ICH SAG ES NICHT.

Gefahr der fehlenden Datenschutzerklärung

Die Aufregung über ein neues Gesetz

Seit dem Inkrafttreten des Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts vom 17. Febraur 2016 (BGBl. 2016 I, S. 233) am 24. Februar 2016 wird in zahlreichen aufgeregten Veröffentlichungen vor allem im Internet das Gefahrenpotenzial einer unzureichenden oder sogar ganz fehlenden Datenschutz­erklärung beschrieben. Mitunter entsteht bei diesen Mitteilungen der Eindruck, die An­for­derungen an eine Datenschutzerklärung seien nun gesetzlich neu bestimmt worden.

Richtig ist sicherlich ein weitverbreitetes Unwissen über die Rechtsgrundlagen und den erforderlichen Inhalt einer Datenschutzerklärung sowie über die Rechtsfolgen einer ganz fehlenden oder mangelhaften Datenschutzerklärung. Im Folgenden sollen daher Rechtsgrundlagen, Inhalt und Bedeutung der Datenschutzerklärung zusammenfassend beschrieben und die letzten gesetz­gebe­rischen Akti­vi­täten zum Datenschutz erläutert werden.

Am Ende wird sich ergeben: Die Aufregung um das neue Gesetz kann sich für die Angehörigen der Freien Berufe wieder legen, solange sie sich an die Grund­regeln des Datenschutzes halten und sich nicht auf Abenteuer mit von ihnen gespeicherten Da­ten ihrer Auftraggeber einlassen.

1 | Rechtliche Grundlagen der Datenschutzerklärung sind § 13 Telemediengesetz (TMG) und § 33 Abs. 1 Bundes­daten­schutz­gesetz (BDSG). Nach § 13 Abs. 1 TMG haben Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs insbesondere über Art, Umfang und Zweck der Erhe­bung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten.

Dienstean­bieter sind nach § 2 Nr. 1 TMG natürliche oder juristische Personen, die eigene oder fremde Telemedien zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln. Da­von erfasst sind insbesondere Online-Angebote von Waren und Dienstleistungen mit unmittelbarer Be­stell­mög­lich­keit.

Darüber hinaus beschreibt § 33 Abs. 1 BDSG ebenfalls, dass der Betroffene bei erstmaliger Speicherung seiner personen­bezogenen Daten für eigene Zwecke des Unter­neh­mers von der Speicherung, der Art der Daten, der Zweckbe­stim­mung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen ist.

Personenbezogene Daten sind nach § 3 Abs. 1 BDSG »Ein­zelangaben über persönliche oder sachliche Verhältnisse ei­ner bestimmten oder bestimmbaren natürlichen Person (Betroffener)«.

Hierunter fallen also sämtliche Angaben, die einer natürlichen Person zugeordnet werden können, das gilt maß­geblich für Name und Anschrift eines Auftrag­ge­bers – bei Grund­stücksvermessungen auch die Eigentümerdaten der am Verfahren Beteiligten −, die der Auftragnehmer im Zuge der über das Internet erfolgten Auftragserteilung im Wege des E-Commerce speichert.

Nur derjenige Unternehmer, der eine Internetseite ohne jede Interaktion mit Nutzern der Internetseite unterhält und ohne dass Nutzerdaten gespeichert werden, benötigt kei­ne Datenschutzerklärung.

Die Erhebung, Verarbeitung und Nutzung personenbezo­ge­ner Daten sind nur zulässig, soweit der Umgang mit diesen Daten entweder durch das Gesetz erlaubt ist – insbesondere durch das BDSG und die Datenschutzgesetze der Länder – oder wenn der Betroffene ein­gewilligt hat (§ 4 Abs. 1 BDSG).

Die zentrale Erlaubnisnorm zum Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten ist § 28 BDSG (und die analogen Vorschriften der landesrechtlichen Datenschutzgesetze). Da­nach ist die Verarbeitung personen­bezogener Daten zulässig,

1 |  wenn es für die Begründung, Durchführung oder Be­endigung eines rechtsgeschäftlichen oder rechtsge­schäftsähnlichen Schuldverhältnisses mit dem Betrof­fenen erforderlich ist,

2 |    soweit es zur Wahrung berechtigter Interessen der ver­antwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Inte­resse des Betroffenen an dem Ausschluss der Verarbei­tung oder Nutzung überwiegt, oder

3 |    wenn die Daten allgemein zugänglich sind, es sei denn, dass das schutzwürdige Interesse des Betroffenen ge­genüber dem berechtigten Interesse der verantwort­lichen Stelle offensichtlich überwiegt.

Ist also z. B. ein Unternehmer von seinem Auftraggeber mit der Erbringung einer Dienstleistung beauftragt, darf der Unternehmer alle personenbezogenen Daten speichern, die er für die Durchführung des Auftrages benötigt.

Die strenge Zweckbindung der Verarbeitung personenbezogener Daten – außerhalb der ausdrücklichen Einwilligung des Betroffenen nach § 4a BDSG – hat somit weiter zur Fol­ge, dass der Datenverwender die personenbezogenen Da­ten nach Beendigung und Erfüllung des Auftrages löschen muss.

Will er das nicht und will er die Daten – maßgeblich, um sie für zukünftige weitere Aufträge vorzuhalten – wei­ter spei­chern, um sie bei neuen Aufträgen nicht jeweils noch­mals in seine EDV eingeben zu müssen, muss der Unter­nehmer da­rauf nicht nur in der Datenschutzerklärung hinweisen, sondern zu dieser dauerhaften Speicherung auch die Einwil­ligung des Betroffenen (§ 4a BDSG und die ent­sprechenden Vorschriften der Länder) einholen.

Hier geht's zum vollständigen Artikel.

 

 

Rüdiger HolthausenAutor

Dr. Rüdiger Holthausen

BDVI-Justiziar
r.holthausen@esser-holthausen.de