Datenschutz gewinnt seit Jahren zunehmend an Bedeutung und Dynamik. Technologische Fortentwicklungen sowie gesellschaftliche und politische Veränderungen führen zu intensiven Diskussionen über die konkrete Anwendung des deutschen Datenschutzrechts.
Auch deutsche und europäische Gerichte befassen sich immer öfter mit Fragen des Datenschutzes. Beispielsweise hat der Bundesgerichtshof 2013 zwei Privatermittler wegen des unzulässigen Umgangs mit personenbezogenen Daten zu Haftstrafen verurteilt. Erst kürzlich hat der Europäische Gerichtshof mit seinem Urteil zum viel diskutierten Recht auf Vergessen die Abgrenzung zwischen Presse- und Meinungsfreiheit und dem Recht auf informelle Selbstbestimmung geschärft. Zudem geben deutsche Arbeitsgerichte immer mehr Antworten auf Fragen des Datenschutzes im Beschäftigungsverhältnis. Das Bundesarbeitsgericht etwa geht mittlerweile zunehmend dazu über, Informationen nicht zu verwerten, die der Arbeitgeber unter Verstoß gegen datenschutzrechtliche Vorgaben gesammelt hat. Dies kann Unternehmen vor erhebliche Herausforderungen stellen und etwa Kündigungen wegen Straftaten, Compliance-Verstößen oder anderen Pflichtverletzungen entscheidend erschweren.
Diese Entwicklungen wirken sich ganz erheblich auf die Rahmenbedingungen für den Umgang mit Informationen in der Wirtschaft aus. Dieses Handbuch ermöglicht es dem Leser, sich schnell und unkompliziert über Fragen des Datenschutzes im Unternehmen zu informieren. Das Buch bietet hierfür Beispiele, Handlungsempfehlungen und Praxistipps, die die Umsetzung der Vorgaben des Datenschutzes erleichtern. Es schildert die Vorgaben der Rechtsprechung in verständlichen und einfachen Worten. Das Handbuch ermöglicht es so, die Bedeutung und die Auswirkungen einzelner Urteile zu verstehen und umzusetzen.
Auch die 2. Auflage behält das von Lesern positiv aufgenommene Konzept der Vorauflage bei. Sie ist daher nach wie vor in einen Handbuchteil und eine praxisorientierte Kommentierung der für Unternehmen relevanten Vorschriften des Bundesdatenschutzgesetzes aufgegliedert. Ergänzt wird dieser Aufbau nun auch durch ein Praktiker-Glossar. Dieser Teil des Handbuchs erläutert die für Unternehmen wichtigsten Begriffe der täglichen Datenschutzarbeit knapp und prägnant. Er zeigt Querverweise zu thematisch verbundenen Fragen auf und bietet für eine Reihe von konkreten Fragestellungen schnelle und praktikable Antworten.
Wir hoffen, dass das Handbuch vielen Praktikern als verlässliche Informationsquelle für den beruflichen Alltag des betrieblichen Datenschutzes dienen wird.
Die Autoren, im Juni 2014
Die Entwicklung der Informationstechnologie und insbesondere des Internet hat die Wirtschaft in den letzten Jahrzehnten umfassend verändert. Diese Veränderungen ermöglichen das Sammeln von Informationen und die Auswertung von Daten in völlig neuem Umfang. Enorme Rechen- und Speicherkapazitäten sind für überschaubare Kosten erhältlich. Bei vielen Datenverarbeitungen gibt inzwischen nicht mehr die Technik die Grenzen vor, sondern der Datenschutz. Die rechtlichen Rahmenbedingungen für den Umgang mit personenbezogenen Daten verändern sich ähnlich schnell wie die technischen Möglichkeiten. Noch vor wenigen Jahren hatte das Datenschutzrecht für viele Unternehmen eine eher begrenzte Bedeutung. Das hat sich spätestens durch die sogenannten Datenschutzaffären seit 2008 gründlich geändert. Der Kreis der Personen, die Entscheidungen zum Datenschutz im Unternehmen treffen müssen, hat sich erheblich erweitert. Die veränderten Anforderungen beim Umgang mit personenbezogenen Daten führen dabei zu einiger Verunsicherung. Dieses Handbuch trägt diesen Veränderungen Rechnung. Es stellt die wesentlichen Strukturen des Bundesdatenschutzgesetzes (BDSG) knapp und einfach verständlich dar. Auch der Aufbau des Handbuchs zielt darauf ab, ein komplexes Rechtsgebiet praxisgerecht und dennoch leicht nachvollziehbar zu erklären. Beispielsweise werden wesentliche gesetzliche Bestimmungen im Text wiedergegeben, um dem Leser allzu häufiges Nachschlagen in Gesetzen zu ersparen. Zudem gibt das Buch Praxistipps und schildert Vorgehensweisen, die sich beim täglichen Umgang mit personenbezogenen Daten bewährt haben.
Das Handbuch ist in zwei Hauptteile untergliedert. Der erste Teil stellt die Strukturen und Regelungen des BDSG anhand von Beispielen und praktischen Arbeitshilfen dar, der zweite Teil enthält den Gesetzestext und eine kurze Kommentierung der wichtigsten Vorschriften des BDSG. Auch die Regelungen des vom Bundeskabinett am 25.8.2010 beschlossenen „Entwurfs eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“ (BR-Drs. 535/10) werden in Anhang 3 des Handbuchs dargestellt und besprochen.
Der erste Teil des Handbuchs zeigt die wesentlichen Regeln, die Unternehmen beim Datenschutz kennen und beachten müssen und ermöglicht einen unkomplizierten Einstieg in eine komplizierte Materie. Dieser Überblick konzentriert sich auf die für Unternehmen wesentlichen Themen. Der Leser wird mit den Risiken bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Geschäftsleben vertraut gemacht und erfährt, wie man Probleme vermeidet. Stolpersteine und Fallgruben beim Umgang mit personenbezogenen Daten werden dargestellt. Dieser Teil des Buches enthält auch Handlungsempfehlungen und Praxistipps. Das Handbuch zeigt hier anhand von Beispielen und Checklisten, welche Vorgehensweisen erlaubt und welche problematisch sind. Entsprechend seiner hohen praktischen Bedeutung liegen zwei der Schwerpunkte auf dem Beschäftigtendatenschutz und auf Compliance-Fragen. Zudem werden beispielsweise die Haftung der Geschäftsführung für Verstöße beim Datenschutz, die Aufgaben des Datenschutzbeauftragten, strafrechtliche Risiken von Gesetzesverstößen sowie Datenverarbeitung auf der Grundlage von Einwilligungen und von Betriebsvereinbarungen beschrieben.
Auch der zweite Teil des Handbuchs soll dem Leser den Einstieg in den praktischen Umgang mit dem BDSG erleichtern. Hierfür muss man sehr häufig einzelne Normen des BDSG gründlich durchlesen. Daher enthält die Kurzkommentierung einen vollständigen Abdruck des BDSG und bietet dem Leser damit alle für das Verständnis der Grundlagen des Datenschutzes in Deutschland erforderlichen Informationen in einem einzigen Buch. Zudem findet der Leser eine knappe Erläuterung zu den in der betrieblichen Praxis wichtigsten Paragrafen des BDSG. Die Kurzkommentierung enthält auch Verweise, an welcher Stelle im ersten Teil die fragliche Regelung ausführlicher erläutert ist. Dadurch kann der Leser sich schnell einen Überblick verschaffen, an welcher Stelle des Handbuchs er weiterführende Informationen zu einem bestimmten Thema findet.
Dieses Handbuch richtet sich vor allem an Leser, die einen wissenschaftlich fundierten, aber dennoch gut verständlichen Überblick über den Datenschutz im Wirtschaftsleben suchen. Es eignet sich damit zum einen für Datenschutzbeauftragte, Compliance-Officer, Mitarbeiter in Rechtsabteilungen und andere für die Einhaltung gesetzlicher Vorschriften im Unternehmen verantwortliche Personen. Zum anderen gibt das Buch Vorständen oder Geschäftsführern mit Verantwortung für die Ressorts Datenschutz oder Compliance die Möglichkeit, sich in kompakter Form zu informieren. Auch Richtern, Verwaltungsbeamten, Rechtsanwälten, Referendaren und Studenten, die sich in kompakter Form über Grundzüge und Strukturen des BDSG informieren wollen, soll das Buch einen einfachen Einstieg in das Thema Datenschutz ermöglichen.
Wie fast alle Dinge, die mit einem erheblichen Aufwand verbunden sind, ist auch dieses Handbuch nicht allein das Ergebnis der Bemühungen eines Einzelnen. Daher möchte ich meinen Freunden und Kollegen danken, ohne deren Hilfe und Kritik dieses Buch nie geschrieben worden wäre. Insbesondere danke ich für seine Unterstützung Dr. Mark Hilgard und für Rat und Anregungen Philipp Zikesch, Dennis Heinson und Armin Fladung. Meiner Lektorin Tanja Brücker und Ulla Leis danke ich für ihre wertvolle Hilfe beim Bemühen um eine klare und verständliche Sprache.
Zuletzt und vor allem möchte ich meiner Frau Juliane und meinem kleinen Sohn Erik für ihre Motivation, Geduld und Nachsicht danken.
|
Frankfurt am Main, Februar 2011 |
Tim Wybitul |
1
Das deutsche Datenschutzrecht stellt Praktiker vor einige Herausforderungen. Zum einen wird es international als eine der strengsten Umsetzungen der EU-Datenschutzrichtlinie gesehen. Daher wird das Bundesdatenschutzgesetz (BDSG) in der Unternehmenspraxis häufig als Messlatte für europaweite Lösungen verwendet.1 Zum anderen wird es zu Recht als wenig anwenderfreundlich kritisiert.2 Dies liegt unter anderem an der schwer verständlichen Sprache des BDSG und an seiner Unübersichtlichkeit.3 Wer zum ersten Mal einen Blick in das Gesetz wirft, hat Mühe, das zugrunde liegende System zu erkennen oder gar zu verstehen.4 Gleichzeitig hat die Bedeutung des Datenschutzes in Deutschland in den vergangenen Jahren enorm zugenommen. Das zeigt sich unter anderem an den vielen Gesetzesvorhaben in diesem Bereich. Die bislang letzten Änderungen des BDSG sind 2010 in Kraft getreten und auch der Gesetzgeber hat sich in mehreren Anläufen an neuen Regelungen für den Beschäftigtendatenschutz versucht, ohne dass es dabei bisher jedoch zu einer Novellierung gekommen ist.5
2
Die aktuelle Rechtsprechung macht deutlich, wie schwerwiegend die Folgen von Fehlern beim Umgang mit personenbezogenen Daten sein können. Beispielsweise hat der Bundesgerichtshof erst kürzlich zwei Privatermittler wegen datenschutzwidriger Überwachungsmaßnahmen zu Haftstrafen verurteilt.6 In einer anderen Entscheidung hat das BAG eine Kündigung als unwirksam beurteilt, weil der Arbeitgeber maßgebliche Informationen unter Verstoß gegen § 32 BDSG erhoben hatte. Das BAG nahm bezüglich der so gesammelten Kündigungsgründe ein Beweisverwertungsverbot an.7
3
Dieses Handbuch soll Praktikern einen verständlichen Überblick darüber geben, wie man die Regelungen des BDSG schnell versteht und sie in der Praxis sicher anwendet. Damit richtet es sich an Leser, die einen leichten Einstieg in ein komplexes Thema suchen. Das Buch bietet eine knappe Zusammenfassung der in der Praxis wichtigen Bestimmungen und Mechanismen.8 Es ist keine abschließende Darstellung aller denkbaren Probleme und sämtlicher in der Fachliteratur diskutierten Streitigkeiten, sondern soll dem Praktiker einen alltagstauglichen Überblick über Probleme des Datenschutzes geben – und vor allem über deren mögliche Lösungen. Themen, die nur wenige Unternehmen betreffen, werden bewusst umfangreicheren Darstellungen des gesamten Datenschutzrechts überlassen.9
4
Das Handbuch zielt in erster Linie darauf ab, Entscheidungsträgern in Unternehmen bei der Anwendung der Regeln des Datenschutzes zu helfen. Allerdings lassen sich viele Grundsätze und Überlegungen auch auf den Umgang mit Daten bei öffentlichen Stellen (vgl. § 2 Abs. 1 – 3 BDSG) übertragen. Zudem gelten die meisten der in den nachstehenden Kapiteln dargestellten Prinzipien und Begriffsbestimmungen sowohl für private Unternehmen10 als auch für öffentliche Stellen.
5
Dieser Abschnitt gibt einen kurzen Überblick über die Entstehung des BDSG in seiner heutigen Form. Für das Verständnis der wesentlichen Regelungen des Datenschutzes ist diese Entwicklung des Gesetzes zwar nicht zwingend erforderlich. Allerdings hilft die Lektüre dieses Abschnitts durchaus dabei, zu verstehen, wieso das BDSG in seiner heutigen Form existiert.
6
Beispielsweise sind die vielen sogenannten „Buchstabenparagrafen“ (z.B. §§ 4a–4g BDSG) Folge vieler Überarbeitungen des BDSG. Das Gesetz wurde stets nur in einzelnen Teilen, aber niemals gründlich und vollständig reformiert. Um nicht auch die Nummerierung der nachfolgenden Paragrafen des Gesetzes ändern zu müssen, fügte der Gesetzgeber eine Vielzahl solcher Buchstabenparagrafen ein. Leser, die neben der reinen Beschreibung des aktuellen Gesetzes daran interessiert sind, die Hintergründe einzelner Regelungen und Strukturen zu verstehen, können beim Lesen dieses Abschnitts zudem interessante Hintergrundinformationen erfahren.11
7
Das BDSG wurde bislang vielfach geändert – aber niemals im Hinblick auf Einfachheit und klare Struktur. Das Gesetz wurde bereits bei seiner Verkündung im Jahr 197712 als praxisfern, formalistisch und schwer verständlich kritisiert.13 Seitdem wurden viele Regelungen des BDSG unstrukturiert geändert;14 man kann durchaus von einem „Patchwork-Gesetz“ sprechen.15
8
In seinem Urteil zum Volkszählungsgesetz stellte das Bundesverfassungsgericht am 15.12.1983 fest, dass staatliche Eingriffe in das Recht der Bürger auf informationelle Selbstbestimmung einer verfassungsgemäßen gesetzlichen Grundlage bedürfen, „die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.“16 Damit erteilte das höchste Gericht Deutschlands dem umfassenden Informationsverlangen des deutschen Staats gegenüber seinen Bürgern eine klare Absage.17 Wenn der Gesetzgeber das Recht seiner Bürger auf informationelle Selbstbestimmung durch umfassende Datenerhebung und Verarbeitung im Rahmen einer Volkszählung einschränke, so müsse er hierfür hinreichend klare und transparente Normen schaffen,18 den Verhältnismäßigkeitsgrundsatz angemessen berücksichtigen19 und die Daten nur für den Zweck verwenden, zu dem sie auch erhoben wurden.20
9
Das Urteil des Bundesverfassungsgerichts richtete sich nicht direkt an Unternehmen, sondern an den Gesetzgeber, also an den Staat. Dennoch sind Unternehmen gut beraten, sich im Rahmen ihrer täglichen Arbeit mit dem Datenschutz an den Grundsätzen zu orientieren, die das Gericht 1983 aufgestellt hat.21 Denn auch private Wirtschaftsunternehmen sind bei der Anwendung (und Auslegung) des BDSG und anderer Gesetze an die von der Verfassung vorgegebenen Grundsätze nach der sogenannten mittelbaren Drittwirkung der Grundrechte gebunden.22
10
1990 verabschiedete der Gesetzgeber eine erste Neufassung des BDSG.23 Diese Gesetzesänderung wurde teilweise scharf kritisiert.24 Nach Inkrafttreten der EG-Datenschutzrichtlinie 95/46/EG25 im Jahre 1995 war der deutsche Gesetzgeber verpflichtet, das BDSG innerhalb von drei Jahren den Vorgaben des Europarechts anzupassen.
11
Im Jahre 2001 trat eine neue Fassung des BDSG in Kraft, die um die europarechtlichen Vorgaben aus der EG-Datenschutzrichtlinie 95/46/EG ergänzt war.26 Ein bekannter Kommentar beschrieb die Neuregelung zutreffend so: „Insgesamt hat das Gesetz an Umfang und Regelungsdichte erheblich zugenommen, so dass die ebenfalls als Kernpunkt modernen Datenschutzrechts angestrebte Rückkehr zu lesbaren und für Betroffene und Praxis noch überschaubaren Regelungen weitgehend konterkariert wird.“27
12
In erster Linie als Reaktion auf Datenschutzskandale bei einer Reihe von Großunternehmen28 beschloss der Gesetzgeber 2009 eine weitere Novelle zum BDSG. Das neue Datenschutzrecht führte unter anderem zu einer Ausweitung der Rechte der Aufsichtsbehörden, zu höheren Bußgeldern und Regelungen zur Abschöpfung von Gewinnen und zu einem neuen Beschäftigtendatenschutz.29
13
Am 31.3.2010 legte das Bundesinnenministerium ein Eckpunktepapier vor, in dem es zeitnahe weitere Änderungen des Gesetzes im Bereich des Beschäftigtendatenschutzes ankündigte. Kurz darauf kursierte bereits ein Referentenentwurf zu einem neuen Beschäftigtendatenschutzgesetz, dessen einzelne Regelungen teilweise kontrovers diskutiert wurden und werden.30
14
Knapp ein Jahr nach Inkrafttreten des derzeit nach wie vor geltenden § 32 BDSG hat sich das Bundeskabinett am 25.8.2010 auf einen „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“ verständigt. Ein neuer Unterabschnitt des Bundesdatenschutzgesetzes sollte künftig den erlaubten Umgang mit den Daten von Beschäftigten umfassend regeln. Die politischen Gespräche hierzu führten jedoch zu keinem Ergebnis. Ein neuer Anlauf im Frühjahr 2013, bei dem kurzfristig die BDSG-Novelle erneut politischer Diskussionsgegenstand wurde, wurde aufgrund energischer Kritik an dem Vorhaben von allen Seiten kurzerhand wieder eingestellt. Seitdem gibt es keine neuen Vorstöße zu einer Modernisierung des deutschen Beschäftigtendatenschutzes. Auch der Koalitionsvertrag der aktuellen Bundesregierung lässt nicht vermuten, dass der Gesetzgeber in absehbarer Zeit eine Neuregelung des BDSG plant. Die Entwicklung des Datenschutzrechts auf europäischer Ebene kommt ebenfalls schleppend voran.31 Derzeit ist offen, ob und wann die geplante EU-Datenschutz-Grundverordnung in Kraft treten soll.
15
Nach 2010 entwickelte sich das deutsche Datenschutzrecht im Wesentlichen aufgrund europäischer Impulse und durch die nationale Rechtsprechung weiter. Insbesondere das Bundesarbeitsgericht hat in einer Reihe von aktuellen Entscheidungen grundlegende Vorgaben zum Umgang mit personenbezogenen Daten im Beschäftigungsverhältnis gemacht.32 Diese Vorgaben lassen sich weitgehend auch auf die sonstigen Regelungen zum Datenschutz übertragen. Zudem gibt es mehrere richtungsweisende Entscheidungen des Europäischen Gerichtshofes (EuGH), die eine richtlinienkonforme Auslegung der Regelungen des BDSG bestimmen.33 Zum anderen laufen derzeit intensive Bemühungen auf EU-Ebene, die mittlerweile als veraltet angesehene EU-Datenschutzrichtlinie zu modernisieren.
16
Der Europäische Gerichtshof (EuGH) mit Sitz in Luxemburg ist das oberste rechtsprechende Organ der Europäischen Union und sichert gemäß Art. 19 Abs. 1 Satz 2 EUV die Wahrung des Rechts bei der Auslegung und Anwendung der EU-Verträge. Als Bestandteil dessen achtet der EuGH auch darauf, dass die Umsetzung von Richtlinien durch die Gesetzgeber der Mitgliedsstaaten mit primärem wie sekundärem EU-Recht vereinbar ist. In diesem Zusammenhang wurden im Zuge der Anrufung des EuGH durch die Gerichte der Mitgliedsstaaten auch einige Entscheidungen zu datenschutzrechtlichen Fragestellungen veröffentlicht, die im Rahmen der Anwendung des BDSG Relevanz aufweisen.
17
Die sogenannte Lindqvist-Entscheidung beruht auf einem Vorabentscheidungsersuchen, bei dem es allgemein um den Anwendungsbereich der EU-Datenschutzrichtlinie und konkret die Frage ging, ob die Verwendung personenbezogener Daten auf einer Webseite eine automatisierte Verarbeitung im Sinne der Richtlinie ist. Während der EuGH diese Frage positiv beschied, klärte er zugleich, dass das Anbieten von Informationen im Internet nicht automatisch einer Übermittlung in Drittländer außerhalb der EU gleichzusetzen ist.34
18
Grundlage dieser Entscheidung war ein Fall, in dem ein Angestellter der Europäischen Zentralbank (EZB) seinem Arbeitgeber vorwarf, für eine jährliche Beurteilung ohne sein Wissen seine E-Mail-Korrespondenz gesammelt zu haben, um sie dann in der Beurteilung zu verwenden. Im Rahmen der Begründung prägte der EuGH einen weitreichenden Begriff der “personenbezogenen Daten”.
19
In der sog. „Bavarian Lager“-Entscheidung des EuGH vom Herbst 2007 definiert der EuGH auf Grundlage der Formulierung des Art. 2 lit. a der Verordnung Nr. 45/2001 die Anforderungen an die Bestimmbarkeit einer Person zur Begründung des Personenbezuges von bestimmten Daten. Als bestimmbar sah der EuGH danach eine Person an, die durch die konkreten Daten direkt oder indirekt identifiziert werden kann, und stellte dabei fest, dass dies insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck der physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, geschehen kann.35 Die Absolutheit dieser Bezugspunkte ist insbesondere im Hinblick auf die in Deutschland immer noch existierende Lehre vom “relativen Personenbezug” relevant.
20
Bei diesem Vorabentscheidungsersuchen vom Dezember 2008 ging es um die Frage, welche Daten im Ausländerzentralregister (AZR) als erforderlich für die Durchführung staatlicher Aufgaben im Sinne von Art. 7 lit. e) der EU-Datenschutzrichtlinie anerkannt werden können. Hierzu setzte sich der EuGH intensiv mit der Frage auseinander, wozu eine Datenbank wie das AZR gebraucht würde und differenzierte in seiner Bewertung: obgleich ein derartiges Register als zur Anwendung aufenthaltsrechtlicher Vorschriften im Sinne von Art. 7 Buchst. e der EU-Datenschutzrichtlinie als erforderlich anzusehen sei, könne dies nur dann gelten, wenn die Zugriffsberechtigungen auf Behörden mit Befugnissen in diesen Bereichen beschränkt würden. Zu dem Argument, dass ein weiterer wesentlicher Zweck des AZR in der Bekämpfung der Kriminalität zu sehen sei, führte der EuGH aus, dass hierfür die Staatsangehörigkeit der Täter keine Rolle spielte, und aberkannte dem AZR diesbezüglich die Erforderlichkeit der Datenverarbeitung. Zusätzlich zur tatsächlichen Erforderlichkeit verlangte das Gericht als weitere Voraussetzung, dass gerade der zentralisierte Charakter einer Datenbank wie dem AZR eine effizientere Anwendung der legitimierenden Vorschriften erlaubt, und erweiterte damit die objektive Erforderlichkeit um einen Effizienzgesichtspunkt. Diese Entscheidung des EuGH entfaltet seine Auswirkungen bei der Anwendung aller Regelungen des BDSG, die auf die Erforderlichkeit einer Datenverarbeitung abzielen, also insbesondere auch im Rahmen der §§ 28, 29 und 32 BDSG.
21
Der EuGH entschied im Frühjahr 2010 eine Vertragsverletzungsklage nach Art. 226 EG vom 22. November 2007, bei der es um die Anforderungen an die Unabhängigkeit der Aufsichtsbehörden ging. In diesem Zusammenhang kam der EuGH zu dem Schluss, dass die deutsche Datenschutzaufsichtsbehörden im nicht-öffentlichen Bereich nicht unabhängig genug seien und die Bundesrepublik Deutschland folglich gegen Art. 28 Abs. 1 der Richtlinie 95/46/EG verstoße. Hintergrund des Verfahrens war, dass in Deutschland die für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen zuständigen Kontrollstellen in den Bundesländern einer staatlichen Aufsicht unterstellt sind und damit nicht dem Erfordernis entsprechen, dass diese ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen. Die Aufsichtsbehörden dürfen folglich nicht mehr der Aufsicht eines Ministeriums unterstellt werden und müssen zudem vor politischem Einfluss besonders geschützt werden, damit gewährleistet sei, dass sie völlig frei von Weisungen und Druck handeln können.36 Diese Rechtsansicht des EuGH, die dieser später auch gegenüber Österreich erneut zum Ausdruck brachte,37 kann weitreichende Auswirkungen auf die Stellung der deutschen Aufsichtsbehörden haben.
22
Bei dieser Entscheidung handelt es sich um ein Vorabentscheidungsverfahren aus Spanien zu der Frage, ob die Datenschutzrichtlinie 95/46/EG eine Voll- oder Mindestharmonisierung verlangt. Der Aussage des Gerichts hierzu fehlt es nicht an Deutlichkeit: Art. 7 Buchst. f der Richtlinie 95/46 hat nicht nur unmittelbare Wirkung, sondern bestimmt auch abschließend die Voraussetzungen einer Verarbeitung personenbezogener Daten. Die Regelung im spanischen Recht, die zusätzlich zur Interessenabwägung verlangte, dass die Daten aus öffentlich zugänglich Quellen stammten, erklärte das Gericht für nichtig, da sie nicht nur Leitlinien für diese Abwägung aufstellte, sondern sie nach Ansicht des Gerichts unzulässigerweise einschränkte.
23
Diese Entscheidung kann auch Auswirkungen für die Regelungen des BDSG haben, in denen gesetzliche Erlaubnistatbestände definiert werden. Obgleich dies bislang in Deutschland noch nicht gerichtlich überprüft worden ist, wird eine richtlinienkonforme Auslegung der §§ 28, 28a und § 32 BDSG wohl zu dem Ergebnis führen, dass auch dort einzig die Abwägung zwischen den berechtigten Interessen der verantwortlichen Stelle und den schützenswerten Interessen der Betroffenen legitimes Tatbestandsmerkmal sein kann. Darüber hinausgehende Anforderungen dieser Regelungen sind, soweit sie nicht nur diese Abwägung konkretisieren, dem Risiko ausgesetzt, gegen die insoweit vollharmonisierende Regelung des Art. 7 Buchst. f der Datenschutzrichtlinie zu verstoßen.
24
Die EU-Datenschutz-Richtlinie 95/46/EG vom 24.10.1995 galt seinerzeit als wegweisender Rechtsakt und wurde die Grundlage für die Datenschutzgesetze der Mitgliedsstaaten. Angesichts der technologischen Weiterentwicklung und der wachsenden Bedeutung von Suchmaschinen, sozialer Netzwerke und des mobilen Internets entschied die Europäische Kommission jedoch, dass es an der Zeit sei, diese Richtlinie zu überarbeiten und legte dazu nach einer mehrmonatigen öffentlichen Konsultation am 4. November 2010 ein Gesamtkonzept vor.38 Vorrangiges Ziel der Reformbestrebungen sollte es sein, ein einheitliches und hohes Datenschutzniveau für alle Bürgerinnen und Bürger der EU im Zeitalter moderner Informations- und Kommunikationstechnologien sicherzustellen.
25
Dazu gehörte nach der Überzeugung der Kommission insbesondere die zu steigernde Transparenz der Datenverarbeitung, die Stärkung der Betroffenenrechte, sowie eine Verpflichtung der Unternehmen, datenschutzfreundliche Technologien und Anwendungen von vornherein in ihre Produkte zu integrieren. Ausgehend von diesen Prämissen legte die Kommission am 25.1.2012 einen Vorschlag für die Änderung der EU-Datenschutzrichtlinie vor.39 Dieser umfasste zum einen den Entwurf einer Datenschutz-Grundverordnung und zum anderen einen Richtlinien-Entwurf für den Polizei- und Justizbereich. Beide Vorschläge werden derzeit von den Mitgliedstaaten im Rat der Europäischen Union und vom Europäischen Parlament im ordentlichen Gesetzgebungsverfahren der EU beraten. Die dabei entstandenen mehreren tausend Änderungsanträge lassen dabei einen Rückschluss auf die Intensität zu, mit der die Vorschläge auf politischer, gesellschaftlicher und juristischer Ebene diskutiert werden. Sollte die ursprüngliche Richtlinie am Ende dieses Prozesses tatsächlich durch eine Verordnung ersetzt werden, hätte dies auch für das deutsche Datenschutzrecht drastische Auswirkungen. Im Gegensatz zu Richtlinien, die in nationales Recht transformiert werden müssen, entfalten Verordnungen in den Mitgliedsstaaten unmittelbare Wirkung. Das bedeutet, dass die Bestimmungen der Verordnung die Regelungen des BDSG und sämtlicher anderen nationalen Datenschutzgesetze ersetzen würden. Die derzeitigen Planungen auf europäischer Ebene gingen zunächst davon aus, dass der Verhandlungsbeginn zwischen Europäischem Parlament, Rat und Europäischer Kommission („Trilog“) im Herbst 2013 starten und die Richtlinie nach Abschluss dieser Gespräche – wahrscheinlich mit einer ein- oder zweijährigen Übergangsfrist – in Kraft treten könnte. Mittlerweile ist es jedoch unsicher geworden, ob es dazu noch vor den Neuwahlen des Europäischen Parlaments im Mai 2014 kommt. Bis zum Inkrafttreten des neuen Rechtsrahmens behält die EU-Datenschutzrichtlinie 95/46/EG jedoch ihre Geltung.
26
Dieser einleitende Abschnitt zeigt in knapper Form die gängigsten Probleme bei der Anwendung des BDSG auf. Er informiert darüber, warum der Datenschutz als schwieriges und unklares Thema gilt. Die nachfolgenden Kapitel zeigen dann, wie man diese Probleme in der Praxis löst und den Umgang mit dem BDSG im Unternehmen meistert.
27
Ein wesentliches Problem beim Datenschutz ist die – auch für Juristen – gewöhnungsbedürftige Sprache des BDSG. Viele Formulierungen und Begriffe des Gesetzes sind technisch und wenig praxisgerecht. Ein Beispiel hierfür ist, dass das BDSG von der „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten“ spricht. Das liest sich sperrig und erschwert das Verständnis der einzelnen Regelungen. Besser wäre es, der Gesetzgeber hätte als Oberbegriff für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten etwa den „Umgang mit Daten“40, die „Verwendung von Daten“ oder die „Datenverarbeitung“ verwendet, ähnlich wie dies Art. 2 lit. b) der Datenschutzrichtlinie 95/46/EG41 tut. Um sprachlich verständlicher als der Gesetzestext zu sein, verwendet dieses Handbuch die Begriffe Datenumgang, Datenverwendung oder Datenverarbeitung häufig sinngemäß für das Erheben, Verarbeiten und Nutzen personenbezogener Daten.42
28
Viele Regelungen zum Datenschutz enthalten weitgehend unbestimmte Rechtsbegriffe. Deren Auslegung ist schwierig, weil sie weite Interpretationsspielräume zulassen. Das BDSG zeichnet sich wegen dieser vielen unbestimmten Rechtsbegriffe durch viele Grauzonen aus. Da diese Begriffe keine präzise umrissenen Sachverhalte beschreiben, muss ihr Inhalt bei der Rechtsanwendung durch Auslegung im Einzelfall bestimmt werden.43
29
Wichtige Rechtsbegriffe des BDSG sind beispielsweise die „Erforderlichkeit“ (z.B. in § 28 oder § 32 BDSG) oder „Verhältnismäßigkeit“ eines Umgangs mit personenbezogenen Daten (z. B. § 3a Satz 2 BDSG), die „schutzwürdigen Interessen des Betroffenen“ (z.B. §§ 4 Abs. 2 Satz 2, 28 Abs. 1 Satz 1 Nr. 2 und Nr. 3, 32 Abs. 1 Satz 2 BDSG), der „angestrebte Schutzzweck“ (vgl. § 3a BDSG) einzelner Regelungen oder das „angemessene Datenschutzniveau“ (vgl. § 4c BDSG). Bei der praktischen Arbeit mit dem BDSG müssen Unternehmen diese Begriffe in einer Form anwenden, die einer gerichtlichen Überprüfung oder einer Kontrolle durch die zuständige Datenschutzbehörde standhält.
30
Weder Rechtsprechung noch Aufsichtsbehörden haben bislang klare Grundsätze aufgestellt, wie die Anforderungen des BDSG auszulegen sind. Dies gilt ganz besonders im Bereich des Beschäftigtendatenschutzes. Das hat auch die Politik erkannt. Das Bundesinnenministerium formuliert dies so: „Es gibt bereits heute zu vielen Fragen des Beschäftigtendatenschutzes eine einzelfallbezogene Rechtsprechung der Arbeitsgerichte. Diese ist allerdings oft uneinheitlich. Obergerichtliche Urteile sind selten. Für zahlreiche in der beruflichen Praxis vorhandene Fragen bestehen derzeit keine speziellen gesetzlichen Regelungen.“44
31
Auch die Kontrollpraxis beim Datenschutz erschwert es Unternehmen, zu erkennen, welche Vorgaben sie beim Umgang mit Kunden- und Beschäftigtendaten erfüllen müssen.45 In Deutschland überprüfen Aufsichtsbehörden auf Landesebene die Einhaltung der Regeln des BDSG durch Unternehmen der Privatwirtschaft, § 38 Abs. 6 BDSG. Die Aufsichtsbehörden in den einzelnen Bundesländern vertreten hierbei häufig unterschiedliche Auffassungen. Was beispielsweise von einer Aufsichtsbehörde nicht beanstandet wird, kann nach Auffassung der Kontrollbehörde eines anderen Bundeslandes durchaus ein Problem darstellen. Zwar stimmen sich die Aufsichtsbehörden zu einzelnen Fragen in mehreren gemeinsamen Gremien ab, zu denen der sogenannte „Düsseldorfer Kreis“, die „Konferenz der Datenschutzbeauftragten des Bundes und der Länder“ und der „Kooperationskreis IuK“ gehören. In vielen Punkten bestehen zwischen den einzelnen Aufsichtsbehörden dennoch recht unterschiedliche Auffassungen, was weiter zur bestehenden Rechtsunsicherheit beiträgt. Verantwortliche sind deshalb gut beraten, sich bei ihrem Vorgehen an den Anforderungen der jeweils zuständigen Kontrollbehörden zu orientieren.
32
Der Europäische Gerichtshof hat im März 2010 die fehlende Unabhängigkeit der Aufsichtsbehörden für die Privatwirtschaft bemängelt.46 Daher wird es voraussichtlich auch bei der organisatorischen Struktur der Aufsichtsbehörden für den Datenschutz in der Privatwirtschaft zu weiteren Veränderungen kommen. Ob es in diesem Rahmen allerdings auch zu einer nennenswerten Vereinheitlichung der Datenschutzpraxis kommt, darf bezweifelt werden.
Praxistipp: Oft steht für Unternehmen im Hinblick auf den Datenschutz nicht allein die Frage im Vordergrund, ob ein konkretes Verhalten oder eine geplante Vorgehensweise bei wissenschaftlicher Betrachtung zulässig ist. Denn wie bei vielen anderen Compliance-Themen geht es weniger um die Beurteilung von „Erlaubt“ oder „Verboten“. Eine solche Abgrenzung ist bei vielen Fragen des Datenschutzes praktisch auch gar nicht möglich.
Vielmehr müssen sich die für den Datenschutz im Unternehmen Verantwortlichen vor allem fragen, was genau die möglichen Risiken eines bestimmten Vorgehens sind. Droht bei einer Kontrolle durch die Aufsichtsbehörden ein Bußgeld oder allenfalls eine Änderungsanordnung? Wie wäre die Öffentlichkeitswirkung, falls der fragliche Datenumgang bekannt würde? Muss man sich vor Einführung eines konkret geplanten Prozesses mit Arbeitnehmervertretern abstimmen, weil Mitbestimmungsrechte des Betriebsrats berührt sind?47 Wie reagiert die Belegschaft auf einen geplanten Datenumgang?
In der Praxis kommt es beim Datenschutz im Unternehmen daher oft darauf an, neben der rechtlichen Zulässigkeit und den möglichen Folgen beispielsweise auch Fragen der technischen Machbarkeit, Kosten, Abstimmung mit den Beschäftigten, deren Vertretern und gegebenenfalls den Aufsichtsbehörden im Auge zu behalten.
33
Der Einstieg in die Materie des Datenschutzrechts wird durch den verschachtelten Aufbau des BDSG nicht erleichtert. Beschäftigt man sich allerdings mit der Struktur des Gesetzes, kann man durchaus verstehen, wie die einzelnen Regelungen des BDSG funktionieren und was man beim Umgang mit personenbezogenen Daten beachten muss.
34
Das BDSG ist in sechs Abschnitte unterteilt, für Wirtschaftsunternehmen sind vor allem der erste (§§ 1 – 11 BDSG, Allgemeine und gemeinsame Bestimmungen) und der dritte Abschnitt (§§ 27 – 38a BDSG, Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen) wichtig. Der erste Abschnitt des Gesetzes enthält die allgemeinen Regeln des BDSG, also grundlegende Bestimmungen, die beispielsweise auch für öffentlich-rechtliche Stellen gelten. Wenn man das System der im ersten Abschnitt des Gesetzes enthaltenen Grundregeln kennt, hat man bereits einen großen Schritt zum rechtskonformen Umgang mit dem BDSG gemacht. Die wichtigste Norm des ersten Abschnitts ist § 4 Abs. 1 BDSG, der die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten grundsätzlich verbietet – es sei denn, dass eine Rechtsvorschrift dies erlaubt oder dass der Betroffene48 eingewilligt hat. Aus diesem Verbot ergibt sich bereits ein allgemeiner Ablaufplan für den zulässigen Umgang mit personenbezogenen Daten.
Checkliste zum Umgang mit dem BDSG
Da § 4 Abs. 1 BDSG den Umgang mit personenbezogenen Daten grundsätzlich verbietet, falls nicht einer der gesetzlich geregelten Ausnahmefälle (Erlaubnisnorm oder Einwilligung) vorliegt, kann man die Frage nach der Zulässigkeit eines Umgangs mit Daten oft nach folgendem groben Muster beantworten:
In der Praxis liegt ein Schwerpunkt bei der Arbeit mit dem BDSG häufig darauf, eine geeignete Erlaubnisnorm zu finden und ein geplantes Vorhaben an den Anforderungen dieser Erlaubnisnorm (und an den allgemeinen Regeln des BDSG) auszurichten. Zudem kann man das so ermittelte Ergebnis mit einer einfachen Kontrollüberlegung überprüfen. Wenn man von dem geplanten Datenumgang durch das eigene Unternehmen nur ungern in der Zeitung lesen würde, sollte man sich auf jeden Fall fragen, ob eine weitere juristische Prüfung oder eine Abstimmung mit den Aufsichtsbehörden nicht zweckmäßig wäre.
35
Der zweite Abschnitt des BDSG enthält Regeln für öffentliche Stellen. Der dritte Abschnitt ist für Wirtschaftsunternehmen maßgeblich; er regelt die Beschränkungen für Personen und Unternehmen, die in der Privatwirtschaft tätig sind sowie für öffentlich-rechtliche Unternehmen, die am privaten Wettbewerb teilnehmen.49 Der vierte Abschnitt des BDSG enthält einige Sondervorschriften, wie etwa § 42a BDSG, der die Voraussetzungen und Rechtsfolgen von sogenannten Datenpannen regelt. Der fünfte Abschnitt besteht aus Vorschriften über die Verhängung von Bußgeldern sowie Geld- und Haftstrafen, der sechste Abschnitt enthält Übergangsvorschriften.
36
Für die praktische Arbeit von Unternehmen im Bereich Datenschutz ist es daher zumeist zweckmäßig, sich auf den ersten (§§ 1 – 11 BDSG) und den dritten Abschnitt (§§ 27 – 38a BDSG) des Gesetzes zu konzentrieren. Ist man mit den maßgeblichen Regelungen dieser beiden Abschnitte in groben Zügen vertraut, so hat man bereits eine gute Grundlage für den Umgang mit dem BDSG.
37
Unternehmen müssen sich mit den Anforderungen des Datenschutzes umfassend auseinandersetzen. Tun sie das nicht, drohen Bußgelder, Schadensersatz und vor allem erhebliche Rufschäden. Bei besonders schweren Verstößen drohen sogar Haft- oder Geldstrafen. Wenn man betrachtet, welche Beträge große Unternehmen jährlich für Öffentlichkeitsarbeit ausgeben, kann man erfassen, welche tatsächlichen Kosten sogenannte Datenskandale insgesamt verursachen. Unbedachtes Vorgehen beim Datenschutz im Unternehmen kann die Wirkung von Werbeausgaben in Millionenhöhe in kurzer Zeit entwerten.
38
Bis vor wenigen Jahren sahen Unternehmen den Datenschutz teilweise als „zahnlosen Tiger50“ an. Dies hat sich in Folge der Datenschutzaffären der letzten Jahre grundlegend geändert. Die Intensität und Anzahl der Kontrollen der Einhaltung der Vorschriften zum Datenschutz nimmt zu.51 So gibt allein die Bundesregierung in ihrem Haushalt 2010 den Betrag von 1,8 Milliarden mehr für Datenschutz als im Vorjahr aus.52 Mittlerweile haben deutsche Aufsichtsbehörden eine Vielzahl von Bußgeldern – teilweise in empfindlicher Höhe – gegen Unternehmen verhängt. Heute zählt die Einhaltung von Datenschutzregeln, ebenso wie die Korruptionsbekämpfung oder das Kartellrecht, zu den ernst zu nehmenden Anforderungen für deutsche Unternehmen. Werden flächendeckende Verstöße gegen das BDSG bekannt, kann dies für Unternehmen zu enormen Imageschäden führen. Hinzu kommt das Risiko hoher Bußgelder und von Gewinnabschöpfung durch Aufsichtsbehörden. Zudem haftet die Unternehmensleitung selbst für Verstöße (vgl. hierzu etwa Rn. 469, 504 ff.).
39
Die möglichen Folgen von Verstößen sind gravierend – nicht nur für die betroffenen Unternehmen, sondern auch für die handelnden Personen selbst. Bei Fehlern können Beteiligte schnell den Arbeitsplatz verlieren. Ihnen drohen zudem Geldbußen und Schadensersatzansprüche. Schwere Datenschutzverstöße sind gemäß § 44 BDSG sogar strafbar.53 Diese Regelung sieht für besonders erhebliche Verstöße Freiheitsstrafe von bis zu zwei Jahren oder Geldstrafen vor. Dieser Sanktionsrahmen könnte sich mit Inkrafttreten der EU-Datenschutzgrundverordnung noch erheblich verschlimmern. Artikel 79 des Verordnungsentwurfs der Europäischen Kommission sieht derzeit ein gestaffeltes System von Sanktionen vor, das Geldbußen von bis zu 1 Million Euro oder – bei Unternehmen – 2 % ihres weltweiten Jahresumsatzes vorsieht. Das EU-Parlament setzt derzeit sogar 5 % an.
Praxistipp: Kennt man hingegen die Regeln des BDSG, kann man die geschilderten Risiken beim Umgang mit Daten im Unternehmen durchaus vermeiden – und dennoch die wesentlichen Unternehmensziele erreichen. Denn beim Datenschutz entscheidet in der Regel die Art und Weise, in der man eine Maßnahme gestaltet, ganz wesentlich über deren Zulässigkeit. Daher stellt sich oftmals nicht allein die Frage, ob ein einzelner Datenumgang erlaubt ist, sondern wie man ihn ausgestalten muss, um unangenehme Folgen zu vermeiden. Zudem muss man stets den Zweck eines Datenumgangs angemessen gegen die Eingriffe in Persönlichkeitsrechte Betroffener abwägen.54