Datenschutz

Steht dem Arbeitgeber keine Erlaubnisnorm zum Umgang mit den Daten des Arbeitnehmers zur Verfügung, ist die Verarbeitung und Nutzung dessen personenbezogener Daten grundsätzlich nur zulässig, wenn der betroffene Arbeitnehmer zuvor in die Verarbeitung seiner Daten einwilligt.

Aktuell befindet sich die elektronische Gesundheitskarte in der Testphase und soll gemäß § 291a SGB V die Krankenversicherungskarte zukünftig ersetzen. Nach dem momentanen Stand soll die Einführung der Gesundheitskarte bis Ende 2010 bundesweit durchgeführt sein. Mit der elektronischen Gesundheitskarte könnten Ärzte alle relevanten medizinischen Daten unmittelbar abrufen. Neben den Vorteilen für die Gesundheitsversorgung birgt diese Art der Datenerfassung und –speicherung aber auch Sicherheitsrisiken, nicht zuletzt im datenschutzrechtlichen Bereich.

Erhalten Beschäftigte von ihrem Arbeitgeber betriebliche Kommunikationsmittel wie zum Beispiel Internet, Mobiltelefone oder E.-Mail stellt sich die Frage, auf welcher gesetzlichen Grundlage die dabei entstehenden Daten vom Arbeitgeber überwacht werden können. Im Grundsatz ist hier zwischen privater und dienstlicher Nutzung zu unterscheiden. Konsequenz einer vom Arbeitgeber (stillschweigend) gestatteten Privatnutzung ist ein weitgehender Verlust von Kontrollmöglichkeiten über den Datenverkehr der betrieblichen Telekommunikation.

Nach dem Bundesdatenschutzgesetz sind personenbezogene Daten über den Gesundheitszustand so genannte „besondere Arten personenbezogener Daten“. Daher werden an die Verarbeitung dieser Daten besondere datenschutzrechtliche Anforderungen gestellt. Auswirkungen hat dies insbesondere auf die informationstechnische Verarbeitung und Sicherung dieser Daten in Arztpraxen sowie im übrigen Gesundheitsbereich. Der Artikel zeigt auf, welche datenschutzrechtlichen Aspekte in einer Arztpraxis berücksichtigt werden sollten und warum sich die Einhaltung der datenschutzrechtlichen Vorgaben letztlich auch finanziell für Sie auszahlt.

Marketingmaßnahmen per E-Mail sind eine kostengünstige Möglichkeit, die eigenen Produkte zu bewerben. Häufig wird von Unternehmen hierbei auf spezielle E-Mail-Marketing-Software zurück gegriffen, die sowohl die gesicherte Zustellung wie auch das spezifizierte Adressmanagement beherrscht. Hierbei sind zahlreiche rechtliche Vorgaben zu beachten. Der folgende Beitrag untersucht insbesondere die wettbewerbs- und datenschutzrechtlichen Aspekte beim Einsatz solcher Software.

Für Datenschutz-Aufsichtsbehörden besteht die Möglichkeit, von Unternehmen die Abberufung des Datenschutzbeauftragten zu verlangen, wenn dieser die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. Der folgende Beitrag erläutert Details, Voraussetzungen und Rechtsfolgen eines solchen Abberufungsverlangens.

Der Arbeitnehmerdatenschutz ist in Deutschland nicht übersichtlich in einem eigenen Arbeitnehmerdatenschutzgesetz geregelt, auch wenn dies verfassungs- und europarechtlich an sich gefordert wäre. Vielmehr ergeben sich die gesetzlichen Rahmenbedingungen aus der Anwendung des allgemeinen Bundesdatenschutzgesetzes (BDSG) und einer Reihe bereichspezifischer Vorschriften.

Daten über die eigene Gesundheit sind sensibel zu handhaben. Dies spiegelt sich von jeher wider in der ärztlichen Schweigepflicht. Im Rahmen der Möglichkeiten elektronischer Datenverarbeitung drängt sich von Patientenseite her immer mehr das Bedürfnis auf, die eigenen Patientendaten besonders zu schützen. Niedergelassene Ärzte in Deutschland müssen generell die Bestimmungen des Bundesdatenschutzgesetzes für den nicht-öffentlichen Bereich beachten.

Die verdeckte Online-Bonitätsprüfung vor Abschluss von Verträgen im Internet erfreut sich hoher Beliebtheit. Aus der Sicht der Verkäufer ist dies verständlich, da sich das Zahlungsausfallrisiko hinsichtlich unzuverlässiger Kunden erheblich verringert. Aus der Sicht der Käufer ist diese Entwicklung jedoch nicht unproblematisch. Durch die Hintergrund-Überprüfung wird schließlich eine ausgesprochen private Information offengelegt, ohne dass der Betroffene hiervon Kenntnis erhält.

Die obersten Datenschutz-Aufsichtsbehörden haben Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit ist in der Praxis von der Verwendung von Google Analytics und ähnlicher Tools in seiner derzeitigen Form in den meisten Fällen abzuraten.

Der BGH hat im Juli dieses Jahres die strafrechtlich relevante Garantenpflicht eines Leiters der Innenrevision einer Anstalt des öffentlichen Rechts bejaht und die Verurteilung zur Betrugsbehilfe durch Unterlassen bestätigt (Az. 5 StR 394/08). Zugleich hat der BGH ausgeführt, dass vergleichbare Maßstäbe auch für „Compliance Officer“ in Unternehmen anwendbar seien. In diesem Beitrag soll geklärt werden, ob die strafrechtlichen Überlegungen des BGH auch auf die Stellung des Datenschutzbeauftragten im Betrieb übertragen werden können.

Am 11. November 2009 hatte der Bundesgerichtshof (BGH) über die Verwendung von Kundendaten zu Werbezwecken zu entscheiden (Az.: VIII ZR 12/08). Damit liegt neben der Paybackentscheidung aus dem Jahr 2008 ein weiteres Urteil zu der Frage vor, welche Formalien für eine wirksame datenschutzrechtliche Einwilligungserklärung eingehalten werden müssen, damit die Daten der Kunden zu Zwecken der Werbung genutzt werden können.

Der Datenschutzbeauftragte kann bei Verstößen gegen das Datenschutzrecht nur in Ausnahmefällen direkt von den Betroffenen haftungsrechtlich zur Verantwortung gezogen werden. Haftungsgegner ist in solchen Fällen das Unternehmen selbst. Damit stellt sich die Frage, ob und wann das zur Haftung herangezogene Unternehmen bei einem Verstoß gegen Datenschutzrecht Rückgriff gegenüber dem Datenschutzbeauftragen nehmen kann.