Bundesdatenschutzgesetz

Zu der wichtigsten europäischen Datenschutz-Legislatur zählt vor allem die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO)[1]. Die DS-GVO gilt unmittelbar in jedem EU-Mitgliedsstaat, die Länder können jedoch auch an einigen Stellen, an der es die DS-GVO zulässt, eigene spezifische Regelungen treffen. Zum Beispiel hat Deutschland auf Bundesebene auch das seit dem 25. Mai 2018 erneuerte Bundesdatenschutzgesetz (BDSG) daran angepasst, jedoch gilt weiterhin die DS-GVO als erste Quelle des Rechts. Daneben gibt es weitere datenschutzrechtliche Regelungen, wie z. B. im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG), die spezifische, für ihren Bereich anwendbare konkretere Regelungen enthalten. Das öffentliche Recht hält auch noch weitere Regelungen, wie z. B. eigene Landes-Datenschutzgesetze bereit, an die sich die Behörden halten müssen.

Um auch den Ansprüchen des Schutzes der informationellen Selbstbestimmung gerecht zu werden, wurden einige Grundprinzipien des Datenschutzrechts aufgestellt.

Die Verarbeitung von Daten muss rechtmäßig sein, d. h. sie muss eine gesetzliche Grundlage haben, da die Verarbeitung grundsätzlich verboten ist, also einem Erlaubnisvorbehalt unterliegt.

In die Verarbeitung muss eingewilligt worden sein, wobei hier an die Einwilligung auch gewisse Voraussetzungen geknüpft sind. Die Einwilligung muss z.B. ohne Zwang, also freiwillig abgegeben worden und für die Zukunft widerruflich sein.

Die Datenverarbeitung muss auch zweckgebunden erfolgen. Das bedeutet, dass die Person, die in die Verarbeitung ihrer Daten einwilligt, auch transparent wissen muss, zu welchem Zweck das geschieht. Die Verarbeitung für andere Zwecke ist insofern nicht erlaubt.

Das Prinzip der Datensparsamkeit besagt, dass nur so viele Daten verarbeitet werden dürfen, wie für den Zweck erforderlich sind und schreibt die Löschung derer vor, die nicht mehr notwendig sind.

Außerdem muss die Sicherheit der Daten bei der Verarbeitung gewährleistet sein; hier sind gesetzliche technische und organisatorische Anforderungen zu beachten. Außerdem existieren Kontrollinstanzen, einerseits extern durch die staatlichen Aufsichtsbehörden, andererseits intern über den betrieblichen Datenschutzbeauftragten, der beratend tätig wird.

Inhaltlich knüpft das BDSG an den Regelungsgehalt der DS-GVO an und hat auch den Wortlaut der DS-GVO übernommen. Für die Stellen, wo die DS-GVO durch sog. Öffnungsklauseln den länderseitigen Gesetzgeber Spielraum für eigene Regelungen lässt, tritt das BDSG ein.

Richtungswechselnde Änderungen hat die neue Fassung des BDSG jedoch nicht erfahren. Die spezielle Regelung zum Beschäftigtendatenschutz des § 32 BDSG aF (alte Fassung) lebt in leicht sprachlich abgewandelter Form in § 26 BDSG weiter. § 26 BDSG besagt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Insofern bedeutet dies, dass nach § 26 BDSG gewisse personenbezogene Daten ohne vorherige Einwilligung verarbeitet werden dürfen, wenn diese für das Beschäftigungsverhältnis erforderlich sind.

[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.