Gut gedacht, schlecht gemacht? Vom legalen Umgang mit sensiblen Daten

“Ich hatte 172 Mails im Ordner und wusste gar nicht, wo die auf einmal hergekommen sein könnten – bis ich dann feststellte, dass es Mails meines Internet-Providers waren, die ich fälschlicher Weise bekommen hatte.” Pannen wie diese, bei der ein privater Anwender eines Tages völlig überrascht massenhaft Kundendaten eines Internet-Providers in seinem Maileingang vorfand, sind heute aus der öffentlichen Diskussion nicht mehr wegzudenken. Datenpannen in Unternehmen sind mittlerweile an der Tagesordnung. Ob es dabei nun um ein technisches Missgeschick geht, komplette Kundendatenbanken veruntreut werden, oder unerlaubt Informationen über die eigenen Mitarbeiter gesammelt werden. Und gerade weil Unternehmen Kunden- und Mitarbeiterdaten für geschäftliche Zwecke einsetzen müssen, über deren legalen Einsatz aber noch viel zu wenig wissen, sollten sie solchen unschönen “Zwischenfällen” organisatorisch und damit meist auch rechtlich zuvorkommen. Vor dem Hintergrund der gesetzlich geregelten Informationspflicht bei Datenpannen vom 1.September 2009 muss der Umgang mit sensiblen Daten auf der Unternehmensagenda deutlich mehr Priorität erhalten.

Informieren ist Pflicht

Die sogenannte “Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten” wird in ihren Auswirkungen derzeit noch stark unterschätzt. Sie kommt zur Anwendung, wenn Dritte von bestimmten personenbezogenen Daten unberechtigt Kenntnis erlangen, genauer von Daten zu Bank- und Kreditkartenkonten, Daten, die einem Berufsgeheimnis unterliegen, besonderen Arten personenbezogener Daten, Daten über Straftaten und Ordnungswidrigkeiten und auch von Bestands-, Nutzungs- und Verkehrsdaten bei der Erbringung von Telekommunikations- und Telemediendiensten. Bei Letzterem sollte besonders der weite Anwendungsbereich beachtet werden: Da laut Telemediengesetz (TMG) auch Bestands- und Nutzungsdaten, wie zum Beispiel reine IP-Adressen oder auch nur der Name oder die E-Mail eines Internetnutzers gehören, kann praktisch jedes Unternehmen, das einen Internetauftritt hat, von der Informationspflicht betroffen sein.

Dasselbe gilt für Mitarbeiterdaten: zu den eigenen Beschäftigten liegen den Unternehmen regelmäßig Informationen, wie Bankverbindung oder Krankmeldung etc. vor, also besonders schutzwürdige Daten, deren Verlust ebenfalls eine Informationspflicht auslösen kann.

Wenn die Daten in unbefugte Hände gelangen, woraus die Rechte oder schutzwürdigen Interessen schwer beeinträchtigt würden, müssen Unternehmen die Aufsichtsbehörde und unter Umständen die Öffentlichkeit mit halbseitigen Anzeigen in bundesweit erscheinenden Tageszeitungen informieren. Außerdem muss das Unternehmen dann umgehend die notwendigen Datensicherungsmaßnahmen ergreifen. Es ist auch Pflicht, eine Folgenabschätzung zu machen, die ebenfalls der Aufsichtsbehörde vorgelegt werden muss. Wer davon betroffen ist, erhält Empfehlungen für Maßnahmen, die nachteilige Folgen für ihn mildern können. Verliert beispielsweise jemand seine Bankdaten, sollte er regelmäßig die Abbuchungen von seinem Konto kontrollieren. Falls Kennwörter abhandenkommen, sollte die Bank empfehlen, diese umgehend zu ändern.

Datenerhebung: So viel wie nötig, so wenig wie möglich

Schon bei der Erhebung der Daten ist deshalb ein kritischer Blick angebracht. Nach dem datenschutzrechtlichen Grundsatz der “Erforderlichkeit”, muss das Unternehmen den Umfang der Datensammlung auf den wirklichen Verwendungszweck begrenzen. Andere Angaben, die etwa in einem Formular abgefragt werden, sollten vermieden oder ausdrücklich als “freiwillig” bezeichnet werden. Auch das Einholen einer Einwilligung hilft nur begrenzt weiter. Wichtig ist in diesem Zusammenhang das datenschutzrechtliche Koppelungsverbot. Im Juristendeutsch heißt das: der Gesetzgeber verbietet – unter bestimmten Voraussetzungen – den Vertragsschluss von einer Einwilligung des Kunden in eine Verwendung seiner Daten zu Werbezwecken abhängig zu machen, also etwa die Zustimmung zu dem regelmäßigen Erhalt eines Newsletters.

Sollen Kundendaten für Vermarktungszwecke eingesetzt werden, muss man vor allem bei dem Umfang der zulässigen Datenverwendung zu Werbezwecken genau hinsehen. Oft wird vernachlässigt, dass es entscheidend auf die Art der werblichen Ansprache ankommt, ob diese also postalisch, per E-Mail oder SMS, per Telefax oder per Telefon erfolgt. Die auch durch die Datenschutz-Novelle II neu gefasste Regelung in § 28 Abs. 3 BDSG, die ausdrücklich eine Werbenutzung von Daten unter bestimmten Voraussetzungen zulässt, regelt grundsätzlich nur die postalische Werbung. Für Werbemaßnahmen per E-Mail, SMS, Fax und Telefon muss das Unternehmen eine ausdrückliche Einwilligung der Kunden einholen (lediglich für E-Mail-Werbung besteht eine enge Ausnahmevorschrift für Bestandskunden). Erschwerend kommt hinzu, dass an eine solche Einwilligung strenge Anforderungen gestellt werden, wenn sie wirksam sein soll. Nach der jüngsten Rechtsprechung des BGH (zuletzt im Fall “Happy Digits”) ist es erforderlich, dass solche Einwilligungen separat durch eine gesonderte Angabe erteilt werden; eine Vermischung mit anderen Erklärungen – etwa in AGB – ist nicht erlaubt.

Der zweite Teil dieser Rechtskolumne erscheint am kommenden Montag (06.12.2010), unter anderem mit fünf Handlungsempfehlungen, was genau zu tun ist, um einer Datenpanne mit Kundendaten vorzubeugen.