Neue Compliance-Regeln gefragt?
Während sich also die Rahmenbedingungen dramatisch verändern, muten die Compliance-Anforderungen, innerhalb derer sich die Unternehmen bewegen können, mitunter recht statisch an. Häufig wird kritisiert, dass sich Gesetze, Verordnungen und sonstige Rechtssätze nicht schnell genug den Gegebenheiten anpassten und die Gerichte keine Ahnung von der aktuellen Technik hätten. Diese Vorwürfe sind allerdings zum größten Teil unberechtigt. Zu den Grundaufgaben des Rechts gehört neben der Sicherung des Friedens, der Ordnung des Gemeinwesens und der Förderung des Gemeinwohls auch der Schutz der Freiheit. Diese Freiheiten, die insbesondere im Grundgesetz verankert sind, gilt es auch und gerade im Zeitalter der Informationssysteme zu schützen.
Löst Outsourcing die Compliance-Probleme?
Aufgaben können delegiert werden - die Haftung bleibt. Immerhin bietet das Datenschutzrecht die Möglichkeit, sich externer Dienstleister zu bedienen. Vorschnell verweist man an dieser Stelle darauf, dass es sich um eine Auftragsdatenverarbeitung handelt. Tatsächlich ist aber im Einzelfall zu prüfen, ob nicht eine sogenannte Funktionsübertragung vorliegt. Nur wenn keine Funktionsübertragung vorliegt, kann der Outsourcer die Privilegierung der Auftragsdatenverarbeitung für sich in Anspruch nehmen. Dann dürfen personenbezogene Daten an den externen Dienstleister weitergegeben werden, ohne dass eine Erlaubnis für eine Datenübermittlung vorliegen muss. Allerdings verlangt der Gesetzgeber gewisse technische und organisatorische Maßnahmen, die vor Beginn der Auftragsdatenverarbeitung und während der Laufzeit vom Auftraggeber geprüft werden müssen. Denn dieser bleibt für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich.
Es gilt deutsches Datenschutzrecht
Auch im World Wide Web greift wegen des Sitzprinzips deutsches Datenschutzrecht, soweit ein Unternehmen seinen Sitz in Deutschland hat. Auch ausländische Gesellschaften, die eine deutsche Niederlassung unterhalten, sind an das hiesige Datenschutzrecht gebunden (Territorialitätsprinzip). Wer Daten sammeln will, muss daher nach Paragraf 28 Bundesdatenschutzgesetz (BDSG) abwägen, ob bei der Erhebung der Daten "das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt". Diese Abwägung ist restriktiv zu handhaben. Allgemein wird davon auszugehen sein, dass das Interesse des Betroffenen an der Nichterhebung seiner Daten umso größer ist, je aussagekräftiger und detaillierter das sich aus der Zusammenführung der erhobenen Daten ergebende Profil ist. Auch wenn jedem Nutzer von Social-Media-Diensten bewusst sein sollte, dass die veröffentlichten Daten von jedermann gelesen werden können, heißt das noch lange nicht, dass sie auch ohne weiteres automatisiert eingesammelt, gespeichert, verarbeitet, ausgewertet und weitergegeben werden dürfen.