Web Services und Datenschutz – Haftungsfalle für Administratoren? (Teil 1)

Was es bei der Speicherung von personenbezogenen Daten zu beachten gilt

Administratoren und IT-Verantwortliche eines Unternehmens sind im Zweifelsfall immer neben der Geschäftsführung für die Datensicherheit zuständig. Nicht selten besteht jedoch Unkenntnis über rechtliche Anforderungen und Haftungsfolgen bei Datenunfällen und Kontrollen. Aus eigenem Interesse sollten die genannten Gruppen ihre Pflichten aber kennen und entsprechend handeln.

Wenn man einmal in den „Nachtrag zur Datenschutzerklärung für Microsoft Office SharePoint 2007“ [1] schaut, findet man dort nur recht wenige Angaben darüber, was die Office-Dienste unter Umständen an Daten speichern und was nicht. Da ist zum einen die Rede von Speicherpfaden die Dateinamen enthalten können, Druckerpfaden mit Benutzer- und Computernamen und Benutzer-IDs, aber auch von vollständigen Namen, E-Mail-Adressen und Benutzeranmeldenamen. Was heißt das aber konkret für den Admin oder IT-Verantwortlichen? Müssen nun bestimmte Daten besonders geschützt werden? Ist die Speicherung von bestimmten Daten überhaupt zulässig?

Grundlagen des Datenschutzes

Mit dem im Jahr 1983 vom Bundesverfassungsgericht statuierten Recht auf informationelle Selbstbestimmung soll in Deutschland der „gläserne Mensch“ verhindert werden. Jeder Mensch soll selbst darüber bestimmen können, was mit ihn betreffenden Daten passiert und wo diese gespeichert werden. In der Folge wurden verschiedene Datenschutzvorschriften erlassen, von denen für Unternehmen insbesondere das Bundesdatenschutzgesetz (Fußnote) [2] relevant ist, welches auch Vorschriften zum Umgang mit ‚personenbezogenen Daten’ in IT-Systemen enthält.

Personenbezogene Daten sind nach der Definition in § 3 Absatz 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person – des so genannten Betroffenen. Aber welche Daten sind damit gemeint? Entgegen der landläufigen Meinung, erfasst seien davon nur Daten die sich auf menschliche Eigenschaften beziehen (Fußnote), können auch Daten die Aussagen über Sachen enthalten personenbezogene Daten sein. Immer wenn ein unmittelbarer Bezug zu einer betroffenen natürlichen Person hergestellt werden kann, handelt es sich bereits um personenbezogene Daten. Der unmittelbare Bezug besteht dann, wenn die Daten mit dem Namen des Betroffenen verbunden sind oder ein Unternehmen die Daten ohne weiteres mit einer Person verbinden kann. Das ist schon dann der Fall wenn ein Unternehmen beispielsweise über die Zuordnung zu einem bestimmten Anmeldenahmen auf eine natürliche Person (MFußnote) schließen kann.

Zulässigkeit der Datenerhebung und -verarbeitung

Bei der Erhebung und Verarbeitung von personenbezogenen Daten haben sich Unternehmen an die Grundregeln das Datenschutzes zu halten. Das bedeutet, dass die Erhebung, Verarbeitung und Nutzung eben nur insoweit zulässig ist, wie sie das BDSG – beispielsweise durch § 28 für die Erfüllung des Geschäftszweckes –erlaubt, oder der Betroffene eingewilligt hat. Liegt eine solche Einwilligung des Betroffenen nicht vor und ist auch kein gesetzlicher Erlaubnistatbestand gegeben, verstößt ein Unternehmen gegen das Datenschutzrecht, wenn es trotz allem personenbezogene Daten verarbeitet.

An eine wirksame Einwilligung stellt das Gesetz in § 4 a BDSG bestimmte Anforderungen, welche auch bei der Konzeptionierung und beim Betrieb von Web Services berücksichtigt werden müssen. So ist der Betroffene auf den vorgesehenen Zweck der Datenerhebung, die Verarbeitung oder Nutzung sowie – unter bestimmten Bedingungen – auf die Folgen seiner Verweigerung der Einwilligung hinzuweisen. Dieser Hinweis hat in schriftlicher Form zu erfolgen und der Betroffene muss entsprechend bestätigen, dass er den Hinweis zur Kenntnis genommen hat und mit der Speicherung seiner Daten einverstanden ist.

Datenvermeidung bzw. -minimierung

Eine der allgemeinen Vorgaben des BDSG, welche für jede Art von IT-Systemen gilt, ist der Grundsatz der Datenvermeidung und Datenminimierung. Ziel sollte es bei der Konzeptionierung und beim Betrieb von Web Services daher immer sein, so wenig wie möglich personenbezogene Daten zu erheben und zu speichern. Insbesondere Unternehmen sollten daher soweit wie möglich von der Anonymisierung und Pseudonymisierung personenbezogener Daten Gebrauch machen. Bei der Pseudonymisierung handelt es sich um einen Kompromiss zwischen notwendiger Identifizierungsmöglichkeit und dem Wunsch nach Anonymität der Nutzer. Beispiele für Pseudonymisierung sind Benutzerkennungen die nicht direkt auf den Klarnamen des Nutzers schließen lassen, oder aber auch Personalnummern. Der Betroffene bleibt dabei für das Unternehmen mit Hilfe von Referenzlisten oder anderen Datenbanken identifizierbar, er ist jedoch gegen die missbräuchliche Verwendung seiner Daten in erhöhtem Maße geschützt, weil der Zugriff auf die Referenzlisten nicht jedermann möglich ist. Diese Referenzlisten müssen dann wieder gesondert gegen unberechtigte Zugriffe und unberechtigte Dritte geschützt werden. Dies kann auf vielfältige Weise geschehen. Die einfachste Lösung ist, mit entsprechenden Nutzerprofilen und Zugriffsrechten zu arbeiten, was im Datenschutzrecht schlagwortartig als Zugriffskontrolle bezeichnet wird. Die Zugriffskontrolle ist eine der „acht goldenen Regeln“ zur Sicherheit personenbezogener Daten. (Fußnote)


Kontakt: info@brennecke-rechtsanwaelte.de
Stand: 01.09.2007


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Das Referat IT-Recht wird bei Brennecke & Partner Rechtsanwälte betreut von:

Portrait Tilo-Schindele Tilo Schindele, Rechtsanwalt, Stuttgart

Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.

Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.

Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:

  • Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
  • Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
  • Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen


Kontaktieren Sie Rechtsanwalt Tilo Schindele unter: 
Mail: tilo.schindele@brennecke-rechtsanwaelte.de 
Telefon: 0721-20396-28


Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosDatenschutzrecht
RechtsinfosIT-RechtIT-SecurityDatenschutzrechtBundesdatenschutzgesetz