Datenschutzrecht

Betrieb einer Webseite, Kartenverkauf, Gästeliste usw.
Datenschutzrecht

Datenschutzrecht bzw. Datenschutz: Daran kommt heute keiner mehr vorbei. Sei es als Betroffener, wenn es um die Speicherung der eigenen Daten geht, sei es als Unternehmen, das – insbesondere durch die vernetzte Onlinewelt – gar nicht mehr anders kann, als das Datenschutzrecht zu beachten. Auch Veranstalter benötigen Kenntnisse im Datenschutz, da auch er eine Vielzahl fremder Daten verarbeitet.

Hier ein paar Beispiele für Datenverarbeitungsvorgänge:

  • Ein Nutzer besucht eine Webseite.
  • Ein Nutzer füllt ein Kontaktformular auf der Webseite aus und schickt es an den Betreiber der Webseite.
  • Bei der Durchführung von Gewinnspielen (online und offline) werden die Daten der Teilnehmer erfasst.
  • Datenerhebung von Kunden, Lieferanten und Mitarbeitern.
  • Ein Besucher kauft eine Eintrittskarte in einem Onlineshop.
  • Die Eventagentur gibt Teilnehmerlisten an das Hotel weiter.
  • Auf der Veranstaltung werden Fotos von Besucher gemacht.
  • Der Kunde erhält eine Weihnachtskarte.
  • Datenverarbeitung für den Versand von Werbenewslettern.
  • Backup der Webseite auf einem externen Server.
  • usw.

Das Datenschutzrecht ist also schon lange nicht mehr der Papiertiger, als der es einmal angefangen hat. Niemand kann es sich leisten, das Datenschutzrecht nicht einzuhalten. Vom Imageschaden eines Unternehmens, dem Daten abhanden kommen, ganz zu schweigen.

Seit 25.05.2018 gilt die EU-Datenschutzgrundverordnung (kurz: DSGVO). Diese bringt bzw. brachte erhebliche Änderungen mit sich, u.a. ein ganz massiv gestiegenes Bußgeld!

Die DSGVO vereinheitlich EU-weit das Datenschutzrecht. Aufgrund von sog. Öffnungsklauseln in der EU-Verordnung dürfen die nationalen Gesetzgeber eigene Regelungen erlassen, die die DSGVO im Einzelfall konkretisieren. Deutschland hat das mit einem neuen BDSG getan, das seit 25.05.2018 das alte BDSG ersetzt hat. Hier werden u.a. der Beschäftigtendatenschutz oder der Datenschutzbeauftragte geregelt.

FAQ zum Datenschutz – Fragen und Antworten:

Weitere FAQ:

Kontaktformulare und Datenschutz

Auf vielen Webseiten werden Kontaktformulare eingesetzt, um dem potentiellen Kunden die Kontaktaufnahme zu erleichtern.

Wenn der Webseitenbesucher im Kontaktformular Daten einträgt und das Formular abschickt, erfolgt eine Datenerhebung. Spätestens hier muss der Webseitenbetreiber die nach Art. 13 DSGVO erforderlichen Informationen mitteilen.

Dabei muss er auch u.a. festlegen,

  • zu welchem Zweck er diese Daten aus dem Formular erhebt, und
  • auf welcher Rechtsgrundlage das geschieht.

Der Zweck ist noch einfach: Die Bearbeitung des Anliegens. Das gilt aber natürlich nur, wenn der Webseitenbetreiber diese Daten nicht noch bspw. dafür erhebt, um dem Anfragenden gleich noch einen Newsletter zu schicken.

Einwilligung oder berechtigtes Interesse?

Die Rechtsgrundlage wird schon etwas anspruchsvoller: Hier sollte man nicht den vermeintlich bequemen Weg der Einwilligung gehen, da diese u.a. unter dem Minderjährigenvorbehalt steht. Das bedeutet, dass man bei Unter-16-Jährigen geeignete Maßnahmen treffen muss, um sicherzustellen, dass die Eltern die Einwilligung erklären.

Einfacher ist hier, sich auf die Rechtsgrundlage des Berechtigten Interesses zu stützen (Art. 6 Absatz 1 Buchstabe f DSGVO). Das geht m.E. aber dann nicht, wenn über die Bearbeitung des Anliegens hinaus die Mailadresse oder Postanschrift des Anfragenden dazu verwendet werden soll, ihn in den Newsletterverteiler einzutragen! Hier sollte man sich eine separate Einwilligung beschaffen: Denn nicht jeder Anfragende (auch abhängig vom Anliegen) wird vernünftigerweise erwarten, dass er nach seiner Kontaktaufnahme mit einem Werbe-Newsletter beglückt würde – im Rahmen eines Vertragsverhältnisses ist das schon eher der Fall, aber nicht bei jeder Anfrage. Hier kommt es dann u.a. auch darauf an, wofür das Kontaktformular eingesetzt wird.

Empfehlung Nr1: Prüfen Sie sorgfältig die passende Rechtsgrundlage, wenn Sie die Daten auch für einen Newsletter verwenden wollen!

Empfehlung Nr 2: Wie schon dargestellt, müssen Sie bei der Erhebung die Informationen zum Datenschutz mitteilen. Achten Sie aber darauf, dass Sie dann hier nicht den Eindruck erwecken, der Anfragende müsse eine Einwilligung erteilen.


Datenschutz bei Minderjährigen

Minderjährige genießen einen hohen Schutz durch die Gesetze: Ihre geschäftliche Unerfahrenheit, Ihre Unsichtigkeit, Ihre Geschäftsunfähigkeit soll geschützt werden – bzw. sie davor. Auch in der nahenden Datenschutz-Grundverordnung (DSGVO) gibt es einen Schutz von Unter-16-Jährigen in Art. 8 DSGVO:

(1) Gilt [die Einwilligung] bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.

Das Thema des Minderjährigen-Datenschutzes gilt explizit nur bei der Einwilligung, die der Datenverarbeiter einholt:

Beispiele:

  • Der Veranstalter, der einen Newsletter anbietet,
  • Sponsoren oder Veranstalter, die ein Gewinnspiel durchführen.

Maßgeblich in Art. 8 DSGVO ist die Formulierung „das einem Kind direkt gemacht wird„.

Muss jeder Webseitenbetreiber einen Minderjährigenschutz einbauen?

Strenge Meinung Nr. 1

Denn: Gerade im Internet kann jedes Kind (nahezu) jede Webseite aufrufen. Im Datenschutzrecht geht es dabei nicht um die Geschäftsfähigkeit des Minderjährigen, sondern um seine Einsichtsfähigkeit: Ob er erkennen kann, was seine Einwilligung in die Datenverarbeitung für Folgen haben kann.

Tatsächlich gibt es Juristen, die diese strenge Auslegung des Wortlauts favorisieren.

Strenge Meinung Nr. 2

Andere Juristen stellen auf das Wörtchen „direkt“ ab, d.h. die Vorschrift soll nur für Internetseiten gelten, die sich nur an Kinder richten. Allerdings gibt es solche Webseiten kaum, und der Minderjährigen-Datenschutz würde ja ausgehebelt auf Internetseiten, die sich sowohl an Kinder als auch an Erwachsene richten – einfaches Beispiel: Die Webseite eines Veranstalters eines Sommerfestivals.

Letztlich werden die Gerichte entscheiden müssen, wie weit man das Spiel treiben muss (plus die Frage: Was sind eigentlich „angemessene Anstrengungen“ im Sinne des Art. 8 Absatz 2 DSGVO?).

Vermittelnde Meinung?

Ein vernünftiger Kompromiss kann sein, dass man abwägen muss, wer die Zielgruppe des Internetangebots ist.

Beispiel meine Webseite eventfaq.de: Meine Zielgruppe sind Erwachsene. Die Webseite kann natürlich auch von Unter-16-Jährigen besucht werden, und auch diese Unter-16-Jährigen könnten den Newsletter bestellen: Hierfür habe ich bei der Verarbeitung der Empfängerdaten die Einwilligung als Rechtsgrundlage. Die vermittelnde Ansicht entspricht dabei im Übrigen auch der Risikoabwägung, die die DSGVO verschiedentlich fordert: Die Risiken für einen bspw. 15-Jährigen, seine Mailadresse für meinen Newsletter anzugeben, sind nicht bemerkenswert hoch. Wenn ich im Newsletter auch ein Seminar bewerbe und er würde sich dort anmelden, dann würde er in finanzieller Hinsicht über die Regelungen zur Geschäftsfähigkeit ausreichend geschützt werden (siehe § 107 BGB).

Aber 1: Datenverarbeiter, die mit der Einwilligung arbeiten, sollten Rechtswissenschaft und Rechtsprechung im Auge behalten, ob es zu dieser Frage Neuerungen gibt.

Aber 2: Datenverarbeiter sollten sich davor hüten, aufgrund bspw. solcher Rechtsunsicherheit von der Einwilligung eine andere Rechtsgrundlage heranzuziehen für die Datenverarbeitung. Neben der Einwilligung (Art. 6 Absatz 1 Buchstabe a DSGVO) gibt es ja noch

  • die Vertragserfüllung (Art. 6 Absatz 1 Buchstabe b), oder
  • das berechtigte Interesse (Art. 6 Absatz 1 Buchstabe f).

Man könnte nun auf die Idee kommen, das Problem des Minderjährigen-Datenschutzes dadurch zu umgehen, dass man sich nicht die Einwilligung beschafft, sondern sich auf das Berechtigte Interesse stützt – denn dort gibt es den Minderjährigen-Datenschutz eben nicht. Aber nicht maßgeblich ist der einfachste Weg, sondern der richtige: Die Belange und Voraussetzungen des Berechtigten Interesses müssen gegeben sein. Die (zugegeben) recht weiten Anwendungsmöglichkeiten des Berechtigten Interesses darf aber nicht als Lückenfüller und Allround-Mittel angesehen werden. Daher: Vorher genau überlegen, was man warum machen will. Daraus ergibt sich dann die richtige Rechtsgrundlage.


Herausgabe von Daten zur Kontrolle im Mindestlohn?

Das Mindestlohngesetz birgt gewaltigen Sprengstoff: Nicht nur der erhebliche Aufwand bzgl. der Dokumentationen, auch die Auftraggeberhaftung führen zu praktischen Problemen. Nach der gesetzlichen Regelung in § 13 MiLoG soll der Auftraggeber dafür haftbar gemacht werden können, dass sein Auftragnehmer keinen Mindestlohn bezahlt: Der Arbeitnehmer des Auftragnehmers, der also nicht den gesetzlichen Mindestlohn bekommt, kann (auch) den Auftraggeber in Anspruch nehmen.

Dieser Haftungsfalle wollen Auftraggeber u.a. damit begegnen, dass sie sich vom Auftragnehmer das Recht einräumen lassen, Unterlagen zu kontrollieren.

Das Unabhängige Landeszentrum für Datenschutz (kurz: ULD) in Schleswig-Holstein sieht das kritisch: Datenschutzrechtlich sei es dem Auftragnehmer verwehrt, Unterlagen mit personenbezogenen Daten seiner Mitarbeiter an den Auftraggeber auszuhändigen, nur dass der die Einhaltung des Mindestlohnes kontrollieren könne. So heißt es beim ULD: „Vor diesem Hintergrund ist es datenschutzrechtlich nicht zulässig, wenn der Auftraggeber auf Basis einer vertraglichen Abrede mit dem beauftragten Unternehmer bei diesem einen pauschalen Zugriff auf  bestimmte arbeitsvertragliche Unterlagen möglicherweise aller Beschäftigten oder gar auf deren Personalakten erhält. Ebenso unzulässig ist die Übermittlung nichtanonymisierter Gehaltsbescheinigungen.“

Der Gesetzgeber verfolgt mit der Auftraggeberhaftung einen gut gemeinten Zweck: Der Auftraggeber soll seinen Auftragnehmer sorgfältig auswählen: Damit reduziert er schon sein Risiko, dass er in diese Haftungsfalle rutscht.

By the way: Die sorgfältige Auswahl macht natürlich nicht nur in Bezug auf die Mindestlohnhaftung Sinn: Ein beauftragter Subunternehmer kann in vielerlei Hinsicht gewaltige Schäden verursachen, für die der Auftraggeber aufkommen muss. Es macht also in jeglicher Hinsicht Sinn, dass der Auftraggeber seine Subunternehmen sorgfältig auswählt und überwacht.

Zur Stellungnahme des ULD.

Hinweis:

Bitte beachten Sie, dass es hiernach ggf. neue Entwicklungen in Rechtsprechung und Rechtswissenschaft geben kann.

Meine Beiträge zum Datenschutzrecht:

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Anonymer Mann greift mit Hand nach Passwort: © Brian Jackson - Fotolia.com