Bundesdatenschutzgesetz

Vereinzelt gab es schon seit langem Bestimmungen, die dem Schutz der Privatsphäre dienten (Arzt-, Steuergeheimnis u. a. m.). Überlegungen zu einem umfassenden Datenschutz nahmen in den 60er Jahren in den USA ihren Anfang und gingen einher mit der Entwicklung der Computertechnologie und den damit verbundenen Gefahren für die Privatsphäre (privacy). In Deutschland eröffnete Hessen 1970 mit dem ersten Datenschutzgesetz der Welt den Reigen der Datenschutzgesetzgebung (USA 1974, Deutschland 1977). Nach dem Volkszählungsurteil des Bundesverfassungsgerichts 1983 war klar, dass die bisherigen Datenschutzgesetze nicht den verfassungsrechtlichen Anforderungen genügten. Diese mussten innerhalb eines angemessenen Zeitraumes novelliert werden. 1986 verabschiedete Hessen (Hessen vorn) als erstes Bundesland ein neues Datenschutzgesetz, 1990 war auch der Bund so weit.

"Eine ausdrückliche Kompetenz des Bundes zur umfassenden Regelung des Datenschutzes enthält das Grundgesetz nicht. Die Regelungskompetenz für ein Bundesdatenschutzgesetz ergibt sich aus dem Rückgriff auf die Gesetzgebungszuständigkeiten für verschiedene Bereiche, die für den Datenschutz von Bedeutung sind. Für den Datenschutz im Anwendungsbereich der öffentlichen Verwaltung ist dies die Gesetzgebung für das Verwaltungsverfahren (Art. 70 ff. i. V. m. Art. 84 Abs. 1, 85 Abs. 1 und 86 GG). Die Datenverarbeitung wird als Arbeits- und Organisationsmittel eingesetzt und ist damit dem Bereich des Verwaltungsverfahrens zuzuordnen. Bundesrechtliche Datenschutzbestimmungen können daher für die Verwaltungstätigkeit des Bundes sowie für die der Länder, Gemeinden und Gemeindeverbände erlassen werden, soweit diese Bundesrecht ausführen; im Bereich der landeseigenen Ausführung von Bundesrecht bedarf es hierzu der Zustimmung des Bundesrates. Für die gesetzliche Regelung des Schutzes der Privatsphäre im nicht-öffentlichen Bereichen beruht die Gesetzgebungskompetenz des Bundes auf der jeweiligen Sachkompetenz, also auf seiner im GG festgelegten Zuständigkeit u. a. für die Gesetzgebung auf dem Gebiet des Wirtschafts-, Arbeits-, Zivil-, Straf- und Prozessrechts." (Gesetzesbegründung zum BDSG)

Das BDSG besteht aus sechs Abschnitten:

• Im ersten Abschnitt (§§ 1-11) werden allgemeine und gemeinsame Bestimmungen erläutert,
• im zweiten Abschnitt (§§ 12-26) die Datenverarbeitung für öffentliche Stellen und
• im dritten Abschnitt (§§ 27-38a) für private Stellen geregelt.
• Der vierte Abschnitt (§§ 39-42) enthält Sondervorschriften,
• im fünften Abschnitt (§§ 43-44) werden Straf- und Bußgeldvorschriften und
• im sechsten Abschnitt (§§ 45-46) Übergangsvorschriften genannt.

• § 1 Absatz 1 BDSG sagt:

Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Ein wesentlicher Grundsatz des Gesetzes ist das so genannte Verbotsprinzip mit Erlaubnisvorbehalt. Dieses besagt, dass die Erhebung und Verarbeitung von personenbezogenen Daten im Prinzip verboten ist. Sie ist nur dann erlaubt, wenn entweder eine klare Rechtsgrundlage gegeben ist (das heißt, das Gesetz erlaubt die Datenverarbeitung in diesem Fall) oder wenn die betroffene Personen ausdrücklich ihre Zustimmung zur Verarbeitung gegeben hat. Die angewendeten Verfahren mit automatisierter Verarbeitung sind vom (behördlichen oder betrieblichen) Datenschutzbeauftragten zu prüfen, oder (wenn ein solcher nicht vorhanden ist) beim zuständigen Landesdatenschutzbeauftragten anzeigepflichtig.

Ebenfalls gilt der in § 3a definierte Grundsatz der Datenvermeidung und Datensparsamkeit: So sollen sich alle Datenverarbeitungssysteme an dem Ziel ausrichten, keine oder so wenig personenbezogene Daten wie möglich zu verwenden und insbesondere von den Möglichkeiten der Anynomisierung und Pseudonymisierung Gebrauch zu machen.

Geregelt wird der Umgang mit personenbezogener Daten. Personenbezogen sind Daten dann, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen, Personalnummer). Im Gegensatz dazu stehen anonyme Daten, bei denen die Person unbekannt ist, und pseudonyme Daten, bei denen der Name durch einen Decknamen ersetzt wird.

Nicht in den Geltungsbereich des BDSG fallen Daten über juristische Personen (GmbHs, AGs usw.)

Besonders geschützt werden sog. sensible Daten gemäß § 3 Abs. 9 BDSG, nämlich Daten über: rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben.

Bei diesen Daten ist das Verbotsprinzip mit Erlaubnisvorbehalt durch einen Ausnahmekatalog noch enger definiert und eine ausdrückliche Einwilligung des betroffenen notwendig.

Das BDSG regelt folgende Tätigkeiten: Die Datenerhebung, die Datenverarbeitung und die Datennutzung. Zur Verarbeitung gehört dabei das Speichern, Verändern, Übermitteln, Sperren und Löschen der Daten.

Bei einem Sitz der verantwortlichen Stelle im EG/EWR-Ausland gilt grundsätzlich das Sitzprinzip, d.h. der Sitz der verantwortlichen Stelle ist maßgeblich für das nationale Recht. Eine Firma mit Sitz in Frankreich beispielsweise kann ihr französisches Recht bei der Datenverarbeitung in Deutschland exportieren.

Falls die Stelle jedoch eine Niederlassung in Deutschland hat, gilt grundsätzlich das Territorialprinzip, d. h. es gilt das deutsche BDSG. Dies gilt ebenso für Stellen, die einen Sitz in einem Nicht-EG-EWR-Staat haben.

Im BDSG wird unterschieden zwischen Datenschutz von staatlichen ("öffentlichen") und von privaten ("nicht-öffentlichen") Stellen. Öffentlich-rechtliche Wettbewerbsunternehmen, die im Wettbewerb zu privaten Unternehmen stehen (z.B. die Deutsche Bahn), werden wie private Stellen behandelt.

Jede private Stelle (z. B. Unternehmen), in der fünf oder mehr Arbeitnehmer mit der Bearbeitung personenbezogener Daten beschäftigt sind, benötigt einen Datenschutzbeauftragten. Diese weitgehend unbekannte Regelung gilt spätestens nach Ablauf der dreijährigen Schonfrist (§ 45 BDSG) ab dem 23. Mai 2004 zwingend für jedes Unternehmen, das die o. g. Kriterien erfüllt.

Außerdem wird aus dem BDSG die Forderung abgeleitet, dass nachvollzogen werden kann, wer welche personenbezogenen Daten wann geändert hat. Ebenso muss dokumentiert werden, an welche Stellen die Daten weiter gegeben wurden.

Betroffene (natürliche Personen, über die Daten bei öffentlichen oder nicht-öffentlichen Stellen gespeichert sind), haben nach dem Bundesdatenschutzgesetz folgende unabdingbare Rechte:

• Auskunft darüber, ob und welche personenbezogenen Daten über sie gespeichert sind
• Auskunft darüber, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden
• Berichtigung von falschen personenbezogenen Daten
• Übermittlung seiner Daten an Dritte zu untersagen
• Löschung seiner Daten
• Sperrung seiner Datensätze

Die beiden erstgenannten Rechte können verweigert werden, falls das allgemeine öffentliche Interesse, das Interesse der jeweiligen nicht-öffentlichen Stelle an der Wahrung des Geschäftsgeheimnisses oder das Interesse Dritter zur Geheimhaltung überwiegt. Dies muss allerdings im Einzelfall geprüft werden. Eine Verweigerung der Auskunft muss mit Angabe der Gründe dokumentiert werden.

Jeder Bundesbürger hat also prinzipiell ein Auskunftsrecht bezüglich der über ihn gespeicherten Daten sowie ein Recht auf Richtigstellung falscher Daten. Für die befragten Stellen ergibt sich eine Auskunftspflicht, von der jedoch Polizei und Geheimdienste ausgenommen sind. Für die Auskunft kann eine Gebühr erhoben werden. Umstritten war lange Zeit die Praxis der Schufa, ein Selbstauskunftersuchen mit einer negativen Wertung zu belegen; diese Praxis hat die Schufa jedoch aufgegeben.

Die Evangelische Kirche in Deutschland, die Evangelischen Landeskirchen und die Bistümer der Katholischen Kirche unterliegen nicht dem Bundesdatenschutzgesetz, sondern haben eigene Datenschutzvorschriften erlassen.

Für Verwaltungsverfahren im Geltungsbereich des Sozialgesetzbuches (SGB) sind für den Schutz der Sozialdaten besondere Vorschriften gültig, welche statt des Bundesdatenschutzgesetzes oder landesrechtlicher Regelungen anzuwenden sind. Dies gilt auch für die Durchführung jener Gesetze, die gem. Art. II § 1 SGB I als besondere Teile des Sozialgesetzbuches gelten, also z. B. für Verfahren, die BAföG- oder Wohngeldstellen durchführen.

• Text des BDSG von juris (HTML)
• Text des BDSG von BfD (PDF)