit-Scoring, Bewertung von Verbrauchern/Kunden
- Der „Like“-Button und Social Media Plugins (Facebook, Twitter, Google+) auf Webseiten
- Datenschutzerklärung / Anforderungen an rechtskonforme Webseiten und Social Media Plattformen
- Drohnen, Webcams, Wildkameras, Google Maps
- Gesichtserkennung
- Smart-TV, hbbTV, Spielekonsolen mit Kamerasystemen
- Künstliche Intelligenz – Risiken für den Datenschutz
- KI vs. Datenschutz? Ein Fallbeispiel aus Hamburg
- Erstellung von Profilen im Internet durch Anbieter und IT-Unternehmen
- Datensicherheit, Schutz der Kundendaten und Mitarbeiterdaten
- Die Erhebung und Speicherung von GEO-Daten und Meta-Daten (z.B. WhatsApp und Facebook-Messenger)
- Entfernung von Links und Einträgen bei Google („Recht auf Vergessenwerden“)
- (Heimliche) Video-Überwachung am Arbeitsplatz oder in der Öffentlichkeit
- Surfen und private E-Mails am Arbeitsplatz
Ein großes Anwendungsfeld besitzt der sogenannte „Beschäftigungsdatenschutz / Arbeitnehmerdatenschutz“, der praktisch den Umgang mit personenbezogenen Daten und persönlichen Informationen des Arbeitnehmers regelt, worunter nicht nur private E-Mails oder Mitarbeiterdaten, sondern auch die Video-Überwachung oder die Auswertung von dem Verhalten der Angestellten fallen. Hier haben die Gerichte, insbesondere auch die Arbeitsgerichte, in den letzten Jahren viel zu tun gehabt.
Darüber hinaus werden wir im Alltag an zahlreichen Stellen mit datenschutzrelevanten Vorgängen konfrontiert. In den meisten Fällen bemerken wir dies nicht einmal oder haben es längst akzeptiert, wie z.B. bei Kameras in öffentlichen und nichtöffentlichen Räumen, der Nutzung von Smartphone-Apps, der Nutzerauswertung im Internet für die personalisierte Werbung, dem E-Mail-Verkehr oder schlussendlich sogar beim Fotografieren in der Öffentlichkeit. Und mit fortschreitender Technik hin bis zum „Internet der Dinge“, autonomen Fahrzeugen und den trendigen Fitness-Armbändern wird die Datenflut weiter zunehmen. Nicht ohne Grund heißt es immer wieder „Daten sind das neue Öl“ (So z.B. im Film „Democracy“) . Der Mensch erschuf die Technik zur Optimierung von Abläufen und Dienstleistungs-Angeboten und droht längst dadurch erhebliche Nachteile zu erfahren. Insofern gilt es die rechtlichen Anforderungen aus dem Datenschutz auch stückweit an die technische Entwicklung anzupassen.
Weiterführende Artikel:
- Arbeitnehmerdatenschutz / Datenschutz im Arbeitsverhältnis
- Datenschutzprobleme beim Smart-TV
- Datenschützer warnen vor dem Einsatz von Drohnen
- Der „Like“-Button verstößt gegen den Datenschutz
- Bundesrat will strengere Vorschriften für Facebook, WhatsApp und Co.
- Datenschutz vs. Künstliche Intelligenz: Ein Fallbeispiel aus Hamburg Altona