Dick Hardts Vortrag ist online. Etwas mehr Info beim Kontor.
{ 1 comment }
A different take on legal advice, business & productivity etc.
From the monthly archives:
Zunächst die typische Juristen-Antwort: Es kommt darauf an….
Die Startups sprießen derzeit ja förmlich aus dem Boden. Ein nicht unbedeutender Teil der neuen angeboten Webservices zielt auch darauf ab, personenbezogene Daten des Nutzers zu verarbeiten und zu nutzen (in rechtlicher Hinsicht ist schon die Speicherung auf dem Server des Startups eine “Verarbeitung”). Für jedes Startup gilt u.a. das Bundesdatenschutzgesetz (BDSG) (neben ggf. bereichsspezifischen Rechtvorschriften wie dem Telemediengesetz etc.). Das BDSG gilt für alle nichtöffentlichen Stellen, also auch Unternehmen. Ausnahmen von der Anwendung des BDSG gibt es nur dann, wenn die personenbezogenen Daten ausschließlich für persönliche oder familiäre Tätigkeiten erhoben und verarbeitet werden. Dieser Ausnahmefall trifft für Startups aber eben nicht zu. Es wird ja in der Regel ein Dienst für Dritte angeboten.
Welche Folgen ergeben sich nun durch die Verpflichtung, das BDSG einzuhalten? Für einen nicht unbedeutenden Teil der Startups führt die Anwendung des BDSG dazu, dass die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht. Dies betrifft insbesondere die Startups, die z.B. sehr persönliche Daten von Nutzern oder ggf. sogar Dritten verarbeiten. Man denke da nur an die neuen Stammbaum-Webservices wie verwandt.de und FamilyOne oder auch paulsmama, bei denen Daten von Verwandschaftsverhältnissen des Nutzers und auch Dritten (die ggf. gar nichts davon wissen, dass ihre Daten dort gespeichert sind) gespeichert werden. Bei einem Teil dieser Daten wird es sich um sog. Daten handeln, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen (vgl. § 4d Abs. 5 BDSG). Entscheidend ist in diesem Zusammenhang die Fragestellung, was passieren kann, wenn die Daten (z.B. durch einen Fehler im IT-System oder eine fehlerhafte Programmierung oder Absicherung) in die Hände (unbefugter) Dritter gelangen. Und bei familiären Daten wird man da schon ein entsprechendes Risiko annehmen müssen.
Dies hat die rechtliche Konsequenz, dass diese Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen müssen. Das mögen andere Juristen ggf. anders sein. Als Datenschutzrechtler bin ich jedoch der Auffassung, dass ein betrieblicher Datenschutzbeauftragter in diesen Fällen bestellt werden muss. Und was ist mit den Anderen? [Weiter lesen…]
{ 0 comments }