Datumsgrenzen - Datenschutzrecht im Wandel
Das Datenschutzrecht erfährt derzeit mehr Aufmerksamkeit als jedes andere Rechtsgebiet. Von gesetzlichen Überwachungspflichten im "Kampf gegen den Terror" über Adressdatenhandel bis zu manipulierbaren Kundendaten reicht die Themenpalette.
Datenschutz ist Chefsache: Die Deutsche Telekom wird als Konsequenz aus etlichen Datenskandalen einen Vorstandsposten schaffen, der sich nur um die Belange des Datenschutzes im Konzern kümmern soll. Die Stelle wird mit dem Leiter der Konzernrechtsabteilung besetzt werden. Allein dieses Beispiel zeigt, welche "Management Attention" Datenschutz derzeit bekommt. In vielen Unternehmen spielt Datenschutz bislang eine untergeordnete Rolle, weil ein wirksamer und professioneller Datenschutz viel Aufwand und damit Geld erfordert – und das ohne auf den ersten Blick erkennbaren Nutzen. Gesetzeskonformer Datenschutz bedeutet häufig sogar Abschied nehmen von lukrativen Geschäftsmodellen, etwa der Weiterverwertung von Kundendaten ohne ausdrückliche Zustimmung der Betroffenen.
Da Sanktionen bislang selten waren, bestand wenig Gefahr bei einer Verletzung von Datenschutzgesetzen. Spätestens seit der Diskussion um die Rechtmäßigkeit des Kaufs brisanter Daten über Bankkonten Deutscher in Liechtenstein und die Einführung der Pflicht zur Vorratsdatenspeicherung ist allgemein bekannt, dass Datenschutz seine Grenzen hat. Die Datenpannen in der letzten Zeit haben gezeigt, dass, wer sich nicht ausreichend um den Schutz brisanter Daten kümmert und Datenlecks entstehen lässt, sich ganz schnell einer schlechten Berichterstattung ausgesetzt sieht.
Davon können insbesondere die britischen Behörden und die Deutsche Telekom derzeit ein Lied singen. Überschriften wie "Britisches Verteidigungsministerium vermisst Festplatte mit Daten von Soldaten [1]" stehen stellvertretend für die fast schon wöchentlichen Meldungen über das Versagen britischer Organisationen beim Schutz brisanter Daten. In Deutschland verunsicherten Meldungen à la "Telekom-Sicherheitslücke offenbart 30 Millionen Handydaten [2]" oder "Massenhafter Missbrauch von Bankkonten-Daten [3]". Datenschutz ist populär: Wenn Tausende gegen den "Überwachungswahn" demonstrieren, bedeutet das, dass sich die Menschen nach langer Zeit verhältnismäßiger Ruhe wieder intensiver damit auseinandersetzen.
Datenschutz ist Menschenschutz
Die meisten verstehen unter "Datenschutz" weit mehr, als die Gesetze nahelegen. Das Bundesdatenschutzgesetz (BDSG) und alle anderen diesbezüglichen Gesetze von Bund und Ländern kümmern sich ausschließlich um die Regelung des Umgangs mit "personenbezogenen Daten" – der zentrale Begriff im deutschen Datenschutzrecht, den § 3 Absatz 1 BDSG [4] als "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" definiert. Alles, was nichts mit einer natürlichen Person, also einem Menschen zu tun hat, fällt nicht unter den Datenschutz. Der Schutz technischer und wissenschaftlicher Daten fällt genauso wenig darunter wie der Schutz von Geschäfts- und Betriebsgeheimnissen. Dafür gibt es zum Teil Spezialgesetze, etwa das Urheberrechtsgesetz zum Schutz von Werken wie Software und technische Zeichnungen.
Für den Schutz technischer Erfindungen gibt es das Patentgesetz, das Gebrauchsmustergesetz oder beispielsweise Rechtsvorschriften zum Schutz von Halbleitertopografien. Geschäfts- und Betriebsgeheimnisse bewahrt unter anderem das Gesetz gegen den unlauteren Wettbewerb. Und so weiter. Adressdaten natürlicher Personen sind also geschützt, nicht aber die einer juristischen Person, etwa einer Firma. Das deutsche Datenschutzrecht gilt für diese nicht. Anders als beispielsweise in Frankreich, wo auch Informationen über Unternehmen geschützt sind.
Streitfall IP-Adresse
Streitfall IP-Adresse
Einen Grenzfall bei der Definition personenbezogener Daten bilden die IP-Adressen. Hier sind sich deutsche Gerichte einmal mehr nicht einig. Es gilt eine Entscheidung etwa des Bundesgerichtshofs abzuwarten. Das Amtsgericht Berlin-Mitte (Az. 5 C 314/06 [5]) hatte entschieden, dass es sich bei IP-Adressen sehr wohl um personenbezogene Daten handelt. Jüngst urteilte ein Richter am Amtsgericht München (Az. 133 C 5677/08 [6]) genau andersherum. Die datenschutzrechtliche Frage lautet, ob es für den für "personenbezogene Daten" erforderlichen Personenbezug ausreicht, dass ein Internetprovider eine IP-Adresse mit Zeitstempel einer bestimmten Person zuordnen kann.
Für den Provider, der die Zuordnung vornehmen kann, liegt also ein dem Datenschutzrecht unterfallendes Datum vor. So weit, so gut. Dass das aber auch für alle anderen gilt, die diese Zuordnung nicht vornehmen können, verneinte der Münchener Richter. Der Betreiber einer Webseite kann in der Regel keinen Besucher anhand dessen IP-Adresse im Sinne der Definition der personenbezogenen Daten "bestimmen". Das Datenschutzrecht wäre also für ihn insoweit nicht zu beachten. Dass es sich hierbei nicht nur um einen akademischen Streit handelt, zeigen schon die möglichen Folgen für Webseitenbetreiber, wenn IP-Adressen voll dem Datenschutzrecht unterliegen. Ohne Einwilligung wäre jedes Speichern von IP-Adressen im Serverlog rechtswidrig. Auch die Nutzung von Tracking-Tools, die den Inhalt und die Dauer eines Webseitenbesuchs erfassen, wäre illegal, wenn keine vorherige Einwilligung des Nutzers vorliegt. Dies würde insbesondere Google schwer treffen, weswegen Google auf EU-Ebene für eine entsprechende "Klarstellung" kämpft.
Das Datenschutzrecht verbietet grundsätzlich jede Erhebung, Nutzung oder Verarbeitung personenbezogener Daten, es sei denn, sie wird ausdrücklich erlaubt. Juristen sprechen in solchen Fällen von einem Verbot mit Erlaubnisvorbehalt. Erlaubt ist die Nutzung personenbezogener Daten, wenn es dafür eine gesetzliche Regelung oder eine Einwilligung des Betroffenen gibt.
Gerade die gesetzlichen Regelungen, die die Nutzung und Verarbeitung personenbezogener Daten erlauben, stehen derzeit im Fokus des öffentlichen Interesses. Solche Regelungen stehen keineswegs nur im BDSG, sondern können Teil jedes Gesetzes sein. Neben den Datenschutzgesetzen finden sich Erlaubnisnormen beispielsweise in der Strafprozessordnung, in den Polizeigesetzen, in den Gesetzen über das Bundeskriminalamt und den Verfassungsschutz. Bei diesen Gesetzen geht es vorrangig um den Schutz des Staates vor Straftätern, Terroristen et cetera. Für die Privatwirtschaft hingegen sind insbesondere die Erlaubnisnormen im BDSG selbst wichtig. Hinzu kommen das Telemedien- und das Telekommunikationsgesetz.
Staat pro und contra Datenschutz
Heftig diskutiert wurden und werden die beiden griffigsten Beispiele von Eingriffen in den Datenschutz aus jüngster Zeit: die Onlinedurchsuchungen mittels "Trojanern" und die Vorratsdatenspeicherung. In beiden Fällen manifestiert sich die Erkenntnis, dass angesichts der Durchdringung unserer Gesellschaft mit IT und Datennetzen eine wirksame Abwehr von Gefahren wie Terroranschlägen nur dann möglich ist, wenn der Staat auch in diesem Bereich ausreichenden Zugriff auf Daten erhält. Natürlich gibt es darüber einen heftigen Streit, ob die gewählten Mittel dafür erforderlich und insbesondere, ob sie angemessen sind. Andernfalls wären sie wegen der Verletzung des Grundsatzes der Verhältnismäßigkeit verfassungswidrig. Bei der Onlinedurchsuchung kommt hinzu, dass an der technischen Machbarkeit erhebliche Zweifel bestehen, zumal potenzielle Kriminelle sehr vorsichtig beim Einsatz von IT sein dürften.
Fraglich ist auch, ob ein Staat wie die Bundesrepublik Deutschland, der einerseits einen vergleichsweise hohen Standard für den Datenschutz festlegt und gerade in jüngster Zeit vermehrt gesetzliche Regelungen gegen den Datenmissbrauch diskutiert, sich auf der anderen Seite gestohlene Datensätze über Bankkonten in Liechtenstein unter Einschaltung der Geheimdienste und gegen Zahlung von Millionenbeträgen verschaffen darf, um seine Steuerinteressen durchzusetzen.
Dass dieses Vorgehen sogar zum Rücktritt des Vorstandsvorsitzenden der Deutschen Post AG geführt hat, ist bekannt. Viele kritisieren, dass der Zweck der Durchsetzung des Steuerrechts nicht jedes Mittel heiligt. Gerade ein Staat müsse sich stets auf dem Boden des Rechts bewegen und dürfe sich keine mit kriminellen Machenschaften entwendeten Daten beschaffen. Mit Spannung erwarten nun Datenschützer die Entscheidungen in den laufenden Gerichtsverfahren und ob die Richter dieses Vorgehen zumindest rügen. Nur eines steht jetzt schon fest: Die Steuerhinterzieher dürften kaum ungeschoren davonkommen.
Adressenhändler im Minenfeld
Adressenhändler im Minenfeld
Besonderes Augenmerk gilt derzeit dem Adressenhandel. Was zulässig und was unzulässig ist, kann man kaum einschätzen. Der Handel mit Adressdaten findet in einem juristischen Minenfeld statt. Häufig ist er illegal. Andererseits verspricht er attraktive Gewinne, was das seltsam anmutende Beispiel der Stadt Dresden zeigt, die für das Haushaltsjahr 2007/2008 mit Einnahmen von 375 000 Euro aus "Datenverkauf" rechnet. Gute Datensätze bringen viel Geld ein, denn damit lassen sich treffsichere Werbekampagnen führen.
Wer seine Werbeadressaten gezielt auswählen kann, verliert weder Zeit noch Geld mit der Bewerbung von wenig Erfolg versprechenden Zielgruppen. Heftige Lobbyarbeit hat deswegen auch der Plan der Bundesregierung ausgelöst, den Adresshandel künftig vom Vorliegen einer Einwilligung jedes Betroffenen abhängig zu machen. Der "Deutsche Direktmarketing Verband [7]" (DDV) ist – wenig überraschend – der Auffassung, die bisherige Regelung, den Adresshandel nur bei aktivem Widerspruch des Betroffenen einzustellen, sei völlig ausreichend.
Nur eines steht derzeit fest: Es besteht Handlungs- und Harmonisierungsbedarf. Wenn ein Webseitenanbieter eine ausdrückliche Einwilligung eines Nutzers zum Erhalt von Werbung einholen muss (Opt-in-Verfahren), warum soll dann in der Offline-Welt das Gegenteil, also das Opt-out-Verfahren gelten? So weit wie ursprünglich von Bundeswirtschaftsminister Glos vorgeschlagen, wird der Gesetzgeber vermutlich nicht gehen. Glos wollte Adressdatenhandel komplett untersagen.
Vielleicht wird es aber zur "Kennzeichenpflicht für Daten für Werbezwecke" kommen. Dann würden die Betroffenen zumindest schon bei der Datenerhebung darauf hingewiesen, was mit ihren Daten noch geschehen könnte. Wenn sie an gleicher Stelle der Werbenutzung widersprechen können, wäre schon viel erreicht. Noch gilt aber die Regelung des § 28 Absatz 3 Nummer 3 BDSG [8]. Danach ist eine Nutzung oder Übermittlung bestimmter Daten für Zwecke der Werbung auch dann gestattet, wenn sie nicht vom ursprünglichen Zweck der Datenerhebung gedeckt ist und "kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat".
Dass der Datennutzer in nahezu keinem Fall, in dem nicht ausdrücklich ein Widerspruch des Betroffenen vorliegt, ein solch schutzwürdiges Interesse annimmt, versteht sich von selbst. Auf diese Weise dürfen folgende Informationen genutzt werden: eine Angabe über die Zugehörigkeit des Betroffenen zu einer Personengruppe, Berufs-, Branchen- oder Geschäftsbezeichnung, Namen, Titel, akademische Grade, Anschrift und Geburtsjahr. Die Zugehörigkeit zu einer Personengruppe macht das Ganze für individualisierte Werbung interessant. Diese gesetzliche Regelung ist eine Ausnahmevorschrift, denn an sich gilt im Datenschutzrecht ja der Grundsatz der Zweckbindung [9]. Wenn jemand per Internet eine Bestellung aufgibt, dürfen seine Daten nach diesem Grundsatz nur für den Zweck der Ausführung dieses Geschäfts genutzt werden. Die genannte Ausnahmevorschrift gestattet aber systemwidrig die Nutzung für "andere Zwecke", beispielsweise für Postwurfsendungen. Für "elektronische Post" gilt die Regel aber nicht. Dafür bedarf es dann doch einer ausdrücklichen Einwilligung nach dem Opt-In-Verfahren, wie das kürzlich ergangene BGH-Urteil im Verfahren gegen Payback gezeigt hat.
Automatisierte Wertschätzung
Als seien Datenschützer noch nicht mit einer ausreichenden Zahl brisanter Themen konfrontiert, will Bundesinnenminister Schäuble ein "Scoring-Gesetz" verabschieden lassen, das die Rechte und Pflichten von Wirtschaftsauskunfteien insbesondere beim Kredit-Scoring regeln soll. Kunden sollen nach dem Gesetzesentwurf das Recht auf Auskunft darüber bekommen, mithilfe welcher Daten eine bestimmte Bonitätseinstufung erfolgt ist. Das soll ihnen die Möglichkeit einräumen, Fehler beseitigen zu lassen und Missverständnisse aufzuklären. "Das Gesetz schafft eine angemessene Balance im Interesse der Verbraucher und der Wirtschaft", so Schäuble.
Aber auch Kritik wird laut. Annette Karstedt-Meierrieks, beim DIHK [10] für Datenschutz zuständig, meint: "Zwar erfährt man die Gründe, warum etwa eine Bank den Kreditvertrag ablehnt. Die Entscheidung beeinflusst das aber nicht". Andere wiederum warnen vor der Gefahr einer direkten Beeinflussung der Scoring-Kriterien. Wenn Betroffene wissen, welche Kriterien eine wichtige Rolle bei der Kreditvergabe spielen, könnten sie versuchen, diese durch geschicktes Verhalten zu beeinflussen. Mit einem Inkrafttreten ist nicht vor 2010 zu rechnen. Mit Änderungen am Gesetzesentwurf dagegen schon.
Fazit
Es tut sich zurzeit einiges im Datenschutzrecht. Das von Fachleuten vielfach bemängelte Vollzugsdefizit, also die mangelhafte Einhaltung, steht verstärkt im Visier der Datenschützer und des Gesetzgebers. Einerseits werden die Datenskandale der vergangenen Monate nicht ohne gesetzliche Konsequenzen bleiben. Andererseits schafft der Gesetzgeber aber auch neue Pflichten zum Sammeln von Daten. Genannt sei die Vorratsdatenspeicherung, in deren Rahmen sich der Staat Datensammlungen noch nicht einmal selbst anfertigt, sondern von privaten Unternehmen zusammentragen lässt. Dass er diese Pflicht nicht entschädigungslos einführen darf, ist derzeit Gegenstand von Gerichtsverfahren.
Unter dem Strich kommt dem Datenschutzrecht endlich die notwendige Aufmerksamkeit zu. In Detailfragen wie beim Adresshandel oder dem Umgang mit Wirtschaftsauskunfteien liegt aber noch einiges im Argen. In der vernetzten Welt kommt erschwerend hinzu, dass das Datenschutzrecht leider an den jeweiligen Landesgrenzen Halt macht. Zwar gibt es innerhalb der EU ein einheitliches Datenschutzniveau. Da sich das Internet aber nicht auf die EU beschränkt, ist eine Zusammenarbeit auf internationaler Ebene dringend erforderlich, soll sich der Datenschutz in absehbarer Zeit deutlich verbessern.
Datenschutz - ein grundlegendes Persönlichkeitsrecht
Datenschutz – ein grundlegendes Persönlichkeitsrecht
Das Bundesdatenschutzgesetz legt den Sinn und Zweck des Datenschutzrechts wie folgt fest: "Zweck ... ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird." Noch etwas griffiger beschreibt es die Online-Enzyklopädie Wikipedia: "Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen."
Nach der Auffassung des Bundesverfassungsgerichts ist Datenschutz zudem ein Grundrecht. Die Verfassungsrichter sprechen vom "Recht auf informationelle Selbstbestimmung". Wer aber das Grundgesetz zur Hand nimmt, wird diesen Begriff darin vergeblich suchen. Die Juristen leiten das Grundrecht auf informationelle Selbstbestimmung (und auch das erst kürzlich im Zusammenhang mit der Diskussion um Onlinedurchsuchungen "erfundene" Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme) aus anderen Grundrechten ab, insbesondere aus der allerersten Regelung im Grundgesetz, "Die Würde des Menschen ist unantastbar", und dem Grundrecht auf freie Entfaltung der Persönlichkeit in Artikel 2 GG.
Auch in zehn Landesverfassungen finden sich ausdrückliche Regelungen zum Datenschutz. In den sechs Bundesländern Baden-Württemberg, Hamburg, Hessen, Niedersachsen, Schleswig-Holstein und Bayern gibt es keine. Aber auch dort existieren Landesdatenschutzgesetze.
Alle ostdeutschen Länder haben den Datenschutz in ihren Verfassungen geregelt. Bei der Verabschiedung dieser Verfassungen nach der politischen Wende 1989/1990 war der Datenschutz bereits gut entwickelt und seine überragende Bedeutung bekannt. Bei der Verabschiedung der Verfassungen der "alten Bundesländer" nach dem zweiten Weltkrieg war dies noch nicht der Fall. Nur in einzelnen Fällen gab es später Nachbesserungen. Die Diskussion darum, ob der Datenschutz auch ausdrücklich Teil des Grundgesetzes werden soll, gewinnt angesichts der derzeitigen schweren Pannen an Brisanz. Dass es eine entsprechende Grundgesetzänderung aber jemals geben wird, ist unwahrscheinlich.
In Österreich und der Schweiz existieren ebenfalls Datenschutzgesetze. Die Rechtslage insbesondere in der Schweiz ist in vielen Bereichen mit derjenigen in Deutschland vergleichbar. Auch dort wird auf Bundesebene der Datenschutz für die Bundesbehörden und der Umgang privater Unternehmen mit Daten geregelt. Alles andere legen die Datenschutzgesetze auf Kantonsebene fest. Auch in Österreich stößt man auf aus deutscher Sicht bekannte Regelungen. Dies hat damit zu tun, dass das Datenschutzrecht innerhalb der EU weitgehend harmonisiert ist.
Wenige wissen, dass – zumindest in Deutschland – die staatlichen Datenschutzbestimmungen nicht im kirchlichen Bereich gelten. Sowohl die evangelische als auch die römisch-katholische Kirche haben eigene Datenschutzregeln erlassen, was zum Beispiel beim Outsourcing im kirchlichen Bereich schon eine Rolle gespielt hat. Sie sind mit denen des Bundesdatenschutzgesetzes weitgehend identisch. Hinzu kommen aber Regelungen zum umfassend geschützten Beichtgeheimnis.
Datenschutz ist ein relativ junges Rechtsgebiet. In Deutschland verabschiedete Hessen das erste Datenschutzgesetz – im Jahr 1970. Erst sieben Jahre später folgte mit dem Bundesdatenschutzgesetz eine bundesweite Regelung. Und erst 1981 gab es in jedem Bundesland ein Gesetz für die Belange des Datenschutzes, die in die Kompetenz der Länder fallen und nicht bereits durch das BDSG geregelt waren, also etwa der Umgang mit Daten durch die Landesverwaltungen.
Datenschutz und Strafrecht
Datenschutz und Strafrecht
Wenig bekannt ist, dass es sich beim Datenschutzrecht auch um Strafrecht handelt. Mit Geldstrafe oder bis zu zwei Jahren Freiheitsstrafe kann bestraft werden, wer gegen bestimmte Datenschutzvorschriften verstößt und dies gegen Entgelt tut oder in der Absicht handelt, "sich oder einen anderen zu bereichern oder einen anderen zu schädigen". Dies könnte auch schon bei der Aufnahme von Adressdatenbeständen in elektronische Verzeichnisse der Fall sein, wenn der Betroffene damit nicht einverstanden ist. Ein anderer Fall betrifft die Übermittlung oder Nutzung personenbezogener Daten für einen anderen Zweck als den, für den sie ursprünglich erhoben wurden. Das wäre etwa dann der Fall, wenn ein Internet-Versandhaus seine Kundendaten an einen Dritten "verkauft".
Aber auch hier gilt der Grundsatz: Wo kein Kläger, da kein Richter. Datenschutzvergehen hatten noch nie besondere Priorität bei den Staatsanwaltschaften, den Anklägern in Strafverfahren. Wenn es einmal zur Anzeige kommt, werden die Verfahren häufig ohne Gerichtsverfahren eingestellt. Vielleicht ändert sich das angesichts der derzeitigen öffentlichen Diskussion. Diskutiert wird sogar die Einrichtung sogenannter Schwerpunktstaatsanwaltschaften, also von Staatsanwaltschaften, die überregional für die Verfolgung und Ahndung von Datenschutzvergehen zuständig sind und dafür spezialisierte Staatsanwälte beschäftigen. Man wird sehen. Jedenfalls werden Verstöße gegen das Datenschutzrecht nur auf Antrag des Betroffenen, des Bundesbeauftragten für den Datenschutz oder der Aufsichtsbehörde verfolgt. Ein Verbraucherschutzverein etwa kann gegen solche Straftaten allein nichts ausrichten.
Je weniger Daten, desto besser
[11]Je weniger Daten, desto besser
Es gibt drei zentrale Grundsätze im Datenschutzrecht: Datensparsamkeit und Datenvermeidung, Erforderlichkeit sowie Zweckbindung. Daten sollen nur dann verarbeitet werden, wenn unbedingt erforderlich. Je weniger Daten jemand von seinen Kunden erhebt, sammelt, übermittelt oder verarbeitet, desto besser. Anbieter sollten – gerade im Internet – stets ausloten, ob sich ihre Dienstleistung nicht anonym nutzen lässt oder zumindest pseudonym.
Eine feste Grenze zwischen erforderlichen und vermeidbaren Daten gibt es nicht. Grundsätzlich hat jeder ein Interesse zu wissen, wer sein Vertragspartner ist, und erfragt deswegen in der Regel den Namen und die Postanschrift. Wer eine Auftragsbestätigung per E-Mail benötigt, muss auch diese Adresse angeben sowie die Telefonnummer, wenn es Rückfragen zur Bestellung geben kann. Manchmal drängt sich der Verdacht auf, dass Angaben zwar vordergründig "erforderlich" oder "Pflichtangaben" sind, in Wahrheit aber nur dem Interesse des Verkäufers am Datensammeln dienen. Was mit den Daten im Weiteren geschieht, bleibt häufig im Dunkeln, was wiederum mit dem Datenschutz kollidieren kann.
Abwegig und rechtswidrig wäre es, die Angabe von Daten zu verlangen, die nichts mit einer Bestellung oder einem Auftrag zu tun haben, ohne die aber der Vertrag nicht zustande kommt. Wer bei Freemail- Accounts etwa Angaben zu seinem Konsumverhalten machen soll, kann sich dagegen wehren. Hierfür gibt es sogar eine Spezialvorschrift im Telemediengesetz (§ 12 Absatz 3 [12]): "Der Diensteanbieter darf die Bereitstellung von Telemedien nicht von der Einwilligung des Nutzers in eine Verwendung seiner Daten für andere Zwecke abhängig machen." Dann darf er ohne diese Zustimmung des Nutzers solche Daten aber auch gar nicht erst sammeln, sprich bei der Anmeldung abfragen.
Wer über Daten verfügt, darf sie nur im Rahmen des Zweckes nutzen, für den er sie erhoben hat. Dass es gerade hier Ausnahmen gibt, bestätigen leider die aktuellen Schlagzeilen zum Adressdatenhandel. Darüber hinaus ist ein "Datenschutz durch Technik" sicherzustellen. Wenn bei der Deutschen Telekom jeder die Handydaten aller D1-Kunden im Internet mit einfachsten Mitteln einsehen und sogar manipulieren kann, fehlen schlichtweg angemessene technische und organisatorische Maßnahmen zum Schutz der Daten.
Dabei hilft hier der Gesetzgeber sogar mit einer Art Checkliste, die er dem BDSG als Anhang beifügt. Darin beschreibt er solche technischen und organisatorischen Maßnahmen – von der Zutrittskontrolle über die Eingabekontrolle bis hin zur Pflicht, zu verschiedenen Zwecken erhobene Daten getrennt voneinander zu verarbeiten –, die er für einen effektiven Datenschutz als erforderlich ansieht. Ein Blick ins Gesetz erleichtert eben auch hier die Rechtsfindung.
Tobias Haar, LL.M., ist Syndikusanwalt und Rechtsanwalt mit Schwerpunkt IT-Recht. (gs [13])
URL dieses Artikels:
https://www.heise.de/-273804
Links in diesem Artikel:
[1] https://www.heise.de/meldung/Britisches-Verteidigungsministerium-vermisst-Festplatte-mit-Daten-von-Soldaten-210501.html
[2] https://www.heise.de/meldung/Spiegel-Telekom-Sicherheitsluecke-offenbart-30-Millionen-Handydaten-Update-210714.html
[3] https://www.heise.de/meldung/Verbraucherzentrale-Massenhafter-Missbrauch-von-Bankkonten-Daten-2-Update-194925.html
[4] http://bundesrecht.juris.de/bdsg_1990/__3.html
[5] http://www.daten-speicherung.de/data/Beschluss_AG-Mitte_2008-01-10.pdf
[6] https://www.heise.de/meldung/Gericht-IP-Adressen-sind-keine-personenbezogenen-Daten-210449.html
[7] http://www.ddv.de/
[8] http://bundesrecht.juris.de/bdsg_1990/__28.html
[9] #weniger_daten-u5
[10] http://www.dihk.de/
[11]
[12] http://www.gesetze-im-internet.de/tmg/BJNR017910007.html
[13] mailto:gs@ct.de
Copyright © 2009 Heise Medien