Datenschutz im Unternehmen - Handbuch

Kapitel 1: Einführung

I. Einleitung

Das deutsche Datenschutzrecht stellt Praktiker vor einige Herausforderungen. Zum einen wird es international als eine der strengsten Umsetzungen der EU-Datenschutzrichtlinie gesehen. Daher wird das Bundesdatenschutzgesetz (BDSG) in der Unternehmenspraxis häufig als Messlatte für europaweite Lösungen verwendet.1 Zum anderen wird es zu Recht als wenig anwenderfreundlich kritisiert.2 Dies liegt unter anderem an der schwer verständlichen Sprache des BDSG und an seiner Unübersichtlichkeit.3 Wer zum ersten Mal einen Blick in das Gesetz wirft, hat Mühe, das zugrunde liegende System zu erkennen oder gar zu verstehen.4 Gleichzeitig hat die Bedeutung des Datenschutzes in Deutschland in den vergangenen Jahren enorm zugenommen. Das zeigt sich unter anderem an den vielen Gesetzesvorhaben in diesem Bereich. Die bislang letzten Änderungen des BDSG sind 2010 in Kraft getreten und auch der Gesetzgeber hat sich in mehreren Anläufen an neuen Regelungen für den Beschäftigtendatenschutz versucht, ohne dass es dabei bisher jedoch zu einer Novellierung gekommen ist.5

Die aktuelle Rechtsprechung macht deutlich, wie schwerwiegend die Folgen von Fehlern beim Umgang mit personenbezogenen Daten sein können. Beispielsweise hat der Bundesgerichtshof erst kürzlich zwei Privatermittler wegen datenschutzwidriger Überwachungsmaßnahmen zu Haftstrafen verurteilt.6 In einer anderen Entscheidung hat das BAG eine Kündigung als unwirksam beurteilt, weil der Arbeitgeber maßgebliche Informationen unter Verstoß gegen § 32 BDSG erhoben hatte. Das BAG nahm bezüglich der so gesammelten Kündigungsgründe ein Beweisverwertungsverbot an.7

Dieses Handbuch soll Praktikern einen verständlichen Überblick darüber geben, wie man die Regelungen des BDSG schnell versteht und sie in der Praxis sicher anwendet. Damit richtet es sich an Leser, die einen leichten Einstieg in ein komplexes Thema suchen. Das Buch bietet eine knappe Zusammenfassung der in der Praxis wichtigen Bestimmungen und Mechanismen.8 Es ist keine abschließende Darstellung aller denkbaren Probleme und sämtlicher in der Fachliteratur diskutierten Streitigkeiten, sondern soll dem Praktiker einen alltagstauglichen Überblick über Probleme des Datenschutzes geben – und vor allem über deren mögliche Lösungen. Themen, die nur wenige Unternehmen betreffen, werden bewusst umfangreicheren Darstellungen des gesamten Datenschutzrechts überlassen.9

Das Handbuch zielt in erster Linie darauf ab, Entscheidungsträgern in Unternehmen bei der Anwendung der Regeln des Datenschutzes zu helfen. Allerdings lassen sich viele Grundsätze und Überlegungen auch auf den Umgang mit Daten bei öffentlichen Stellen (vgl. § 2 Abs. 1 – 3 BDSG) übertragen. Zudem gelten die meisten der in den nachstehenden Kapiteln dargestellten Prinzipien und Begriffsbestimmungen sowohl für private Unternehmen10 als auch für öffentliche Stellen.

II. Was sollte man zur Entwicklung des BDSG von 1977 – 2014 wissen?

Dieser Abschnitt gibt einen kurzen Überblick über die Entstehung des BDSG in seiner heutigen Form. Für das Verständnis der wesentlichen Regelungen des Datenschutzes ist diese Entwicklung des Gesetzes zwar nicht zwingend erforderlich. Allerdings hilft die Lektüre dieses Abschnitts durchaus dabei, zu verstehen, wieso das BDSG in seiner heutigen Form existiert.

Beispielsweise sind die vielen sogenannten „Buchstabenparagrafen“ (z.B. §§ 4a–4g BDSG) Folge vieler Überarbeitungen des BDSG. Das Gesetz wurde stets nur in einzelnen Teilen, aber niemals gründlich und vollständig reformiert. Um nicht auch die Nummerierung der nachfolgenden Paragrafen des Gesetzes ändern zu müssen, fügte der Gesetzgeber eine Vielzahl solcher Buchstabenparagrafen ein. Leser, die neben der reinen Beschreibung des aktuellen Gesetzes daran interessiert sind, die Hintergründe einzelner Regelungen und Strukturen zu verstehen, können beim Lesen dieses Abschnitts zudem interessante Hintergrundinformationen erfahren.11

1. Verkündung 1977

Das BDSG wurde bislang vielfach geändert – aber niemals im Hinblick auf Einfachheit und klare Struktur. Das Gesetz wurde bereits bei seiner Verkündung im Jahr 197712 als praxisfern, formalistisch und schwer verständlich kritisiert.13 Seitdem wurden viele Regelungen des BDSG unstrukturiert geändert;14 man kann durchaus von einem „Patchwork-Gesetz“ sprechen.15

2. Volkszählungsurteil von 1983

In seinem Urteil zum Volkszählungsgesetz stellte das Bundesverfassungsgericht am 15.12.1983 fest, dass staatliche Eingriffe in das Recht der Bürger auf informationelle Selbstbestimmung einer verfassungsgemäßen gesetzlichen Grundlage bedürfen, „die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.“16 Damit erteilte das höchste Gericht Deutschlands dem umfassenden Informationsverlangen des deutschen Staats gegenüber seinen Bürgern eine klare Absage.17 Wenn der Gesetzgeber das Recht seiner Bürger auf informationelle Selbstbestimmung durch umfassende Datenerhebung und Verarbeitung im Rahmen einer Volkszählung einschränke, so müsse er hierfür hinreichend klare und transparente Normen schaffen,18 den Verhältnismäßigkeitsgrundsatz angemessen berücksichtigen19 und die Daten nur für den Zweck verwenden, zu dem sie auch erhoben wurden.20

Das Urteil des Bundesverfassungsgerichts richtete sich nicht direkt an Unternehmen, sondern an den Gesetzgeber, also an den Staat. Dennoch sind Unternehmen gut beraten, sich im Rahmen ihrer täglichen Arbeit mit dem Datenschutz an den Grundsätzen zu orientieren, die das Gericht 1983 aufgestellt hat.21 Denn auch private Wirtschaftsunternehmen sind bei der Anwendung (und Auslegung) des BDSG und anderer Gesetze an die von der Verfassung vorgegebenen Grundsätze nach der sogenannten mittelbaren Drittwirkung der Grundrechte gebunden.22

3. Erste Neufassung 1990

1990 verabschiedete der Gesetzgeber eine erste Neufassung des BDSG.23 Diese Gesetzesänderung wurde teilweise scharf kritisiert.24 Nach Inkrafttreten der EG-Datenschutzrichtlinie 95/46/EG25 im Jahre 1995 war der deutsche Gesetzgeber verpflichtet, das BDSG innerhalb von drei Jahren den Vorgaben des Europarechts anzupassen.

4. BDSG-Reform von 2001

Im Jahre 2001 trat eine neue Fassung des BDSG in Kraft, die um die europarechtlichen Vorgaben aus der EG-Datenschutzrichtlinie 95/46/EG ergänzt war.26 Ein bekannter Kommentar beschrieb die Neuregelung zutreffend so: „Insgesamt hat das Gesetz an Umfang und Regelungsdichte erheblich zugenommen, so dass die ebenfalls als Kernpunkt modernen Datenschutzrechts angestrebte Rückkehr zu lesbaren und für Betroffene und Praxis noch überschaubaren Regelungen weitgehend konterkariert wird.“27

5. BDSG-Novelle von 2009

In erster Linie als Reaktion auf Datenschutzskandale bei einer Reihe von Großunternehmen28 beschloss der Gesetzgeber 2009 eine weitere Novelle zum BDSG. Das neue Datenschutzrecht führte unter anderem zu einer Ausweitung der Rechte der Aufsichtsbehörden, zu höheren Bußgeldern und Regelungen zur Abschöpfung von Gewinnen und zu einem neuen Beschäftigtendatenschutz.29

6. Entwurf eines „Gesetzes zur Regelung des Beschäftigtendatenschutzes“

Am 31.3.2010 legte das Bundesinnenministerium ein Eckpunktepapier vor, in dem es zeitnahe weitere Änderungen des Gesetzes im Bereich des Beschäftigtendatenschutzes ankündigte. Kurz darauf kursierte bereits ein Referentenentwurf zu einem neuen Beschäftigtendatenschutzgesetz, dessen einzelne Regelungen teilweise kontrovers diskutiert wurden und werden.30

Knapp ein Jahr nach Inkrafttreten des derzeit nach wie vor geltenden § 32 BDSG hat sich das Bundeskabinett am 25.8.2010 auf einen „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“ verständigt. Ein neuer Unterabschnitt des Bundesdatenschutzgesetzes sollte künftig den erlaubten Umgang mit den Daten von Beschäftigten umfassend regeln. Die politischen Gespräche hierzu führten jedoch zu keinem...