Rechtstip der Woche: Datenschutz - der richtige Umgang mit Daten online

Im Internet werden Unmengen an Daten erhoben. Nutzerdaten, Transaktionsdaten, anonymisiert, pseudonymisiert oder auch personenbezogen. Nutzer registrieren sich auf Online-Plattformen und nutzen Onlinedienste. Auf die Nutzerdaten greift dann der Anbieter des Dienstes und ggf. auch Dritte zu.

Sofern es sich dabei um personenbezogenen Daten (Name, Vorname, Adresse etc.) handelt, bedarf es zu derer Erhebung und Verarbeitung grundsätzlich der Einwilligung des Betroffenen. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Geschieht die Erhebung der Daten für eigene Geschäftszwecke des Anbieters, so ist § 28 Abs. 1 BDSG zu beachten.

Daraus resultiert dann insbesondere die Verpflichtung des Anbieters, die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.

 

Umfassende Hinweispflichten

Insbesondere die Hinweis- und Informationspflichten des Anbieters bei der Erhebung von personenbezogenen Daten des Nutzers sind umfangreich.

Nach § 4a Abs. 1 Satz 2 BDSG ist der Betroffene auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalls erforderlich oder auf Verlangen, auf die Folgen der Verweigerung seiner Einwilligung hinzuweisen.

Viele Anbieter von Telemediendiensten missachten die Ihnen obliegenden Hinweispflichten - was massive Folgen hat. Denn fehlt es an den jeweils notwendigen Hinweisen an den Nutzer - den "Betroffenen" i.S.d. BDSG - so ist die darüber erhobene Einwilligung in die Datennutzung unwirksam. Jede Nutzung der Daten erfolgt dann rechtswidrig.

 

Weitergabe der Daten an Dritte

Sollen die Daten dann (auch noch) an einen Dritten weiter gegeben werden, so ist nicht nur über den Zweck der Übermittlung, sondern auch über den Empfänger der vorgesehenen Übermittlung aufzuklären. Für den Betroffenen muss also klar und eindeutig erkennbar sein, wer der Dritte ist und zu welchem Zwecken dieser Zugriff auf die Daten erhält.

 

keine Konzernklausel

Weit verbreitet ist die - leider falsche - Annahme, dass eine Weitergabe von Nutzerdaten innerhalb eines Konzerns, also etwa an Tochter- und Schwestergesellschaften des Anbieters zulässig, also durch eine sog. „Konzernklausel“ gedeckt sei. Dem ist aber nicht so. Das Datenschutzrecht sieht nämlich einzelne Unternehmen, natürliche oder juristische Personen grundsätzlich jeweils einzelnen als „Daten verarbeitende Stelle“ (§ 3 Abs. 7 BDSG) an. Die Bestimmungen des Datenschutzrechts richten sich jeweils an diese (juristische Person bzw. das verarbeitende Unternehmen, vgl. § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG.

Ferner trennt das Datenschutzrecht streng zwischen der Erhebung der Daten und der Übermittlung von Daten an Dritte. Letztere ist nur unter besonderen Voraussetzungen rechtlich zulässig, die entsprechend im Gesetz geregelt sind (vgl. etwa §§ 28 und 29 BDSG sowie § 3 BDSG).

Gesellschaftsrechtliche und/oder wirtschaftliche Verbindungen zwischen juristischen Personen – insbesondere die Zugehörigkeit zur gleichen Unternehmensgruppe oder zum gleichen Konzern - spielen daher bei der Anwendung des BDSG grundsätzlich keine Rolle. Gleiches gilt für gesellschaftsrechtliche Beherrschungsverträge. Das BDSG enthält insbesondere auch kein normiertes „Konzernprivileg“ – also eine Vorschrift, über die etwa die Nutzung von Daten in gesellschaftsrechtlich verbundenen Unternehmen erlaubt wird. Gleiches gilt im Übrigen auch für den europäischen Gesetzgeber – auch die EG-Datenschutzrichtlinie enthält kein Konzernprivileg.

Gesellschaften im Konzern sind daher zueinander stets Dritte gem. § 3 Abs. 8 Satz 2 BDSG.

 

Darstellung der Einwilligungserklärung

Aber nicht nur die Hinweispflichten sind zu beachten, auch müssen vorformulierte Einwilligungserklärungen optisch gesetzeskonform dargstellt werden.

Eine entsprechende Erklärung, über die das Einverständnis des Nutzers zur (weitergehenden) Nutzung seiner Daten durch die erhebende Stelle sowie durch Dritte eingeholt werden soll, ist optisch besonders abzusetzen. Dies entspricht nicht zuletzt den in der „Payback-Entscheidung“ des BGH (BGH, Urteil v. 16.07.2008 - Az.: VIII ZR 348/06 – „Payback-Entscheidung“) festgelegten Grundsätzen. Nach Auffassung des BGH ist es nämlich nicht erforderlich, dass der Verbraucher seine Einwilligungserklärung etwa über eine zusätzliche Unterschrift oder das Ankreuzen eines dafür vorgesehenes Kästchens zur positiven Abgabe der Einwilligungserklärung erklärt, dennoch muss die Willenserklärung, wenn sie mit anderen Erklärungen zusammen erteilt werden soll, besonders hervorgehoben werden .

Ähnlich sieht es das Oberlandesgericht (OLG) Hamm in seiner Entscheidung vom 17.2.2011 - AZ_ - I-4 U 174/10. Danach sollte eine Einwilligungserklärung in die (weitergehende) Nutzung von Daten optisch besonders hervorgehoben werden.

Fehlt es an der optischen Hervorhebung der Einwilligungserklärung in die Nutzung der Daten des Betroffenen durch den Anbieter, dürfte das entsprechende Einverständnis bereits aus diesem Grunde unwirksam sein - die Nutzung der Daten durch die dritten würde dann rechtswidrig erfolgen.

 

So sollte man bei der online-Erhebung von personenbezogenen Daten als Anbieter stets darauf achten, dass

  • eine schriftliche Einwilligungserklärung des Nutzers erforderlich ist
  • diese Einwilligungserklärung optisch abgesetzt werden muss
  • Dritte, an die die Daten übermittelt werden, genau bezeichnet werden müssen
  • ggf. schriftliche Verträge mit Dritten über die Auftragsdatenverarbeitung erforderlich sind
  • ggf. schriftliche und individuelle Vereinbarungen mit Dritten über die Zweckbestimmung von übermittelten Daten erforderlich sind und
  • die jeweiligen Daten konkret bezeichnet werden müssen.

 

Fazit

Jeder Anbieter sollte also im Vorfeld seiner Geschäftstätigkeit online, in dessen Rahmen personenbezogene Daten erhoben werden, ein entsprechendes Datenschutzkonzept entwickeln, um den strengen Vorgaben des deutschen Datenschutzrechts genüge zu tun. Dies ist wichtig, da schon kleine Fehler bei der Formulierung notwendiger Hinweise an den Betroffenen sowie bei der Darstellung der Einwilligungserklärung können dazu führen, dass die darüber erhobene Einwilligung des Nutzers unwirksam wäre. Das ist zwar recht aufwändig, gewährleistet dann aber – insbesondere bei Prüfungen durch die Landesdatenschutzbehörden – entsprechende Rechtssicherheit.