Brandneu Aktuelle Ausgabe Newsletter abonnieren
- Anzeige -
- Anzeige -
- Anzeige - - Anzeige - - Anzeige -
- Anzeige - - Anzeige - - Anzeige -

Datenschutz - das unterschätzte Damoklesschwert

Erstellt am: 10.09.2017 | Kategorie: Studio-Management, Recht,
Datenschutz - das unterschätzte Damoklesschwert

Das unterschätzte Damoklesschwert

Datenschutz

Das Thema Datenschutz wird von vielen Unter­nehmern noch immer unterschätzt. In Zeiten des mobilen Datenzugriffs für Jedermann, mobiler ­Navigation und Playlisten scheinen aber die klaren Regeln zu verschwimmen – wer trägt wo die Verantwortung, welche Rechte und Pflichten haben Verbraucher und Mitarbeiter, welche Rechte und Pflichten haben Unternehmen und Arbeitgeber? Dr. Christoph Franke gibt einen Überblick über die aktuelle Gesetzeslage.

Der Datenschutz gehört zu den von Unternehmern am meisten unterschätzten und auch oft unzureichend beachteten Rechtsgebieten. Dabei gibt es wenige Rechts­gebiete, die in den letzten Jahren mehr an Bedeutung gewonnen haben, als das Datenschutzrecht – zuletzt auch durch den technischen Fortschritt begründet.
Diese Entwicklung betrifft nicht nur den geschäftlichen, sondern auch den privaten Lebensbereich, der mittlerweile Smartphone-dominiert ist. So ist es etwa ein Leichtes, den Standort einer Person über die Ortung ihres Smartphones zu lokalisieren, ebenso, wie Verbrauchsgewohnheiten über die Auswertung von Online-Bestellungen möglich sind.

Unternehmen diverser Branchen betroffen

Eine Vielzahl von öffentlich gewordenen Datenschutzskandalen hat außerdem zu einer Sensibilisierung im Um­gang mit dem Datenschutz geführt.
So hat etwa die Telekom AG ­zwischen 2005 und 2006 rechtsgrundlos und ohne Einwilligung der betroffenen Personen Telefondaten von Mit­arbeitern kontrolliert. Dies geschah mit der Absicht, festzustellen, ob es persönliche Verbindungen zwischen Entscheidungsträgern und Journalisten gibt.
Oder etwa die Deutsche Bahn AG, die 2009 die Daten ihrer Mitarbeiter mit Daten von Zulieferern ohne jeweiliges Einverständnis auf Schnittmengen überprüft hat, um so verifizieren zu können, ob Mitarbeiter möglicherweise von den Zulieferern Begünstigungen erhalten.
Ein weiterer Skandal trat bei dem Lebensmitteldiscounter LIDL auf, welcher systematisch Mitarbeiter durch Privatdetektive überwachen ließ, was dazu führte, dass gegen insgesamt 35 Vertriebsgesellschaften wegen Daten­schutzverstößen Bußgelder zwischen 10.000,00 und 310.000,00 Euro und insgesamt fast 1,5 Millionen Euro verhängt wurden.
Jüngst betroffen von der Kritik der Datenschützer ist eine in den Realmärkten eingesetzte Technik zur Gesichtserfassung bei Kunden zur Feststellung, ob Kunden bestimmte Werbeaufsteller anschauen oder nicht, wobei aufgrund der öffentlichen Kritik die Technik nicht mehr verwendet wird.

Die Gesetzeslage für die Fitnessbranche   © the_lightwriter - Fotolia.com

Auch in der Fitnessbranche wird zu­künftig der datenschutzrechtliche Umgang mit Cloud-gespeicherten Trainingsdaten der Mitglieder von besonderer Brisanz sein.
Zudem wird am 25. Mai 2018 die EU-Datenschutz-Grundverordnung wirksam, welche ebenfalls neue Anforderungen an die Unternehmer stellen wird.
Die nachfolgenden Ausführungen sollen Ihnen einen kurzen Überblick über die gesetzlichen Grundlagen des Datenschutzes geben.
Das Recht auf informationelle Selbstbestimmung
Zentrale Gesetzesvorschrift ist das Bundesdatenschutzgesetz (BDSG). Grundlage des Datenschutzes, mithin Datensubjekt, ist jeder Mensch, so dass ausschließliche Unternehmensdaten nicht geschützt sind.
Der Grundgedanke des Datenschutzes ist die informationelle Selbstbestimmung, d.h. das Recht des Einzelnen, über die Verarbeitung, Erhebung und Speicherung seiner Daten frei zu bestimmen. Hierunter sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zu verstehen – wie etwa Adresse, Berufsbezeichnung, Konfession, Krankheiten, Mitgliedschaften, ethnische Herkunft oder politische Meinung.
Der Anwendungsbereich des Bundesdatenschutzgesetzes ist immer dann eröffnet, wenn es um die Erhebung, die Verarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen) und die Nutzung personen­bezogener Daten unter Einsatz von Daten­verarbeitungsanlagen sowie die Erhebung, Verarbeitung und Nutzung in oder aus nicht automatisierten Dateien geht.
Verbot mit Erlaubnisvorbehalt
Für die Verarbeitung von Daten gilt grundsätzlich ein sogenanntes Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass eine Er­hebung, Speicherung und/oder Verarbeitung von Daten im Grundsatz immer unzulässig ist.
Lediglich dann, wenn der Betroffene der Erhebung, Speicherung und/oder Verarbeitung zugestimmt hat oder eine gesetzliche Ermächtigung greift, ist die Verarbeitung zulässig.
Nach § 4a BDSG ist die Einwilligung des Betroffenen nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Dieser ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner Daten hinzuweisen, ebenso wie auf die Möglichkeit der Nichtzustimmung einschließlich derer Folgen.
Dies ist der Grund, warum etwa in den Mitgliedsverträgen eine entsprechende Auf­klärung erfolgt.
Unabhängig von einer Einwilligung ist gemäß § 28 BDSG das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten und ihre Nutzung zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Auch hierunter fallen die Mitgliederstammdaten ebenso, wie diese Norm die Speicherung von Arbeitnehmerdaten ermächtigt.
Ein weiteres datenschutzrechtliches Instrument sind umfassende Auskunfts- und ­Korrekturrechte des Betroffenen. Hierbei handelt sich um Auskunfts-, Berichtigungs-, Löschungs-oder Sperrungsansprüche.

Bei Verstößen drohen empfindliche Strafen

Neben diesen Rechten des Betroffenen werden aber auch Unternehmen verpflichtet, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um einen unberechtigten Zugriff Dritter auf diese Daten zu verhindern.
Bei Verstoß gegen datenschutzrechtliche Vorschriften drohen
- Bußgelder
- Geld- oder Freiheitsstrafe oder
- Schadensersatzansprüche.

Ferner können die Aufsichtsbehörde, die Gewerbeaufsicht oder Verbraucherschutz­verband bei Verstößen tätig werden.
In diesem Zusammenhang ist darüber hinaus zu befürchten, dass Unternehmen zukünftig von Mitarbeitern oder Mitgliedern wegen angeblicher Verstöße gegen das Bundesdatenschutzgesetz „erpresst“ werden, umso eigene vertragliche Verpflichtungen zu umgehen.
Im Hinblick auf die Bemessung der Bußgelder ist zu berücksichtigen, dass die Geldbuße den wirtschaftlichen Vorteil des Unternehmens nicht nur kompensieren, sondern diesen auch übersteigen soll. Die Absicht des Gesetzgebers ist dabei, dass der Unternehmer sich das Bußgeld nicht bereits aus dem wirtschaftlichen Vorteil eines Verstoßes finanzieren kann.

Daten von Arbeitnehmern

Nicht nur im Verhältnis zu den Mitgliedern, sondern auch beim Personal sind datenschutzrechtliche Aspekte zu berücksichtigen.
Wie bereits dargestellt, ist eine Speicherung von Arbeitnehmerstammdaten gesetzlich zulässig, wobei hierunter jedenfalls
- der Name,
- die Anschrift,
- die Telefonnummer sowie
- die E-Mail-Adresse
einzuordnen sind.
Ob darüber hinausgehende Daten gespeichert werden dürfen, hängt vom jeweiligen Einzelfall ab. Wie etwa der tragische Fall des Germanwings Piloten Andreas Lubitz vor Augen führt, wäre es zum Beispiel zulässig, psychologische Profile von Piloten zu erstellen und zur Personalakte zu führen. Die Zulässigkeit dieser Verarbeitung folgt aus dem besonderen Anforderungs­profil dessen sich Piloten vor allem vor dem Hintergrund der besonderen Verantwortung gegenüber den Fluggästen unter Allgemeinheit ausgesetzt sehen.
Unzulässig wäre hingegen die Er­hebung entsprechender Daten bei einem Fitnesstrainer, da die psychische Konstitution insoweit erheblich unbedeutender ist, als bei Piloten.
Datenschutzrechtlich unzulässig ist auch der Anruf bei einem vorherigen Arbeitgeber, um sich dort über die Qualitäten des anzustellen Mitarbeiters zu erkundigen.
Zu den grundsätzlich schutzwürdigen Daten zählen die ethnische Herkunft, die Religion oder Weltanschauung, eine Behinderung, die sexuelle Identität und die der Gesundheit.
Bei der Speicherung dieser Daten sind zudem die gesetzlichen Bestimmungen des Allgemeinen Gleichbehandlungsgesetzes zu beachten, wobei die Frage der Zulässigkeit der Daten­erhebung an den beruflichen Anforderungen zu messen ist. So gehört es etwa zu dem Anforderungsprofil von Lokführern, eine gute Sehfähigkeit zu haben, wohingegen dieses für eine Sachbearbeitung im Büro nicht vorausgesetzt wird. Die Speicherung dieser Gesundheitsdaten wäre mithin bei dem Lokführer zulässig, bei dem Sachbearbeiter hingegen nicht.

Daten in sozialen Medien   © everythingpossible - Fotolia.com

Spannend ist auch die Frage, inwieweit – etwa in einem Bewerbungsverfahren – durch den Arbeitgeber auf Daten sozialer Netzwerke, wie zum Beispiel Facebook, XING oder LinkedIn zurückgegriffen werden darf.
Dabei ist es etwa denkbar, dass der Arbeitgeber sich über ein „Trojaner-Profil“ Zugang zu dem Netzwerk eines Bewerbers verschafft, um so die dort gepostet Inhalte zu überprüfen. Insoweit ist zunächst davon auszugehen, dass der Bewerber keine Zustimmung erteilt hat, so dass es nach der gesetzlichen Systematik darauf ankommt, ob zu Gunsten des Arbeitgebers eine gesetzliche Ermächtigungsgrundlage durch das BDSG vorgegeben wird.
Hier greift die Vorschrift des § 32 Abs.1 S.1 BDSG. Demnach dürfen personenbezogene Bewerberdaten erhoben, verarbeitet und genutzt werden, wenn dies für die Entscheidung der möglichen Begründung eines Beschäftigungsverhältnisses erforderlich ist. Die Erhebung von allgemein zugänglichen Daten ist daher dann unzulässig, wenn die Interessen des Bewerbers an seiner informationellen Selbstbestimmung das Verarbeitungsinteresse des Unternehmers überwiegt.
Im Allgemeinen wird davon ausgegangen, dass die Verarbeitung dieser Daten von der Art des jeweiligen sozialen Netzwerkes abhängig ist. Bei der Verarbeitung der Daten beruflicher sozialer Netzwerke ist es gerade Absicht des Bewerbers, seine Daten beruflich zu kommunizieren, um sich so ein geschäftliches Netzwerk zu schaffen. In diesen Fällen weiß der Bewerber nicht nur, vielmehr kommt es ihm gerade darauf an, dass diese Daten auch von Dritten geschäftlich genutzt werden, mit der Konsequenz, dass die Verarbeitung datenschutzrechtlich zulässig sein dürfte.
Entsprechend anders zu qualifizieren ist die Verarbeitung von Daten privater Netzwerke, wie etwa Facebook. Hier geht es dem Bewerber nicht um den Aufbau eines professionellen Netzwerkes, sondern um in der Regel rein private Kontakte, was dazu führt, dass eine Verarbeitung dieser Daten wohl nicht zulässig sein dürfte.
In diesem Zusammenhang stellt sich außerdem die Frage, wie lange das Unternehmen das Recht hat, die Daten zu verarbeiten, wenn ein Bewerber nicht ausgewählt wurde. Zentrale Vorschrift ist dabei § 35 Abs. 2 S. 2 BDSG. Demnach sind die Daten zu löschen, wenn eine Speicherung nicht mehr erforderlich ist. Dies sollte der Fall sein, wenn der Bewerbungsvorgang erfolgslos abgeschlossen wurde, wobei jedenfalls in der Literatur eine Löschungsfrist von bis zu zwei Monaten angenommen wird.

Wahrung des Datengeheimnisses

Soll es sodann zu einem Arbeitsvertrag kommen, so ist der neue Mitarbeiter zwingend auf seine Verpflichtung zur Wahrung des Datengeheimnisses nach § 5 BDSG hinzuweisen. Dort ist geregelt, dass es den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Satz 2 der Vorschrift verpflichtet den Arbeitgeber, seinen Arbeitnehmer bei Aufnahme der Tätigkeit auf das Datengeheimnis zu verpflichten, wobei diese Verpflichtung auch nach Beendigung der Tätigkeit weiter gilt.
Zusammenfassend können wir Ihnen daher nur nahe legen, zukünftig dem Datenschutz besondere Beachtung zu schenken, um so Ihr Unternehmen sicher aufzustellen, selbst wenn in der betrieblichen Praxis in der Regel nichts so heiß gegessen wird, wie es gekocht wird.
Dr. Christoph Franke
Fachanwalt für Arbeitsrecht
Fachanwalt für Verwaltungsrecht 

 

Weitere Artikel zum Schwerpunkthema Datenschutz

In der F&G-Ausgabe 5/2017 haben wir das Thema Datenschutz aus drei verschiedenen Blickwinkeln betrachtet. Neben dem Überblick über die aktuelle Gesetzenslage von Dr. Christoph Franke in diesem Artikel, schauen wir aus der Sicht der Studiobetreiber und aus Sicht der Verbraucherschützer den Datenschutz 

In seinem Artikel "Sind Sie sicher? Datenschutz in der Studiopraxis" wirft der zertifizierte QM-Auditor und langjährige Betreiber mehrerer Studio, Botond Mezey, für F&G einen Blick auf die Studiobereiche, die datenschutzrechtlich im Fokus stehen sollten. Bitte klicken Sie hier für den Artikel "Datenschutz in der Studiopraxis".

Die Verbraucherzentralen vertreten beim Thema Datenschutz die Interessen der Endverbraucher, die auch für Studiobetreiber relevant sind. F&G hat bei Frau Dr. Ricarda Moll von der Verbraucherzentrale NRW nachgefragt. Für den Aritkel klicken Sie bitte hier.

 

Bilder:
© your123 - Fotolia.com
© the_lightwriter - Fotolia.com
© everythingpossible - Fotolia.com

 

Datenschutz - das unterschätzte Damoklesschwert Datenschutz - das unterschätzte Damoklesschwert Datenschutz - das unterschätzte Damoklesschwert

« zurück

Ähnliche Beiträge

- Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige - - Anzeige -

© F&G - Fitness & Gesundheit 2018