Das Bundesdatenschutzgesetz (BDSG), das mit den meisten Bestimmungen am 1. Januar 1978 in Kraft getreten ist, betrifft jeden Betrieb. Es ist keineswegs nur auf Großunternehmen oder auf Betriebe, die EDV betreiben, zugeschnitten. Die wichtigsten Maßnahmen enthält diese Checkliste der GDD. Das BDSG schützt Daten natürlicher Personen (Kunden, Lieferanten, Arbeitnehmer, Vertreter), gleichgültig, ob es sich um Inländer oder Ausländer handelt. Das BDSG gilt in der Bundesrepublik und in West-Berlin. Das BDSG gilt bei
þherkömmlicher Datenverarbeitung (manuelle Be- und Verarbeitung von Geschäftsunterlagen, Karteibearbeitung, Formularbearbeitung, Lohnkonten, Kontokorrentführung) sowie bei
þEDV-Verfahren (Buchungsautomaten, Textverarbeitungsanlagen, Klein-Computer, Großrechenanlagen).
Je nach
þAutomationsgrad
þUnternehmensgröße
þArt und Menge der gespeicherten und aufgezeichneten Daten
muß unterschiedlich viel unternommen werden, um im Unternehmen das Gesetz zu erfüllen. In kleineren Unternehmen ist erfahrungsgemäß in der Regel weniger zu tun als in Großbetrieben. Dennoch muß auch ein kleineres Unternehmen sich mit dem Datenschutzgesetz befassen, insbesondere wegen der damit verbundenen Haftungsfragen. Das BDSG beinhaltet ein grundsätzliches Verbot für die Verarbeitung personenbezogener Daten. Daten natürlicher Personen, auch wenn sie im Rahmen des Geschäftsverkehrs anfallen, dürfen in Zukunft nur noch dann verarbeitet werden, wenn eine Erlaubnis gegeben ist durch:
þEinwilligung des Betroffenen
þRechtsvorschriften
þErlaubnistatbestände aus dem BDSG (hierbei sind insbesondere wichtig: im Rahmen von Vertragsverhältnissen, im Vorvertragszustand oder aufgrund eines berechtigten Interesses, dem keine schutzwürdigen Belange des Betroffenen entgegenstehen dürfen).
Sämtliche Einschränkungen, die sich aus dem geltenden Recht ergeben, müssen weiterhin beachtet werden (z. B. ärztliche Schweigepflicht).
Alle Schutzvorschriften des BDSG gelten für
- automatisiert geführte Datenbestände
- Datenbestände (auch z. B. Karteien), deren Daten ganz oder teilweise an Dritte übermittelt werden.
Der Unternehmer hat zu untersuchen, ob ein Datenschutzbeauftragter bestellt werden muß. Wenn 20 oder mehr Mitarbeiter auf herkömmliche Weise Daten natürlicher Personen im Unternehmen verarbeiten oder wenn 5 oder mehr Mitarbeiter solche Daten automatisiert verarbeiten, ist ein Datenschutzbeauftragter zu bestellen, der der Geschäftsführung unmittelbar zu unterstellen ist.
Der Betroffene (das heißt, derjenige, über den Daten gespeichert werden) hat bestimmte Rechte nach dem BDSG. Wenn er nicht auf andere Weise von der Speicherung Kenntnis erlangt hat, ist er über die Speicherung zu benachrichtigen. Verlangt er Auskunft aus Datenbeständen, so ist die Auskunft schriftlich zu erteilen; unter bestimmten Bedingungen kann die Auskunft auch verweigert werden. Sind Daten unrichtig, so hat der Betroffene einen Anspruch auf Berichtigung. In bestimmten Fällen sind Daten zu sperren oder sogar zu löschen.
Bestimmte Unternehmen sind gegenüber der Aufsichtsbehörde des jeweiligen Landes meldepflichtig. Es muß festgestellt werden, wo welche Datenbestände geführt werden (Bestandsaufnahme) .
Die Durchführung des Datenschutzes und die Führung von Übersichten aufgrund der Bestandsaufnahme wird durch die jeweiligen Aufsichtsbehörden der Länder kontrolliert. Bei bestimmten Verstößen gegen die Vorschriften des Datenschutzgesetzes drohen Geldbußen bis zu 50 000 Mark. Das BDSG kann, wenn seine Vorschriften nicht beachtet werden, Haftungstatbestände begründen, die über die Bußgeldvorschriften des BDSG hinausgehen. Welche Schritte sind mindestens in die Wege zu leiten?
þDie Geschäftsleitung und die Führungskräfte sind ebenso über das BDSG zu informieren wie die Sachbearbeiter und die Mitarbeiter in der EDV, die mit personenbezogenen Daten umgehen.
þFeststellen, wo Daten aufgezeichnet sind und in welchen Datensammlungen ("Dateien") sie geführt werden.
þFeststellen, welche Datensammlungen ("Dateien") mittels automatisierter Verfahren geführt werden.
þAnweisung an die zuständigen Mitarbeiter, wie sie sich zu verhalten haben, wenn Betroffene ihre Rechte wahrnehmen wollen.
þOrganisation derjenigen Schrotte, die eine Haftung (Bußgeld) vermeiden.
þMitarbeiter auf das Datengeheimnis nach ° 5 BDSG verpflichten.