Der augenscheinlichen Sorglosigkeit im Umgang mit Personendaten steht hierzulande das Grundrecht auf "informationelle Selbstbestimmung" gegenüber. Jeder Bürger kann danach frei entscheiden, wer wann auf welche seiner persönlichen Daten Zugriff erhält. Für den Schutz dieser Informationen soll das Bundesdatenschutzgesetz sorgen: Es regelt jegliche Art der elektronischen Verarbeitung von Personendaten und gilt, unabhängig von Größe oder Art der Organisation, für öffentliche wie nichtöffentliche Stellen. Demnach haben nicht nur kleine und große Firmen, sondern auch Vereine und Genossenschaften die Daten ihrer Kunden, Mitarbeiter oder Mitglieder angemessen zu schützen.
Ist der Ruf erst ruiniert
Unternehmen, denen mangelnde Pflichterfüllung oder gar ein vorsätzlicher Verstoß gegen das Gesetz nachgewiesen werden kann, drohen Bußgelder bis zu 250000 Euro. Als noch kostspieliger oder sogar existenzbedrohlich kann sich allerdings der Reputationsverlust erweisen, der entsteht, wenn eine Außerachtlassung datenschutzrechtlicher Bestimmungen öffentlich bekannt wird und eine Firma für entsprechend negative Schlagzeilen sorgt. "Gerät etwa ein Markt- und Meinungsforschungsinstitut erstmal in Verruf, mit personenbezogenen Daten nicht sorgsam umzugehen, wird es kaum noch genügend Freiwillige für seine Befragungen finden", verdeutlicht Werner Hülsmann, externer Datenschutzbeauftragter und Vorstandsmitglied der Deutschen Vereinigung für Datenschutz (DVD), die Sachlage.
Die wichtigsten Paragrafen des Bundesdatenschutzgesetzes
Für Unternehmen sind insbesondere der erste und dritte Abschnitt des Bundesdatenschutzgesetzes (BDSG) ("Allgemeine und gemeinsame Bestimmungen" und "Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen") von Bedeutung.
§3 (1) definiert den Begriff "personenbezogene Daten".
§4 enthält die wichtigsten allgemeinen Regelungen: Er beschreibt, wann das Erheben, Verarbeiten und Nutzen personenbezogener Daten rechtlich zulässig ist (Details hierzu finden sich in § 28, 29 und 30). Er regelt zudem, welche Aktivitäten gemeldet werden müssen und wann die Datenübermittlung ins Ausland erlaubt ist. Darüber hinaus bestimmt er, unter welchen Umständen ein betrieblicher Datenschutzbeauftragter zu bestellen ist und worin dessen Aufgaben bestehen.
§33, 34 und 35 legen die Rechte des Betroffenen fest.
§7 regelt den Schadenersatz.
§9 enthält Angaben zu den organisatorischen und technischen Maßnahmen, die ein Unternehmen zur Sicherstellung des Datenschutzes zu ergreifen hat.
§11 regelt die Verantwortung für das Erheben, Verarbeiten und Nutzen personenbezogener Daten im Auftrag.