Datenschutz: Rechtsquellen

Datenschutzrecht regelt die Sammlung, Verarbeitung, Nutzung, Übermittlung, Speicherung und Löschung personenbezogener Daten. Es schützt die Rechte und Freiheiten der betroffenen Personen in Bezug auf ihre personenbezogenen Daten (>>>hier mehr lernen>>>). 

Es gilt grundsätzlich, dass "die Verarbeitung" der Daten bedarf entweder der Gesetzesgrundlage oder der Einwilligung aller Betroffenen. Aufgrund der Nachweispflicht soll die Einwilligung schriftlich erfolgen.

Datenschutzrecht in Deutschland

Das deutsche Datenschutzrecht basiert auf einem hierarchischen System von Rechtsquellen, die den Schutz der Privatsphäre und den Umgang mit Informationen regeln. An oberster Stelle steht das Grundgesetz, das durch die Artikel 1 Absatz 1 und 2 Absatz 1 die Menschenwürde sowie das allgemeine Persönlichkeitsrecht schützt. Diese verfassungsrechtlichen Grundlagen bilden das Fundament für das Recht auf informationelle Selbstbestimmung.

Auf gesetzlicher Ebene konkretisiert das Bundesdatenschutzgesetz diesen Schutz. Sein primäres Ziel ist es, den Einzelnen davor zu bewahren, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Ergänzend dazu existieren die Landesdatenschutzgesetze, deren Anwendungsbereich sich spezifisch auf die Behörden der Bundesländer sowie auf die Kommunalverwaltungen erstreckt.

Neben diesen allgemeinen Regelungen gibt es spezialgesetzliche Vorschriften für bestimmte Lebensbereiche. Das Postgesetz schützt das Brief-, Post- und Fernmeldegeheimnis, während die Abgabenordnung Regelungen zum Bank- und Steuergeheimnis enthält. Für schwerwiegende Verstöße sieht das Strafgesetzbuch Sanktionen vor, indem die unbefugte Preisgabe von Daten unter Strafe gestellt wird.

Datenschutzrecht in EU

Um das Datenschutz in den EU-Mitgliedsstaaten harmonisieren und einen gleichen Datenschutzstandart herzustellen, wurde im 2018 die EU-Datenschutz-Grundverordnung erlassen, die unter anderem die wichtigsten Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5) regelt (>>>hier mehr lernen>>>).

Grundsätze des Datenschutzes

Ein wesentlicher Pfeiler des Datenschutzes sind die rechtlichen Grundsätze, die den praktischen Umgang mit Informationen leiten. Der Grundsatz der Datensparsamkeit besagt, dass das Erheben und Verarbeiten von Daten ausschließlich zweckgebunden erfolgen darf. Damit eng verbunden ist das Gebot der Transparenz, welches vorschreibt, dass jede Form der Datenverarbeitung für die betroffenen Personen eindeutig erkennbar und nachvollziehbar sein muss.

Eine zentrale Besonderheit des deutschen Rechtsrahmens ist das Verbot mit Erlaubnisvorbehalt. Dieser Grundsatz legt fest, dass es grundsätzlich untersagt ist, personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Eine solche Handlung ist nur dann rechtmäßig, wenn entweder eine explizite gesetzliche Erlaubnis vorliegt oder die betroffene Person ihre wirksame Einwilligung dazu erteilt hat.

Laut dem Artikel 5(3) der Datenschutz-Grundverordnung darf die betroffene Person ihre Einwilligung jederzeit widerrufen. Jedoch: "Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt". Dies bedeutet, das die Verarbeitung trotz des Wiederrufs rechtsmäßig bleibt, solange eine anderwärtige Rechtsgrundlage existiert.

So beispielweise kann ein Arbeitnehmer nach dem Wiederruf seiner Einwilligung verlangen, dass seine früher veröffentlichen Einzelfotos unverzüglich vom Arbeitgeber gelöscht werden. Die reinen Illustrationszwecken dienenden Gruppenfotos (worauf der betroffene Mitarbeiter auch abgebildet ist) dürfen weiterhin veröffentlicht werden.

Datenschutz im Betrieb

Das Ziel des betrieblichen Datenschutzes ist der Schutz von Privatsphäre der Beschäftigten und ihre persönlichen Daten vor Missbrauch. Es zielt darauf ab, die potenzialen negativen Folgen abzuwenden, die eintreten können, wenn Mitarbeiter gegen den Datenschutzvorschriften verstoßen oder diese nicht beachten: Schadensersatzansprüche, Wettbewerbsnachteile, Image- und Vertrauensverlust, Verhängung von Geldstrafen (gegen das Unternehmen) und Freiheitsstrafen (gegen den Verantwortlichen).

Als Beschäftigte gelten im Sinne von BDSG verschiedene Kategorien der Mitarbeiter sowie die Bewerber. Die Bewerbungsunterlagen müssen jedoch nach Abschluss des Bewerbungsverfahrens gelöscht bzw. zurückgegeben werden, da kein berechtigtes Interesse mehr besteht.

Als Grundlage des Datenschutzes im Betrieb können auch Betriebsvereinbarungen gelten, z.B. über Personendaten in IT-Systemen, Intranetdatenspeicherung, Nutzung von Internetdiensten (wie E-Mail, Sozial Media, Apps), Auswertung von Telefonaten (Verbindungsnachweis).  

Als weitere Ausnahmen, die "die Verarbeitung" der personenbezogenen Daten legitimieren, können auch Aufdeckung der Straftaten oder Interessenabwägung gelten.