Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, soweit das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat, § 4 Abs. 1 BDSG. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 Abs. 1 BDSG (im Detail: Bergmann/Eßer, BDSG, 4. Aufl., § 3 Rn 5–35). Wurden z.B. einem Unternehmen nur zum Zwecke der Abwicklung eines Rechtsgeschäftes personenbezogene Daten, beispielsweise die postalische Adresse und/oder die E-Mail-Adresse zur Verfügung gestellt, war die Erhebung dieser Daten insoweit zulässig, deren Verarbeitung zum Zwecke der Werbung (für andere Produkte und/oder Dienstleistungen) oder des bloßen Adresshandels aber unzulässig (vgl. § 28 Abs. 3 S. 1 BDSG; vgl. auch § 28 Abs. 1 S. 2 BDSG zur Zweckbestimmung). Sollte ein Unternehmen insoweit (i.d.R. wohl vorsätzlich) Daten unbefugt benutzt haben, dürfte den betroffenen Unternehmen bekannt gewesen sein, dass dies rechtliche Konsequenzen haben könnte.
Da der Wert (personenbezogener) Daten für Unternehmen in den vergangenen Jahren zugenommen hat und Daten zunehmend als Wirtschaftsgut betrachtet werden ("Kommerzialisierung von Daten"), wurde die rechtskonforme Behandlung der Daten – insbesondere deren Erhebung, Verarbeitung, Nutzung – in den Fokus rechtlicher Betrachtungen gerückt. Je wichtiger Daten für einzelne Unternehmen und die gesamte Wirtschaft werden (insofern wird immer wieder der Begriff "Big Data" genannt; vgl. hierzu Ehlen/Brandt CR 2016, 570), desto eher muss der rechtskonforme Umgang mit denselben gewährleistet sein. Aufgrund dieser zu Recht hohen Bedeutung der Einhaltung datenschutzrechtlicher Vorgaben war zuletzt, insbesondere im Online-Sektor, zu beobachten, dass die fehlende Vorhaltung von Datenschutzerklärungen auf Unternehmens-Websites als Wettbewerbsverstoß qualifiziert worden ist. Dass Datenschutzerklärungen vorzuhalten sind, mag vielen Unternehmen mangels entsprechender Sensibilisierung nicht bewusst sein. Solche Unkenntnis schützt Unternehmen aber nicht vor dem Erhalt von (teuren) Abmahnungen, entweder durch Mitbewerber oder sogar durch Verbände.
Hinweis:
An dieser Stelle ist ferner zu berücksichtigen, dass mit Wirkung zum 24.2.2016 die Regelung des § 2 Abs. 2 S. 1 Nr. 11 UKlaG eingeführt worden ist (hierzu Jaschinski/Piltz WRP 2016, 420). Diese Norm ermöglicht es nunmehr u.a. Verbraucherschutzverbänden, die Verletzung datenschutzrechtlicher Vorgaben zu ahnden. Aufgrund dieser Aspekte dürfte die Beratung betreffend die Einhaltung datenschutzrechtlicher Vorgaben zukünftig von größerer Bedeutung werden. Vor allem Unternehmen, die (auch) online tätig sind, werden hiervon betroffen sein, da durch Bildschirmausdrucke die Verletzung datenschutzrechtlicher Vorgaben leicht nachweisbar ist.