Zum Schutz der Persönlichkeitsrechte ist die Verarbeitung personenbezogener Daten nur aufgrund einer gesetzlichen Regelung oder aufgrund einer Einwilligung der betroffenen Person erlaubt. Mit der ab Mai 2018 geltenden EU-Datenschutzgrundverordung (DSGVO) strebt die Europäische Union die Harmonisierung des Datenschutzes in der EU an. Öffnungsklauseln in der DSGVO verpflichten und berechtigen die Mitgliedstaaten zu ergänzenden Datenschutzregulierungen in engem Rahmen, worauf in Deutschland ein neues Bundesdatenschutzgesetz ebenfalls ab Mai 2018 gilt.
Verfassungsrechtlicher Datenschutz
Verfassung und Datenschutzgesetze gewährleisten den Schutz der Persönlichkeitsrechte natürlicher Personen vor den Gefahren der Erhebung und Verarbeitung personenbezogener Daten. So sind Datenschutz-Grundrechte schon in Artikel 8 der EU-Grundrechte-Charta verankert. Im Grundgesetz wird ein Grundrecht auf Datenschutz aus dem (Auffang-) Grundrecht auf Schutz der Persönlichkeit (Allgemeines Persönlichkeitsrecht – APR) in Verbindung mit der Garantie der Menschenwürde (Art. 2 Abs. 1 i.V.m. Art.1 Abs. 1 GG) abgeleitet. Das Bundesverfassungsgericht (BVerfG) hat hierfür den Begriff vom Recht auf informationelle Selbstbestimmung geprägt. Es gewährt jedem das grundsätzliche Recht, selbst zu entscheiden, wer welche Daten über ihn zu welchem Zweck erheben und verarbeiten darf (BVerfGE 65, 1). Die Landesverfassungen enthalten zum Teil ein explizites Datenschutz-Grundrecht (z.B. Art. 6 Abs. 1 LV Sachsen).
Jede Datenerhebung und -verarbeitung durch eine staatliche Stelle stellt demnach einen Grundrechtseingriff dar, der nur dann verfassungskonform ist, wenn ein Bundes- oder Landesgesetz im überwiegenden Allgemeininteresse die Erhebung und Verarbeitung personenbezogener Daten erlaubt oder diese sogar anordnet (Eingriffsvorbehalt). Danach stehen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch hoheitliche Stellen unter einem Gesetzesvorbehalt und sind dementsprechend nur dann zulässig, wenn ein verfassungsmäßiges, den Verhältnismäßigkeitsgrundsatz beachtendes Gesetz diesen Eingriff in die grundrechtlich geschützte informationelle Selbstbestimmung des Bürgers ausdrücklich erlaubt.
Eingriffszweck und Umfang müssen vom Gesetz ausdrücklich und normenklar beschrieben werden. Ausreichend wäre etwa eine Regelung, wie sie sich in § 7 AsylG finden lässt; in dieser Vorschrift ist erkennbar, dass der Gesetzgeber eine Abwägung vornahm und eine Datenverarbeitung zur Aufgabenerfüllung ausdrücklich erlaubt. Derartige Eingriffserlaubnisse finden sich in zahlreichen Gesetzen des Bundes – wie etwa im Telekommunikationsgesetz (TKG), im Telemediengesetz (TMG) oder im Sozialgesetzbuch (§ 35 SGB I, §§ 67 ff. SGB X) – sowie in Landesgesetzen (Meldegesetze, Hochschulgesetze u.v.a.m.).
Einfachgesetzlicher Datenschutz
So, wie sich für öffentliche Stellen schon aus der Verfassung ein Verarbeitungsverbot mit Eingriffsvorbehalt ergibt, folgt ein entsprechendes einfachgesetzliches Verbot der Verarbeitung personenbezogener Daten für die nicht-öffentlichen Stellen und die öffentlich-rechtlichen Wirtschaftsunternehmen aus § 4 Bundesdatenschutzgesetz (BDSG): „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“
Datenschutzgrundsätze im allgemeinen und bereichsspezifischen Datenschutzrecht
Die allgemeinen Datenschutzgesetze (BDSG, LDSG) regeln im Übrigen für ihren Anwendungsbereich allgemeine Datenschutzgrundsätze (z.B. Datenvermeidung und -sparsamkeit), hohe Anforderungen an die Einwilligung, Grundsätze für die Übermittlung in das Ausland sowie über den zu bestellenden betrieblichen bzw. behördlichen Beauftragten für den Datenschutz und die externe Datenschutzaufsicht (Bundesbeauftragter bzw. Aufsichtsbehörde nach Landesrecht). Sie enthalten für nicht-öffentliche Stellen auch Erlaubnistatbestände für Erhebung und Verwendung personenbezogener Daten in den §§ 28 ff. BDSG, die durch bereichsspezifische Datenschutzvorschriften erweitert oder beschränkt werden können. Die Beachtung der datenschutzrechtlichen Anforderungen und Pflichten der verantwortlichen Stelle ist bußgeld- und strafbewehrt (§§ 43 f. BDSG).
Die Einhaltung von Datenschutzvorschriften soll durch ein System von Eigenkontrolle des Betroffenen, Selbstkontrolle der verantwortlichen Stelle und einer Fremdkontrolle durch unabhängige staatliche Aufsichtsbehörden sichergestellt werden. Werden personenbezogene Daten, die sich z.B. auf besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), die einem Berufsgeheimnis unterliegen, auf eine strafbare Handlung oder auf Bank- bzw. Kreditkartenkonten beziehen, unrechtmäßig übermittelt, so ist dies, wenn eine schwerwiegende Beeinträchtigung droht, der Aufsichtsbehörde mitzuteilen. Die Betroffenen sind zu benachrichtigen, ggf. durch halbseitige Anzeigen in zwei überregionalen Tageszeitungen (§ 42a BDSG).
Erlaubnistatbestände für nicht-öffentliche Stellen
Das BDSG sieht im 3. Abschnitt für die nicht-öffentlichen Stellen und die öffentlich-rechtlichen Wirtschaftsunternehmen gesetzliche Erlaubnistatbestände vor. Die Vorschriften dieses Abschnitts finden keine Anwendung, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt (§ 27 Abs. 1 Satz 2 BDSG).
Nach § 28 BDSG dürfen personenbezogene Daten zur Erfüllung eigener Geschäftszwecke erhoben, verarbeitet und genutzt werden, beispielsweise zur Erfüllung von Vertragspflichten oder, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen, zur Wahrung berechtigter Interessen der verantwortlichen Stelle bzw. eines Dritten oder wenn die Daten allgemein zugänglich sind.
In § 28 Abs. 3 Satz 2 BDSG findet sich auch das sog. Listenprivileg, wonach Daten beispielsweise für Zwecke der Werbung listenmäßig übermittelt und genutzt werden dürfen. Nach § 29 BDSG dürfen Daten etwa durch den Adresshandel oder durch Auskunfteien geschäftsmäßig zu dem Zweck erhoben und gespeichert werden, um sie an Dritte zu übermitteln. Auch Bewertungsportale speichern und übermitteln personenbezogene Daten aufgrund der Erlaubnis aus § 29 BDSG. Das Scoring (zur Bonitätsprüfung) ist nach Maßgabe des § 28b BDSG ausdrücklich erlaubt. Daten über eine Forderung dürfen unter den engen Voraussetzungen des § 28a BDSG an Auskunfteien übermittelt werden.
Aus § 28a BDSG folgt, unter welchen sehr engen Voraussetzungen Informationen über eine Forderung an (Wirtschafts-) Auskunfteien übermittelt werden dürfen. Die Zulässigkeit der Übermittlung von geschäftsmäßig zur Bewertung der Kreditwürdigkeit von Verbrauchern erhobenen und ggf. veränderten Daten bemisst sich nach § 29 BDSG. Verantwortliche Stellen dürfen nach § 28b BDSG zur Abwehr kreditorischer Risiken einen Wahrscheinlichkeitswert über das künftige Zahlungsverhalten eines Betroffenen berechnen (Scoring), soweit die in dieser Vorschrift normierten Voraussetzungen beachtet werden.
Der seit langem geforderte Beschäftigtendatenschutz ist seit 2009 in § 32 BDSG geregelt, der insoweit den § 28 Abs. 1 Satz 1 Nr. 1 BDSG verdrängt. Pläne zur Verabschiedung eines ausführlicheren Beschäftigtendatenschutzgesetzes hat die Bundesregierung in der abgelaufenen Legislaturperiode verworfen. Denkbar ist eine Wiederaufnahme der Arbeiten an einem speziellen Beschäftigtendatenschutz erst in der Zeit nach Verabschiedung einer von der Europäischen Kommission im Entwurf vorgelegten Datenschutz-Grundverordnung, die das Datenschutzrecht in der EU unmittelbar regeln, aber noch Raum für bereichsspezifisches Datenschutzrecht lassen würde.
Zu beachten ist stets, dass die genannten gesetzlichen Erlaubnisse durch bereichsspezifische Datenschutzvorschriften eingeschränkt werden können; zu nennen sind hier beispielsweise die Vorschriften des TKG, TMG oder des SGB X. Weitere Erlaubnistatbestände können sich für nicht-öffentliche Stellen auch aus anderen Gesetzen als dem BDSG – auch aus Betriebsvereinbarungen – ergeben, die die Datenerhebung und -verwendung erlauben oder anordnen.
Erlaubnis durch Einwilligung
Eine Erlaubnis kann sich gem. § 4 BDSG auch aus der Einwilligung eines Betroffenen ergeben, wenn über Umfang und Zweck der Verarbeitung und Nutzung aufgeklärt wurde und die Einwilligung freiwillig erfolgt. An der Freiwilligkeit wird es in Beschäftigungsverhältnissen häufig fehlen, was an der grundsätzlichen Möglichkeit einer Einwilligungslösung im Arbeitsverhältnis nichts ändert. Die Anforderungen an eine Einwilligung ergeben sich aus § 4a BDSG. Im Zusammenhang mit der Verarbeitung personenbezogener Daten für Zwecke des Adresshandels und der Werbung sind darüber hinaus die höchst komplexen Regelungen über die Einwilligung in § 28 Abs. 3 ff. BDSG und in § 7 Abs. 2 Ziff. 2 und 3 UWG zu beachten.
Rechte der Betroffenen
Die Betroffenen haben gem. § 6 Abs. 1 BDSG das Recht auf Auskunft, Berichtigung und Löschung; bei einer Datenverarbeitung durch öffentliche Stellen werden diese Rechte in den §§ 19, 19a und 20 BDSG konkretisiert, bei der Datenverarbeitung durch nicht-öffentliche Stellen durch §§ 33-35 BDSG. § 28 Abs. 4 Satz 1 gewährt den betroffenen Personen zudem das Recht, der Verarbeitung oder Nutzung ihrer personenbezogenen Daten für Zwecke der Werbung bzw. der Markt- oder Meinungsforschung zu widersprechen. Machen sie von diesem Widerspruchsrecht Gebrauch, ist die Datenverarbeitung unzulässig. Diese Rechte sind unabdingbar und stehen nicht zur Disposition.
Die Betroffenen können sich an die jeweils zuständige Aufsichtsbehörde wenden, an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, die Landesbeauftragten für den Datenschutz bzw. die nach Landesrecht zuständigen Aufsichtsbehörden. Wird dem Betroffenen durch eine unrichtige oder unzulässige Datenverarbeitung ein Schaden zugefügt, ist dieser gem. § 7 BDSG zu ersetzen, soweit von der verantwortlichen Stelle die erforderliche Sorgfalt nicht gewahrt wurde. Gegenüber öffentlichen Stellen besteht ein verschuldensunabhängiger Schadensersatzanspruch (§ 8 Abs. 1 BDSG). Besteht der Schaden darin, dass Persönlichkeitsrechte verletzt wurden, dann besteht ein Schmerzensgeldanspruch allerdings nur bei schweren Persönlichkeitsrechtsverletzungen (§ 8 Abs. 2 BDSG).
Pflichten der verantwortlichen Stellen
Die verantwortlichen Stellen haben gemäß § 9 BDSG und der Anlage zu § 9 BDSG durch technische und organisatorische Maßnahmen die Einhaltung der Datenschutzvorschriften zu gewährleisten (Datensicherheit).
Die verantwortlichen Stellen haben Beschäftigte, die Zugang zu personenbezogenen Daten haben, auf das Datengeheimnis zu verpflichten (§ 5 BDSG). Sie müssen einen (behördlichen/betrieblichen) Datenschutzbeauftragten unter den Voraussetzungen des § 4f BDSG bestellen, dessen Aufgaben sich aus § 4g BDSG ergeben. Diesen ist eine Übersicht über die eingesetzten Verfahren zu übergeben (Verfahrensverzeichnis), das zusammengefasst verfügbar gemacht werden muss (Jedermann- oder öffentliches Verfahrensverzeichnis).
Rechtsentwicklung
Am 25.5.2016 trat die EU-Datenschutzgrundverordnung in Kraft. Das Ziel dieser unmittelbar in allen EU-Mitgliedstaaten unmittelbar geltenden Verordnung ist u.a. die Harmonisierung des Datenschutzrechts in der EU. Die Unterscheidung zwischen öffentlichen und nicht-öffentlichen Stellen entfällt. Auch der Auftragsverarbeiter wird als verantwortliche Stelle in die Haftung genommen. Dokumentations- und Informationspflichten werden erheblich zunehmen. Die Sanktionen durch Bußgelder sind erheblich höher als bislang. Allerdings führt die EU-DSGVO aufgrund seines Kompromisscharakters dazu, dass viele aus dem BDSG bekannte strenge Regelungen nicht mehr enthalten sind (Videoüberwachung; Scoring) und Öffnungsklauseln den Mitgliedstaaten ermöglichen, in bestimmten Sektoren doch wieder eigene Regelungen vorzunehmen (z.B. zum Beschäftigtendatenschutz). Der Bundestag muss deshalb eine anpassungsgesetz verabschieden. Geltung erlangt die EU-DSGVO am 25.5.2018. Das bisherige BDSG und die Landesdatenschutzgesetze werden dann nicht mehr gelten; ebenso einige bereichspezifische Datenschutzvorschriften etwa aus dem TMG.
Bewertung
Das Datenschutzrecht erweist sich aufgrund der subsidiären allgemeinen und zahlreichen bereichsspezifischen Regelungen sowie zahlreicher unbestimmter Rechtsbegriffe als komplex und schwer beherrschbar. Einige Datenschutzskandale zeigten, dass die Durchsetzung des Rechts nicht immer gelingt. Große Unternehmen, die gegen Datenschutzvorschriften verstießen, haben Konsequenzen gezogen und leben nun nach einem Ausbau der Compliance– und Datenschutzorganisation einen vorbildlichen Datenschutz vor. Der grenzüberschreitende Umgang mit personenbezogenen Daten insbesondere im Web 2.0 und bei den Sozialen Netzwerken sowie die außerordentlich umfangreichen Zugriffe nationaler und ausländischer Geheimdienste auf Telekommunikationsdaten stellen das Datenschutzrecht vor neue Herausforderungen. Eine Datenschutz-Grundverordnung der Europäischen Union als unmittelbar anwendbares Recht innerhalb der EU soll den Datenschutz normativ auf neue Beine stellen und die sich derzeit stellenden Probleme lösen; ein entsprechender Entwurf der EU-Kommission (KOM(2012) 11 endgültig), der vom EU-Parlament mit zahlreichen Änderungen angenommen worden war, wird auch nach der Wahl zum Europaparlament in den Mitgliedstaaten weiter kontrovers diskutiert; ob es zu einer EU-Datenschutzgrundverordnung kommen wird, ist fraglich.
Literatur
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: http://www.datenschutz.bund.de (Abruf 17.10.2016).
Laue, Philip; Nink, Judith; Kremer, Sascha: Das neue Datenschutzrecht in der betrieblichen Praxis, Baden-Baden: Nomos Verlag, 2016.Mester, Britta A.: Arbeitnehmerdatenschutz. Edewecht: OlWIR Verlag, 2008.
Plath, Kai-Uwe (Hrsg.): BDSG/DSGVO – Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl., Köln, Otto Schnidt Verlag, 2016.
Schultze-Melling, Jyn: Ein Datenschutzrecht für Europa – eine schöne Utopie oder irgendwann ein gelungenes europäisches Experiment?. ZD 2012, 97-98.
Taeger, Jürgen: Datenschutzrecht – Einführung, Frankfurt/M.: Verlag Recht und Wirtschaft, 2014.
Taeger, Jürgen; Gabel, Detlev (Hrsg.): Kommentar zum Bundesdatenschutzgesetz und zu den Vorschriften des TKG und TMG. 2. Auflage, Frankfurt/M.: Verlag Recht und Wirtschaft, 2. Aufl., Frankfurt/M.: Verlag Recht und Wirtschaft, 2013.
Virtuelles Datenschutzbüro: www.datenschutz.de (Abruf 17.10.2016).
Wybitul, Tim; Schultze-Melling, Jyn: Datenschutz im Unternehmen, 2. Auflage, Frankfurt/M.: Verlag Recht und Wirtschaft, 2014.