Die wichtigsten Probleme im Datenschutzrecht

Mehr zum Thema: Datenschutzrecht, Datenschutz, Datensparsamkeit, Datensicherheit, Datenvernichtung, Datenschutzbeauftagter
3,71 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
7

Datenschutzerklärung, Datenschutzbeauftragter, Datenschutzeinwilligung, Datenweitergabe, Facebook & Co. – die häufigsten Themen und Probleme beim Datenschutz

In Deutschland gibt es neben dem Brief-, Post- und Fernmeldegeheimnis das Datenschutzrecht. Aufgabe datenschutzrechtlicher Vorschriften ist es, die informationelle Selbstbestimmung und rechtlich geschützte Geheimnisse eines jeden zu gewährleisten. Es soll ein Ausgleich geschaffen werden zwischen dem Datenschutz des Einzelnen und dem berechtigten Interessen der Allgemeinheit sowie der staatlichen und privaten Datenverarbeiter. Darf man z.B. eine Dashcam in seinem Auto installieren und den Verkehr filmen?.

Zum Datenschutzrecht im weitesten Sinne gehören auch alle Gesetze, Vereinbarungen und Anordnungen, die dem Schutz der Privatsphäre dienen und den Umgang mit Geheimnissen und personenbezogenen Daten regeln.

Ursprünglich wurde unter dem Begriff Datenschutz der Schutz der Daten selbst im Sinne der Datensicherung, z.B. vor Verlust, Veränderung ,oder Diebstahl verstanden.

Die Bedeutung des Datenschutzes ist seit der Entwicklung der Digitaltechnik stetig gestiegen, weil die Datenverarbeitung, Datenerfassung, Datenweitergabe und Datenanalyse immer einfacher werden. Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen immer neue Möglichkeiten.

Grundsatz Datensparsamkeit

Datensparsamkeit und Datenvermeidung sind ein Konzept im Bereich des Datenschutz. Die Grundidee ist, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind, denn gerade das unnötige Sammeln von sensiblen Daten durch öffentliche und nicht-öffentliche Stellen läuft dem Grundrecht auf informationelle Selbstbestimmung zuwider.

In Deutschland gilt der Grundsatz, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten sind, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Gleichzeitig bezeichnet Datensparsamkeit auch eine von Datenschützern geforderte Zurückhaltung seitens des Verbrauchers, persönliche Daten außerhalb der für eine Geschäftsbeziehung notwendigen Informationen preiszugeben, insbesondere im Internet und bei Gewinnspielen.

Schufa

Datenschutzrechtliche Probleme gibt es daher auch immer wieder im Zusammenhang mit der Schufa. Ihr Geschäftszweck ist, ihre Vertragspartner mit Informationen zur Bonität Dritter zu versorgen. Die Schufa ermittelt die von ihr eingestellten Daten aber nur teilweise selbst – externe Systeme werden mit einbezogen. Im Regelfall liefern Banken und andere Vertragspartner Daten über ihre Kunden an die Schufa. Andere Daten beschafft sich die Schufa selbst; zum Beispiel Daten aus öffentlichen Quellen, etwa den Schuldnerverzeichnissen der Amtsgerichte.

Begründet wird das Schufa-System mit dem Hinweis, dass es nicht nur dem Kreditgeber nützt, sondern über die dadurch verringerten Risikoprämien indirekt auch den Kreditnehmern. Es wird auch argumentiert, Verweigerung von Kreditanträgen von Kunden mit schlechten Schufa-Einträgen schütze Verbraucher vor Überschuldung, was allerdings als Entmündigung des Verbrauchers kritisiert wird.

Das Bundesverbraucherschutzministerium hat 2009 eine Studie über die Fehlerquoten verschiedener Auskunfteien erstellt und festgestellt, dass auch die Schufa eine sehr hohe Fehlerquote (69%) hat. Immer wieder wird von Verbrauchern geprüft oder verlangt, einen Schufa-Eintrag löschen zu lassen.

Rasterfahndung

Kritik wird auch an der Rasterfahndung geübt.

Die Rasterfahndung ist ein Verfahren der Massendatenverarbeitung, bei der automatisiert Informationen aus Fremddatenbeständen mit anderen Datenbeständen abgeglichen werden, um bestimmte Personen zu ermitteln.

Bei einer Demonstration gegen Nazis in der Dresdener Südvorstadt wurden im Februar 2011 mindestens 4,5 Stunden lang sämtliche Mobilfunk-Verbindungsdaten großräumig im Bereich der Demonstration erfasst. Unter den Teilnehmern waren auch Anwälte, Journalisten sowie Abgeordnete des Bundestages und mehrerer Landtage. Die Rasterfahndung wurde zur Unterstützung von Ermittlungen in Fällen des Landfriedensbruchs gerichtlich genehmigt. Ein Teil der Daten wurde anschließend zweckentfremdet und für andere Ermittlungen in Zusammenhang mit der Demonstration genutzt. Nach Bekanntwerden des Vorfalls durch Recherche der taz verbot die Staatsanwaltschaft Dresden die weitere Verwendung der Daten für Ermittlungen, die nicht mit dem Tatbestand des Landfriedensbruchs in Zusammenhang stehen.

Als problematisch wird bei dieser Technik insbesondere gesehen, dass alle erfassten Personen, auf die bestimmte Merkmale (zum Beispiel: Schuhgröße, Geschlecht, Nationalität) zutreffen, zunächst verdächtigt werden. In Verbindung mit entsprechenden Maßnahmen gegen diesen Personenkreis kann dies als ein latenter Verstoß gegen das Diskriminierungsverbot gewertet werden. Die Verknüpfung von Daten verschiedener Herkunft wird hinsichtlich des Grundrechts auf informationelle Selbstbestimmung ebenfalls oft als problematisch gesehen, da mittels ausgefeilter computergestützter Algorithmen Daten so interpretiert werden können, dass zusätzliche Informationen generiert werden.

Im April 2004 wurde bekannt, dass nach der Auswertung von etwa 8,3 Millionen Datensätzen in Deutschland nur ein einziges Ermittlungsverfahren eingeleitet worden ist. Dieses wurde aber wieder eingestellt.

Nach einer Verfassungsbeschwerde eines jungen Marokkaners gegen eine Rasterfahndung bei der nach so genannten Schläfern in der Zeit nach dem 11. September 2001 gesucht wurde, hat das Bundesverfassungsgericht eine massenhafte Datenermittlung nur bei einer "konkreten Gefahr für hochrangige Rechtsgüter" erlaubt. Eine allgemeine Bedrohungslage, wie sie seit den Terroranschlägen von New York und Washington "praktisch ununterbrochen" bestanden habe, reiche nicht aus.

Vorratsdatenspeicherung

Immer wieder in der Diskussion ist auch die Vorratsdatenspeicherung.

Unter einer Vorratsdatenspeicherung versteht man die Speicherung personenbezogener Daten durch oder für öffentliche Stellen, ohne dass die Daten aktuell benötigt werden. Sie werden also nur für den Fall gespeichert, dass sie einmal benötigt werden sollten - auf "Vorrat".

In der rechtspolitischen Debatte bezieht sich der Begriff meist auf die Vorratsdatenspeicherung von Telekommunikations-Verbindungsdaten. Diese betrifft die Verpflichtung der Anbieter von Telekommunikationsdiensten zur Registrierung der Verbindungsdaten elektronischer Kommunikationsvorgänge, ohne dass ein Anfangsverdacht oder eine konkrete Gefahr besteht (Speicherung bestimmter Daten auf Vorrat). Erklärter Zweck der Vorratsdatenspeicherung ist die verbesserte Möglichkeit der Verhütung und Verfolgung schwerer Straftaten.

Die Vorratsdatenspeicherung ist dabei eine Vorstufe der Telekommunikationsüberwachung und vermindert die Anonymität im Internet. Die auf Vorrat zu speichernden Daten erlauben demjenigen, der auf sie Zugriff hat, weitgehende Analysen persönlicher sozialer Netzwerke. Mit Hilfe der auf Vorrat zu speichernden Daten lässt sich – ohne dass auf Kommunikationsinhalte zugegriffen wird – das Kommunikationsverhalten jedes Teilnehmers analysieren. In dem Maße, in dem die Telekommunikation zunimmt, wird die Bedeutung solcher Analysen für die Erstellung von Persönlichkeitsprofilen wachsen.

Datenschützer, Verfassungsrechtler, Parteien und Vertreter verschiedener Berufsgruppen stellen Sinn und Verhältnismäßigkeit einer Vorratsdatenspeicherung in Frage, sie weise den Weg Richtung Überwachungsstaat. Berichten zufolge hat die Vorratsdatenspeicherung in der Vergangenheit keine Veränderungen in Aufklärungsraten verursacht.

Datensicherheit

Sind Daten dennoch einmal angefallen, so sind technisch-organisatorische Maßnahmen zur Gewährleistung des Datenschutzes zu treffen (Datensicherheit). Hierzu gehört insbesondere die Beschränkung des Zugriffs auf die Daten durch die jeweils berechtigten Personen. Für automatisierte Abrufverfahren (Online-Verfahren) sind besondere Regeln zu beachten.

Der Fall Snowden

Edward Snowden hat als technische Fachkraft für die US-amerikanischen Geheimdienste CIA, NSA und DIA gearbeitet.

Im Juni 2013 begannen der britische Guardian und die amerikanische Washington Post, geheime Dokumente zu veröffentlichen, die Edward Snowden übermittelt hatte. Snowden selbst wurde deswegen in den USA der Spionage angeklagt und floh nach Russland ins Exil.

Die von Snowden entwendeten Dokumente enthüllen US-amerikanische Programme zur Überwachung der weltweiten Internetkommunikation (PRISM und Boundless Informant) sowie das noch umfassendere britische Überwachungsprogramm Tempora. Sie zeigen, dass die amerikanische National Security Agency (NSA), die britischen Government Communications Headquarters (GHCQ) und ihre Partnerdienste jede Form elektronischer Kommunikation überwachen wollen.

Die Bundesregierung hat erst scharf auf die Enthüllungen reagiert, als klar war, dass auch die Bundeskanzlerin ein Ziel der NSA ist. Angela Merkel rief US-Präsident Barack Obama an und verlangte "Aufklärung über den Gesamtumfang" der US-Spionage in Deutschland. Der damalige Außenminister Guido Westerwelle bestellte den US-Botschafter ein. Wirklich geändert hat sich seitdem aber wenig.

Am 8. Mai 2014 beschloss der NSA-Untersuchungsausschuss des Deutschen Bundestags im Auftrag aller Fraktionen, Snowden als Zeugen zu laden. Offen blieb, wo er aussagen würde. Die Klärung der NSA Affäre dauert an.

Snowden befindet sich in Russland und hatte dort vorerst befristetes Asyl bekommen. Er stellte in diversen anderen Ländern ebenfalls einen Asylantrag, die meisten wurden jedoch bis dato abgelehnt. Am 31. Juli 2014 um Mitternacht lief Snowdens befristetes Asyl aus. Am 7. August wurde bekannt, dass Russland Snowden eine weitere Aufenthaltserlaubnis für drei Jahre erteilt hat. Die Aufenthaltsgenehmigung gelte seit dem 1. August. Snowden könne sich in Russland frei bewegen.

Datenvernichtung

Aus dem Prinzipien der Datensparsamkeit folgt zudem, dass Daten zu löschen sind, sobald sie nicht mehr benötigt werden. Nicht mehr erforderliche Daten, die wegen gesetzlicher Aufbewahrungs- und Dokumentationspflichten (z.B. Steuerrecht bis zu 10 Jahren) nicht gelöscht werden dürfen, sind zu sperren.

Zu den grundlegenden Datenschutzanforderungen gehören ferner die unabdingbaren Rechte der Betroffenen (insb. das Recht auf Auskunft über die zu der jeweiligen Person gespeicherten Daten) und eine unabhängige Datenschutzaufsicht.

Arbeitnehmerdatenschutz

Arbeitnehmerdatenschutz ist der Schutz des allgemeinen Persönlichkeitsrechts und insbesondere des Rechts auf informationelle Selbstbestimmung von Personen in ihrer Eigenschaft als Arbeitnehmer im Unternehmen.

Arbeitgeber und Arbeitnehmer stehen sich zwar rechtlich als gleichwertige Partner gegenüber, der Arbeitgeber ist dem Arbeitnehmer aber wirtschaftlich und strukturell überlegen. Die Verfassung gebietet daher einen besonderen Schutz für den schwächeren Vertragspartner, insbesondere für Vertragsinhalte, die Eingriffe in das allgemeine Persönlichkeitsrecht erlauben.

Es ist ein weit verbreiteter Irrtum, dass der Arbeitgeber nach billigem Ermessen in das Recht auf informationelle Selbstbestimmung des Arbeitnehmers eingreifen dürfte.

Datenschutz im Internet

Datenschutz im Internet bezeichnet die Anwendung des Datenschutzes bei über das Internet übertragenen Daten. Es beinhaltet die Anwendung der Kontrolle über die Art und die Menge an Informationen, die über eine Person im Internet freigegeben wird und wer Zugang zu diesen Informationen hat.

In Deutschland muss ein Webseitenbetreiber den Nutzer unterrichten, wenn er Daten erhebt. Eine Datenschutzerklärung umschreibt Maßnahmen, die eine Organisation ergreift, um die Privatsphäre seines Kunden oder Benutzers zu wahren. Besonders schützenswert sind hierbei erhobene personenbezogene Daten. Darüber hinaus wird üblicherweise dargelegt, wie diese Daten gesammelt, genutzt und ob sie gegebenenfalls an Dritte weitergegeben werden.

Datenschutzerklärungen (oder besser Datenschutzhinweise) sind dabei in Deutschland strikt von Datenschutz-Einwilligungen zu unterscheiden: Bei den Datenschutzerklärungen erläutert der Anbieter rein informierend, was er mit den Daten aufgrund gesetzlicher Befugnisse unternimmt. Bei einer Datenschutz-Einwilligung holt sich der Anbieter eine Zustimmung des Nutzer ein, die Daten in einer Art und Weise zu nutzen, die das Gesetz nicht per se erlaubt (z.B. Zusendung von Werbe-E-Mails).

Gemäß des Bundesdatenschutzgesetztes haben alle Personen einen Anspruch auf Auskunft nach § 34 BDSG, welche Daten über Sie gespeichert wurden. Die verantwortliche Stelle hat in diesem Rahmen Auskunft über gespeicherte Informationen zu seiner Person, der Herkunft, den Empfänger und den Zweck der Speicherung zu erteilen. Sind über den Betroffenen keine Daten gespeichert, ist ihm auch dies mitzuteilen (sog. Negativauskunft).

Gefahren im Internet

In der heutigen Welt sind Millionen Personen von Datenschutzverletzungen bedroht. Unternehmen werden nicht nur dazu beauftragt, zu schauen, welche Seiten von einem Webnutzer besucht werden, sondern auch, diese Information zu erschleichen und Werbung, basierend auf den besuchten Seiten, zu senden. Dies ist möglich, da viele Leute Facebook-Konten o.ä. haben und Bank- bzw. Kreditkarten-Daten auf verschiedensten Webseiten eingeben.

Die Leute, die über Datenschutz im Internet besorgt sind, führen häufig einige Gefahren für den Datenschutz auf – also Ereignisse, die möglicherweise durch die Internetnutzung auftreten. Die Methoden dazu reichen von der Erstellung von Statistiken der Nutzer bis zu schädlichen Handlungen wie der Verbreitung von Spyware oder die Verwendung von Exploits.

Weitere mögliche Gefahren sind z.B.:

  1. Malware („Schadprogramme")

    ist "böse Software", die einem einzelnen PC, Server oder Netzwerk schadet, sei es durch einen Virus, einen Trojaner (eigentlich: trojanisches Pferd) oder durch Spionage-Mechanismen ("spyware").

  2. Spyware

    ist ein Programm, das Informationen eines Computerbenutzers ohne dessen Zustimmung sammelt und weitergibt.

  3. Ein Zählpixel

    ist ein transparent kleines Bild, das in eine Webseite oder E-Mail eingebunden wird. Es ermöglicht zu überprüfen, wer wann welche Seiten oder E-Mails aufruft.

  4. Phishing

    bezeichnet ein Verbrechen, bei dem versucht wird, vertrauliche Informationen wie Passwörter, Kreditkarten- oder Kontodaten von einem Computernutzer zu erfahren.

  5. Pharming

    bezeichnet den Versuch eines Hackers, den Datenverkehr einer Website zu einer anderen, gefälschten Website umzuleiten. Dies wird ermöglicht, indem beim Opfer die Hosts-Datei manipuliert oder eine Sicherheitslücke eines DNS-Servers ausgenutzt wird.

  6. Böse Proxy-Server

    (Gefahren der Verwendung von anonymen Proxy-Servern oder anderen „Anonymitäts"-Diensten)

Datenschutzbeauftragter

Interesse an personenbezogenen Informationen haben sowohl staatliche Stellen als auch private Unternehmen. Sicherheitsbehörden möchten beispielsweise durch Rasterfahndung, Telekommunikationsüberwachung und Bestandsdatenauskunft die Verbrechensbekämpfung verbessern. Finanzbehörden sind an Banktransaktionen interessiert, um Steuerdelikte aufzudecken.

Ein Datenschutzbeauftragter muss daher bestellt werden, wenn personenbezogene Daten (z.B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten) automatisiert verarbeitet werden und so die Gefahr besteht, dass persönliche Daten an die Öffentlichkeit geraten könnten.

Ein Betrieb muss spätestens einen Monat nach Aufnahme seiner Tätigkeit einen Datenschutzbeauftragten bestellen. Bei Nichtbestellung oder verspäteter Bestellung liegt eine Ordnungswidrigkeit vor, die mit einem Bußgeld geahndet werden kann.

Ein Datenschutzbeauftragter (DSB) wirkt in einem Betrieb o.ä. auf die Einhaltung des Datenschutzes hin. Die Person kann Mitarbeiter dieser Organisation sein oder als externer Datenschutzbeauftragter bestellt werden. Der Datenschutzbeauftragte muss die notwendige Fachkunde für die Ausübung besitzen und darf nicht in einen Konflikt oder in die Gefahr der Selbstkontrolle geraten.

Rechtsanwalt im Datenschutzrecht zum Festpreis

Bei Problemen im oder um das Internet können datenschutzrechtliche Anwälte auf 123recht.de zum Festpreis online gebucht werden. Den passenden Anwalt in Ihrer Nähe finden Sie in unserer Anwaltssuche.

Dipl.jur.Denise Gutzeit