Kristin Bost, Sarah Staut
1.1 Relevanz Datenschutz in Deutschland
Das Thema Datenschutz ist heutzutage, in einer Welt der digitalen Vernetzung und vielfältiger Informationskanäle, brisanter denn je. Auch in Deutschland prägen Datenschutzskandale in den letzten Jahren immer häufiger die Nachrichten. Fast wöchentlich tauchen neue Schlagzeilen über vermeintliche Datenmissbräuche auf – nicht zuletzt standen bereits renommierte Unternehmen wie Google, Facebook & Co. öffentlich in der Kritik von Datenschützern. Die zahlreichen Vorfälle von Unternehmen, in denen nicht adäquat mit den Daten der Mitarbeiter umgegangen wurde, machen deutlich, dass in diesem Bereich dringender Aufklärungs- und Handlungsbedarf besteht.
Bereits 1977 wurde der Schutz persönlicher Daten erstmals im Bundesdatenschutzgesetz verankert. Im Jahr 1983 bekräftigte das Bundesverfassungsgericht, auf der Entscheidungsgrundlage eines Volkszählungsurteils, das sog. Recht auf informationelle Selbstbestimmung. Dieses besagt, dass jeder Bürger das Recht besitzt, selbst darüber zu entscheiden, wer welche Daten von ihm zu welchem Zweck erheben und verarbeiten darf. Gesetzliche Vorschriften, welche den Umgang mit personenbezogenen Daten klar regeln, sind also bereits seit Jahrzehnten vorhanden.
Mit der Einführung der EU-Datenschutzgrundverordnung (DSGVO), die die Datenschutzrichtlinie 95/46/EG von 1995 ablöst, geht zwar mehr Transparenz und Kontrolle für Mitarbeiter einher, allerdings ist es auch für viele europäische und nicht-europäische Unternehmen eine Herausforderung, sich mit der DSGVO auseinanderzusetzen und diese umzusetzen.
Häufig liegt ein Missbrauch bzw. Verstoß des Datenschutzes weniger an einer bösen Absicht oder gar einer kriminellen Energie, sondern vielmehr an mangelhaftem Wissen der Personen. Den meisten Unternehmen sowie auch Privatpersonen ist schlichtweg nicht bewusst, dass es gesetzliche Datenschutzbestimmungen gibt bzw. was deren Inhalte sind. Auch die schwierige Verständlichkeit der Gesetzestexte, aufgrund ihrer abstrakten Regelungen, stellt ein großes Problem der Datenschutzgesetze dar. Doch gerade diese Unkenntnis kann für die jeweiligen Betroffenen fatale Folgen haben. Eine der grundlegenden Aufgaben des Datenschutzes ist es deshalb, das erforderliche Problem-, Unrechts- und Verantwortungsbewusstsein zu entwickeln und insbesondere den Zugriff auf Daten für Unberechtigte zu verhindern. Folglich muss genau hier angesetzt und eine aufklärende Orientierungshilfe gegeben werden.
1.2 Die gesetzlichen Datenschutzbestimmungen
Deutschland gehörte bis zur Einführung der DSGVO mit seinen zahlreichen Datenschutzgesetzen zu den Ländern mit den strengsten Datenschutzregeln weltweit. Um das Recht auf informationelle Selbstbestimmung eines jeden Bürgers zu schützen und schließlich umzusetzen, wurde in Deutschland eine Vielzahl von Gesetzen erlassen, die für die verschiedensten Bereiche gelten und parallel nebeneinander existieren. Über all diesen Gesetzen und Regelungen stehen die seit Mai 2018 verbindlich einzuhaltende DSGVO sowie das neue Bundesdatenschutzgesetz (BDSG). Das BDSG enthält Spezifizierungen der DSGVO und füllt die Öffnungsklauseln der DSGVO mit Leben. Es gilt für sämtliche öffentliche als auch nicht-öffentliche Stellen. Die DSGVO sowie das Bundesdatenschutzgesetz geben folglich die Norm vor, der alle weiteren Gesetze im Bereich des Datenschutzes folgen. Die Inhalte und Vorgaben zum Umgang mit personenbezogenen Daten durch das BDSG sowie durch die DSGVO werden im Folgenden zusammengefasst und in vereinfachter Form dargestellt.
Das seit Mai 2018 geltende BDSG legt im Vergleich zum alten BDSG vor allem ein besonderes Augenmerk auf das Thema Einwilligung, da diese eine zentrale Grundlage für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist. Art. 6 Abs. 1 DSGVO regelt die Rechtmäßigkeit der Verarbeitung. Demnach ist die Verarbeitung personenbezogener Daten u. a. rechtmäßig, wenn eine Einwilligung der betroffenen Person zur Verarbeitung der sie betreffenden personenbezogenen Daten vorhanden ist oder wenn sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Grundsätzlich gilt beim Umgang mit personenbezogenen Daten immer das Prinzip der Datenvermeidung bzw. der Datensparsamkeit. Ist es also möglich, ein Verfahren ohne das Erheben personenbezogener Daten durchzuführen, muss es schließlich auch ohne diese Erhebung erfolgen. Ist dies nicht möglich, gilt dennoch der Grundsatz der Datensparsamkeit. Demnach dürfen nur so viele personenbezogene Daten erhoben und verarbeitet werden, wie für die Erreichung des Verwendungszwecks zwingend notwendig sind.
Die Verwendung von erhobenen Daten ist streng zweckgebunden. Daten dürfen also ausschließlich zu vorher festgelegten und zulässigen Zwecken erhoben und verarbeitet werden. Neben dem Prinzip der Zweckbindung gibt es noch eine weitere wichtige Regel: Personenbezogene Daten dürfen nur von demjenigen erhoben und verarbeitet werden, der nachweislich mit der Erfüllung des festgelegten Verwendungszwecks (z. B. Personalabrechnung) beauftragt ist.
Wie lange erhobe...