Seit dem Volkszählungsurteil des Bundesverfassungsgericht aus dem Jahre 1983 ist das sogenannte “Allgemeine Persönlichkeitsrecht” allgemein anerkannt. Es bildet seit damals die Grundlage für das Datenschutzrecht. Es stellt die personenbezogenen Daten des Einzelnen unter den besonderen Schutz der Rechtsordnung. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO), z.B. der Name, die Adresse, die Bankverbindung, die IP-Adresse u.a. Keine personenbezogenen Daten sind im Umkehrschluss solche, die sich nicht auf eine bestimmte natürliche Person beziehen, z.B. anonymisierte oder bloß statistische Daten. 

Das Datenschutzrecht greift ferner dann ein, wenn personenbezogene Daten verarbeitet werden. Verarbeitung ist “jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang… wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung …” u.v.m (Art. 4 Nr. 2 DSGVO). Hieraus folgt auf den ersten Blick, dass das Datenschutzrecht einen sehr großen Anwendungsbereich hat.

Legalität der Verarbeitung – Rechtfertigung
Das Datenschutzrecht gibt nun vor, dass jede Verarbeitung von personenbezogenen Daten im Grundsatz rechtswidrig und somit verboten ist – es sei denn die Verarbeitung ist ausdrücklich aufgrund gesetzlicher Anordnung erlaubt und gerechtfertigt (sog. Verbot mit Erlaubnisvorbehalt). Damit herrscht im Datenschutz eine umgekehrte Systematik wie in der übrigen Rechtsordnung. Dort gilt in Anlehnung an Art. 2 Abs. 1 Grundgesetz die Maxime, dass all jenes Verhalten erlaubt ist, was nicht ausdrücklich verboten wurde (z.B. im Strafgesetzbuch, oder die Vorschriften der Sittenwidrigkeit im Zivilrecht u,a,).

• Der Betroffene erteilt eine Einwilligung. 
(Art. 6 Abs. 1 a) DSGVO)
• Es besteht ein Vertrag oder ein Vertragsanbahnungs-verhältnis. (Art. 6 Abs. 1 b) DSGVO)
• Es besteht eine gesetzliche Pflicht oder Erlaubnis. 
(Art. 6 Abs. 1 c) DSGVO)
• Es werden berechtigte Interessen verfolgt. 
(Art. 6 Abs. 1 f) DSGVO)

Damit Datenverarbeitungsvorgänge rechtmäßig sind, müssen außerdem umfangreiche Belehrungen an die Betroffenen erteilt werden. Das Schaffen von Transparenz und Informiertheit ist eines der großen Anliegen der DSGVO und anderer Datenschutzgesetze. Darunterfallen sowohl die Datenschutzerklärung auf der Webseite wie auch vergleichbare Dokumente gegenüber den eigenen Mitarbeitern oder Kunden.

Fazit – Datenschutz ist simpel und komplex zugleich

Die Grundprinzipien des Datenschutzrechts sind simpel (“Alles, was nicht erlaubt ist, ist verboten”). Trotzdem sind die Einzelfragen, die ein Unternehmen im Alltag beschäftigen, häufig schwierig zu beantworten. Denn das Rechtsgebiet ist noch jung, höchstrichterliche Entscheidungen fehlen. Vieles ist ungeklärt. Außerdem ist meistens eine Abwägung von verschiedenen gegenläufigen Interessen notwendig. Viele Antworten hängen damit vom Einzelfall ab.

• Sie haben ein Unternehmen und verarbeiten Daten. Sie fragen sich, ob eine bestimmte Einzelmaßnahme datenschutzrechtlich zulässig ist (z.B. eine Werbekampagne, das Personalmanagement, die Einführung von Überwachungssystemen, die Anforderung von Daten von Konzernunternehmen u.a.) und wie der Prozess ausgestaltet werden müsste.
• Sie betreiben eine Webseite und/oder einen Onlineshop und möchten diese auf Konformität mit dem Datenschutzrecht geprüft wissen. Insbesondere brauchen Sie eine rechtssichere Datenschutzerklärung, aber auch der Rest soll abgesichert sein.
• Sie haben begonnen, sich mit den Anforderungen der DSGVO selbst zu beschäftigen und kommen nun nicht mehr weiter oder wollen sich nicht weiter selbst damit befassen. Sie suchen nach einer Gesamtlösung, um Ihr Unternehmen rechtssicher aufzustellen.
• Jemand hat gegen Datenschutzrecht verstoßen und Sie wollen Ihre Ansprüche verfolgen – oder umgekehrt, jemand rühmt sich entsprechender Ansprüchen und Sie müssen sich verteidigen.

Die Datenschutzgrundverordnung (DSGVO) verlangt von jedem Unternehmen viel mehr als bloß Datenschutzerklärungen. Sie verlangt einen präventiven Ansatz, um das Risiko von Datenschutzverstößen von vornherein zu minimieren oder auszuschließen. Datenschutz ist damit zur ersten Pflicht der Geschäftsführung geworden. Es ist eine neben anderer sog. Compliance-Pflichten. Es reicht also nicht aus, bei etwaigen Verstößen gegen das Datenschutzrecht diese zu beseitigen und wiedergutzumachen. Im Gegenteil kann sich nur das Unternehmen von seiner Haftung befreien, dass in dokumentierter Weise nachweisen kann, ein solches Datenschutzmanagement-System aufgebaut zu haben.

• Prüfung sämtlicher Datenverarbeitungsvorgänge im Unternehmen auf Rechtmäßigkeit und Datensicherheit. Abbildung der Ergebnisse im sog. “Verzeichnis von Verarbeitungstätigkeiten” (Art. 30 DSGVO)
• Bestellung eines betrieblichen internen oder externen Datenschutzbeauftragten, sofern gesetzlich vorgeschrieben (neben anderen Vorgaben wenn min. 10 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, § 38 Abs. 1 BDSG)
• Prüfung und Anpassung der Unternehmenswebseite(n) bzw. des Onlineshops
• Belehrungen an alle betroffenen Parteien (Webseitenbesucher, Mitarbeiter, Kunden, u.a.) in sog. Datenschutzerklärungen
• Klärung der datenschutzrechtlichen Beziehungen zu sog. Auftragsverarbeitern (Art. 28 DSGVO) und zu Gemeinsam Verantwortlichen (Art. 26 DSGVO)
• Durchsetzung von Datenschutz und -sicherheit im eigenen Unternehmen gegenüber den Mitarbeitern, Verpflichtung auf das Datengeheimnis, wiederkehrende Schulungen, interne Richtlinien
• Identifizierung des technisches und organisatorischen Datensicherheitsstandards, Festlegung von sog. technisch-organisatorischen Maßnahmen (TOM, Art. 32 DSGVO)
• Sonstige unternehmens- und branchenspezifische Maßnahmen
• u.a.