Gesetze

Auf dieser Seite finden Sie meine Auswahl von wichtigen datenschutzrelevanten Gesetzen. Ich erhebe keinen Anspruch auf die Vollständigkeit dieser Zusammenstellung und übernehme damit keine Rechtsberatung.

Im Grundgesetz (GG) findet sich die Grundlage des gesamten Datenschutzrechts! Art. 1, Abs. 1 GG und Art. 2, Abs. 1 GG verankern das “Grundrecht auf informationelle Selbstbestimmung”. Jeder Mensch darf demnach grundsätzlich selbst entscheiden, welche Daten er von sich preisgibt, wer diese Daten in welchem Umfang nutzen darf und ob die Daten weitergegeben werden dürfen. Dabei handelt es sich um jegliche Daten, die entweder einen direkten Personenbezug zulassen oder durch die ein Personenbezug hergestellt werden kann.

Einschränkungen dieses Grundrechtes auf Datenschutz können nur durch entsprechende Gesetze erfolgen, die konkret bestimmen, unter welchen Bedingungen der Eingriff in das Recht auf Datenschutz erfolgt. Dabei muss der Grundsatz der Verhältnismäßigkeit seitens des Gesetzgebers unbedingt berücksichtigt werden.

Besonders in der heutigen Zeit, in der Daten fast nur noch digital verarbeitet werden, ist eine strenge Überprüfung und Kontrolle notwendig und unerlässlich, denn jeder hat das Recht auf den Schutz seiner persönlichen Daten, unabhängig davon, zu welchem Zweck diese erhoben und verwendet werden. Cyberkriminalität, Datenbeschaffung und besonders Datenmissbrauch sind heutzutage keine Fremdworte mehr, sondern Alltag in unserer Gesellschaft.

Daten liegen aber nicht nur digital vor, sondern auch in Papierform. Insofern spielt auch Art. 10 Abs. 1 noch eine große Rolle im Datenschutz. Dieser Artikel regelt das Brief-, Post- und Fernmeldegeheimnis.

Alle oben genannten Paragraphen finden Sie hier im Volltext. Die im Internet abrufbaren Gesetzestexte sind nicht die amtliche Fassung. Diese finden Sie nur in der Papierausgabe des Bundesgesetzblattes.

Das Bundesdatenschutzgesetz (BDSG a. F.) regelt noch bis Mai 2018 die Details rund um den Datenschutz in Deutschland für alle öffentlichen und nicht-öffentlichen Stellen (§ 2). Es wird nach zweijähriger Übergangsfrist durch die EU-Datenschutzgrundverordnung und das BDSG n. F. abgelöst.

Im BDSG wird konkret definiert, wer und was die sogenannte verantwortliche Stelle ist (§ 3 Abs. 7), welche Verfahren meldepflichtig sind (§ 4d und § 4e), die Gestaltung der technischen und organisatorischen Maßnahmen (TOMs) zur Aufrechterhaltung der besonderen Anforderungen des Datenschutzes (§ 9 und Anlage zu § 9 Satz 1), was die Aufgaben des Datenschutzbeauftragten sind (§ 4g) sowie Bußgeld- und Strafvorschriften bei Datenschutzrechtsverletzungen (§§ 43, 44).

Über allen Regelungen stehen die Hauptprinzipien der Datensparsamkeit und der Datenvermeidung (§ 3a) in Verbindung mit den Grundsätzen der Erforderlichkeit, der Zweckbindung und der Verhältnismäßigkeit, die an mehreren Stellen im BDSG eingebunden sind.

Die Aufsichtsbehörden sind die bundeslandeigenen Kontrollorgane für das Datenschutzrecht. Sie wirken zudem unterstützend bei ‘kniffeligen’ Datenschutzanfragen, prüfen Datenschutzvorfälle und sind Ansprechpartner für Betroffene, die sich bei datenschutzrelevanten Themen nicht selbst mit der verantwortlichen Stelle auseinandersetzen möchten.

Parallel dazu gibt es noch in jedem Bundesland die Landesdatenschutzgesetze. Diese gelten zusätzlich zum BDSG auf Landesebene für öffentliche Stellen.

Die europäische Datenschutzgrundverordnung (EU-DSGVO, Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) vereinheitlicht und regelt das Datenschutzrecht für Europa, so dass für alle Mitgliedstaaten die gleichen Datenschutzstandards gelten werden. Sie umfasst insgesamt 99 Artikel und 173 Erwägungsgründe, ist also sehr ausführlich und umfangreich gestaltet.

Die DSGVO ist seit Mai 2018 eine unmittelbar anzuwendende Rechtsquelle in allen europäischen Mitgliedstaaten, wodurch erhebliche Änderungen und Erweiterungen der bisherigen nationalen datenschutzrechtlichen Bestimmungen wirksam geworden sind.

Die Öffnungsklauseln der DSGVO sind durch das national geltende BDSG n. F. ergänzt, konkretisiert und erweitert worden. Die Maßnahmen zur Umsetzung der DSGVO sind nun auf allen Ebenen in vollem Gang, denn sie erfordern Zeit und Know-How in jedem Unternehmen. Prozesse müssen überarbeitet und ggf. eingeführt werden, Dokumentationen sollten ausführlich angelegt werden und jederzeit zur Verfügung stehen, Verträge mit personendatenverarbeitenden Dienstleistern müssen erweitert werden. Es gibt viel zu tun, denn die DSGVO gilt ausnahmslos für alle Unternehmungen, in denen personenbezogene Daten verarbeitet werden.

Alle oben genannten Paragraphen finden Sie hier im Volltext. Die im Internet abrufbaren Gesetzestexte sind nicht die amtliche Fassung.

Das Telemediengesetz (TMG) regelt in erster Linie alle Rechte und Pflichten eines jeden sogenannten Diensteanbieters und wird manchmal auch als Internetgesetz bezeichnet. Diensteanbieter nach § 2 sind alle natürlichen und juristischen Personen, die eigene oder fremde Telemediendienste bereitstellen oder zur Nutzung vermitteln. Telemedien sind elektronische Informations- und Kommunikationsdienste, also im Prinzip alle Dienste, die im Internet angeboten werden. Ob es sich dabei um reine Informationsangebote handelt oder aber Bank- oder Bestellvorgänge damit verbunden sind, spielt keine Rolle.

Für den Datenschutz ist dieses Gesetz insofern relevant, als dass beinahe jedes Unternehmen einen eigenen Webauftritt hat und deswegen jeden Nutzer dieses Webseiten-Angebotes gemäß § 13 Abs. 1 ausführlich darüber zu unterrichten hat, in welcher Art, in welchem Umfang, an welchem Ort und zu welchem Zweck die Erhebung und Verwendung seiner personenbezogenen Daten stattfinden wird. Diese Aufklärung muss erfolgen, bevor der Nutzer von dem Angebot Gebrauch macht. Aus diesem Grund ist es absolut notwendig, dem Nutzer eine saubere Datenschutzerklärung vor Nutzungsbeginn (z. B. vor dem Surfen auf der betreffenden Webseite) bereit zu stellen, in der die Details der Datenerfassung beschrieben werden. Darüber hinaus muss der Nutzer pro-aktiv seine Einwilligung zur Datenerfassung erklären und jederzeit die Möglichkeit haben, die Online-Datenschutzerklärung abzurufen. In § 12 sind ausführlich die Grundsätze des TMG bei der Erhebung und Verarbeitung personenbezogener Daten beschrieben.

In den §§ 5 und 6 werden die Pflichten des Diensteanbieters definiert. Demnach sind dem Nutzer unmittelbar erreichbar, leicht erkennbar, ständig verfügbar und umfangreich unter anderem folgende Informationen des Diensteanbieters zugänglich zu machen: Identitätsnachweis, Kontaktmöglichkeit, Zulassungen, übergeordnete Behörde, Registernummer.

Im weiteren Verlauf des TMG werden zum Beispiel Themen wie Datenspeicherung und Datenübermittlung behandelt. Die Abgrenzung zum Telekommunikationsgesetz findet sich immer wieder.

Das Telekommunikationsgesetz (TKG) regelt insbesondere den Wettbewerb zwischen den Telekommunikationsdienstleistern. Für den Datenschutz ist § 88 von besonderer Bedeutung, da sich dieser auf das Fernmeldegeheimnis bezieht, welches nicht verwechselt werden sollte mit dem Datengeheimnis auf § 5 BDSG. Die Wahrung des Fernmeldegeheimnisses wird oftmals in einer Verpflichtungserklärung zusammen mit dem Datengeheimnis und dem Geschäftsgeheimnis den Mitarbeitern mitsamt Merkblatt zur Unterschrift vorgelegt.

Dem Fernmeldegeheimnis unterliegen nicht nur die Inhalte von Telekommunikation, sondern auch die näheren Umstände der Telekommunikation. Dies umfasst insbesondere die Information, ob jemand an einem Telekommunikationsvorgang beteiligt war, wann und wie lange eine Telekommunikation stattgefunden hat und auch die Umstände erfolgloser Verbindungsversuche. Vom Fernmeldegeheimnis umfasst sind dabei nicht nur Telefonate und Faxe, sondern grundsätzlich auch die E-Mail-Kommunikation.

Verstöße gegen das Telekommunikationsgesetz werden über das Strafgesetzbuch angezeigt und verfolgt.

Das Betriebsverfassungsgesetz (BetrVG) regelt in erster Linie die Zusammenarbeit zwischen Arbeitnehmer und Arbeitgeber. Sehr viele Unternehmen haben einen Betriebsrat, der seine Aufgaben hauptsächlich durch das BetrVG definiert. Davon unberührt bleiben die Aufgaben von Gewerkschaften und Berufsverbänden.

Das BetrVG regelt die Mitwirkung und Mitbestimmung des Betriebsrats in sozialen Angelegenheiten (§ 87 BetrVG), insbesondere hat der Betriebsrat nach diesem Artikel ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die es ermöglichen, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dementsprechend ist also nicht nur der Datenschutzbeauftragte unbedingt in den Prozess einzubinden.

Weiterhin hat der Betriebsrat bei der Gestaltung der Arbeitsplätze, des Arbeitsablaufs, der Arbeitsumgebung und in vielen weiteren Punkten Mitbestimmungsrecht (§§ 90 – 105).

§ 83 regelt das Recht des Arbeitnehmers zur Einsicht in seine Personalakte. Optional kann ein Mitglied des Betriebsrats hinzugezogen werden. Das Mitglied des Betriebsrats hat über den Inhalt der Personalakte Stillschweigen zu bewahren, soweit es vom Arbeitnehmer im Einzelfall nicht von dieser Verpflichtung entbunden wird. Außerhalb dieser Regelung hat kein Betriebsratsmitglied das Recht, Einsicht in die Personalakte zu nehmen.

Durch das BetrVG ist also ein großer Teil zum Thema Arbeitnehmer-Datenschutz gesetzlich geregelt.

Das Gesetz gegen unlauteren Wettbewerb (UWG) dient dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen. Es schützt zugleich das Interesse der Allgemeinheit an einem unverfälschten Wettbewerb (§ 1). Neben der Begriffserklärung im § 2 findet sich in diesem Artikel auch der Ansatz für die datenschutzrelevante Bedeutung dieses Gesetzes:

§ 2 Abs. 1 (8): Im Sinne dieses Gesetzes bedeutet „wesentliche Beeinflussung des wirtschaftlichen Verhaltens des Verbrauchers“ die Vornahme einer geschäftlichen Handlung, um die Fähigkeit des Verbrauchers, eine informierte Entscheidung zu treffen, spürbar zu beeinträchtigen und damit den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.

§ 3 Abs. 2: Geschäftliche Handlungen, die sich an Verbraucher richten oder diese erreichen, sind unlauter, wenn sie nicht der unternehmerischen Sorgfalt entsprechen und dazu geeignet sind, das wirtschaftliche Verhalten des Verbrauchers wesentlich zu beeinflussen.

Demzufolge können Datenschutzverstöße durch Mitbewerber, sonstige Marktteilnehmer und/oder durch Verbraucher angezeigt werden. Dazu gehört zum Beispiel die nicht-vorhandene Datenschutzerklärung, unbestellte Newsletter, Anrufe oder Werbemails und noch einiges mehr. Im § 7 werden die unzumutbaren Belästigungen ausführlich beschrieben.

Der Datenschutz wird durch dieses Gesetz zusätzlich gestärkt und durch den Wettbewerb im Markt sowie aufgeklärte Verbraucher immer mehr berücksichtigt. Abmahnungen zu diesen Themen häufen sich, die Aufsichtsbehörden werden mit immer mehr Fällen konfrontiert – es ist also höchste Zeit, dem Datenschutz entsprechende Aufmerksamkeit zu widmen.

Das IT-Sicherheitsgesetz (IT-SiG) wurde vom Gesetzgeber erlassen, um besonders kritische Infrastrukturen beim Betrieb ihrer Informationssysteme an verschiedene Verpflichtungen zu binden. Nach dem Erlass des Gesetzes war zunächst nicht klar, für welche Betriebe dieses Gesetz konkret gelten soll. Eine nachfolgende Verordnung (BSI-KritisV) definiert seit Mai 2016, welche IT-Infrastrukturen diesem Gesetz und der damit verbundenen Verordnung unterliegen. Das Gesetz regelt die Mindestanforderungen zum Schutz und zur signifikanten Verbesserung von IT-Systemen bei Unternehmen (kritischen Infrastrukturbetreibern mit i. d. R. mehr als 5.000 Bürgerdaten). Dazu gehören beispielsweise Wasser- und Energiebetriebe oder Telekommunikationsdienstleister. Aber auch Verkehrsbetriebe, Krankenkassen und Versicherer könnten davon betroffen sein.

Warum betrifft das auch den Datenschutz? Der Datenschutz regelt unter anderem die technischen und organisatorischen Maßnahmen, die getroffen werden müssen, um personenbezogene Daten zu schützen. Dass dies heutzutage hauptsächlich mit vorhandener IT-Infrastruktur geschieht, ist kein Geheimnis. Unternehmen, die der KritisV unterliegen, sind nun zusätzlich verpflichtet, je nach Branche verschiedene Sicherheitsmaßnahmen zu ergreifen, um die Versorgung im jeweiligen Bereich sicherzustellen. Darüber hinaus sind diese Unternehmen verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden. Dadurch soll perspektivisch sichergestellt werden, dass Cyber-Angriffe durch alle beim BSI zusammenlaufenden Meldungen ausgewertet und bewertet werden können, um dann entsprechend schnellstmöglich Schutzmaßnahmen mithilfe des BSI ergreifen zu können. Auch die Entwickler von Hard- und Software sind in der Verpflichtung, IT-Systeme so zu konstruieren, dass diese den geltenden Sicherheitsanforderungen Genüge tun. Verstöße gegen das IT-SiG und der dazugehörigen KritisV werden mit sehr hohen Bußgeldern geahndet.

Der Fokus dieses Gesetzes liegt zwar auf der Versorgungssicherheit, doch der Datenschutz ist ein wesentlicher Bestandteil der Anforderungen und gewinnt aus diesem Grund noch mehr Bedeutung in den Unternehmen. Auch Dienstleister für Kritis-Unternehmen sind von den hohen Anforderungen an den Datenschutz betroffen. Eine zeitnahe Umsetzung der technischen und organisatorischen Maßnahmen nach geltenden Standards sollte zudem im eigenen Interesse liegen, denn wer will schon Tür und Tor für Daten-Diebstähle offen lassen?

Das IT-SiG finden Sie hier im Volltext. Die im Internet abrufbaren Gesetzestexte sind nicht die amtliche Fassung. Diese finden Sie nur in der Papierausgabe des Bundesgesetzblattes.

Update: Das Signaturgesetz wurde im Juli 2017 durch das Vertrauensdienstegesetz (VDG) abgelöst. Das VDG bildet das Kernstück des Gesetzes zur Durchführung der europaweit gültigen “Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt” (eIDAS-VO) und gilt auf nationaler Ebene. Die eIDAS-VO ist die europaweite Grundlage zur Schaffung von einheitlichen Rahmenbedingungen bei der Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste.

Das VDG finden Sie hier im Volltext. Die im Internet abrufbaren Gesetzestexte sind nicht die amtliche Fassung. Diese finden Sie nur in der Papierausgabe des Bundesgesetzblattes.

***

Das Signaturgesetz (SigG) ist ein Gesetz, das die Rahmenbedingungen für elektronische Signaturen festlegt. Durch dieses Gesetz haben digitale Signaturen den gleichen Stellenwert wie die eigenhändige (analoge) Unterschrift und sind dadurch rechtswirksam. Insbesondere davon betroffen sind alle internetbasierenden Geschäftsvorfälle wie zum Beispiel Online-Bestellungen oder auch der verschlüsselte E-Mail-Versand.

Um eine Signatur rechtssicher geltend zu machen, müssen einige technische Kriterien erfüllt werden, die dafür sorgen, dass der Absender eindeutig identifiziert werden kann, nur der Empfänger die Nachricht öffnen kann und auf dem Weg zwischen Absender und Empfänger ganz sicher keine Daten durch Fremdeinwirkung oder Verfälschung verändert werden können. Für diesen sensiblen und umfangreichen Prozess gibt es Zertifizierungsstellen, die vollständig dem SigG und der dazugehörigen Signaturverordnung (SigV) unterliegen. Als neutrale Partei bestätigen sie die Identität von Absender und Empfänger durch ein Zertifikat. Das SigG regelt im Prinzip die Anforderungen an ein solches Zertifikat und die Stelle, die solche Zertifikate überhaupt erstellen darf, um sie dem Nutzer verfügbar zu machen.

Aus Datenschutzsicht ist dieses Gesetz deshalb so wichtig, weil die natürlichen Personen (Absender oder Empfänger) ein Recht auf den Schutz ihrer personenbezogenen Daten haben und darüber hinaus auch unter allen Umständen sichergestellt sein muss, dass ihre Identität auf elektronischem Weg nicht gestohlen oder gefälscht werden kann. Eine analoge Unterschrift ist ja schließlich auch einmalig!

Für den Anwender ist nicht offensichtlich, welch großer Gesetzesberg sich hinter verschlüsselten Nachrichten verbirgt. Doch eine sichere und vertrauliche Kommunikation in der digitalen Welt gewinnt immer mehr an Bedeutung und ist durch dieses Gesetz mit all seinen Anforderungen auch möglich.

Im Bürgerlichen Gesetzbuch (BGB) finden sich die Regelungen zu den meisten der alltäglichen Rechtsthemen. Es unterscheidet sich dementsprechend vom Öffentlichen Recht, ist Bestandteil des sogenannten Privatrechts und regelt die Beziehungen zwischen rechtlich gleichgestellten Rechtsteilnehmern (Bürgern, Unternehmen). Das BGB wird durch viele weitere Gesetze gestützt, erweitert und konkretisiert, ist aber genau deshalb auch immer wieder bereit zu halten und zurate zu ziehen.

Die §§ 182 und 183 definieren beispielsweise die Themen “Zustimmung” und “Widerruflichkeit der Einwilligung”, was in direktem Zusammenhang zum BDSG und der DS-GVO steht. In den §§ 126 ff. finden sich die gesetzlichen Grundlagen zur “Form” eines Rechtsgeschäfts und im Falle der elektronischen Signatur der direkte Verweis auf das Signaturgesetz (§ 126a). Darüber hinaus sind im BGB natürlich auch die Dienstverträge (§§ 611 ff.), die Geschäftsbesorgungsverträge (§§ 675 ff.) und die Werksverträge (§§ 631 ff.) definiert. Das Arbeitsrecht hat allerdings noch viele weitere gesetzliche Grundlagen.

Im BGB sind also auch neben den exemplarisch dargestellten Inhalten sehr viele gesetzliche Bestimmungen verankert, die auch im Datenschutz Beachtung und Anwendung erhalten.

Die Abgabenordnung (AO) ist gemeinhin auch als “Steuergesetz” bekannt und deshalb oft gefürchtet. Dass die einzelnen Steuergesetze (Einkommenssteuer, Umsatzsteuer, etc.) selbstständige Gesetze sind und nur auf der AO basieren, wird dabei oft vergessen. Die AO regelt grundsätzlich, wie Steuern festzusetzen und wann diese zu entrichten sind. Sie enthält hauptsächlich Vorschriften über die Durchführung des Besteuerungsverfahrens. Damit verbunden sind dann die einzelnen Steuergesetze und auch teilweise Beschränkungen anderer gültiger Gesetze, wenn es darum geht, Verstöße gegen die AO zu ahnden. Es gibt aufgrund der gesetzlich geregelten Mitwirkungspflicht (§ 93) also fast keine Institution, die mehr über einen einzelnen Menschen weiß, als das Finanzamt. Das trifft aber auch jedes Unternehmen! Bei Geld hört eben doch die Freundschaft auf und dieser Satz kommt nicht durch Zufall in unsere Zitatensammlung! Als Steuerpflichtiger (§ 33) hat man nicht nur die Sorge um seine eigene Verwundbarkeit, wenn die finanziellen Hintergründe in den Fokus geraten, man macht sich auch Gedanken um den Schutz der persönlichen Daten.

Dem Steuergeheimnis zum Schutz dieser sensiblen Daten kommt daher eine besondere Bedeutung zu. In den §§ 30, 31, 31a und 31b wird ausdrücklich geregelt, wer als Amtsträger das Steuergeheimnis zu wahren hat und unter welchen Voraussetzungen eine Weitergabe der Daten zulässig ist. Thematisiert werden in diesen Paragraphen auch alle Vorgänge, die mit Straftaten wie zum Beispiel Geldwäsche oder Terrorismusfinanzierung zu tun haben.

An dieser Stelle muss ausdrücklich betont werden, dass das BDSG bei der AO nicht pauschal eingreifen kann.

§ 1 Abs. 3 BDSG: Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

Die AO finden Sie hier im Volltext. Die im Internet abrufbaren Gesetzestexte sind nicht die amtliche Fassung. Diese finden Sie nur in der Papierausgabe des Bundesgesetzblattes.

Im Bundesmeldegesetz (BMG) finden sich alle Regelungen rund um die Meldepflicht (§ 17) eines jeden Bundesbürgers. Das Gesetz gilt bundesweit und löste die Meldegesetze auf Landesebene ab. Besonders erwähnenswert ist dieses Gesetz aus Datenschutzsicht, weil die Rechte der Betroffenen im BMG erheblich gestärkt wurden! In § 44 Abs. 4 wird ausdrücklich definiert, dass Meldedaten nicht verwendet oder weitergegeben werden dürfen, wenn:

der Zweck der gewerblichen Verwendung nicht angeben wird
der Zweck Werbung oder Adresshandel ist
keine Einwilligung der betroffenen Person/Stelle vorliegt

Das Meldegeheimnis (§ 7) schützt Betroffene zusätzlich vor unrechtmäßiger Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten. Außerdem sind in § 9 die Rechte des Betroffenen zu den Themen Auskunft, Änderung und Löschung, die man auch aus dem BDSG kennt, definiert.

Alle gespeicherten Daten bei der Meldebehörde dürfen also nur noch nach Maßgabe des BMG oder auf Basis sonstiger gesetzlicher Grundlagen erhoben und verwendet werden. Ein Schritt in die richtige “Datenschutz-Richtung”!

Auch im Sozialgesetzbuch (SGB) finden sich datenschutzrechtliche Grundlagen für den Umgang mit personenbezogenen Daten, die im Rahmen der sozialgesetzlichen Regelungen erhoben werden (müssen). Das Sozialgesetzbuch ist kein einzelnes Gesetz mit fortlaufenden Paragraphen, es gliedert sich in derzeit zwölf Gesetzesbücher, die je nach Sozialbereich Anwendung finden. Institutionen wie Pflege- und Krankenversicherungen, Agentur für Arbeit und Jobcenter sind beispielsweise von diesem Gesetz betroffen und natürlich jeder Bürger, dessen Daten in irgendeiner dieser Institutionen verarbeitet werden.

Wie wirkt sich der Datenschutz im Sozialrecht aus? Im “allgemeinen Teil” des SGB 1 (§ 35) ist auf jeden Fall schon mal das Sozialgeheimnis definiert. Es besagt, dass das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten nicht unbefugt erfolgen darf. Auch die Weitergabe an Dritte ist nicht erlaubt, es sei denn, es liegen gesetzliche Regelungen oder eine Einwilligung des Betroffenen vor, die diese Weitergabe erlauben. Das klingt zunächst einfach, ist es aber aufgrund der komplexen Strukturen unseres Sozialsystems nicht. Wechselt zum Beispiel ein Arbeitnehmer seinen Arbeitgeber oder einfach nur seine Krankenkasse, ist es absolut notwendig, dass gesetzliche Regelungen dafür sorgen (dürfen), dass die neuen Daten auch korrekt erfasst und bei der jeweiligen Institution bearbeitet werden können. Die Datenübermittlung ist in diesem Fall zweckgebunden und entsprechend zulässig. Nicht zulässig wäre in dem genannten Beispiel, wenn der neue Arbeitgeber bei der gesetzlichen Krankenkasse des Arbeitnehmers Auskunft zu seinen bisherigen Krankheitstagen verlangen würde. Diese Daten sind zwar bei der gesetzlichen Krankenkasse gespeichert, dürfen aber nur dann ohne Einwilligung des Betroffenen offenbart werden, wenn die Mitteilung an einen anderen Amtsträger notwendig ist.

Es finden sich im SGB mitsamt seinen Gesetzbüchern strenge Regeln zum Schutz personenbezogener Daten. Das SGB X erhält aus Datenschutzsicht besondere Bedeutung, da dieses Gesetz insbesondere den Sozialdatenschutz definiert. Dazu gehören der Schutz der Sozialdaten, die damit verbundenen Verwaltungsverfahren und die Zusammenarbeit mit anderen Sozialleistungsträgern. Alle datenschutzrelevanten Begriffsbestimmungen sind in den §§ 67 ff. SGB X zu finden. Sie sind absolut vergleichbar mit den Begriffsbestimmungen aus dem BDSG.

Mithilfe des Strafgesetzbuches (StGB) werden die meisten Verstöße gegen geltende Gesetze geahndet. Es regelt die Voraussetzungen und Rechtsfolgen von strafbaren Handlungen und wird zur Durchführung strafrechtlicher Vorgänge durch die Strafprozessordnung und das Strafprozessrecht ergänzt. Es gibt jede Menge strafbarer Handlungen, die im StGB definiert werden. Der schwerwiegende Verstoß gegen das Datenschutzrecht ist ein Teil davon.

Während im § 43 BDSG der Bußgeldkatalog für Ordnungswidrigkeiten festgelegt ist, findet man im § 44 BDSG schon den Verweis auf das Strafrecht, sofern eine “vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen” vorliegt.

Auch der Datenschutzbeauftragte hat im StGB einen eigenen Absatz. Konkret betrifft dieser Absatz die “Verletzung von Privatgeheimnissen” (§ 203, Abs. 2a): “Die Absätze 1 und 2 gelten entsprechend, wenn ein Beauftragter für den Datenschutz unbefugt ein fremdes Geheimnis im Sinne dieser Vorschriften offenbart, das einem in den Absätzen 1 und 2 Genannten in dessen beruflicher Eigenschaft anvertraut worden oder sonst bekannt geworden ist und von dem er bei der Erfüllung seiner Aufgaben als Beauftragter für den Datenschutz Kenntnis erlangt hat.” Das bedeutet konkret, dass ein Datenschutzbeauftragter generell der Geheimhaltungs- und Verschwiegenheitspflicht unterliegt, genau wie Anwälte, Ärzte, Steuerberater oder sonstige Amtsträger (vgl. § 203).

Ihr Datenschutzbeauftragter ist demnach in der Pflicht, Verschwiegenheit zu bewahren.

Das Berufsrecht ist rechtlich unter dem Begriff Standesrecht geführt und definiert das Recht eines bestimmten Berufsstandes in eigener Verantwortung unabhängig von der staatlichen Verantwortlichkeit. Am besten bekannt sind in diesem Zusammenhang wohl die Berufe Anwalt, Steuerberater oder Arzt. Die Selbstverwaltung dieser freien Berufe wird jeweils durch die zuständige Körperschaft des öffentlichen Rechts (- das sind i. d. R. Kammern) ausgeübt und setzt eine Zwangsmitgliedschaft voraus. Wenn eine Person also den Beruf Tierarzt ausüben möchte, dann unterliegt diese automatisch einer der für sie zuständigen Tierärztekammern.

Die Herausforderung für den Datenschutzbeauftragten liegt darin, dass jeder Berufsstand seine eigene (zusätzliche!) Verordnung hat, die manchmal etwas veraltet und dem Gewohnheitsrecht entsprungen ist und trotzdem Beachtung und Anwendung finden muss bei der Überprüfung datenschutzrelevanter Vorgänge. Zusätzlich sind diese Berufsgruppen von einer Geheimhaltungs- und / oder Schweigepflicht betroffen, so dass die Berufsordnungen auch immer mehr Fokus auf den Datenschutz legen (müssen).

Durch die jeweils geltende Berufsordnung ist bei den freien Berufen eine gesetzliche Grundlage vorhanden, nach der auch die datenschutzrelevanten Prozesse ausgerichtet werden können.

Das Personalausweisgesetz (PAuswG, Gesetz über Personalausweise und den elektronischen Identitätsnachweis) hat beinahe unbemerkt einige wichtige Neuregelungen durch den Gesetzgeber bekommen, die auch datenschutzrelevant sind. Dass es in Deutschland eine Ausweispflicht (§ 1) gibt, ist sicher bekannt. Dass diese Ausweispflicht aber nicht gleichzeitig die Pflicht zum Mitführen eines Ausweises ist, hört man eher selten und soll an dieser Stelle auch nicht weiter fokussiert werden.

Warum ist das PAuswG auch datenschutzrelevant? Dieses Gesetz beschreibt nicht nur den analogen Personalausweis, sondern auch den elektronischen Identitätsnachweis, was der heutigen digitalen Welt zumindest teilweise entgegenkommt, denn die Identifizierung einer natürlichen Person ist leider nicht immer persönlich vor Ort möglich. Dementsprechend soll der Ausweisinhaber “mal schnell eine Persokopie rüberschicken”. Aha?! So einfach kann es sein! Oder?

Nein, so einfach ist es nicht! Es ist unzulässig, einen Ausweis zu kopieren oder zu scannen oder auch nur als Pfand einzufordern. § 1 Abs. 1 konkretisiert das wie folgt: “Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben.” Und weiter im § 20 Abs. 2: “Außer zum elektronischen Identitätsnachweis darf der Ausweis durch öffentliche und nichtöffentliche Stellen weder zum automatisierten Abruf personenbezogener Daten noch zur automatisierten Speicherung personenbezogener Daten verwendet werden.”, was konkret das Scannen eines Personalausweises betrifft. Ein Ausweis enthält so viele schützenswerte Informationen, dass es jedem Ausweisinhaber schon sehr wichtig sein sollte zu wissen, wer diese Daten übermittelt bekommt, wozu er diese benötigt und wie damit umgegangen wird – egal ob analog oder digital.

Es gibt einige wenige gesetzliche Regelungen, die den Erlaubnistatbestand erfüllen und dadurch das Kopieren eines Personalausweises ausschließlich zur Identitätsfeststellung (!) unter bestimmten Bedingungen erlauben. Voraussetzungen dafür sind unter anderem die zwingende Erforderlichkeit zur Identitätsfeststellung einer Person, die Zweckbindung und das Kenntlichmachen der Kopie als solche ggf. mit Schwärzungen und die sofortige Vernichtung der Kopie, nachdem sie ihren Zweck erfüllt hat. Als Beispiel sei hier der Telekommunikationsdienstleister genannt, der zusätzlich zum PAuswG noch einem weiteren Gesetzestext Folge leisten muss: siehe § 95 Abs. 4 TKG. Es sind nur wenige Institutionen, die mit einer Kopie des Personalausweises bei der Ausübung ihres Amtes oder Berufes arbeiten dürfen, doch der Arbeitgeber, der Vermieter, das Fitnessstudio oder der Skiverleih gehören sicher nicht dazu.

Update: Am 26.06.2017 ist das Geldwäschegesetz a. F. mit seinen 17 Paragrafen ausser Kraft getreten und durch das neue Geldwäschegesetz mit 59 Paragrafen ersetzt worden.

Das neue GwG finden Sie hier im Volltext. Die im Internet abrufbaren Gesetzestexte sind nicht die amtliche Fassung. Diese finden Sie nur in der Papierausgabe des Bundesgesetzblattes.

*******

Das Geldwäschegesetz (GwG, Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten) ist ein Gesetz, das die rechtliche Grundlage dafür schafft, bestehende Datenschutzrechte unter bestimmten Voraussetzungen außer Kraft zu setzen. Es hat in erster Linie die Bestimmung, Geldwäsche oder Terrorismusfinanzierungen zu verhindern! Der Begriff “Geldwäsche” umfasst im Prinzip alle Gelder, deren Herkunft illegal und Gegenstand einer Straftat nach § 261 StGB sind. Die Terrorismusfinanzierung ist in § 1 Abs. 2 konkret definiert. Aus diesem Grund unterliegen diesem Gesetz zum Beispiel alle Finanzdienstleister, Immobilienmakler, Kreditinstitute, Wirtschaftsprüfer, Steuerberater, Spielbanken und sogar “Güterhändler”. Eine vollständige Auflistung der Verpflichteten ist in § 2 zu finden.

Welche Verpflichtungen ergeben sich daraus? In § 3 sind die allgemeinen Sorgfaltspflichten gesetzlich verankert, aus denen hervorgeht, dass die Verpflichteten schon vor einer Geschäftsbeziehung bestimmte betriebsinterne Sicherungsmaßnahmen zu ergreifen haben, um diese schwer identifizierbaren Geldwäschegeschäfte möglichst gut von den alltäglichen Geschäften unterscheiden zu können (Prävention). Im Umgang mit Kunden bedeutet das die Sicherstellung der Identität der natürlichen Person (§ 4), die am Geschäft beteiligt ist, und eine erweiterte Aufzeichnungs- und Aufbewahrungsfrist gemäß § 8. Die betriebsinternen Sicherungsmaßnahmen (§§ 9 und 9a) sind dafür gedacht, auch laufende Geschäftsbeziehungen kontinuierlich zu überwachen und zu kontrollieren. Mitarbeiter müssen regelmäßig geschult werden und ihre Zuverlässigkeit muss geprüft sein. Auch die betriebseigenen Sicherungssysteme müssen nach entsprechender Risikoanalyse regelmäßig kontrolliert werden, um sicherzustellen, dass diese nicht durch neue Technologien für den Zweck der Geldwäsche missbraucht werden und – nicht zuletzt – muss ein Geldwäschebeauftragter bestellt werden (§ 9 Abs. 2, Nr. 1, Satz 1).

Eine weitere Pflicht, die sich aus dem GwG ergibt, ist die Meldepflicht bei Verdachtsfällen (§ 11). Damit verbunden ist dann die Übermittlung und Verwendung der gesamten Daten, die – wie oben beschrieben – erhoben, aufgezeichnet und aufbewahrt wurden. Diese Daten werden dann nicht nur verwendet, um den Verdacht zu beweisen, sondern auch, um eine Strafverfolgung zu ermöglichen (§ 15). Eine Information über die beabsichtigte oder erfolgte Weitergabe der Daten an den Verdächtigen darf nicht erfolgen (§ 12, Verbot der Informationsweitergabe)! In diesem Fall gelten keine Datenschutz- oder Betroffenenrechte.

Das Antiterrordateigesetz (ATDG, Gesetz zur Errichtung einer standardisierten zentralen Antiterrordatei von Polizeibehörden und Nachrichtendiensten von Bund und Ländern) ist seit Jahren sehr umstritten und wurde sogar bis zum Bundesverfassungsgericht getragen. Bis auf einige (wenige) Anpassungen, die durch das Bundesverfassungsgericht angeordnet worden sind, ist das Gesetz mit seinen 13 Paragraphen gültig. Dieses Gesetz soll hauptsächlich die Bekämpfung von Terrorismus regeln und die dafür notwendigen, gesetzlichen Grundlagen abbilden.

Es lohnt sich, diesen Gesetzestext einmal ausführlich zu lesen, denn damit verbunden ist natürlich auch die Sensibilisierung für verdächtige terroristische Aktivitäten. Der Abgleich von Mitarbeiterdaten mit der Antiterrordatei sei an dieser Stelle auch erwähnt, da dieser gemäß § 32 Abs. 1 zur Begründung und Durchführung des Arbeitsverhältnisses datenschutz- und verfassungskonform ist. Der Bundesfinanzhof überlässt es dem Unternehmen, etwaige datenschutzrechtliche Bedenken durch eine Einwilligung der betroffenen Beschäftigten auszuräumen. (Bundesfinanzhof Urteil vom 19.06.2012, VII R 43/11)

Sie möchten mehr erfahren? Ich bin für Sie da!

Anfrage / Kontakt