Datenschutzgesetze und Datenschutzerklärung – Richtlinien und Hilfestellungen

Es gibt Unmengen an Gesetzen, die sich mit dem Thema Datenschutz bzw. dem Schutz personenbezogener Daten auseinandersetzen. Selbst für große und rechtsbewusste Unternehmen ist es oft schwierig, beim Thema Datenschutzgesetze sowohl den Überblick zu behalten als auch stets auf dem aktuellen Stand der Dinge zu sein. Kleinere Firmen müssen hingegen Prioritäten bestimmen und ein Verfahren entwickeln, das ihnen ermöglicht die wichtigsten Datenschutzgesetze nach Relevanz einzuordnen und zu selektieren. Dabei geht es nicht unbedingt darum, jedes einschlägige Gesetz auszumachen und im Detail einzuhalten.

Was sind Datenschutzgesetze?

Datenschutzgesetze beschäftigen sich primär mit personenbezogenen Daten, also auf einzelne Menschen bezogene Informationen und definieren deren Erhebung, Speicherung, Nutzung und Übermittlung. Es gibt länderspezifische und allgemeine Grundsätze, die dabei helfen, relevante Gesetze für die Erstellung von Datenschutzprogrammen auszumachen und richtig einzuordnen. Doch welche Gesetze sind nun für Sie als Unternehmer oder Datenschutzbeauftragter relevant? Man kann die für ein Unternehmen wichtigen Datenschutzgesetze eingrenzen, indem man jurisdiktionelle und sachlich Filter anwendet.

Welche Datenschutzgesetze betreffen (sachlich) mein Unternehmen?

Manche Datenschutzgesetze gelten unmittelbar nur, oder gar nicht für bestimmte Arten von Unternehmen. Hier einige Beispiele:

  • europäische Datenschutzgesetze gelten grundsätzlich nicht:
    • für staatliche Behörden z.B. im Bereich nationaler Sicherheit
    • für Privatpersonen (natürliche Personen) in der Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Europäische Datenschutzgesetze gelten nicht für Webblogs

  • Finanz- und Telekommunikationsdatenschutzgesetze gelten nur für Banken und Telekommunikationsunternehmen.
  • Die Reglementierung von Direktwerbung trifft in der Regel nur für Wirtschaftsunternehmen zu (davon ausgeschlossen sind politische Parteien oder Wohltätigkeitsvereine).
  • Das amerikanische Gesundheitsdatenschutzgesetz (HIPAA) gilt nur für bestimmte erfasste Stellen und ihre Geschäftspartner, also z.B. Ärzte, Krankenversicherungen und deren Dienstleister.

Ist Ihr Unternehmen als Auftragsverarbeiter tätig (dies trifft wohl in den meisten Fällen auf Unternehmer zu) sind die gesetzlichen Datenschutzanforderungen an Sie wesentlich begrenzter und weitgehend auf Datensicherheit und das Befolgen von Kundenweisungen beschränkt.

Beachten Sie: Selbst wenn ein Datenschutzgesetz nicht unmittelbar auf Ihr Unternehmen zutrifft, kann es durchaus sein, dass dieses für Ihre Geschäftspartner relevant ist. Durch Ihre Verträge mit Dienstleistern und Partnern kann es jedoch vorkommen, dass ein bestimmtes Gesetz, was Ihnen zuvor nicht relevant erschien, plötzlich doch Anwendung findet. Prüfen Sie deshalb die Veträge Ihrer Geschäftspartner!

Regionaler Datenschutz

Um Ihre Recherchearbeit zu erleichtern, welche Datenschutzgesetze auf Ihr Unternehmen zutreffen, sollten Sie zunächst einen Blick auf regionale Regelungsansätze werfen.

In den meisten Ländern gilt nach wie vor die Grundregel: “Die Verarbeitung personenbezogener Daten ist unzulässig, es sei denn, die Betroffenen willigen ein oder es gibt eine gesetzliche Ausnahme. Die Verarbeitung personenbezogener Daten ist erlaubt, wenn folgende gesetzliche Ausnahmen gegeben sind: Unternehmen muss/darf personenbezogene Daten verarbeiten

  • um Vertragspflichten zu erfüllen (Vertragserfüllung),
  • um gesetzliche Anforderungen zu erfüllen,
  • um Aufgaben des öffentlichen Interesses wahrzunehmen (sofern Datenschutzinteresse des Betroffenen nicht überwiegt) und
  • um lebenswichtige Interessen des Betroffenen zu schützen.

Setzen Sie sich zunächst mit den regionalen Bestimmungen auseinander, bevor Sie in die Tiefe gehen. US-Gesetze weichen stark von europäischem Recht ab und unterscheiden sich grundlegend von deutschem bzw. europäischem Datenschutz. Es gibt aber auch Länder wie Kolumbien, Argentinien, Israel, Uruguay oder Russland, die Datenschutzgesetze gemäß dem europäischen Standard entworfen und angepasst haben. Ähnlich haben es Japan, Kanada, Australien, Indien oder Mexiko gemacht. Allerdings mit flexibleren Regeln hinsichtlich Belehrungen und Einwilligungen und wesentlich weniger bürokratischen Verfahrensvorschriften.

Weitere Vorschriften neben dem Datenschutzgesetz

Neben den geltenden Datenschutzgesetzen gilt es für Unternehmen im Rahmen ihres Datenschutzprogramms eine Vielzahl weiterer Vorschriften und Bestimmungen zu beachten:

  • Arbeits-, Verbraucherschutz und Wettbewerbsrecht sind unter anderem Pflichten, die Unternehmen zu berücksichtigen haben
  • Verfassungsmäßige Verpflichtungen, die in manchen Rechtsordnungen unmittelbar oder mittelbar für Firmen gelten
  • Datensicherheitsanforderungen, Benachrichtigungspflichten in Bezug auf Sicherheitsverletzungen und Bezugnahme auf Datenschutzerklärungen
  • Kundenerwartungen und betr. Notwendigkeiten hinsichtlich Datennutzungszwecken und -aufbewahrungszeiträumen
  • einseitige Versprechen gegenüber Betroffenen hinsichtlich Datenschutz in Datenschutzerklärungen

Die Datenschutzerklärung auf einen Blick

Unternehmen müssen stets darauf bedacht sein, ihre Datenverarbeitungspraktiken im Einklang mit allen Erklärungen, Belehrungen und Geschäftsbedingungen zu halten, durch Anpassung entweder der Praktiken oder der veröffentlichten Beschreibung der Praktiken – Lothar Determann “Datenschutz-International Compliance Field Guide”

Im Klartext: Tun Sie das, was Sie sagen? Allgemein sind Versprechen zu halten – deshalb gilt es alle Beschränkungen einzuhalten, die man in Datenschutzerklärungen, Belehrungen und Veträgen auf sich genommen hat. Unternehmen sind dazu verpflichtet Datenschutzerklärungen und -belehrungen abzugeben und diese auch zu veröffentlichen. Dies ist durch entsprechende Gesetze oder aber durch faktische Zwänge wie etwa der Erfordernis, auf Plattformen für mobile Softwareanwendungen Datenschutzerklärungen zu veröffentlichen, oder Richtlinien durch Behörden geregelt.

Sollten Unternehmen ihre Versprechen in Datenschutzerklärungen nicht einhalten, können sie nach verschiedenen Rechtsgrundsätzen belangt werden. Unter anderem nach Deliktsrecht und allgemeinen Verboten des unlauteren Wettbewerbs.

Wissenswertes, Fragen /Antworten und weitere Informationen zum Thema Datenschutzerklärung und Impressum finden Sie in unserem Artikel.