Rechtstipp im IT - Recht
Datenschutz - ein Überblick über die Gesetzeslage und grundlegende Rechte und Pflichten (im nicht-öffentlich rechtlichen Bereich)
1. Status quo und aktuelle Gesetzeslage im Überblick
Der Datenschutz steht mehr denn je im Fokus von Politik, Öffentlichkeit und Wirtschaft.
Dies ist in erster Linie auf die rasante Entwicklung des Internets bzw. der internetbasierten Programme und Anwendungen, die globale Vernetzung sowie das hiermit verbundene zunehmende Interesse an persönlichen Daten zurückzuführen.
In Deutschland ist in diesem Kontext das Bundesdatenschutzgesetz (BDSG), das für Bundesbehörden und für die Privatwirtschaft gilt, von herausragender Bedeutung.
Die sechzehn deutschen Bundesländer haben eigene Landesdatenschutzgesetze, die für die jeweiligen Landesbehörden und die Kommunen gelten.
Sowohl das Bundesdatenschutzgesetz als auch die Landesdatenschutzgesetze finden nur Anwendung, soweit für den konkreten Sachverhalt kein spezielleres Datenschutzgesetz existiert.
So müssen beispielsweise Internet-Provider bei der Verarbeitung personenbezogener Daten ihrer Kunden die speziellen Datenschutzvorschriften des Telemediengesetzes (TMG) beachten.
Wenn die Internet-Provider hingegen Personaldaten ihrer eigenen Angestellten verarbeiten, gilt – da es in Deutschland nach wie vor kein Arbeitnehmerdatenschutzgesetz gibt – das allgemeine Bundesdatenschutzgesetz.
Ebenso sind die im Sozialgesetzbuch enthaltenen Regelungen zum Schutz des Sozialgeheimnisses von großer praktischer Relevanz. Neben den allgemeinen Vorschriften den Sozialdatenschutz (SGB X) betreffend, existieren auch in allen übrigen Büchern des Sozialgesetzbuchs spezielle und detaillierte Datenschutzregelungen.
Mit der Verabschiedung der Charta der Grundrechte der Europäischen Union im Jahre 2000 wurde der Datenschutz als Grundrecht anerkannt. Auf europäischer Ebene stellt heute die (allgemeine) Datenschutzrichtlinie 95/46/EG (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ) die Grundlage sowohl für die bereichsbezogenen europäischen Regelungen (z.B. die Telekommunikationsdatenschutz-Richtlinie 2002/58/EG (Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation) als auch für die Auslegung der nationalen Gesetze dar. Das Europarecht bestimmt immer mehr auch das deutsche Datenschutzrecht.
Obwohl Deutschland mit seinem 1978 in Kraft getretenen Bundesdatenschutzgesetz vergleichsweise früh datenbezogene Regelungen geschaffen hat, die immer wieder auch an die europarechtlichen Vorgaben angepasst wurden, sind diese angesichts der schnellen technologischen Entwicklung, des unbändigen Wachstums des Internets und der internetbasiert oder internetgestützt tätigen Unternehmen zur Bewältigung der aktuellen datenschutzrechtlichen Herausforderungen unzureichend. Das Datenschutzrecht in seinem jetzigen Zustand/seiner jetzigen Form kann den Bedürfnissen der heutigen Informationsgesellschaft zunehmend weniger entsprechen.
Ausgehend von dem grundlegenden, das deutsche Datenschutzrecht bis heute prägenden Volkszählungsurteil des Bundesverfassungsgerichts von 1983 (BVerfGE 65, 1 = NJW 1984, 419), in dem dieses ein Grundrecht auf informationelle Selbstbestimmung herleitete, existieren seit geraumer Zeit etliche Ankündigungen und Gesetzgebungsvorhaben.
So ist ein Arbeitnehmerdatenschutzgesetz seit Jahren angekündigt. Zwar gab und gibt es hier zahlreiche Bestrebungen, die insbesondere nach den Vorfällen in den Jahren 2008/2009, als der namhafte Lebensmitteldiscounter Lidl und die Deutsche Bahn AG wegen teils unzulässiger Mitarbeiterüberwachung in der Kritik standen, intensiviert wurden und auch zur jetzigen Fassung des § 32 BDSG führten. Im Ergebnis bleibt es aber dabei, dass trotz entfalteter Tätigkeiten und Gesetzesentwürfen diesbezüglich bis heute weite Teile des Arbeitsrechts nicht kodifiziert und weiter auf das „Richterrecht“ des Bundesarbeitsgerichts zurückgegriffen werden muss.
Wegen der generell über viele Regelwerke verteilten datenschutzrechtlichen Regelungen war auch eine einheitliche datenschutzrechtliche Kodifizierung im Gespräch, die ebenfalls bislang nicht zur Umsetzung gelangt ist.
2. Grundlegende datenschutzrechtliche Rechte und Pflichten
Datenschutz steht für den Schutz personenbezogener Daten vor Missbrauch, häufig im Zusammenhang auch mit dem Schutz der Privatsphäre. Zweck des Datenschutzes ist die Sicherung des Grundrechts auf informationelle Selbsbestimmung der Einzelperson. Jeder soll selbst bestimmen können, ob und wem er wann, welche seiner personenbezogenen Daten, zu welchem Zweck zugänglich macht.
Gemäß § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Das Datenschutzrecht erfasst demnach nur „personenbezogene Daten“. Anonyme Daten und Sachdaten sollen also nicht erfasst werden.
Ausgangspunkt jedweder datenschutzrechtlichen Rechtsausübung und Kontrollmöglichkeiten ist die Kenntnis des Betroffenen von der Datenverarbeitung.
Diese wird vor allem durch die Informationspflichten des Datenverarbeitenden geschaffen.
Nur bei Kenntnis der ihn betreffenden Datenverarbeitung kann der Betroffene die Rechte, die im das Datenschutzrecht zur Verfügung stellt, wie Auskunft, (ggf.) Berichtigung, Löschung, Sperrung und/oder Gegendarstellung seiner Daten, sofern diese falsch sind, geltend machen.
2. 1 Informationspflichten
Das Datenschutzrecht konstituiert vielfach Informationspflichten ( (§ 4d Abs. 1 BDSG, § 4g Abs. 2 BDSG).
Jedermann kann auf Nachfrage verlangen, dass ihm/ihr eine Verfahrensübersicht (§ 4e BDSG, § 19a Abs. 1 BDSG) zur Verfügung gestellt wird.
Für bestimmte Branchen wie beispielsweise Detekteien und Auskunfteien existieren ferner besondere behördliche Meldepflichten (§ 4d Abs. 4 BDSG, § 38 GewO).
Grundsätzlich ist der Betroffene bei Erhebung nach § 4 Abs. 3 über die Umstände und den Zweck der Datenverarbeitung zu unterrichten.
Auf besonders persönlichkeitsrechtsgefährdende Verarbeitungsarten (z.B. Profilerstellung, automatische Einzelentscheidung, Cookies) ist besonders hinzuweisen.
Im Internetbereich muss darüber hinaus über die Verarbeitung der Daten außerhalb der EU informiert werden.
Weitere Unterrichtungspflichten können sich aus dem Fernabsatzrecht ergeben.
Stets ist auf die Freiwilligkeit hinzuweisen, wenn die Preisgabe von Daten nicht auf einer Rechtsvorschrift beruht, vgl. herzu § 4 Abs. 3 S. 2 BDSG.
Die Freiwilligkeit des Vertragsschlusses ist von elementarer Bedeutung, da sie die Interessen und Belange des Betroffenen wahrt.
Datenverarbeitungsklauseln (z.B. in AGB) sind deshalb regelmäßig keine rechtliche Willenserklärung, sondern lediglich eine Unterrichtung nach § 4 Abs. 3 BDSG.
Sollten spezielle Widerspruchsrechte bestehen, sind diese nach § 28 Abs. 4 S. 2 BDSG dem Betroffenen mitzuteilen. Dies gilt auch für die Widerruflichkeit der Einwilligung sowie für die Folgen deren Verweigerung (§ 13 Abs. 3 TMG).
2.2 Auskunftsrecht des Betroffenen
Der Pflicht des Datenverarbeitenden zur Information/zum Hinweis entspricht als Gegenstück das Recht des Betroffenen auf Auskunft (§§ 19, 34 BDSG).
Die Auskunft hat unentgeltlich und üblicherweise schriftlich zu erfolgen.
So kann beispielsweise nach dem Bundesdatenschutzgesetz (BDSG) jede Person eine (Eigen-)Auskunft über die bei der Schufa über sie gespeicherten Daten verlangen.
Eine solche Datenübersicht nach § 34 BDSG kann jeder Bürger einmal im Jahr schriftlich bei der Schufa beantragen.
Hierbei existieren zum Schutz von Amts- und Geschäftsgeheimnissen Ausnahmen.
Zu beachten ist ferner, dass das Auskunftsrecht gemäß § 6 abs. 1 BDSG nicht durch AGB abbedungen werden kann.
2.3 Löschungs-/Berichtigungsanspruch des Betroffenen
Außerdem besteht das Recht des Betroffenen, die Berichtigung bzw. Löschung falscher oder unrechtmäßig gespeicherter Daten zu verlangen, §§ 20, 35 BDSG.
Ist die Tatsache der Unrichtigkeit bzw. der Unrechtmäßigkeit der Speicherung nicht erweislich, wandelt sich der Anspruch in einen Gegendarstellungsanspruch um.
Dies gilt ebenso, wenn Daten nicht gelöscht werden können, etwa aus technischen oder rechtlichen Gründen (Buchführungs- und Aufbewahrungspflichten).
2.4 Schadensersatzanspruch des Betroffenen
Wenn dem Betroffenen durch die Datenverarbeitung ein Schaden entsteht, kann er nach § 7 BDSG Schadensersatz verlangen. Der Anspruch kann aber auch auf § 823 Abs. 2 BGB in Verbindung mit einer Schutzgesetznorm des BDSG gestützt werden.
2.5 Wettbewerbsrechtliche Rechte
Wettbewerber – und seit einiger Zeit auch Verbraucherschutzverbände – können gegen anhaltende Datenschutzverstöße von Unternehmen über den wettbewerbsrechtlichen Unterlassungsanspruch (§ 8 UWG) vorgehen. Hierdurch können innerhalb kürzester Zeit durch die Gerichte Datenschutzverstöße beseitigt werden. Oftmals kann auch außergerichtlich durch Abmahnungen das gleiche Ergebnis erzielt werden.
Das Wettbewerbsrecht ist damit das effektivste und schnellste Sanktionsmittel im Bereich des Datenschutzrechts. Allerdings kann dieses nur von den Datenschutzbehörden und nicht vom Betroffenen selbst geltend gemacht werden.
2.6 Schriftform der Einwilligung als Regelfall
Die Grundform der datenschutzrechtlichen Einwilligung ist die besondere Schriftform (§§ 4a, 3 BDSG). Sie muss mit den vorgeschriebenen Hinweisen verbunden sein.
Für die Einwilligung im Internet gelten Formerleichterungen (§ 13 Abs. 2 TMG).
2.7 Strafantragsrecht
Schließlich hat der Betroffene, soweit die Datenverarbeitung einen Straftatbestand erfüllt, nach § 44 Abs. 2 BDSG sogar ein Strafantragsrecht.
2.8 Vorlagerecht zur Prüfung
Es ist schließlich bei der Novellierung des Datenschutzrechts die Möglichkeit für Unternehmensverbände in das Gesetz aufgenommen worden, Richtlinien, Verhaltenkodizes und sog. policies („Verhaltensregeln/-richtlinien““) zu entwerfen und den Aufsichtsbehörden zur Prüfung vorzulegen (§ 38a BDSG).
Welche Wirkung solchermaßen geprüfte Verhaltensregeln haben, ist noch ungeklärt. Jedenfalls dürften sie bei der Beurteilung der Wettbewerbswidrigkeit zu beachten sein
Noch ist datenschutzrechtlich vieles im Umbruch und nichts abschließend entschieden. Es dürfte aber klar sein, dass der Datenschutz immer mehr zunehmen und an Bedeutung gewinnen wird. Voraussichtlich dürften insbesondere auf europarechtlicher Ebene Änderungen bzw. eine Datenschutzreform zu erwarten sein, die dann auch maßgeblich auf die nationale Ebene „durchschlagen“ wird. Mit Interesse dürfte zu beobachten sein, wie die Gesetzgebung auf nationaler und supranationaler Ebene auf die aus dem technologischen Fortschritt resultierenden datenschutzrechtlichen Herausforderungen reagieren und den Betroffenen probate Mittel /Instrumente zum Schutz ihrer Privatsphäre und zur Sicherung des Grundrechts auf informationelle Selbstbestimmung zur Verfügung stellen wird.
Matthias Mayer
Rechtsanwalt