Datenschutz
Das Bundesdatenschutzgesetz (BDSG) schütz das verfassungsrechtlich garantierte allgemeine Persönlichkeitsrecht indem es die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten grundsätzlich verbietet, es sei denn es ist aufgrund des Bundesdatenschutzgesetzes oder einer anderen Rechtsvorschrift eine Erhebung bzw. Verarbeitung oder Nutzung erlaubt (Verbot mit Erlaubnisvorbehalt, § 4 BDSG). Eine solche Erlaubnisnorm kann sich außerhalb des Bundesdatenschutzgesetzes auch in einem Tarifvertrag oder einer Betriebsvereinbarung finden.
Personenbezogene Daten sind Daten über einen einzelnen Menschen (sog. natürliche Personen), d.h. die Daten von juristischen Personen fallen nicht unter das deutsche Bundesdatenschutzgesetz, vgl. § 3 BDSG. Solche personenbezogene Daten können beispielsweise sein: Name, Anschrift, Alter, Staatsangehörigkeit, Beruf, Gesundheitsstand etc. Es kommt dabei nicht darauf an wie schutzbedürftig diese Daten im Einzelnen sind.
Des weiteres ist es auch möglich, dass der Betroffene selbst zuvor unter der Einhaltung von bestimmten Voraussetzungen einwilligt. Eine Einwilligung nach § 4 Abs. 1 BDSG ist nach § 4 a BDSG nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Unter anderem ist der Betroffene auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen. Auch muss eine Form eingehalten werden, eine solche Einwilligung bedarf der Schriftform. Dies ist auch sinnvoll, da man im Streitfall nur so die Einwilligung nachweisen kann. Eine solche Einwilligung trifft man im Internet beispielsweise häufig bei einer Newsletter-Anmeldung an. In diesem Zusammenhang wird oft über sogenannte Opt-In und Opt-out-Lösungen diskutiert.
Weiter ist das Transparenzgebot zu wahren, kritisch und in der Regel unwirksam sind beispielsweise ohne im sachlichen Zusammenhang eingebaute Eiwilligungserklärungen in allgemeinen Geschäftsbedingungen (AGB).
Weiter muss die Erhebung von solchen Daten erforderlich sein. Was genau unter einer Erforderlichkeit einer solchen Datenerhebung bzw. Verarbeitung oder Nutzung zu verstehen ist lässt das Gesetz offen, vgl. § 32 BDSG. Die Erhebung von personenbezogenen Daten kann im Arbeitsrecht beispielsweise im Bewerbungsprozess erforderlich sein um eine geeignete Bewerberin oder Bewerber zu ermitteln beziehungsweise für die Durchführung oder die Beendigung eines solchen Beschäftigungsverhältnisses. Das Bundesarbeitsgericht hat in seinem Urteil vom 20. Juni 2013 (2 AZR 547/12) eine Erforderlichkeit einer Datenerhebung in Beschäftigungsverhältnissen folgend formuliert diese „verlangt eine am Verhältnismäßigkeitsprinzip orientierte, die Interesse des Arbeitgebers und des Beschäftigten berücksichtigende Abwägung im Einzelfall [...].“
Am 25. Mai 2016 ist die EU-Datenschutz-Grundverordnung in Kraft getreten. Diese wird nach einer Übergangsfrist von zwei Jahren am 25. Mai 2018 zur Anwendung kommen. Diese Übergangsfrist sollte von Unternehmen genutzt werden um einen entsprechenden Datenschutz zu gewährleisten, da die Sanktionen gemäß EU-Datenschutz-Grundverordnung bei Nichteinhaltung stark erhöht werden.
Fazit:
Jeder, der personenbezogene Daten in irgendeiner Weise erhebt, nutzt oder verarbeitet, sollte sich mit den Grundsätzen des Datenschutzes insbesondere den Rechten der Betroffenen auseinandersetzen, sich praktische Handlungsweisen zurechtlegen und letztlich auch für Datensicherheit sorgen.
