Das Bundesdatenschutzgesetz

Das Bun­des­da­ten­schutz­ge­setz (BDSG) regelt (in sei­ner aktu­el­len Fas­sung) die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten inkl. deren Über­mitt­lung an Drit­te. Hier­bei wer­den sowohl die auto­ma­ti­sier­te (per IT Sys­te­me) als auch die manu­el­le Ver­ar­bei­tung berück­sich­tigt durch öffent­li­che (Behör­den, Ämter) und nicht-öffent­li­che Stel­len (z.B. Unternehmen).

Per­so­nen­be­zo­ge­ne Daten wer­den defi­niert als “Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son” (§ 3 BDSG). Damit sind Infor­ma­tio­nen gemeint, die sich auf einen ein­zel­nen (leben­den) Men­schen bezie­hen oder einen Bezug zu ihm mög­lich machen. Unter per­sön­li­chen und sach­li­chen Ver­hält­nis­sen sind Anga­ben gemeint, die einen per­sön­li­chen oder sach­li­chen Bezug zu die­sem Men­schen ermög­li­chen. Das beginnt mit Anschrift und Tele­fon­num­mer und endet nicht zwin­gend bei Beur­tei­lun­gen und Bewer­tun­gen oder Kauf­ver­hal­ten. Per­so­nen­be­zo­ge­ne Daten kön­nen gera­de in Unter­neh­men intern (Per­so­nal­ak­ten) und extern (Kun­den­da­ten, Fak­tu­ra, Wer­bung etc.) vorliegen.

Es gel­ten die Grund­sät­ze der Daten­ver­mei­dung und der Daten­spar­sam­keit nach § 3a BDSG: mög­lichst kei­ne oder so wenig wie mög­lich an per­so­nen­be­zo­ge­nen Daten erhe­ben, ver­ar­bei­ten oder nutzen.

Ein wesent­li­cher Grund­satz des BDSG ist das sog. “Ver­bots­prin­zip mit Erlaub­nis­vor­be­halt”. Die­ses besagt, dass die Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten im Prin­zip eigent­lich ver­bo­ten ist. Die­se ist jedoch erlaubt, wenn ent­we­der gesetz­li­che Ver­pflich­tun­gen vor­lie­gen, sie zur Durch­füh­rung eines Ver­trags­ver­hält­nis­sen erfor­der­lich sind oder wenn die betrof­fe­ne Per­son aus­drück­lich (zumeist schrift­lich) ihre Zustim­mung (§13 Abs.2 ff). Die dann zum Ein­satz kom­men­den Ver­fah­ren der Ver­ar­bei­tung sind vom inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten zu prü­fen, oder (wenn ein sol­cher nicht vor­han­den ist) bei der zustän­di­gen Auf­sichts­be­hör­de anzei­ge­pflich­tig. Je nach Sen­si­ti­vi­tät der Daten hat eine Vor­ab­kon­trol­le stattzufinden.

Dass eine Zustim­mung /​ Ein­wil­li­gung auf einer frei­en Ent­schei­dung des Betrof­fe­nen basie­ren muss, soll­te selbst­ver­ständ­lich sein, birgt jedoch gera­de im Arbeit­neh­mer­da­ten­schutz eini­ge Stolpersteine.

Auf­grund der Men­ge sog. unbe­stimm­ter Rechts­be­grif­fe im BDSG muss meist eine am jewei­li­gen Ein­zel­fall ori­en­tier­te Aus­le­gung im Ermes­senspiel­raum erfol­gen. Dadurch besteht eine gewis­se Rechts­un­si­cher­heit, auch vor dem Hin­ter­grund, dass bis­her noch kei­ne aus­ge­präg­te höchst­rich­ter­li­che Recht­spre­chung vor­liegt (Stand Anfang 2010).

Die Umset­zung des Bun­des­da­ten­schutz­ge­setz und sei­ner Rege­lun­gen in Unter­neh­men ist mit Aus­lau­fen der Über­gangs­zeit in 2004 obers­te Pflicht. Unge­ach­tet der Grö­ße eines Unter­neh­mens sind bei Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten die Rege­lun­gen des BDSG ein­zu­hal­ten — Zuwi­der­hand­lun­gen kön­nen mit Ord­nungs­gel­dern von zur Zeit bis 300.000 EUR oder sogar straf­recht­lich geahn­det wer­den. Die­ser Umstand ist bedau­er­li­cher­wei­se nicht jedem Unter­neh­mer bewusst.

Das BDSG schreibt die Bestel­lung eines sog. Daten­schutz­be­auf­trag­ten für nicht-öffent­li­che Ein­rich­tun­gen, also Unter­neh­men, spä­tes­tens vier Wochen nach Auf­nah­me der Geschäfts­tä­tig­keit zwin­gend vor, wenn

• mehr als neun Mit­ar­bei­ter mit der automatisierten
• mehr als neun­zehn Mit­ar­bei­ter mit der manuellen

Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten befasst sind oder

• eine auto­ma­ti­sier­te Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten statt­fin­det, die einer Vor­ab­kon­trol­le unterliegen
• per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- und Mei­nungs­for­schung auto­ma­ti­siert ver­ar­bei­tet werden
• oder eines der og. Kri­te­ri­en im Lau­fe der Geschäfts­tä­tig­keit eintritt.

Der Ein­satz eines Daten­schutz­be­auf­trag­ten (intern oder extern) oder zumin­dest die regel­mä­ßi­ge Prü­fung auf Kon­for­mi­tät mit dem BDSG durch einen exter­nen Daten­schutz­be­auf­trag­ten emp­fiehlt sich auf­grund der Rechts­un­si­cher­hei­ten jedoch generell.

Das BDSG steht nicht allei­ne da, son­dern es müs­sen wei­te­re Geset­ze bei der Ein­schät­zung und Umset­zung her­an­ge­zo­gen wer­den oder die­se sind dem BDSG teil­wei­se über­ge­ord­net. Hier­zu zäh­len u.a. das

• Tele­me­di­en­ge­setz (TMG)
• Betriebs­ver­fas­sungs­ge­setz (BetrVG)
• Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG)
• und ande­re

Betrof­fe­ne haben nach § 6 Abs. 1 BDSG u.a. Recht auf

• Aus­kunft, ob und wel­che per­so­nen­be­zo­ge­nen Daten über sie gespei­chert sind
• Aus­kunft über die Her­kunft ihrer Daten und den Verwendungszweck
• Berich­ti­gung /​ Kor­rek­tur ihrer Daten
• Löschung oder Sper­rung ihrer Daten
• Ver­bot der Über­mitt­lung an Dritte
• Beschwer­de­recht bei der zustän­di­gen Aufsichtsbehörde

Wei­ter­füh­ren­de Links

• “Daten­schutz­be­auf­trag­ter” hier im Blog
• Bun­des­da­ten­schutz­ge­setz
• “Bun­des­da­ten­schutz­ge­setz” bei Wikipedia