Datenschutzrecht

Verfassungsrechtlicher Datenschutz

Verfassung und Datenschutzgesetze gewährleisten den Schutz der Persönlichkeitsrechte natürlicher Personen vor den Gefahren der Erhebung und Verarbeitung personenbezogener Daten. So sind Datenschutz-Grundrechte schon in Artikel 8 der EU-Grundrechte-Charta verankert. Im Grundgesetz wird ein Grundrecht auf Datenschutz aus dem (Auffang-) Grundrecht auf Schutz der Persönlichkeit (Allgemeines Persönlichkeitsrecht – APR) in Verbindung mit der Garantie der Menschenwürde (Art. 2 Abs. 1 i.V.m. Art.1 Abs. 1 GG) abgeleitet. Das Bundesverfassungsgericht (BVerfG) hat hierfür den Begriff vom Recht auf informationelle Selbstbestimmung geprägt. Es gewährt jedem das grundsätzliche Recht, selbst zu entscheiden, wer welche Daten über ihn zu welchem Zweck erheben und verarbeiten darf (BVerfGE 65, 1). Die Landesverfassungen enthalten zum Teil ein explizites Datenschutz-Grundrecht (z.B. Art. 6 Abs. 1 LV Sachsen).

Jede Datenerhebung und -verarbeitung durch eine staatliche Stelle stellt demnach einen Grundrechtseingriff dar, der nur dann verfassungskonform ist, wenn ein Bundes- oder Landesgesetz im überwiegenden Allgemeininteresse die Erhebung und Verarbeitung personenbezogener Daten erlaubt oder diese sogar anordnet (Eingriffsvorbehalt). Danach stehen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch hoheitliche Stellen unter einem Gesetzesvorbehalt und sind dementsprechend nur dann zulässig, wenn ein verfassungsmäßiges, den Verhältnismäßigkeitsgrundsatz beachtendes Gesetz diesen Eingriff in die grundrechtlich geschützte informationelle Selbstbestimmung des Bürgers ausdrücklich erlaubt.

Eingriffszweck und Umfang müssen vom Gesetz ausdrücklich und normenklar beschrieben werden. Ausreichend wäre etwa eine Regelung, wie sie sich in § 7 AsylG finden lässt; in dieser Vorschrift ist erkennbar, dass der Gesetzgeber eine Abwägung vornahm und eine Datenverarbeitung zur Aufgabenerfüllung ausdrücklich erlaubt. Derartige Eingriffserlaubnisse finden sich in zahlreichen Gesetzen des Bundes - wie etwa im Telekommunikationsgesetz (TKG), im Telemediengesetz (TMG) oder im Sozialgesetzbuch (§ 35 SGB I, §§ 67 ff. SGB X) - sowie in Landesgesetzen (Meldegesetze, Hochschulgesetze u.v.a.m.).

Einfachgesetzlicher Datenschutz

So, wie sich für öffentliche Stellen schon aus der Verfassung ein Verarbeitungsverbot mit Eingriffsvorbehalt ergibt, folgt ein entsprechendes einfachgesetzliches Verbot der Verarbeitung personenbezogener Daten für die nicht-öffentlichen Stellen und die öffentlich-rechtlichen Wirtschaftsunternehmen aus § 4 Bundesdatenschutzgesetz (BDSG): „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“

Erlaubnistatbestände für nicht-öffentliche Stellen

Das BDSG sieht aber im 3. Abschnitt für die nicht-öffentlichen Stellen und die öffentlich-rechtlichen Wirtschaftsunternehmen gesetzliche Erlaubnistatbestände vor. Die Vorschriften dieses Abschnitts finden keine Anwendung, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt (§ 27 Abs. 1 Satz 2 BDSG).

Nach § 28 BDSG dürfen personenbezogene Daten zur Erfüllung eigener Geschäftszwecke erhoben, verarbeitet und genutzt werden, beispielsweise zur Erfüllung von Vertragspflichten, zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen, oder wenn die Daten allgemein zugänglich sind.

In § 28 Abs. 3 Satz 2 BDSG findet sich auch das sog. Listenprivileg, wonach Daten vornehmlich für Zwecke der Werbung listenmäßig übermittelt und genutzt werden dürfen. Dieses Listenprivileg wurde mit der Novellierung des BDSG im Juli 2009 nicht abgeschafft, aber an engere Voraussetzungen geknüpft (in der Regel nur mit Einwilligung zulässig, aber mit zahlreichen Ausnahmen, wobei dem Betroffenen die Herkunft der Daten bekannt gegeben werden muss). Nach § 29 BDSG dürfen Daten etwa durch den Adresshandel oder durch Auskunfteien geschäftsmäßig zu dem Zweck erhoben und gespeichert werden, um sie an Dritte zu übermitteln. Das Scoring (zur Bonitätsprüfung) ist nun unter den Voraussetzungen des § 28b BDSG ausdrücklich erlaubt. Daten über eine Forderung dürfen unter den Voraussetzungen des § 28a BDSG an Auskunfteien übermittelt werden.

Der seit langem geforderte Beschäftigtendatenschutz ist seit 2009 in der neuen Vorschrift des § 32 BDSG aufgenommen, der insoweit den § 28 Abs. 1 Satz 1 Nr. 1 BDSG verdrängt. Mit einer wesentlich detaillierteren Regulierung des Beschäftigtendatenschutzes wird für 2012 gerechnet.

Zu beachten ist stets, dass diese Erlaubnisse durch bereichsspezifische Datenschutzvorschriften eingeschränkt werden können; zu nennen sind hier beispielsweise die Vorschriften des TKG und TMG. Weitere Erlaubnistatbestände können sich für nicht-öffentliche Stellen auch aus anderen Gesetzen als dem BDSG – auch aus Betriebsvereinbarungen – ergeben, die die Datenerhebung und -verwendung erlauben oder anordnen.

Erlaubnis durch Einwilligung

Eine Erlaubnis kann sich gem. § 4 BDSG auch aus der Einwilligung eines Betroffenen ergeben, wenn über Umfang und Zweck der Verarbeitung und Nutzung aufgeklärt wurde und die Einwilligung freiwillig erfolgt. Hieran wird es in Beschäftigungsverhältnissen häufig fehlen. Die Anforderungen an eine Einwilligung ergeben sich aus § 4a BDSG. Im Zusammenhang mit der Verarbeitung personenbezogener Daten für Zwecke des Adresshandels und der Werbung sind die höchst komplexen Regelungen über die Einwilligung in § 28 Abs. 3 ff. BDSG und in § 7 Abs. 2 Ziff. 2 und 3 UWG zu beachten.

Datenschutzgrundsätze im einfachen und bereichsspezifischen Datenschutzrecht

Die allgemeinen Datenschutzgesetze (BDSG, LDSG) regeln im Übrigen für ihren Anwendungsbereich allgemeine Datenschutzgrundsätze (Datenvermeidung und -sparsamkeit), hohe Anforderungen an die Einwilligung, Grundsätze für die Übermittlung in das Ausland sowie über den zu bestellenden betrieblichen zw. behördlichen Beauftragten für den Datenschutz und die externe Datenschutzaufsicht (Bundesbeauftragter bzw. Aufsichtsbehörde nach Landesrecht). Die Betroffenen haben ein Recht auf Benachrichtigung, Auskunft, Berichtigung und Löschung. Bei unzulässiger oder unrichtiger Datenverarbeitung besteht ein Schadensersatzanspruch. Die Pflichten sind bußgeld- und strafbewehrt.

Die Einhaltung von Datenschutzvorschriften soll durch ein System von Eigenkontrolle des Betroffenen, Selbstkontrolle der verantwortlichen Stelle und einer Fremdkontrolle durch die staatlichen Aufsichtsbehörden sichergestellt werden. Werden personenbezogene Daten, die sich z.B. auf besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), die einem Berufsgeheimnis unterliegen, auf eine strafbare Handlung oder auf Bank- bzw. Kreditkartenkonten beziehen, unrechtmäßig übermittelt, so ist dies, wenn eine schwerwiegende Beeinträchtigung droht, der Aufsichtsbehörde mitzuteilen. Die Betroffenen sind zu benachrichtigen, ggf. durch halbseitige Anzeigen in zwei überregionalen Tageszeitungen.

Das Datenschutzrecht erweist sich aufgrund der subsidiären allgemeinen und zahlreichen bereichsspezifischen Regelungen sowie zahlreicher unbestimmter Rechtsbegriffe als komplex und schwer beherrschbar. Einige Datenschutzskandale zeigten, dass die Durchsetzung des Rechts nicht immer gelingt. Das Datenschutzrecht ist weiter in Bewegung; mehre Gesetzesinitiativen werden beraten. Der grenzüberschreitende Umgang mit personenbezogenen Daten im Web 2.0 und den Sozialen Netzwerken stellen das Datenschutzrecht vor neue Herausforderungen.

Literatur

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: www.bfdi.de (Abruf 30.8.2011).

Kazemi, Robert; Leopold, Anders: Datenschutzrecht in der anwaltlichen Beratung, Bonn: Deutscher Anwaltverlag, 2011.

Mester, Britta A.: Arbeitnehmerdatenschutz, Edewecht: OlWIR Verlag, 2008.

Taeger, Jürgen ; Gabel, Detlev (Hrsg.): Kommentar zum Bundesdatenschutzgesetz und zu den Vorschriften des TKG und TMG, Frankfurt/M.: Verlag Recht und Wirtschaft, 2010.

Virtuelles Datenschutzbüro: www.datenschutz.de (Abruf 30.8.2011).

Wybitul, Tim: Handbuch Datenschutz im Unternehmen, Frankfurt/M.: Verlag Recht und Wirtschaft, 2011.