Aus dem allgemeinen Persönlichkeitsrecht, welches aus dem Grundgesetz abgeleitet wurde, ist das Recht auf „Informationelle Selbstbestimmung“ entwickelt worden. Eine besondere Ausprägung dieses Grundrechtes auf informationelle Selbstbestimmung und die erhöhte Sensibilität in Deutschland aufgrund der geschichtlichen Ereignisse zu diesem Thema münzte 1990 in einer grundlegenden Novellierung des Bundesdatenschutzgesetz (nachfolgend „BDSG“). Wo in anderen Ländern Europas persönliche Daten nicht gezielt geschützt wurden und immer öffentlich zugänglich sind, bestand in Deutschland ein erhöhtes Bedürfnis persönliche Daten vor fremdem Zugriff zu schützen. Dabei ging es zunächst um den Schutz dieser Daten vor dem Zugriff des Staates. Ein Meilenstein war hierbei das Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahre 1983, welches die Grundprinzipien des Datenschutzes niederlegte und zu einer Neufassung des BDSG führte.

Neben dem BDSG gibt es im Zuge der technischen Entwicklung zahlreiche weitere Gesetze, die den Datenschutz regeln. Dazu zählen zum Beispiel das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), die EU-Datschenschutzrichtlinie oder die Datenschutzgesetze der Länder.

Durch das BDSG sind nur Privatpersonen geschützt. Nicht vom Schutzbereich umfasst sind reine Unternehmensdaten. Geschützt werden die Daten der Privatpersonen gegenüber dem Staat zugriff des Staates einerseits und gegenüber Unternehmen andererseits.

Das BDSG schützt personenbezogene Daten. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Beispiele könnten sein: Name, Geburtsort, -name, -datum, Telefonnummer, E-Mail-Adresse, Anschrift und IP-Adresse (letzteres z.T. streitig).

Anwendung findet das BDSG auf öffentliche, sowie nicht-öffentlich Stellen, welche in irgendeiner Form Daten verarbeiten. Nicht-öffentliche Stellen sind laut dem BDSG natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts. Der Verarbeitungstatbestand wird sehr weit gefasst, hierunter fällt jedes Erheben, Verarbeiten (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzen.

Grundlegend ist im Datenschutzrecht das Prinzip des „Verbotes mit Erlaubnisvorbehalt“. Dies bedeutet, die grundsätzliche Unzulässigkeit der Erhebung, Speicherung und Verarbeitung von persönlichen Daten für private Unternehmen, die nur durch die Zustimmung des Betroffenen oder eine Ausnahmevorschrift aufgehoben werden kann.

Als weiteren datenschutzrechtlichen Grundsatz kann die Datenvermeidung und Datensparsamkeit angeführt werden, § 3 a BDSG. Hierdurch soll sichergestellt werden, dass keine oder so wenig wie möglich personenbezogene Daten erhoben, verarbeitet und genutzt werden sollen. Zudem müssen, soweit möglich, Daten immer in anonymisierter oder pseudonymisierter Form verwand werden.

Neben diesen allgemein zu beachtenden Grundsätzen hat jedes Unternehmen, das personenbezogene Daten erhebt, verarbeitet oder nutzt, bestimmte gesetzliche Vorschriften einzuhalten. Beispielsweise sei an dieser Stelle die Bestellung eines Datenschutzbeauftragen zu nennen, § 4 f BDSG, wobei dieser kein Mitarbeiter seien muss.

Darüber hinaus können Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, zum Führen eines Verfahrensverzeichnisses verpflichtet sein. Differenziert wird hierbei zwischen den internen und den externen Verfahrensverzeichnissen.

Dies Erfordernis ergibt sich aus dem Umstand, dass aufgrund der Bestellung eines Datenschutzbeauftragten die verantwortliche Stelle von der generellen Meldepflicht, § 4 d BDSG befreit wird.

Soweit kein Datenschutzbeauftragter bestellt ist, hat der Leiter der nicht-öffentlichen Stelle, sprich Geschäftsführer oder Inhaber des privaten Unternehmens, die Aufgaben des Beauftragten für den Datenschutz in anderer Weise sicherzustellen, § 4 g Abs. 2a BDSG.

Aufgrund des oben erwähnten Verbotes mit Erlaubnisvorbehalt muss die verantwortliche Stelle bei jedem Erheben, Verarbeiten oder Nutzen von Daten sicherstellen, dass eine Rechtsgrundlage gegeben ist oder aber der Betroffene eingewilligt hat. Dies gilt auch bei der Übertragung von Daten zwischen miteinander verbundenen Unternehmen, da das BDSG insoweit kein Konzernprivileg kennt.

Eine Ausnahme der Einwilligung ergibt sich dann, wenn die Daten im Rahmen einer Auftragsdatenverarbeitung weiter gegeben werden. Hierbei ist es allerdings notwendig, mit der verarbeitenden Stelle einen so genannten Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abzuschließen. Gerade beim Einsatz von Analysetools auf Internetseiten (z.B. Google Analytics), externen Softwareprogrammen, in denen personenbezogene Daten verarbeitet oder gespeichert werden sowie auch bei der ausgelagerten Buchhaltung oder Personalakte, ist der Abschluss eines solchen Vertrages unbedingt notwendig.

Neben dem BDSG finden weitere Gesetze im Bereich des Datenschutzes Anwendung. Hinzuweisen ist insbesondere auf das Telemediengesetz (TMG), das gerade den Betreibern von Onlinediensten bestimmte Verpflichtungen auferlegt. Aus § 13 TMG ergibt sich zum Beispiel die Notwendigkeit des Bereithaltens einer Datenschutzerklärung auf der Internetseite.

Bei der Erstellung von Datenschutzerklärungen für Internetseiten ist das Team von NACHTWEY IP der Partner an Ihrer Seite. Wir beraten Unternehmen bei den zu beachtenden Datenschutzvoraussetzungen umfassend und kompetent. Überdies bieten wir die Erstellung von Auftragsdatenverarbeitungsverträgen jeder Art an.