Kristin Bost, Sarah Staut
Deutschland gehörte bis zur Einführung der DSGVO mit seinen zahlreichen Datenschutzgesetzen zu den Ländern mit den strengsten Datenschutzregeln weltweit. Um das Recht auf informationelle Selbstbestimmung eines jeden Bürgers zu schützen und schließlich umzusetzen, wurde in Deutschland eine Vielzahl von Gesetzen erlassen, die für die verschiedensten Bereiche gelten und parallel nebeneinander existieren. Über all diesen Gesetzen und Regelungen stehen die seit Mai 2018 verbindlich einzuhaltende DSGVO sowie das neue Bundesdatenschutzgesetz (BDSG). Das BDSG enthält Spezifizierungen der DSGVO und füllt die Öffnungsklauseln der DSGVO mit Leben. Es gilt für sämtliche öffentliche als auch nicht-öffentliche Stellen. Die DSGVO sowie das Bundesdatenschutzgesetz geben folglich die Norm vor, der alle weiteren Gesetze im Bereich des Datenschutzes folgen. Die Inhalte und Vorgaben zum Umgang mit personenbezogenen Daten durch das BDSG sowie durch die DSGVO werden im Folgenden zusammengefasst und in vereinfachter Form dargestellt.
Das seit Mai 2018 geltende BDSG legt im Vergleich zum alten BDSG vor allem ein besonderes Augenmerk auf das Thema Einwilligung, da diese eine zentrale Grundlage für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist. Art. 6 Abs. 1 DSGVO regelt die Rechtmäßigkeit der Verarbeitung. Demnach ist die Verarbeitung personenbezogener Daten u. a. rechtmäßig, wenn eine Einwilligung der betroffenen Person zur Verarbeitung der sie betreffenden personenbezogenen Daten vorhanden ist oder wenn sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Grundsätzlich gilt beim Umgang mit personenbezogenen Daten immer das Prinzip der Datenvermeidung bzw. der Datensparsamkeit. Ist es also möglich, ein Verfahren ohne das Erheben personenbezogener Daten durchzuführen, muss es schließlich auch ohne diese Erhebung erfolgen. Ist dies nicht möglich, gilt dennoch der Grundsatz der Datensparsamkeit. Demnach dürfen nur so viele personenbezogene Daten erhoben und verarbeitet werden, wie für die Erreichung des Verwendungszwecks zwingend notwendig sind.
Die Verwendung von erhobenen Daten ist streng zweckgebunden. Daten dürfen also ausschließlich zu vorher festgelegten und zulässigen Zwecken erhoben und verarbeitet werden. Neben dem Prinzip der Zweckbindung gibt es noch eine weitere wichtige Regel: Personenbezogene Daten dürfen nur von demjenigen erhoben und verarbeitet werden, der nachweislich mit der Erfüllung des festgelegten Verwendungszwecks (z. B. Personalabrechnung) beauftragt ist.
Wie lange erhobene Daten letztlich gespeichert werden dürfen, ergibt sich ebenfalls ausschließlich aus ihrem Erhebungszweck. Dabei gilt: Ist der Zweck, für den die Daten erhoben wurden, erfüllt, müssen die Daten unverzüglich und restlos gelöscht werden. Ein längeres Aufbewahren der Daten ist nur möglich, wenn der Betroffene nachweislich damit einverstanden ist. Sofern Daten auf Basis einer Rechtsgrundlage ohne das Einverständnis des Betroffenen erhoben wurden, müssen diese zur Transparenz offengelegt werden. Wer also personenbezogene Daten erhebt, verarbeitet und speichert, ist dazu verpflichtet, dem Betroffenen auf sein Verlangen hin ausführlich, verbindlich, verständlich und kostenlos Auskunft darüber zu geben.