Bundesdatenschutzgesetz (BDSG)Rechtsgrundlagen
Bundesdatenschutzgesetz (BDSG)
Das BDSG ist die zentrale und zugleich wichtigste Datenschutzbestimmung im deutschen Datenschutzrecht. Nachdem seine ursprüngliche Fassung zum 1. Januar 1978 in Kraft getreten ist, ist es seitdem schon mehrere Male modifiziert und neugefasst worden. Der Hauptzweck des Bundesdatenschutzgesetzes ist nach § 1 Abs. 1 BDSG der Schutz des Persönlichkeitsrechts des Einzelnen im Umgang mit seinen personenbezogenen Daten. Daraus folgt auch die Regelung einer Vielzahl gesetzlicher Unternehmenspflichten und die Sanktionierung bei deren Nichtbeachtung. Gerade vor dem Hintergrund stetig wachsender digitaler Vernetzung steigt die Relevanz des Bundesdatenschutzgesetzes und die Einhaltung seiner Bestimmungen.
Anwendungsbereich und Grundsätze
Das Gesetz findet nach § 1 Abs. 2 BDSG Anwendung auf öffentliche Stellen des Bundes und der Länder sowie auf nicht-öffentliche Stellen, die in irgendeiner Weise Daten erheben oder verarbeiten. Unternehmen sind in diesem Sinne nicht-öffentliche Stellen. Sachlich regelt das BDSG den Schutz personenbezogener Daten, worunter man alle persönlichen und sachlichen Angaben über Personen verstehen kann. Geschützt werden sollen demnach nicht etwa Unternehmensgeheimnisse, sondern persönliche Daten von Mitarbeitern, Kunden und Geschäftspartnern. In diesem Zusammenhang ordnet das Bundesdatenschutzgesetz im Umgang mit Daten an, wann eine Datenerhebung, Datennutzung oder Datenverarbeitung rechtmäßig ist. Ein wichtiger Grundsatz des BDSG ist dabei das sogenannte Verbotsprinzip mit Erlaubnisvorbehalt. Dieser Grundsatz geht davon aus, dass prinzipiell jede Erhebung, Verarbeitung und Nutzung von Daten rechtswidrig ist. Eine Ausnahme besteht nur dann, wenn es dafür eine ausdrückliche gesetzliche Regelung gibt oder die Betroffenen in eine solche Maßnahme einwilligen. Weitere relevante Anknüpfungspunkte des Bundesdatenschutzgesetzes sind die Datensparsamkeit, die Datenvermeidbarkeit und die Zweckbindung: Daten dürfen nur so kurz wie nötig, in einem so geringen Rahmen wie möglich und nur zu einem bestimmten Zweck erhoben werden.
Gesetzliche Pflichten für Unternehmen
Aus diesen Grundsätzen und dem Zweck des BDSG, den Schutz des Persönlichkeitsrechts des Einzelnen zu gewährleisten, hat der Gesetzgeber insbesondere in den §§ 27 ff. BDSG Regelungen entwickelt, welche die betriebliche Datenverarbeitung festlegen. Zentrale Norm ist dabei der § 28 BDSG. Danach ist das Erheben und Speichern von Daten zu eigenen Geschäftszwecken lediglich unter eingeschränkten Voraussetzungen und auch nur zweckgebunden möglich. Eine über diesen Zweck hinausgehende Erhebung ist zwar ebenfalls möglich, jedoch mit weiteren Einschränkungen verbunden. So unterliegt beispielsweise die Nutzung von Daten zu Werbezwecken dem strengen Einwilligungsvorbehalt des Betroffenen. Weitere Normen umfassen die Pflicht des Betriebes, dem Betroffenen bei fehlender Kenntnis die Speicherung von Daten anzuzeigen und diesem bei Verlangen Auskunft über die Datenverarbeitung zu geben. Sind neun Personen innerhalb des Unternehmens mit der automatisierten oder mehr als neunzehn mit der nicht automatisierten Datenverarbeitung betraut, so muss das Unternehmen einen betrieblichen (internen oder externen) Datenschutzbeauftragten bestellen (§§ 4g, 4f BDSG). Dieser hat sämtliche Datenschutzregelungen des Bundesdatenschutzgesetzes zu kennen und innerhalb des Unternehmens darauf hinzuwirken, dass diese eingehalten werden. Zu seinen Aufgaben gehören zum Beispiel die Überwachung von Datenverarbeitungsprogrammen und die Schulung von Mitarbeitern. Werden diese Pflichten von den Unternehmen nicht eingehalten, sieht das BDSG Sanktionen in Form schmerzhafter Geldbußen vor. Betrieben ist zu einer Einhaltung ihrer Pflichten aus dem Bundesdatenschutzgesetz in jedem Fall zu raten. Nicht nur erhebliche Geldbußen, sondern auch ein Vertrauens- und Seriositätsverlust im Hinblick auf ihre Arbeitnehmer, Kunden und Geschäftspartner drohen bei einer Nichtbeachtung. Im Blick zu behalten gilt es an dieser Stelle auch baldige Modifikationen des BDSG, die mit dem In-Kraft-Treten der europäischen Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 nötig werden.
