Das deutsche Datenschutzrecht beruht auf grundlegenden Prinzipien, die sich insbesondere aus den rechtlichen Erwägungen des Volkszählungsurteils ableiten lassen, die das Bundesverfassungsgericht an gerechtfertigte Eingriffe oder Beschränkungen des Rechts auf informationelle Selbstbestimmung stellt. Die entsprechenden Prinzipien finden sich daher im Bundesdatenschutzgesetz wieder.
Aus dem Grundsatz der Normenklarheit ergibt sich die Anforderung, dass im Datenschutzrecht präzise und bereichsspezifische Regelungen zu treffen sind. Der entsprechende Rechtsgrundsatz ‚lex specialis derogat legi generali‘ (das speziellere Gesetz geht den allgemeineren Gesetzen vor) findet sich daher auch im Bundesdatenschutzgesetz wieder.
Nach § 1 Abs. 3 S. 1 BDSG gehen andere Rechtsvorschriften des Bundes (z.B. Telemediengesetz oder Telekommunikationsgesetz), auf die personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, den Vorschriften des Bundesdatenschutzgesetzes vor. Es ist also zu klären, ob spezialrechtliche Bestimmungen vorhanden sind, die auf den konkreten Einzelfall Anwendung finden. Mangelt es jedoch an besonderen spezialrechtlichen Regelungen, wird dieses durch entsprechende allgemeinrechtliche Regelungen aufgefangen. Für die Vorrangigkeit kommen neben den Bundesgesetzen im formalen Sinn jegliche materiellen Rechtsnormen in Betracht. Folglich gehen in Rechtsverordnungen enthaltene Regelungen den Vorschriften des Bundesdatenschutzgesetzes gleichermaßen vor wie entsprechende Bestimmungen in den Satzungen bundesunmittelbarer juristischer Personen des öffentlichen Rechts (Körperschaften, Anstalten, Stiftungen). Allgemeine Verwaltungsvorschriften und sonstige Verwaltungsanordnungen haben keinen Vorrang, können jedoch zur Erklärung und Auslegung von vorrangigen Rechtsnormen herangezogen werden. Tarifverträge und Betriebsvereinbarungen fallen ebenso wenig unter den Grundsatz der Subsidiarität.[60]
Die Vorrangigkeit einer anderweitigen Bundesnorm kann lediglich insoweit in Betracht kommen, als die einzelnen ggf. zu beachtenden Vorschriften genau auf den Sachverhalt anzuwenden sind, der auch Gegenstand der Regelung des Bundesdatenschutzgesetzes ist. Aufgrund dessen kann lediglich eine deckungsgleiche Bestimmung der entsprechenden Regelung des Bundesdatenschutzgesetzes vorgehen, d.h. subsidiäres Datenschutzrecht kann lediglich bei Tatbestandsübereinstimmung zur Anwendung kommen. Folglich ist eine Vorschrift des Bundesdatenschutzgesetzes anwendbar, wenn keine fach- oder bereichsspezifische Datenschutzregelung für den gleichen Sachverhalt in einem anderen Bundesgesetz besteht. Das Bundesdatenschutzgesetz wird damit zum Auffanggesetz, das eine lückenfüllende Funktion hat. Eine lediglich teilweise Regelung in einer speziellen Rechtsvorschrift schließt jedoch nicht die Anwendbarkeit des Bundesdatenschutzgesetzes insgesamt aus.[61]
Darüber hinaus bleibt die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten (z.B. Steuergeheimnis, Sozialgeheimnis, Betriebs- und Geschäftsgeheimnis) oder von Berufsgeheimnissen (z.B. Arztgeheimnis, Schweigepflicht der Rechtsanwälte, Bankgeheimnis), die nicht auf gesetzlichen Vorschriften beruhen, gemäß § 1 Abs. 3 S. 2 BDSG unberührt. Das heißt, ist der Schutz der besonderen Geheimhaltungspflichten weitergehend als der des Bundesdatenschutzgesetzes, gilt dieser weitergehende Schutz. Ist das Schutzniveau gleich, gibt es keine Besonderheiten. Ist das Schutzniveau geringer, gilt für alle Daten, die unter das Bundesdatenschutzgesetz fallen, dieses Gesetz, in allen anderen Fällen der Schutz der speziellen Geheimhaltungsregelung.[62]
Im deutschen Datenschutzrecht gilt als allgemeiner Grundsatz ein sogenanntes ‚Verbot mit Erlaubnisvorbehalt‘:
Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind gemäß § 4 Abs. 1 BDSG nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Bei der Aufzählung der Zulässigkeitsvoraussetzungen ist zwar das Bundesdatenschutzgesetz zuerst genannt, aufgrund dessen Eigenschaft als Auffanggesetz entsprechend dem Subsidiaritätsprinzip wird jedoch zunächst die andere Rechtsvorschrift, d.h. die vorrangige bereichsspezifische Norm erheblich[63]. Die entsprechenden Gestattungsvorschriften sind im nicht-öffentlichen Bereich insbesondere rechtsgeschäftliche Schuldverhältnisse (Vertragsverhältnisse) oder rechtsgeschäftsähnliche Schuldverhältnisse (vertragsähnliche Vertrauensverhältnisse) oder öffentlich gemachte Daten (vgl. § 28 Abs. 1 BDSG). Das Vorliegen des erforderlichen Erlaubnistatbestands ist für jede einzelne Phase der Datenverarbeitung gesondert bzw. erneut zu prüfen[64]. Sofern eine Rechtsvorschrift für den Umgang mit personenbezogenen Daten eine diesbezügliche Erlaubnis beinhaltet oder sogar ein entsprechendes Gebot enthält, kommt es auf die Einwilligung des Betroffenen nicht an.
Das Einverständnis durch den Betroffenen ist lediglich in den Fällen einzuholen, in denen ansonsten kein Zulässigkeitstatbestand zu finden ist. Die Einwilligung in die Verarbeitung personenbezogener Daten stellt keinen Grundrechtsverzicht dar, sondern die Verwirklichung des Grundrechts auf informationelle Selbstbestimmung[65]. Infolge einer wirksamen Einwilligung wird die Verarbeitung zulässig. Mangelt es an dieser und liegt auch kein gesetzlicher Rechtfertigungsgrund vor, ist die Verarbeitung rechtswidrig. Unter dem Begriff Einwilligung wird die vorherige Einverständniserklärung (vgl. § 183 BGB) verstanden, d.h. eine nachträgliche Genehmigung ist nicht ausreichend[66].
Die Einwilligung ist gemäß § 4a Abs. 1 S. 1 BDSG nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Das bedeutet, die Einwilligung muss frei von Zwang sein[67] und darf nicht von anderen Rechtsfolgen abhängig gemacht werden[68]. Der Betroffene ist gemäß § 4a Abs. 1 S. 2 BDSG auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Voraussetzung einer informierten Einwilligung ist neben der ausreichenden Zweckbestimmung der Verarbeitung auch die hinreichende Bestimmtheit der verantwortlichen Stelle und der verarbeiteten Daten[69]. Bei der Erhebung, Verarbeitung oder Nutzung besonderer Arten personenbezogener Daten muss sich die Einwilligung gemäß § 4a Abs. 3 BDSG darüber hinaus ausdrücklich auf diese Daten beziehen. Die Einwilligung bedarf gemäß § 4a Abs. 1 S. 3 BDSG der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Das bedeutet, im konkreten Einzelfall kann auch eine mündliche oder eine konkludente Erklärung ausreichen. Soll eine Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist diese gemäß § 4a Abs. 1 S. 4 BDSG besonders hervorzuheben.
Die Einwilligung ist aus verfassungsrechtlichen Erwägungen jedoch widerruflich. Der Betroffene muss vor allem im Hinblick auf sein Recht auf informationelle Selbstbestimmung in der Lage sein, Einfluss auf den Umgang mit seinen Daten nehmen zu können. Diese Möglichkeit wäre ihm verwehrt, könnte er nicht ein einmal gegebenes Einverständnis wieder zurücknehmen. Der Widerruf ist hierbei an keine bestimmte Form gebunden, sollte aus Beweisgründen jedoch regelmäßig schriftlich erfolgen. Der mit dem Widerruf zum Ausdruck kommende Widerspruch gegen die Verarbeitung, in die zunächst eingewilligt wurde, hat vom gegenwärtigen Zeitpunkt an eintretende Wirkung, d.h. die Verarbeitung wird ex nunc rechtswidrig.[70] Ein Verzicht auf das Widerrufsrecht ist ausgeschlossen[71].
Ein Muster für die Erklärung zur Einwilligung in die Datenverarbeitung im Bereich der nicht-öffentlichen Stellen, auf die das Bundesdatenschutzgesetz Anwendung findet, ist als Anhang 1 beigefügt.
Damit eine Datenverarbeitung die Anforderungen des Grundsatzes der Normenklarheit erfüllt, ist ein Verwendungszweck bereichsspezifisch und präzise zu bestimmen. Im deutschen Datenschutzrecht gilt daher der Grundsatz, dass die Zweckbestimmung der Daten, d.h. ihre für einen konkreten Zweck bestehende Erforderlichkeit, Voraussetzung für die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung ist. Die Verarbeitung personenbezogener Daten ist lediglich insoweit zulässig, als diese von dem Zweck erfasst wird, der entweder durch die positivrechtliche Ermächtigungsnorm oder die Einwilligung des Betroffenen gedeckt wird. Die Zulässigkeit der Datenverarbeitung im Hinblick auf den von der verantwortlichen Stelle dem Betroffenen...