Das Bundesdatenschutzgesetz (BDSG) regelt (in seiner aktuellen Fassung) die Erhebung, Verarbeitung und Nutzung personenbezogener Daten inkl. deren Übermittlung an Dritte. Hierbei werden sowohl die automatisierte (per IT Systeme) als auch die manuelle Verarbeitung berücksichtigt durch öffentliche (Behörden, Ämter) und nicht-öffentliche Stellen (z.B. Unternehmen).

Personenbezogene Daten werden definiert als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (§ 3 BDSG). Damit sind Informationen gemeint, die sich auf einen einzelnen (lebenden) Menschen beziehen oder einen Bezug zu ihm möglich machen. Unter persönlichen und sachlichen Verhältnissen sind Angaben gemeint, die einen persönlichen oder sachlichen Bezug zu diesem Menschen ermöglichen. Das beginnt mit Anschrift und Telefonnummer und endet nicht zwingend bei Beurteilungen und Bewertungen oder Kaufverhalten. Personenbezogene Daten können gerade in Unternehmen intern (Personalakten) und extern (Kundendaten, Faktura, Werbung etc.) vorliegen.

Es gelten die Grundsätze der Datenvermeidung und der Datensparsamkeit nach § 3a BDSG: möglichst keine oder so wenig wie möglich an personenbezogenen Daten erheben, verarbeiten oder nutzen.

Ein wesentlicher Grundsatz des BDSG ist das sog. „Verbotsprinzip mit Erlaubnisvorbehalt“. Dieses besagt, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Prinzip eigentlich verboten ist. Diese ist jedoch erlaubt, wenn entweder gesetzliche Verpflichtungen vorliegen, sie zur Durchführung eines Vertragsverhältnissen erforderlich sind oder wenn die betroffene Person ausdrücklich (zumeist schriftlich) ihre Zustimmung (§13 Abs.2 ff). Die dann zum Einsatz kommenden Verfahren der Verarbeitung sind vom internen oder externen Datenschutzbeauftragten zu prüfen, oder (wenn ein solcher nicht vorhanden ist) bei der zuständigen Aufsichtsbehörde anzeigepflichtig. Je nach Sensitivität der Daten hat eine Vorabkontrolle stattzufinden.

Dass eine Zustimmung / Einwilligung auf einer freien Entscheidung des Betroffenen basieren muss, sollte selbstverständlich sein, birgt jedoch gerade im Arbeitnehmerdatenschutz einige Stolpersteine.

Aufgrund der Menge sog. unbestimmter Rechtsbegriffe im BDSG muss meist eine am jeweiligen Einzelfall orientierte Auslegung im Ermessenspielraum erfolgen. Dadurch besteht eine gewisse Rechtsunsicherheit, auch vor dem Hintergrund, dass bisher noch keine ausgeprägte höchstrichterliche Rechtsprechung vorliegt (Stand Anfang 2010).

Die Umsetzung des Bundesdatenschutzgesetz und seiner Regelungen in Unternehmen ist mit Auslaufen der Übergangszeit in 2004 oberste Pflicht. Ungeachtet der Größe eines Unternehmens sind bei Erhebung, Verarbeitung und Nutzung personenbezogener Daten die Regelungen des BDSG einzuhalten – Zuwiderhandlungen können mit Ordnungsgeldern von zur Zeit bis 300.000 EUR oder sogar strafrechtlich geahndet werden. Dieser Umstand ist bedauerlicherweise nicht jedem Unternehmer bewusst.

Das BDSG schreibt die Bestellung eines sog. Datenschutzbeauftragten für nicht-öffentliche Einrichtungen, also Unternehmen, spätestens vier Wochen nach Aufnahme der Geschäftstätigkeit zwingend vor, wenn

  • mehr als neun Mitarbeiter mit der automatisierten
  • mehr als neunzehn Mitarbeiter mit der manuellen

Erhebung, Verarbeitung und Nutzung personenbezogener Daten befasst sind oder

  • eine automatisierte Verarbeitung von personenbezogenen Daten stattfindet, die einer Vorabkontrolle unterliegen
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert verarbeitet werden
  • oder eines der og. Kriterien im Laufe der Geschäftstätigkeit eintritt.

Der Einsatz eines Datenschutzbeauftragten (intern oder extern) oder zumindest die regelmäßige Prüfung auf Konformität mit dem BDSG durch einen externen Datenschutzbeauftragten empfiehlt sich aufgrund der Rechtsunsicherheiten jedoch generell.

Das BDSG steht nicht alleine da, sondern es müssen weitere Gesetze bei der Einschätzung und Umsetzung herangezogen werden oder diese sind dem BDSG teilweise übergeordnet. Hierzu zählen u.a. das

  • Telemediengesetz (TMG)
  • Betriebsverfassungsgesetz (BetrVG)
  • Telekommunikationsgesetz (TKG)
  • und andere

Betroffene haben nach § 6 Abs. 1 BDSG u.a. Recht auf

  • Auskunft, ob und welche personenbezogenen Daten über sie gespeichert sind
  • Auskunft über die Herkunft ihrer Daten und den Verwendungszweck
  • Berichtigung / Korrektur ihrer Daten
  • Löschung oder Sperrung ihrer Daten
  • Verbot der Übermittlung an Dritte
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde

Weiterführende Links

[wpfilebase tag=’file‘ id=’2′]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.