Der Schutzheilige des Deutschen muss "St. Bürokratius" heißen. Ein Präsident der Steinbeiß-Stiftung brachte es anlässlich einer Ansprache auf den Punkt "Die Deutschen haben ein geradezu erotisches Verhältnis zu Formularen". Der Gesetzgeber hat den Unternehmen weitere Belastungen beschert.
Gemäß dem "Artikel 1 des Ersten Gesetzes zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft (BGBl. I S. 1970) vom 22.08.2006" kommen seit wenigen Tagen zusätzliche Belastungen auf kleine und mittlere Unternehmen zu.
Bußgeld und Abmahnung drohen bei Verstoß gegen den Datenschutz
In zahlreichen Unternehmen wurden die Vorschriften auch bei der eigenen elektronischen Datenverarbeitung (EDV) noch nicht umgesetzt. Dies kann z.B. ein Bußgeld und eine kostenpflichtige Abmahnung nach dem Gesetz gegen unlauteren Wettbewerb (UWG) nach sich ziehen.
Öffentliches Verfahrensverzeichnis - mehr Bürokratie?
Bereits seit 23.05.2004 gilt für alle Unternehmer die Verpflichtung nach dem Bundesdatenschutzgesetz (BDSG), ein öffentliches Verfahrensverzeichnis zu besitzen. Von dieser Pflicht ist auch jeder Freiberufler betroffen.
Inhalt des Verfahrsverzeichnisses:
Im Verfahrensverzeichnis ist insbesondere niedergelegt, welche Daten zu welchen Zwecken erhoben, an wen die Daten übermittelt und wann die Daten wieder gelöscht werden. Beispiel: http://www.fiala.de/cms/index.php/datenschutzinformation/777/0/
Nach einem Urteil des Verwaltungsgericht Gießen vom 16.07.2004 (Az. 22 L 2286/04) kann die Löschung von Daten verlangt werden, wenn das Verfahrensverzeichnis nicht bzw. nicht ordnungsgemäß erstellt vorliegt, denn dann ist die EDV rechtswidrig.
Gesetzlicher Grundsatz: Anmeldung bei der Aufsichtsbehörde vor EDV-Einsatz
Nach § 4d Abs. 1 BDSG besteht für "Verfahren automatisierter Verarbeitungen von Daten", also den Einsatz einer EDV, im Grundsatz eine Meldepflicht bei der Aufsichtsbehörde.
Die Meldung an die Aufsichtsbehörde hat praktisch zur Folge, dass die Behörde den Unternehmer drängen wird, einen Datenschutzbeauftragten (bDSB) zu bestellen. Denn die Behörde wird aus Kapazitätsgründen weiterhin nur den "Problemfällen" nachgehen wollen.
Ausnahmen von der Meldepflicht
Die Meldepflicht kann nach BDSG entfallen, wenn:
a) nur Daten mit Einwilligung des Betroffenen verarbeitet werden oder
b) die Verarbeitung nur für vertragliche Zwecke erfolg.
Trifft keine dieser beiden Alternativen für sämtliche Daten zu, so soll regelmäßig ab der ersten Person, die personenbezogene Daten verarbeitet ein bDSB bestellt werden.
Anderenfalls muss ein bDSB erst bestellt werden, wenn es sich um mehr als neun Personen handelt.
Ist jedoch ein bDSB bestellt, so entfällt die Meldepflicht. Allerdings kann nicht die Geschäftsleistung zum bDSB bestellt werden. Ein Anstellungsvertrag ist für die Bestellung zum bDSB nicht ausreichend. Oft wird ein externer bDSB bestellt.
Auskunftspflicht gegenüber Jedermann
Jedermann kann beim bDSB beantragen, dass ihm das so genannte Verfahrensverzeichnis überlassen wird. Falls kein bDSB bestellt ist, trifft diese Pflicht das Unternehmen selbst. Sofern das öffentliche Verfahrensverzeichnis auf der Homepage des Unternehmers zur Einsicht gespeichert ist, kann allerdings darauf verwiesen werden.
Datenschutzbeauftragter fehlt: Einstellung der EDV-Nutzung und Datenlöschung
Spätestens sobald mehr als neun Personen (eingeschlossen freie Mitarbeiter, Azubi, Teilzeitkräfte, Firmeninhaber bzw. Unternehmensleiter) regelmäßig (also nicht gelegentlich, z.B. im Krankheitsfalle als Vertretung) personenbezogene Daten bearbeiten, so muss vor Inbetriebnahme der EDV ein bDSB bestellt werden oder die Datenverarbeitung bei der Aufsichtsbehörde gemeldet worden sein. Anderenfalls kann die Lösung unberechtigter Datenspeicherung verlangt werden.
Wettbewerbsrecht
Es gibt Meinungen, nach denen es einen unlauteren Wettbewerb darstellt, wenn die Bestellung eine bDSB nicht erfolgt ist, obwohl ein solcher nach dem Gesetz bestellt werden müsste. Der unlautere Wettbewerbsvorteil bestehe darin, dass man sich durch den Verstoß gegen das Gesetz einen Vorteil gegenüber den das Gesetz befolgenden Unternehmern verschafft.
Auskunftsrechte, strafbare Datenweitergabe, Datensperre und -berichtigung:
Wenn beispielsweise einem Schuldner unberechtigt mit einem "Schufa"-Eintrag gedroht wird, so kann darin eine versuchte Nötigung (§§ 240, 22 StGB) oder Erpressung (§§ 253, 22 StGB) liegen.
Wirtschafts- und Bonitätsauskunfteien haben nach einer Anforderung auch offen zu legen, wem welche Daten übermittelt wurden. Ausnahmsweise kann hier ein Betriebsgeheimnis vorrangig sein, § 34 I S.1 BDSG. Unrichtige Daten sind zu sperren, zu berichtigen und ggf. zu löschen (Urteil vom 16.05.2005 des LG München I).
Ärzte und Steuerberater dürfen über Ihre Patienten bzw. Mandanten ohne Erlaubnis keine Bonitätsauskunft einholen. Allein die Tatsache einer Geschäftsbeziehung unterfällt der Verschwiegenheitspflicht.
Verbotene Datennutzung
Gelegentlich melden sich "Interessengemeinschaften" mit Serienbriefen, beispielsweise bei Aktionären, Finanzdienstleistern, Wohnungseigentümern, Kommanditisten von Beteiligungsgesellschaften.
Die IG verfolgt dann beispielsweise als Ziele, die Übernahme von Gesellschaften mit Stimmrechtsvollmachten, die Neubesetzung von Schlüsselpositionen im Bereich von Verwaltungsrat, Aufsichtsrat oder WEG-Beirat, sowie eigene Auftragsbeschaffung.
Die unberechtigte Datenweitergabe, wie insbesondere der Verkauf von Daten durch ehemalige Mitarbeiter, ist nach deutschem Recht strafbar.
Aktionsmöglichkeiten für Betroffene:
Ein beispielhaftes Vorgehen bei Spam mit Mustertexten findet sich unter http://www.safer-networking.org/de/articles/spamandthelaw.html
Eine erste Maßnahme kann es auch sein, den Rechtsbruch der "Wettbewerbszentrale" zu melden. Sie kann dann überprüfen, ob sie eine Abmahnung verschickt, weil beispielsweise kein öffentliches Verfahrensverzeichnis vorliegt. Diese Bemühungen werden dann schriftlich fixiert, zugestellt, und eine Kostennote beigefügt.
Es kann auch ein Bußgeld bis zu 250.000 Euro drohen, § 43 III BDSG. Die Bundes- bzw. Landesdatenschutzbeauftragten werden hier nach einer Mitteilung prüfend tätig. http://www.datenschutz-berlin.de/recht/de/bdsg/bdsg01.htm#§4d
Typische Fälle, welche ein Datenschutzbeauftragter hinterfragen wird, sind Serienbriefe und -mails an Kapitalanleger in Haftungsfällen, oder wenn Akteneinsichten dafür genutzt werden, gezielt neue Daten für eine Akquisition zu erlangen.
Einige Unternehmen haben erkannt, dass die Bereitstellung eines öffentlichen Verfahrensverzeichnisses mit anderen Informationen im Rahmen professioneller Öffentlichkeitsarbeit als Vertrauenswerbung verknüpft werden kann.
Juristische Basisinformationen zum Datenschutzrecht finden sich im Internet, beispielsweise sehr kompetent auf den Web-Seiten von RA Prof. Dr. Sakowski.http://www.sakowski.de/skripte/daten.html
Aktionsmöglichkeiten für Jedermann:
Beispielsweise der Berliner Datenschutzbeauftragte hält eine Reihe von Musterschreiben bereit, insbesondere für Datenauskunft, Datenberichtigung, Datenlöschung und Datensperre.
http://www.datenschutz-berlin.de/infomat/datensch/inhalt.htm (Johannes Fiala/mf)