Betrieblicher Datenschutz

Unternehmen haften bei Missbrauch personenbezogener Daten

| Autor / Redakteur: Markus Feinendegen, DHPG* / Margit Kuther

Datenschutz: Verstöße gegen das Datenschutzgesetz können für Unternehmen folgenschwer sein
Datenschutz: Verstöße gegen das Datenschutzgesetz können für Unternehmen folgenschwer sein (Bild: Gerd Altmann, pixelio.de)

Trotz Flame, Stuxnet & Co. vernachlässigen viele Unternehmen den Datenschutz. Dabei reichen schon wenige Vorkehrungen, um sensible Daten wirksam zu schützen.

Verstöße gegen das Datenschutzgesetz können folgenschwer sein. Das Bundesdatenschutzgesetz (BDSG) erweitert den Handlungsspielraum der Datenschutzbehörden, die durch die Vielzahl der jüngsten Datenskandale alarmiert sind.

Neben zusätzlichen Verfahrens- und Aufsichtsbefugnissen sieht das reformierte BDSG nicht nur eine Reihe neuer Ordnungswidrigkeiten vor, sondern hebt auch den Bußgeldrahmen auf bis zu 300.000 Euro pro Verstoß an. Bereits die Nichtbestellung eines Datenschutzbeauftragten kann bis zu 50.000 Euro kosten. Zudem gibt es erstmals die Möglichkeit, Gewinne abzuschöpfen, die mit einer unbefugten Datenweitergabe erzielt wurden.

Mit personenbezogenen Daten verantwortungsvoll umgehen

Rund um personenbezogene Daten sind zahlreiche Auflagen zu beachten. Eine erste Orientierungshilfe bieten nachfolgende vier Fragen:

Benötige ich die Daten überhaupt?

Das Bundesdatenschutzgesetz verfolgt das Prinzip der Datensparsamkeit: Erhebung, Verarbeitung und Nutzung personenbe-zogener Daten sind auf das absolut Notwendige zu beschränken. Entsprechend sind die IT-Systeme auszurichten. Wer ohne berechtigten Grund gegen Entgelt oder aus Bereichungs- oder Schädigungsabsicht personenbezogene Daten sammelt und verarbeitet, macht sich strafbar.

Darf ich die Daten verwenden?

Personenbezogene Daten unterliegen einer besonderen Zweckbindung. Sie dürfen nur für den Zweck weiterverarbeitet werden, für den sie erhoben werden. Eine andere Verwendung ist verboten. Insbesondere darf keine Zusammenführung von Daten zu abweichenden Zwecken erfolgen.

Sind die Daten vor Fremdzugriffen geschützt?

Personenbezogene Daten erfordern einen besonderen Schutz. Sie sind vor unberechtigten Zugriffen zu schützen. Unternehmen müssen organisatorische und technische Vorkehrungen treffen, um personenbezogene Daten zu sichern.

Kann ich die Daten sicher löschen

? Nach Ablauf der gesetzlichen Aufbewahrungsfristen müssen Unternehmen eine sichere Vernichtung oder Entsorgung von personenbezogenen Daten gewährleisten. Die Verantwortung trägt auch bei Beauftragung eines externen Dienstleisters das Unternehmen.

Ergänzendes zum Thema
 
BDSG: Strenge Auflagen für Unternehmen

Datenschutz ist Chefsache

Datenschutz: Viele personenbezogene Daten sind in Unternehmen weitgehend frei zugänglich
Datenschutz: Viele personenbezogene Daten sind in Unternehmen weitgehend frei zugänglich (Bild: Andreas Morlok, pixelio.de)

Wichtig ist, im Unternehmen ein Bewusstsein für den Datenschutz zu schaffen und Entscheider und Mitarbeiter gezielt zu sensibilisieren. Doch vielen Unternehmen ist gar nicht bewusst, dass personenbezogene Daten bei ihnen vorliegen und welche Auflagen damit verbunden sind. Während Geschäftsgeheimnisse sicher im Tresor aufbewahrt werden, sind viele personenbezogenen Daten weitgehend frei zugänglich.

Die Verantwortung für einen gesetzeskonformen Umgang mit personenbezogenen Daten trägt immer die Geschäftsleitung. Auch wer einen internen oder externen Datenschutzbeauftragten bestellt, steht weiterhin in der Pflicht und ist nicht vor rechtlichen Konsequenzen gefeit. Die verschärften Vorschriften eröffnen Unternehmen gleichzeitig auch die Chance, ihr Datenmanagement effizienter zu organisieren und sich besser vor Datenmissbrauch zu schützen.

Nutzung von Kundendaten zu Werbezwecken

Lange Zeit existierte bei Kundendaten viel Freiraum. Das sogenannte Listenprivileg erlaubte Unternehmen, in Listen zusammengefasste Kundendaten sehr weitgehend für Werbezwecke zu verwenden und diese bei Bedarf an Dritte weiterzugeben. Mit Einführung des BDSG haben sich die Bedingungen deutlich verschärft. Die Erhebung, Speicherung und Nutzung von personenbezogenen Daten für eigene Geschäftszwecke, etwa um Vertragsabschlüsse zu erzielen, ist weiterhin grundsätzlich zulässig. Aber auch hier gilt nun die Einschränkung, dass diese Daten für den Geschäftsabschluss erforderlich sind, der Berechtigte kein schutzwürdiges Interesse hat oder die Daten ohnehin allgemein zugänglich sind.

Datenschutz: Für Werbemaßnahmen gelten besonders strengere Anforderungen
Datenschutz: Für Werbemaßnahmen gelten besonders strengere Anforderungen (Bild: Tony Hegewald, pixelio.de)

Noch strengere Anforderungen gelten für Werbemaßnahmen. Die Verarbeitung und Nutzung der erhobenen Daten für Werbezwecke ist nur nach entsprechender Einwilligung des Berechtigten zulässig. Diese kann durch schriftliche Vereinbarung, schriftliche Bestätigung oder elektronische Einwilligung und deren Speicherung erfolgen. Insbesondere bei der weitverbreiteten Telefonwerbung gilt die am Telefon erteilte Einwilligung nicht; sie muss schriftlich bestätigt werden.

Sofern die Einwilligung zusammen mit anderen Erklärungen abgegeben werden soll, beispielsweise im Rahmen von Allgemeinen Geschäftsbedingungen, ist dies besonders kenntlich zu machen. Die Einwilligung bei Formularverträgen darf nicht im Kleingedruckten verschwinden, sondern ist drucktechnisch abgesetzt darzustellen.

Eigenwerbung erfordert keine Einwilligung

Ohne gesonderte Einwilligung dürfen Daten zum Zwecke der Eigenwerbung verwendet werden. Voraussetzung: Die Daten wurden im Zuge einer Geschäftsverbindung für eigene Zwecke erworben oder wurden aus allgemein zugänglichen Quellen erhoben und lassen sich auf eine bestimmte Personengruppe begrenzen. Keine Einwilligung ist auch bei Werbung in Hinblick auf die berufliche Tätigkeit des Betroffenen erforderlich. Inhaltlich beschränkt ist die Nutzung der Daten auf Name, Berufs-, Branchen- oder Geschäftsbezeichnung, Titel, akademischer Grad, Anschrift und Geburtsjahr. Unter denselben Voraussetzungen ist die sogenannte „Beipack- und Empfehlungswerbung“ für das eigene oder fremde Unternehmen zulässig.

Die Weitergabe von Kundendaten an Dritte bleibt zwar erlaubt. Allerdings muss bei erstmaliger Erhebung der Daten bereits deutlich darauf hingewiesen werden. Zudem dürfen die übermittelten Daten nur für den Zweck verarbeitet oder genutzt werden, zu dem sie erhoben wurden bzw. der die Übermittlung rechtfertigt. Etwas anderes gilt nur, wenn die Zweckänderung wiederum selbst durch das Gesetz (vgl. § 28 Abs. 2 und 3 sowie § 14 Abs. 2 BDSG) ausdrücklich gestattet ist.

Generell haben Kunden das Recht, der Verwendung ihrer personenbezogenen Daten zu Werbezwecken gegenüber der verantwortlichen Stelle zu widersprechen. Auf das Widerrufsrecht ist bereits bei der werblichen Ansprache oder im Falle des geschäftlichen Kontakts bei Erhebung der Daten hinzuweisen. Auch die verantwortliche Stelle ist anzugeben, da sie im Fall der Weitergabe der Daten an Dritte relevant ist.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 34030980 / Recht)