IT-Recht Kanzleibroschüre

Basics Datenschutzrecht Eine Grundregel des deutschen Daten- schutzrechts ist es, dass jedes Erheben, Speichern, Verarbeiten und Nutzen von personenbezogenen Daten verboten ist, sofern nicht eine bestimmte Erlaub- nisregel greift. Die relevanteste Erlaubnis ist die, dass der Betroffene eingewilligt hat. Seine Einwilligung befreit aber prinzipiell nur dann, wenn er zuvor über die daten- schutzrechtlichen Konsequenzen in bestimmter Weise von Ihnen belehrt wor- den ist und auch häufig nur dann, wenn sie in bestimmter Form gegeben wird. Außerdem muss die Belehrung auch in ihrer textlichen Fassung besonders hervorgehoben werden, sodass man sie gerade im Internet nicht einfach als Teil der AGB gestalten darf. Üblich ist es, dass die Belehrung in der Art erfolgt, dass der Betroffene aufgefordert wird, einer - etwas irreführend benannten - Datenschutzerklärung zuzustimmen. Diese Datenschutzerklärung muss ganz bestimmten Anforderungen entsprechen. So müssen z.B. die Daten, die erhoben werden bezeichnet werden, der Zweck, der damit verfolgt wird, welche tech- nischen Verfahren eingesetzt werden bzw. auf das Recht des Betroffenen der Datenverarbeitung zu widersprechen hingewiesen werden usw. Eine rechtskonforme Ausgestaltung ist essentiell, da die Datenschutzerklärung häufig das erste ist, was ein Konkurrent unter die Lupe nehmen wird. Das Gesetz versteht unter einer Daten- verarbeitung übrigens auch die Übermitt- lung der Daten an einen Dritten. Gemäß Neben der bereits genannten Einwilligung spielt hier eine weiterer wichtige Ausnah- meregel eine Rolle: Erlaubt ist die Wei- tergabe von Daten an ein Unternehmen, das die Daten nur im Auftrag verarbeitet und dessen Sitz sich im Europäischen Wirtschaftsraum befindet. der Grundregel ist also auch diese Weitergabe erst einmal verboten.

Damit eine solche Auftragsdatenver- arbeitung vorliegt, muss das Unterneh- men ebenso wie der Vertrag, der die Zusammenarbeit begründet, bestimmten Anforderungen genügen. Auftragsda- tenverarbeitung begegnet Ihnen in den unterschiedlichsten Formen. Nutzen oder betreiben Sie ein Rechen- zentrum oder bieten Sie Cloud-Dienst- leistungen an oder nehmen Sie diese in Anspruch, benötigen Sie eine entspre- chende datenschutzkonforme Vereinba- rung. Affiliate-Programme, selbst unter Umständen Host-Providing, kann eine Auftragsdatenverarbeitung sein. Die Verträge müssen zahlreiche Angaben enthalten, vom Gegenstand des Auftrags, der Art der beauftragten Verarbeitung bis hin zu Fragen der Berichtigung über- mittelter Daten, ihrer Löschung oder Sperrung, Kontrollrechten des Auftrag- gebers und Punkten, wie der Rückgabe von Datenträgern nach Beendigung des Auftrags. Mit diesen datenschutzrechtlichen Fragen kommen Sie schon in Berührung, wenn Sie auf Ihrer Website ein Webana- lyse-Tool wie Google Analytics oder eTracker einsetzen. Diese Anwendungen sammeln bestimmungsgemäß eine ganze Reihe von Daten über die Nutzung einer Website. Und zwar können hierzu auch personenbezogene gehören, nämlich z.B. dann, wenn eine statische IP-Adresse erfasst wird, die dann einer bestimmten Person zugeordnet werden kann. In der Vergangenheit schritten daher die Aufsichtsbehörden mancher Bun- desländer gegen die Verwendung von Webanalyse-Tools ein. Kunden benötigen hier regelmäßig Beratung, wie sie Google Analytics, eTracker und ähnliche Applika- tionen rechtskonform einsetzen können: Unter anderem muss die Datenschutzer- klärung entsprechend gestaltet sein und insbesondere einen Hinweis auf diese Anwendungen enthalten. Mit dem Provider muss ein Auftragsda- tenverarbeitungsvertrag geschlossen werden. Die IP-Adressen müssen um die letzten acht Stellen gekürzt werden und noch einiges mehr. Auch wenn Sie ein selbst gehostetes Webanalyse-Tool nut- zen, gibt es ähnliche datenschutzrechtli- che Anforderungen zu beachten. Ebenso entstehen Probleme beim individuellen Marketing über Social Media wie facebook, Google+ oder

Twitter , insb., wenn Sie Share-Buttons in Ihre Webpräsenz einbinden. Ist ein User eingeloggt, während er Ihre Seite aufruft, werden automatisch personenbezogene Daten erfasst, ohne dass zuvor wirksam eingewilligt wurde. Um dieses Problem zu umgehen, stehen spezielle Gestal- tungsmöglichkeiten offen, die bei einer individuellen Beratung erörtert werden.

Seite 21