Der Handel mit Adressdaten ist grundsätzlich nur mit Einwilligung der Betroffenen zulässig. Eine Ausnahme gilt jedoch für sogenannte Listendaten. Listendaten sind Angaben über Berufs-, Branchen und Geschäftsbezeichnungen, Namen, Titel, akademischen Grad, Anschrift und Geburtsjahr sowie ein sogenanntes Gruppenmerkmal. Diese Daten dürfen erhoben, verarbeitet und auch übermittelt (also verkauft) werden. Der Adressdatenhändler muss für diese Fälle sicherstellen, dass die Betroffenen Kenntnis über die Herkunft der Daten erhalten können. Widerspricht der Betroffenen der Erhebung, Verarbeitung und Übermittlung von seinen Listendaten, ist dieser Widerspruch für verantwortliche Stellen bindend.

Siehe Auftragsdatenverarbeitung

Das allgemeine Persönlichkeitsrecht (kurz APR) ist ein Grundrecht, dass aus Art. 1 Abs. 1 Grundgesetz in Verbindung mit Art. 2 Abs. 1 Grundgesetz abgeleitet wird und die Achtung und freie Entfaltung der Persönlichkeit schützt. Es hat verschiedene für den Datenschutz relevante Ausprägungen, wie z.B. den Schutz der Privat- und Intimsphäre und das Recht am eigenen Bild. Auch die eigentliche Grundlage des Datenschutzrechts, das Recht auf informationelle Selbstbestimmung, ist ein Teilaspekt des allgemeinen Persönlichkeitsrechts. Zudem wird das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme auf das allgemeine Persönlichkeitsrecht zurückgeführt.

Anonymisieren bedeutet, personenbezogene Daten so zu verändern, dass der Personenbezug aufgehoben wird. Nach der Definition in § 3 Abs. 6 BDSG genügt es, wenn die Zuordnung zu einer natürlichen Person zwar nicht völlig ausgeschlossen, aber zumindest so erschwert ist, dass sie einen unverhältnismäßig großen Aufwand erfordert; im letzten Fall spricht man von „faktisch anonymen Daten“. Die Anonymisierung ist ein wichtiges Mittel, um in der Praxis datenschutzgerecht arbeiten zu können. Denn da durch die Verarbeitung anonymisierter Daten grundsätzlich niemand in seinem Persönlichkeitsrecht beeinträchtigt werden kann, fallen sie nicht in den Anwendungsbereich des BDSG. Sie dürfen grundsätzlich beliebig verarbeitet und auch weitergegeben werden.

Typischerweise werden bei der Anonymisierung Informationen, die eine unmittelbare Identifikation zulassen (z.B. Namen) oder Rückschlusse auf die Person erlauben (z.B. Kfz-Kennzeichen oder IBAN-Nummern), aus den Datensätzen entfernt. Häufig werden die identifizierenden Informationen aber nicht ganz gelöscht, sondern nur gekürzt (z.B. Namen durch Initialien ersetzt, Geburtstag durch Geburtsjahr ersetzt oder Nummern maskiert). Dann ist darauf zu achten, dass das Herstellen eines Personenbezuges hinreichend erschwert ist, um noch die Anforderungen des § 3 Abs. 6 BDSG zu erfüllen. Dies muss im Einzelfall beurteilt werden. Je sensibler die Daten, mit desto höherer Sicherheit sollte eine De-Anonymisierung ausgeschlossen werden. Um das Ableiten von personenbezogenen Informationen weiter zu erschweren, können auch die nicht-identifizierenden Datenfelder verändert werden. Hierzu werden etwa konkrete quantitative Angaben (z.B. Alter, Anzahl der Kinder) mittels Größenklassen unscharf gemacht (z.B. 5-10 Jahre, >2 Kinder).

Das BDSG kennt bei der Anonymisierung nur „Entweder-Oder“. Technisch gesehen gibt es jedoch unterschiedliche Grade der Anonymisierung, je nachdem, wie stark die Personenbeziehbarkeit erschwert ist. Die Wissenschaft hat hierfür verschiedene Maße entwickelt, z.B. die k-Anonymität und die l-Diversität.

Von der Anonymisierung ist die Pseudonymisierung zu unterscheiden. Diese ist darauf angelegt, rückgängig gemacht zu werden, um bei Bedarf wieder mit den Daten in ihrer ursprünglichen personenbezogenen Form arbeiten zu können. Bei der Pseudonymisierung ist der Personenbezug allenfalls für diejenigen aufgehoben, die das Verfahren zur De-Pseudonymisierung nicht kennen.

Arbeitnehmerdatenschutz sind die Regelungen zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen von Beschäftigungsverhältnissen. § 32 BDSG ist die zentrale Norm des BDSG. In Beschäftigungsverhältnissen ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zulässig, soweit dies für die Durchführung des Beschäftigungsverhältnisses einschließlich der Begründung und Beendigung erforderlich ist. Grundsätzlich erforderlich ist es etwa, dass der Arbeitgeber Personaldaten in einer physischen oder elektronischen Personalakte führt und verwaltet.

Maßnahmen des Arbeitnehmerdatenschutzes sind in der Regel mitbestimmungspflichtig, so dass häufig Betriebsvereinbarungen als alternative Rechtsgrundlage zu § 32 BDSG bestehen (siehe Betriebsrat). Grundsätzlich möglich ist es auch, Arbeitnehmerdaten auf der Grundlage einer Einwilligung zu erheben, verarbeiten und zu nutzen (siehe Einwilligung im Arbeitsverhältnis).

Ein besonderes datenschutzrechtliches Problemfeld des Arbeitnehmerdatenschutzes ist die private Nutzung von E-Mail und Internet.

Arbeitgeber erfassen Arbeitszeiten zur Ermittlung geleisteter Arbeitszeiten, damit unter anderem Arbeitsentgelte und Urlaubsansprüche berechnet werden können. Ergänzend zu dieser Datenverarbeitung (auch) im Arbeitnehmerinteresse wird geleistete Arbeit immer feinmaschiger erfasst um unternehmensinterne Kosten transparent zu machen. Datenschutzrechtlich bewegt man sich mit einer feinmaschigen Erfassung von Arbeitszeiten und ggf. deren Anreicherung durch weitere Informationen wie Standortdaten, Produktionszahlen, etc. in Richtung der Bildung von detaillierten Profilen – unzulässig wird dies spätestens mit der Bildung vollständiger Bewegungs- und Verhaltensprofilen und damit gläsernen Arbeitnehmern.

Arbeitgeber sollten sorgfältig prüfen, wie weit Unternehmensinteressen die Bildung solcher Profile rechtfertigen und ggf. Maßnahmen zu datenschutzkonformen Gestaltung der Sammlung von Informationen über Arbeitnehmer ergreifen.

Die Artikel-29-Gruppe ist das durch Art. 29 der EU-Datenschutzrichtlinie festgelegt Gremium der Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Jedes Mitgliedsland entsendet einen Vertreter; hinzu kommen ein Vertreter der Kommission und der Europäische Datenschutzbeauftragte. Für Deutschland nimmt der Berliner Datenschutzbeauftragte teil (nicht die Bundesdatenschutzbeauftragte, da für die Durchführung des BDSG gegenüber den nicht-öffentlichen Stellen die Länder zuständig sind).

Die Artikel-29-Gruppe veröffentlicht regelmäßig Stellungnahmen und ausführliche „Working Papers“ zu wichtigen Fragen des Datenschutzrechts.

Audits sind für Unternehmen ein wichtiges Instrument, mit dem sie gegenüber Endkunden, Geschäftspartnern und Behörden die Datenschutzkonformität ihrer Datenschutzkonzepte, technischen Einrichtungen oder Produkte belegen können. Die aufgrund eines Audits verliehenen Zertifikate sind daher von hoher wirtschaftlicher Bedeutung. Sie dienen unter anderem Marketingzwecken und der Erfüllung gesetzlicher Prüfungsanforderungen (z.B. im Rahmen der Auftragsdatenverarbeitung) und werden ggf. im Rahmen von Ausschreibungen berücksichtigt.

Ein Bundesgesetz, das ein öffentliches Auditverfahren regelt, ist seit 2001 im BDSG vorgesehen (§ 9a S. 2 BDSG), jedoch bis heute nicht erlassen worden. Diese Lücke wurde frühzeitig durch das Land Schleswig-Holstein und die dortige Aufsichtsbehörde, das Unabhängige Landeszentrum für den Datenschutz (ULD), gefüllt. Das ULD vergibt ein Datenschutz-Gütesiegel für IT-Produkte auf landesgesetzlicher Grundlage (§ 4 Abs. 2 LDSG S-H in Verbindung mit der Datenschutzgütesiegelverordnung). Hierzu wird in einem ersten Schritt durch einen beim ULD akkredierten Gutachter das Produkt technisch und rechtlich geprüft. Im zweiten Schritt prüft das ULD das schriftliche Gutachten und vergibt im Anschluss das Gütesiegel (meist befristet auf zwei Jahre). Angesichts des Erfolges des Gütesiegels des ULD hat mittlerweile auch Mecklenburg-Vorpommern ein entsprechendes Verfahren eingeführt.

Darüber hinaus gibt es eine Reihe von Gütesiegeln, die von privaten Wirtschaftsteilnehmern und von Verbänden verliehen werden.

Siehe Dienstleisterkontrolle.

Die Einhaltung des Bundesdatenschutzgesetzes durch nicht-öffentliche Stellen wird von den zuständigen Aufsichtsbehörden der Bundesländer kontrolliert. In der Regel sind dies die Landesdatenschutzbeauftragten. Die örtliche Zuständigkeit richtet sich grundsätzlich danach, in welchem Bundesland die datenverarbeitende Stelle ihren Sitz hat.

Die Befugnisse und Aufgaben der Aufsichtsbehörden regelt § 38 BDSG. Danach sind die Aufsichtsbehörden neben ihrer Kontrollfunktion auch beratend für die datenverarbeitenden Stellen und deren (betriebliche) Datenschutzbeauftragte tätig. In diesem Rahmen veröffentlichen sie auch zahlreiche Handreichungen zu datenschutzrechtlichen Themen.

Die Aufsichtsbehörden haben zur Ausübung der Kontrolle weitreichende Auskunfts-, Zutritts- und Prüfungsrechte. Im Fall von Verstößen gegen das Datenschutzrecht können Sie die deren Behebung anordnen und ggf. Datenverarbeitungsverfahren ganz untersagen. Auch die Verhängung von Bußgeldern nach § 43 BDSG ist möglich, der Bußgeldrahmen beträgt dabei in den meisten Fällen bis zu dreihunderttausend Euro.

Bei der Auftragsdatenverarbeitung (kurz „ADV“) verarbeitet ein Dienstleister für ein Unternehmen personenbezogene Daten nach vorgegebenen Regeln oder im Rahmen von Weisungen. Darüber muss gem. § 11 Abs. 2 BDSG eine schriftliche Vereinbarung mit einem gesetzlich vorgegebenen Inhalt abgeschlossen werden. Diese ADV-Vereinbarung stellt sicher, dass die Daten während der Verarbeitung in der Herrschaft des auftraggebenden Unternehmens verbleiben und angemessen gegen Verlust und Missbrauch gesichert sind.

Bei der ADV wird Dienstleister hinsichtlich der Daten des Auftraggebers rechtlich mehr oder weniger als verlängerter Arm des Auftraggebers behandelt. „Verantwortliche Stelle“ nach dem BDSG bleibt der Auftraggeber. Er muss regelmäßig kontrollieren, dass der Auftragnehmer seine Weisungen und die vereinbarten technisch-organisatorischen Maßnahmen einhält. Für die Bereitstellung der personenbezogenen Daten durch den Auftraggeber im Rahmen des Auftrags an den Auftragnehmer bedarf es keiner besonderen gesetzlichen Erlaubnis oder Einwilligung, da dies nicht als „Übermittlung“ im Sinne des BDSG gilt (sog. Privilegierung der Auftragsdatenverarbeitung).

Typische Fälle einer ADV sind alle Formen des IT-Outsourcings, von der Beauftragung eines Webanalyse-Dienstes (wie z.B. Google Analytics) bis hin zum Bezug von Rechenzentrumsleistungen. Auch bei der Wartung von IT und sogar bei der Datenträgerentsorgung durch Dritte ist regelmäßig eine Vereinbarung nach § 11 BDSG erforderlich.

Nach der von den Aufsichtsbehörden mehrheitlich vertretenen Auffassung – der sog. Funktionsübertragungstheorie – ist die Auftragsdatenverarbeitung von der „Funktionsübertragung“ abzugrenzen, bei der nicht nur die Datenverarbeitung, sondern die zugrundeliegende betriebliche Aufgabe selbst ausgelagert wird. Der Dienstleister hat bei der Funktionsübertragung größere Entscheidungsspielräume beim Umgang mit den Daten, als sie ein Auftragsdatenverarbeiter haben kann. Die Abgrenzung soll nach der Natur der Auslagerung erfolgen – praktisch ist diese allerdings oft schwer zu beurteilen, die Grenzen sind fließend. Deshalb stellt eine andere, im Vordringen befindliche Ansicht – die sog. Vertragstheorie – in erster Linie auf die Vereinbarung mit dem Dienstleister ab. Hat dieser sich den Weisungen des Auftraggebers und den Bedingungen von § 11 BDSG unterworfen, soll danach Auftragsdatenverarbeitung vorliegen.

Nach § 34 BDSG kann jeder von einer Datenverarbeitung Betroffene von der verantwortlichen Stelle unentgeltlich Auskunft verlangen über die zu seiner Person gespeicherten Daten, deren Herkunft, mögliche Empfänger und den Zweck der Speicherung. Dieses schon lange bestehende, aber eher selten von Bürgern eingeforderte gesetzliche Recht ist einer breiteren durch die Initiative „Europe versus Facebook“ des Österreichers Maximiliam Schrems bekannt, die Auskunftsbegehren gegen das soziale Netzwerk verfolgt und auch gerichtlich geltend macht.