Datenschutz im nicht-öffentlichen Bereich - Ein Überblick

Von: Manfred Ilgenfritz, Bayerisches Landesamt für Datenschutzaufsicht

Von der Presse aufgegriffene Datenschutzskandale in Wirtschaftsunternehmen zeigen deutlich, dass der Datenschutz im privaten Bereich in den Fokus des öffentlichen Interesses gerückt ist. Jeder Einzelne, ob als Kunde, Internet-Nutzer oder Arbeitnehmer, achtet mehr denn je auf einen verantwortungsvollen Umgang mit seinen Daten bei privaten Stellen.

Umso wichtiger ist es, dass sich auf der einen Seite die Stellen, die mit personenbezogenen Daten arbeiten, und auf der anderen Seite die Personen, um deren Daten es geht („Betroffene“), mit den wichtigsten datenschutzrechtlichen Grundsätzen vertraut machen.

Der folgende Überblick über wesentliche Regelungen des Bundesdatenschutzgesetzes soll eine Vorstellung davon vermitteln, unter welchen Voraussetzungen eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten erlaubt ist und wie der Einzelne seine Rechte wahren kann.

Rechtsgrundlagen

Das Grundgesetz garantiert im Rahmen des Persönlichkeitsrechts den Schutz der personenbezogenen Daten.

Auf dieser Grundlage regeln das Bundesdatenschutzgesetz (BDSG) und einige Spezialgesetze (z. B. das Telemediengesetz/TMG) den Umgang mit diesen Daten in der Wirtschaft, bei den freiberuflich Tätigen, in Vereinen und Verbänden sowie im Internet („verantwortliche Stellen“).

Warum Datenschutz?

Auf Grund der enormen Entwicklung und Ausbreitung der elektronischen Datenverarbeitung hat sich ein Spannungsfeld aufgebaut. Auf der einen Seite besteht in Wirtschaft und Gesellschaft der große Bedarf, diese Errungenschaften so weit wie möglich zu nutzen und immer weiter auszubauen (Stichwort: „Big Data“). Auf der anderen Seite steht das berechtigte Interesse eines jeden Menschen am Schutz seiner Persönlichkeit und damit auch am ordnungsgemäßen Umgang mit seinen Daten. Schließlich können mit der elektronischen Datenverarbeitung in kürzester Zeit unzählige Informationen über die Persönlichkeit und das Verhalten gewonnen sowie in vielfältiger Weise genutzt und dabei auch missbraucht werden.

In dieses Spannungsfeld haben die Gesetzgeber im Bund und in den Ländern mit dem Erlass der Datenschutzgesetze und Einzelvorschriften eingegriffen und einen entsprechenden Ausgleich zwischen den entgegenstehenden Interessen geschaffen.

Über die Einhaltung der datenschutzrechtlichen Bestimmungen wachen im privaten Bereich vor allem die betrieblichen Datenschutzbeauftragten und die staatlichen Datenschutzaufsichtsbehörden.

Welche Daten werden im privaten Bereich geschützt?

Gegenstand des Datenschutzes sind die personenbezogenen Daten. Es handelt sich dabei um alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Dazu gehören alle Informationen, die etwas über eine Person aussagen, z. B. Name, Anschrift, Familienstand, Beruf, Hobby, Konsumverhalten, Äußerungen, Beurteilungen, Einkommen, Kreditwürdigkeit, Vermögensverhältnisse, usw.

Für sog. besondere Arten personenbezogener Daten, wie z. B. Angaben über Gesundheit, Sexualleben, politische Meinungen oder religiöse Überzeugungen, gelten meist strengere Vorschriften.

Das Bundesdatenschutzgesetz ist im privaten Bereich grundsätzlich nur beim Einsatz der elektronischen Datenverarbeitung und von nichtautomatisierten Dateien wie Karteien und Formularsammlungen einschlägig.
Für Papierakten gilt das Gesetz nur in Ausnahmefällen (wie beispielsweise in Arbeitsverhältnissen).

Nicht anwendbar ist das Bundesdatenschutzgesetz (wie auch das Telemediengesetz), wenn mit personenbezogenen Daten ausschließlich im Rahmen von persönlichen oder familiären Tätigkeiten (wie z. B. private Geburtstagskalender, Urlaubs-Videos) umgegangen wird.

Wann ist die Erhebung, Verarbeitung, Übermittlung und Nutzung von personenbezogenen Daten zulässig?

Diese Vorgänge sind nach dem Bundesdatenschutzgesetz nur dann zulässig, wenn eine Rechtsvorschrift vorhanden ist, die diese Tätigkeiten erlaubt oder anordnet, oder die Einwilligung der betroffenen Person vorliegt.

Die Einwilligung ist in der Regel schriftlich einzuholen. Zuvor ist auf den Zweck der Erhebung, Verarbeitung oder Nutzung der Daten hinzuweisen.

Das Bundesdatenschutzgesetz erlaubt den erforderlichen Umgang mit personenbezogenen Daten im Rahmen eines Vertragsverhältnisses, z. B. bei Arbeits-, Versicherungs- und Kaufverträgen. Dies gilt auch für vertragsähnliche Verhältnisse wie Bewerbungsverfahren oder Vereinsmitgliedschaften.

In anderen Fällen ist der Umgang mit personenbezogenen Daten unter anderem dann zulässig,

• wenn er zur Wahrung berechtigter Interessen der verantwortlichen Stelle (Unternehmen, Verein, Freiberufler usw.) oder eines Dritten erforderlich ist,
  
  
• die Daten allgemein zugänglich sind, z. B. in Zeitungen, Telefonbüchern oder im Handelsregister, oder
  
  
• gesetzlich bestimmte Arten von Daten zu Werbezwecken übermittelt oder genutzt werden

und schutzwürdige Interessen der betroffenen Personen nicht entgegenstehen bzw. überwiegen.

Wird ein anderes Unternehmen weisungsgebunden für EDV-Leistungen oder ähnliche Hilfstätigkeiten eingeschaltet, ist im Rahmen dieser sog. Auftragsdatenverarbeitung eine Weitergabe der Daten zulässig. Die datenschutzrechtlich verantwortliche Stelle ist gesetzlich verpflichtet, die betroffene Person bei der Datenerhebung auch über die Zwecke der Verwendung der Daten und die Kategorien von Datenempfängern zu unterrichten.

Unter welchen Voraussetzungen ist eine persönliche Werbung zulässig?

Vielen Menschen missfällt die Verwendung ihrer Daten für Werbung und die dadurch bewirkte Störung in ihrem persönlichen Lebensbereich durch Anrufe, E-Mails oder persönliche Briefe. Das Bundesdatenschutzgesetz und das Gesetz gegen den unlauteren Wettbewerb (UWG) regeln die Zulässigkeit dieser Werbemaßnahmen und machen sie von bestimmten Voraussetzungen abhängig:

• Zum einen ist die persönliche Werbung datenschutzrechtlich mit der vorherigen Einwilligung der beworbenen Person zulässig.
  Diese Einwilligung kann jederzeit widerrufen werden.
  
  
• Zum anderen darf persönliche Brief- oder E-Mail-Werbung ohne vorherige Einwilligung unter anderem im Rahmen einer bestehenden Geschäftsbeziehung unter Einhaltung gesetzlicher Vorgaben erfolgen.
  Widerspricht eine Person, darf sie nicht mehr beworben werden.

Damit die Postanschrift nicht für Werbung verwendet wird, kann man sich auch kostenlos in die "Robinson Liste" des Deutschen Dialogmarketing Verbands eintragen lassen. Die Verbandsmitglieder haben sich verpflichtet, derartige Werbewidersprüche zu beachten.

Wer Werbung nicht wünscht, sollte bei der Weitergabe von Kontaktdaten zurückhaltend sein. Viele in der Werbewirtschaft vorhandene Kontaktdaten wurden von den Betroffenen selbst in Umlauf gebracht, zum Beispiel durch Teilnahme an Preisausschreiben oder durch Anfordern von Prospekten (s. Datensammler).

Gegen die besonders belästigende unerlaubte Telefonwerbung geht schwerpunktmäßig auch die Bundesnetzagentur vor, die für Bürgerbeschwerden auf ihrer Homepage Informationen bereitstellt.

Dürfen Handels- und Wirtschaftsauskunfteien personenbezogene Informationen weitergeben?

Weil erfahrungsgemäß nicht alle Rechnungen und Forderungen bezahlt werden, versuchen Unternehmen vor einem Vertragsabschluss das Zahlungsausfallrisiko durch eine Datenabfrage bei Auskunfteien abzuklären.

Auskunfteien werten z. B. die Schuldner- und Insolvenzverzeichnisse bei den Amtsgerichten aus und erhalten auch zahlungsrelevante Daten von Unternehmen wie das Vorliegen eines Mahn- oder Vollstreckungsbescheides oder über unbestrittene und mehrfach erfolglos angemahnte Forderungen.

Die Auskunfteien dürfen Daten auch ohne Einwilligung der betroffenen Person speichern, soweit die Daten für die Beurteilung der Kreditwürdigkeit von Bedeutung sind. Die Weitergabe von Informationen ist nur zulässig, wenn die anfragende Stelle vorher ein berechtigtes Interesse an der Auskunft glaubhaft dargelegt hat.

Erteilt eine Auskunftei erstmalig eine Auskunft über eine Person, muss sie diese darüber sowie über die Art der weitergegebenen Daten benachrichtigen, wenn diese Person nicht anderweitig hierzu informiert wurde.

Welche Rechte hat man gegenüber einer verantwortlichen Stelle?

• Das Recht auf Auskunft gegenüber einer verantwortlichen Stelle bezieht sich auf die zur anfragenden Person gespeicherten Daten einschließlich deren Herkunft, auf Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, sowie auf den Zweck der Speicherung.
  Die Auskunft ist grundsätzlich unentgeltlich.
  
  
• Eine Berichtigung kann verlangt werden, wenn die Daten unrichtig sind.
  
  
• Ein Anspruch auf Sperrung der Daten besteht, wenn sich z. B. weder deren Richtigkeit noch Unrichtigkeit feststellen lässt.
  Gesperrte Daten dürfen, von wenigen Ausnahmefällen abgesehen, nicht mehr übermittelt oder genutzt werden.
  
  
• Eine Löschung der Daten kann die betroffene Person insbesondere dann verlangen, wenn die Speicherung unzulässig ist oder die weitere Speicherung der Daten nicht mehr erforderlich ist.
  Soweit allerdings Aufbewahrungspflichten bestehen, z. B. nach handels- oder steuerrechtlichen Vorschriften, tritt an die Stelle der Löschung die Sperrung der Daten.
  
  
• Gegen die Nutzung oder Übermittlung von personenbezogenen Daten zum Zwecke der Werbung und der Markt- oder Meinungsforschung kann man Widerspruch einlegen mit der Folge, dass die genannten Datenverwendungen künftig unzulässig sind.

An wen kann man sich im Falle eines Datenschutzverstoßes wenden?

• An die Leitung der verantwortlichen Stelle, z. B. eines Wirtschaftsunternehmens, einer Arztpraxis oder eines Vereins. Sie ist für die Beachtung des Datenschutzrechts verantwortlich.
  
  
• An den betrieblichen Datenschutzbeauftragten der verantwortlichen Stelle, der als das innerbetriebliche Kontrollorgan auch Beschwerden überprüft. Im Übrigen wirkt er durch Beratung, Schulung und Überwachungsmaßnahmen auf die Verwirklichung des Datenschutzes hin.
  
  
• An den Betriebsrat, wenn Fragen des Beschäftigtendatenschutzes gegeben sind.
  
  
• An die Datenschutzaufsichtsbehörde, die Beschwerden nachgeht, verantwortliche Stellen kontrolliert und sie sowie ihre betrieblichen Datenschutzbeauftragten berät.
  In Bayern übt das Bayerische Landesamt für Datenschutzaufsicht www.lda.bayern.de diese Funktion aus.
  
  

Darüber hinaus hat eine betroffene Person folgende weitere Möglichkeiten. Sie kann

• die verantwortliche Stelle vor einem Zivilgericht z. B. auf Auskunft, Löschung oder Berichtigung der Daten verklagen
  
  
• ggf. einen Schadensersatzanspruch geltend machen
  
  
• eine Ordnungswidrigkeit anzeigen und/oder einen Strafantrag stellen.

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.