Sieben Goldene Regeln des Datenschutzes

Schwerpunkt

350 DuD • Datenschutz und Datensicherheit 31 (2007) 5

Sieben Goldene Regeln des Datenschutzes

Johann Bizer

Das Datenschutzrecht muss einfach sein, wenn es erfolgreich vermittelt werden soll. Da es für den Laien ab-schreckend kompliziert ist, bedarf es für eine erfolgreiche Vermittlung und Schulung einer Strategie der Vereinfa-chung. Die „Sieben Goldenen Regeln des Datenschutzes“ sind ein solcher Versuch der Reduktion auf das Wesent-liche. Nicht die Kultur der Ausnahmen stehen im Vordergrund des Modells, sondern die Grundregeln, mit denen sich als Richtschnur Alltagsfragen lösen lassen. Die Sieben Goldenen Regeln erheben keinen Anspruch auf Ausschließlichkeit. Sie sind aber auch mehr als ein erster Versuch, da sie bereits seit längerem in und für Schu-lungen ausprobiert und verwendet werden.

Dr. Johann Bizer Stellvertretender Landesbeauftragter für Datenschutz Schleswig-Holstein Unabhängiges Lan-deszentrum für Datenschutz (ULD)

E-Mail: [email protected]

Einleitung Der Datenschutz gilt nicht ganz zu Unrecht als eine komplizierte Materie für Experten. Schon ein Blick ins BDSG treibt dem Laien regelmäßig Schweißperlen auf die Stirn. Nahezu in die Verzweiflung lässt sich jeder Schulungskurs zum Datenschutz mit der Exegese des § 28 BDSG treiben, obwohl gerade die Kenntnis dieser Vorschrift für die betriebliche Praxis des Datenschutzes von erheblicher Bedeutung ist. Da die mit der Modernisierung des Datenschutzes erhoffte Vereinfachung des Datenschutzrechts noch auf unabsehbare Zeit auf sich Warten lässt, helfen nur didaktische Konzepte der Verein-fachung, um die komplizierte Materie den Anwendern in der Praxis näher zu bringen.

Didaktik bedeutet Differenzierung nach den Lernhorizonten und diese richten sich in der betrieblichen Fort- und Weiterbildung nach den Erfordernissen in der Praxis. Ohne Zweifel hat der betriebliche Datenschutzbe-auftragte einen anderen und vor allem höheren Qualifizierungsbedarf als die Be-schäftigten in einem Unternehmen. Sicher ist aber auch, dass sich auch die Qualifizie-rungsanforderungen der betrieblichen Da-tenschutzbeauftragten je nach Unternehmen unterscheiden. Und erst recht gilt, dass in keinem Fall die Anforderungen eines „klei-nen Staatsexamens für Datenschutzrechtler“ die Messlatte für eine Datenschutzschulung sein kann.

Die „Sieben Goldenen Regeln des Da-tenschutzes“ sind der Versuch, das kompli-zierte Datenschutzrecht auf wenige zentrale Regeln „einzudampfen“, die sich der An-wender gerade noch merken kann. Ob es nun sieben, acht oder neun Regeln sind oder sein müssen, darüber kann man trefflich streiten. Gute Gründe lassen sich finden, um bspw. die Verantwortlichkeit für eine Da-tenverarbeitung als Grundprinzip einzufüh-ren. Auch lassen sich die hier vorgestellten Regeln nur verstehen, wenn man einige Grundbegriffe wie den der Verantwortlich-

keit (Auftragsdatenverarbeitung) sowie der personenbezogenen Daten und der Verarbei-tungsschritte vorschaltet. Wie auch immer, entscheidend ist die Einsicht, dass sich Da-tenschutz in der Breite nur vermitteln lässt, wenn man den Mut zur Vereinfachung hat.

Viele Wege führen nach Rom: Der hier vorgestellte hat sich immerhin als „Einstieg für Anfänger“, aber auch als „Zusammen-fassung“ und „Leitlinie“ bewährt. Dies schließt natürlich Variationen nicht aus, solange sie das Ziel der einfachen Grund-struktur nicht aus den Augen verlieren und den Lernenden nicht im Sumpf der Aus-nahmen versinken lassen.

1 Rechtmäßigkeit „Jede Datenverarbeitung bedarf einer rechtlichen Grundlage in Form einer ge-setzlichen Grundlage, eines Vertrages, einer betrieblichen Regelung oder der Einwilligung des Betroffenen.“

Ausgangspunkt im BDSG ist die Grund-norm des Datenschutzrecht, der § 4 Abs. 1 BDSG. Rechtstechnisch nennt man sie auch den „datenschutzrechtlichen Erlaubnisvor-behalt“. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat (§ 4 Abs. 1 BDSG). Die Regel besagt, dass die Erhebung, Verarbeitung und Nut-zung personenbezogener Daten im Grund-satz immer verboten ist. Um erlaubt zu sein, bedarf es einer ausdrücklichen Legitimation.

1.1 „dieses Gesetzes“ Rechtsgrundlage der Datenverarbeitung sind die Bestimmungen des BDSG, die u.a. ausdrücklich auf das Vertragsverhältnis als Rechtsgrundlage verweisen. Beispiel: Nach § 28 Abs. 1 Satz 1 BDSG ist eine Verarbeitung zur Erfüllung eines Ver-tragsverhältnisses mit dem Betroffenen

Johann Bizer

DuD • Datenschutz und Datensicherheit 31 (2007) 5 351

rechtmäßig. Das Erheben, Speichern, Ver-ändern oder Übermitteln personenbezoge-ner Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, wenn es der Zweckbestimmung eines Vertragsverhältnisses (…) mit dem Betroffenen dient (§ 28 Abs.1 Satz 1 Nr. 1 BDSG).

1.2 „andere Rechtsvorschrift“

Rechtsgrundlage können auch andere Rechtsvorschriften sein wie bspw. die Be-stimmungen des Sozialdatenschutzrechts, auf deren Grundlage der Arbeitgeber die Informationen zur Beitragszahlung an die Träger der Krankenversicherung, der Ren-tenversicherung und der Arbeitslosenversi-cherung verarbeitet.

Beispiel: Eine andere Rechtsvorschrift sind auch Betriebsvereinbarungen, die im Rahmen des Betriebsverfassungsgesetzes von Arbeitgeber und Betriebsrat vereinbart worden sind. Derartige Betriebsvereinba-rungen dürfen aber das Schutzniveau der Regelungen des BDSG nicht „aushöhlen“.

1.3 Einwilligung Die dritte Alternative für eine Rechtmäßig-keit der Datenverarbeitung ist die Einwilli-gung des Betroffenen. Mit der Einwilligung wählt die verantwortliche Stelle eine Rechtsgrundlage, die der informationellen Selbstbestimmung des Betroffenen am besten entspricht, weil der Betroffene selbst entscheidet, ob er eine Verarbeitung möchte oder nicht. „Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grund-sätzlich selbst über die Preisgabe und Ver-wendung seiner persönlichen Daten zu bestimmen.“ (Näher unter 2. Einwilligung).

Was ist wichtig? Die Verarbeitung personenbezogener Daten ist nur auf der Grundlage einer gesetzlichen Grundlage, eines Vertrages, einer betriebli-chen Regelung oder der Einwilligung des Betroffenen zulässig.

2 Einwilligung Eine Einwilligung ist nur wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung frei-willig erteilt hat.

Diese goldene Regel findet sich in § 4 a Abs. 1 BDSG. Die Einwilligung ist nur

wirksam, wenn sie auf der freien Entschei-dung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verar-beitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Ver-weigerung der Einwilligung hinzuweisen.

Einwilligung ist also nicht gleich Einwil-ligung. Die Einwilligung ist nur wirksam, wenn sie zwei Voraussetzungen erfüllt, nämlich ausreichende Information (2.1 und Freiwilligkeit (2.2).

2.1 Ausreichende Information

Die Einwilligung ist nur wirksam, wenn der Betroffene auch vorher weiß, zu wel-chem Zweck welche seiner Daten von wem verarbeitet werden.

Macht sich der Betroffene auf Grund der Informationen eine falsche Vorstellung über Art, Umfang und Zwecke der Verarbeitung oder über die verantwortliche Stelle, dann ist die Einwilligung unwirksam und die Datenverarbeitung ist rechtswidrig.

Für die Formulierung der Informationen ist von Bedeutung, dass sie sich an den Verständnismöglichkeiten der typischerwei-se Betroffenen orientieren. Gefordert ist kein juristischer Text – sondern im Gegen-teil eine allgemein verständliche und ziel-gruppenorientierte Information.

Beispiel: Sollen Ausländer einwilligen, dann müssen die Sprachkenntnisse dieser Zielgruppe zugrunde gelegt werden.

2.2 Freiwilligkeit Die Einwilligung muss freiwillig erfolgen, weil sie andernfalls nicht wirksam ist. Wird Zwang oder Druck – direkt oder indirekt – ausgeübt, wird die Einwilligung unwirksam.

Beispiel: Wegen der besonderen Abhän-gigkeit der Beschäftigten ist die Freiwillig-keit einer Einwilligung im Arbeitsverhältnis regelmäßig problematisch. In der Regel ist die Einwilligung unwirksam. Konsequenz ist, dass sich die Datenverarbeitung durch den Arbeitsvertrag gerechtfertigt sein muss.

Auch eine Koppelung von Leistung und Einwilligung ist in der Regel unzulässig: Es ist also unzulässig, wenn eine verantwortli-che Stelle die Zusage einer Leistung davon abhängig macht, dass der Betroffene perso-nenbezogene Daten preisgeben muss, die mit der Leistung in keinem Zusammenhang stehen („Koppelungsverbot“).

2.3 Widerruflichkeit Folge der Freiwilligkeit ist, dass der Betrof-fene seine Einwilligung auch jederzeit widerrufen kann. Ein Widerruf der Einwil-ligung ist jedoch nur mit Wirkung für die Zukunft möglich.

2.4 Hervorhebung Problematisch und in der Regel unzulässig sind formularmäßige Einwilligungserklä-rungen in Allgemeinen Geschäftsbedingun-gen. Es reicht nicht aus, dass die Einwilli-gung im Kleingedruckten versteckt wird, sondern sie muss ausdrücklich erfolgen. Hierzu muss sie gesondert hervorgehoben werden.

Soll die Einwilligung zusammen mit an-deren Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben (§ 4 a Abs. 1 Satz 4 BDSG). Die Einwilligung muss auch ausdrücklich erklärt werden. Sie ist also eine gesonderte, weil hervorzuhe-bende Erklärung, die auch gesondert zu unterschreiben ist. Der Betroffene soll sich bei der Erteilung der Einwilligung im Kla-ren darüber sein, in welchen Verarbeitungs-zweck er nach Art und Umfang seiner Da-ten einwilligt.

2.5 Schriftlichkeit Zum Schutz des Betroffenen schreibt das BDSG die Schriftform vor, d.h. die Einwil-ligung ist nur wirksam, wenn sie auf Papier mit einer eigenhändigen Unterschrift er-bracht wird. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (§ 4 a Abs. 1 Satz 3 BDSG).

Allerdings gibt es Ausnahmen: Das Ge-setz spricht von besonderen Umständen. Von Bedeutung ist dies bspw. im Bereich des elektronischen Geschäftsverkehrs. Hier ist erforderlich, dass der Betroffene durch ein aktives Handeln seine Einwilligung erklärt – also bspw. durch das Setzen eines Häkchens, nachdem er die entsprechende Einwilligungserklärung lesen konnte. Eine Einwilligung ist unwirksam, bei der das Kästchen systemseitig mit einem Häkchen „vorbelegt“ wurde.

Was ist wichtig? Die Einwilligung

muss freiwillig und informiert erklärt werden,

ist grundsätzlich schriftlich zu erteilen. Ausnahmen sind begründet möglich.



ist mit Wirkung für die Zukunft wider-ruflich

3 Zweckbindung Personenbezogene Daten dürfen nur zu dem Zweck verwendet werden, zu dem sie erhoben worden sind.

Die Zweckbindung gehört zu den tragenden Säulen des Datenschutzes. Ihr Gegenteil ist eine Änderung des Verwendungszweckes (s.u. 3.3.). Der Betroffene soll wissen und entscheiden, zu welchen Zwecken seine Daten erhoben und verarbeitet werden. Die Zweckbindung verhindert, dass die verant-wortliche Stelle nach der Erhebung die Daten zu anderen Zwecken verarbeitet als sie erhoben worden sind und dies für Be-troffenen erkennbar war.

Beispiel: Ein Wohnungsmakler erhebt bei Wohnungsinteressenten Daten, um ihnen geeignete Wohnungen zur Miete anzubieten. Er will die Daten aber auch verwenden, um ihnen Versicherungen oder Reisen anzubieten.

3.1 Festlegung des Verwendungszweckes

Die verantwortliche Stelle muss den Ver-wendungszweck der Daten bereits bei der Erhebung festlegen. Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (§ 28 Abs. 1 Satz 2 BDSG). Eine Datenerhebung „ins Blaue hinein“ nach dem Franz-Prinzip „Schau`n wir mal“ ist also unzulässig.

Im Übrigen muss der Betroffene bei der Erhebung auch über den Verwendungs-zweck unterrichtet werden (§ 4 Abs. 3 Satz 1 BDSG (s.u. 5.). Schließlich gehört der „Zweckbestimmungen der Datenerhe-bung, -verarbeitung oder –nutzung“ nach § 4 f Nr. 4 BDSG auch zum Inhalt der Meldepflicht bzw. in das Verfahrensver-zeichnis.

3.2 Vertragszweck Hauptfall einer Datenverarbeitung in der Wirtschaft ist der Vertrag mit dem Betroffe-nen. Nach § 28 Abs. 1 Satz 1 Nr. 1 ist eine Verarbeitung personenbezogener Daten zulässig, „wenn es der Zweckbestimmung eines Vertragsverhältnisses dient“. Genau genommen enthält diese Vorschrift sogar zwei Zweckbindungen, nämlich die

♦ Erfüllung eigener Geschäftszwecke (im Unterschied zu den Geschäftszwecken Dritter) sowie der

♦ Zweckbestimmung des Vertragsverhält-nisses.

Der Grundsatz der Zweckbindung besagt also: Erfolgt die Erhebung zur Erfüllung eines Vertrages, dann dürfen die Daten des Vertragspartners auch nur zur Erfüllung des Vertrages verwendet werden.

Vertragszweck ist regelmäßig die Erfül-lung gegenseitiger Verpflichtungen, also „Geld gegen Ware“. Die verantwortliche Stelle darf die Daten des Betroffenen also nur verarbeiten, damit sie ihre Leistung (Übermittlung der Ware) erbringen und die Gegenleistung (Geldzahlung) entgegen nehmen kann.

Beispiel: Käufer K kauft bei Verkäufer V ein Auto. V darf die Daten des K verwen-den, um das Auto auszuliefern und die Zahlung des K entgegennehmen. Der Grundsatz der Zweckbindung untersagt, dass V die Daten des K auch für das Ange-bot von Immobilien verwenden darf.

Zweckbindung und Information des Be-troffenen stehen in einem engen Zusam-menhang: Der Betroffene muss sich darauf verlassen können, dass seine Daten bei einem Vertragsschluss nicht zu anderen Verwendungszwecken verwendet werden als ihm mitgeteilt worden ist.

Mit der Zweckbindung statuiert das Da-tenschutzrecht im Übrigen ein Prinzip, dass aus dem allgemeinen Vertragsrecht bekannt ist: Der Vertragspartner darf immer nur so viel in den Rechtskreis des anderen eindrin-gen wie dieser ihm gestattet hat. Was sich die Vertragspartner untereinander zugeste-hen wollen, ist Gegenstand der zwischen ihnen getroffenen Vereinbarung. Vereinba-rungen beruhen aber auf Konsens, nicht aber auf einseitigen Erklärungen oder Ab-sichten. Hat die andere Seite nicht zuge-stimmt, dann fehlt es am Konsens, d.h. es besteht insoweit keine Vereinbarung.

3.3 Zweckänderung Der Grundsatz der Zweckbindung bedeutet, dass die verantwortliche Stelle für eine Zweckänderung eine gesonderte Berechti-gung (Legitimation) benötigt. Diese Be-rechtigung kann – Regel 1 – eine Einwilli-gung des Betroffenen oder aber eine gesetz-liche Regelung sein.

Eine solche Regelung über eine zulässi-ge Zweckänderung – als Ausnahme zur Zweckbindung – enthält bspw. § 28 Abs. 3

Nr. 3 BDSG mit dem sog. „Listenprivileg“. Kundendaten dieser Liste dürfen bspw. für Zwecke der Werbung verwendet werden. Allerdings findet das Listenprivileg nur Anwendung, wenn sich die Angaben in der Liste „auf eine Angabe“ über die Zugehö-rigkeit zu einer der Personengruppe bezieht.

Beispiel: Also „Kunden unserer Firma“ und nicht „Kunden unserer Firma, die mehr als 1000 € im vergangenen Jahr ausgegeben haben“.

Zusätzlich stehen die Fälle einer solchen Zweckänderung unter der Voraussetzung, dass „kein Grund zu der Annahme besteht, der Betroffene habe ein schutzwürdiges Interesse an dem Ausschluss der Übermitt-lung oder Nutzung.“ Dieses schutzwürdige Interesse wird im BDSG für einige Fälle wie bspw. für Daten aus einem Arbeitsver-hältnis ausdrücklich festgestellt (§ 28 Abs. 3 Satz 2 BDSG). Bei der Verwendung von Kundendaten zu Zwecken der Marktfor-schung und Werbung ist zu beachten, dass diese Verwendungszwecke bereits bei der Erhebung konkret festgelegt (s.o. 3.1) und der Betroffene über sie auch unterrichtet worden sein muss (s.u. 5.2).

Schließlich hat Betroffene nach § 28 Abs. 4 BDSG für den Fall einer Nutzung oder Übermittlung für Zwecke der Markt- oder Meinungsforschung – also einer Zweckänderung – ein Widerspruchsrecht, auf das er von der verantwortlichen Stelle hinzuweisen ist.

Die kurze Übersicht verdeutlicht, dass eine Änderung des ursprünglich festgeleg-ten Verwendungszweckes hohe gesetzliche Anforderungen erfüllen muss. Der verant-wortlichen Stelle bleibt aber immer der Weg über die Einwilligung des Betroffenen. In Kundenbeziehungen ist die verantwortliche Stelle ohnehin am besten beraten, wenn sie die offene Kommunikation mit ihrem Kun-den sucht.

3.4 Verwendungszweck Datenschutzkontrolle

Ein anderes Beispiel für die Zweckbindung von personenbezogenen Daten ist die Regel, wonach ausschließlich für Zwecke der Datenschutzkontrolle, der Datensicherheit und der Betriebsführung gespeicherte Daten auch nur für diese Zwecke verwendet wer-den dürfen (§ 31 BDSG). Dies sind in der Regel Protokolldaten, die Rückschlüsse über einzelne Datenflüsse und Transaktio-nen geben, aber auch Backup Daten zur

Johann Bizer


Datensicherung, die praktisch den gesamten Datenbestand eines Unternehmens spiegeln.

§ 31 BDSG legt nun fest, dass derartige Daten nur für diese Zwecke der Daten-schutzkontrolle, der Datensicherheit und der Betriebsführung verwendet werden dürfen.

Die Regelung ist getroffen worden, weil personenbezogenen Daten aus Gründen der Datensicherheit länger gespeichert sein können, als dies für ihren Verwendungs-zweck eigentlich erforderlich ist. Um ein Unterlaufen der Löschungsfristen zu ver-hindern, hat der Gesetzgeber diese Daten einer besonderen Zweckbindung unterwor-fen. Kontrolldaten dürfen also nicht über den Umweg der IT-Abteilung wieder den Weg in den Produktionsprozess finden.

Beispiel: In der IT des Unternehmens werden regelmäßig Scans gefahren, um die Verfügbarkeit und Belastung einzelner Datenverbindungen zu analysieren. Diese Daten dürfen nicht zur Kontrolle der Mitar-beiter verwendet werden.

Beispiel: Aus Gründen der Datenschutz-kontrolle sind bestimmte Datensätze zur näheren Überprüfung vorübergehend ge-sperrt worden, obwohl sie mit Blick auf den Verwendungszweck Vertragserfüllung eigentlich hätten gelöscht werden müssen. Diese Daten unterliegen nun der ausschließ-lichen Zweckbindung der Datenschutzkon-trolle.

Was ist wichtig? Die Daten dürfen nur zu dem Zweck verwendet werden, zu dem sie erhoben worden sind (Zweckbindung).

Eine Zweckänderung bedarf einer ge-sonderten Legitimation durch eine Vor-schrift des Datenschutzrechts oder die Einwilligung des Betroffenen.

Der wichtigste Regelfall der Zweckbin-dung ist die Verwendung für Zwecke der Vertragserfüllung. Der wichtigste Regel-fall der Zweckänderung ist die Verwen-dung von Kundendaten für Werbezwe-cke.

4 Erforderlichkeit Die Datenverarbeitung ist auf den für ih-ren Erhebungszweck notwendigen Um-fang zu begrenzen.

Die Erforderlichkeit besagt, dass keine überflüssigen personenbezogenen Daten erhoben, verwendet oder genutzt werden dürfen. Die verantwortliche Stelle soll nur so viele personenbezogene Daten verarbei-ten dürfen wie es für den mit dem Betroffe-

nen vereinbarten oder im Gesetz erlaubten Verwendungszweck notwendig ist.

Beispiel: Zur Abwicklung der Bestellung einer Ware oder Dienstleistung sind Name und Anschrift erforderlich, aber nicht In-formationen wie das Geburtsdatum, der Geburtsort, der Familienstand oder die Kinderzahl etc. Informationen wie die Telefonnummer sind im Regelfall als frei-willige Angaben zu kennzeichnen.

Beispiel: Wenn die Geschäftsführung In-formationen über die Alterstruktur der Belegschaft wissen will, dann genügt eine statistische Auswertung durch die Personal-abteilung. Nicht erforderlich ist die Bereit-stellung der gesamten Liste aller Beschäf-tigten mit Name und Angabe der Zugehö-rigkeit zu einer Altersgruppe.

4.1 Tatbestandsmerkmal Zahlreiche Bestimmungen verweisen insbe-sondere in Abwägungsklauseln ausdrück-lich auf die Erforderlichkeit als ein die Datenverarbeitung einschränkendes Merk-mal. Abwägungsklauseln nennt man Regeln, in denen im Einzelfall nach den Vorgaben des Gesetzes das Interesse der verantwortli-chen Stelle einerseits und der schutzwürdi-gen Interessen der Betroffenen „abzuwä-gen“, also zu gewichten ist.

Ein Beispiel ist § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Die Regelung besagt knapp über-setzt: Außerhalb von Vertragszwecken darf die verantwortliche Stelle personenbezoge-ner Daten nur verarbeiten, wenn sie diese ♦ für ein berechtigtes Interesse auch wirk-

lich benötigt (Erforderlichkeit) und ♦ schutzwürdige Interessen des Betroffe-

nen nicht überwiegen. Beispiel: Der Personalvorstand eines Kon-zern möchte eine Zusammenstellung aller spanisch sprechenden Mitarbeiter der Toch-terfirmen mit einer bestimmten Qualifikati-on bekommen, um „für den Fall der Fälle“ die Zahl der verfügbaren Spezialisten zu kennen. Eine solche Übermittlung ist nicht erforderlich und daher unzulässig. Eine Zusammenstellung der Zahl der Experten je Unternehmen reicht völlig aus, da sie im Bedarfsfall ohnehin aktualisiert werden muss.

4.2 Datensparsamkeit Die technische Seite der Regel der Erforder-lichkeit ist das Gebot der datensparsamen Technikgestaltung, die der Gesetzgeber in § 3 a BDSG festgelegt hat:

„Gestaltung und Auswahl von Datenverar-beitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig perso-nenbezogene Daten wie möglich zu erhe-ben, zu verarbeiten oder zu nutzen. Insbe-sondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemesse-nen Verhältnis zu dem angestrebten Schutz-zweck steht“.

Das Gebot der datensparsamen Technik-gestaltung richtet sich an die Hersteller von Produkten, aber vor allem auch an die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Stellen verantwortlichen Stellen. Objekt der Regelung sind die „Da-tenverarbeitungssysteme“.

4.3 Löschung Wenn personenbezogene Daten nicht mehr für ihren ursprünglichen Zweck benötigt werden – also nicht mehr erforderlich sind –müssen sie gelöscht werden. Niedergelegt ist diese Regelung in § 35 Abs. 2 Satz 2 Nr. 3 BDSG.

Beispiel: Nachdem der Kunde seine Rechnung bezahlt hat und die Gewährleis-tungsfrist abgelaufen ist, sind die Bestellda-ten nicht mehr erforderlich und können gelöscht werden.

Aber für Rechnungsdaten gelten regel-mäßig handelsrechtliche und steuerrechtli-che Aufbewahrungsfristen von – je nach Fall – 6 oder 10 Jahren (näheres in § 257 Abs. 6 HGB und § 147 Abs. 3 AO). Unter-liegen personenbezogene Daten diesen oder anderen gesetzlichen Aufbewahrungspflich-ten, dann sind sie zu sperren.

Was ist wichtig? Personenbezogene Daten dürfen nach Art, Umfang und Dauer nur soweit erho-ben, verarbeitet oder genutzt werden, wie dies zur Zweckerfüllung erforderlich ist.

Personenbezogene Daten, die nicht mehr erforderlich sind, sind zu löschen – bei Speicherpflichten aus anderen Gründen sind sie zu sperren.

5 Transparenz Die Erhebung und Verarbeitung perso-nenbezogener Daten muss gegenüber dem Betroffenen transparent sein.

Das Transparenzprinzip folgt dem Inhalt des informationellen Selbstbestimmungs-



rechts, dass der Betroffene wissen können soll, wer was über ihn weiß. Die Regeln zur Transparenz unterscheiden sich

in Informationspflichten, bei denen die verantwortliche Stelle von sich aus aktiv werden muss (5.2 bis 5.3), und

dem Auskunftsanspruch, den der Betrof-fene selbst geltend machen muss ((5.4).

5.1 Erhebung beim Betroffenen

Das Datenschutzrecht fordert eine offene Kommunikation mit dem Betroffenen, welche seiner Daten zu welchem Zweck benötigt werden. Personenbezogene Daten sind grundsätzlich beim Betroffenen zu erheben (§ 4 Abs. 2 Satz 1 BDSG). Man spricht vom Grundsatz der offenen Daten-erhebung.

Aber keine Regel ohne Ausnahme. Eine „verdeckte Erhebung“ kann unter näher in § 4 Abs. 1 Satz 2 BDSG bestimmten Vor-aussetzungen zulässig sein. Für das Vorlie-gen dieser Voraussetzungen ist die für die Erhebung verantwortliche Stelle beweis-pflichtig. Kann sie also die Voraussetzungen der Ausnahme nicht belegen, dann ist die Datenerhebung rechtswidrig. Im Übrigen gilt: Der Betroffene ist bei einer verdeckten Erhebung wenigstens nachträglich zu be-nachrichtigen (s.u. 5.3).

5.2 Unterrichtung Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über ♦ die Identität der verantwortlichen Stelle, ♦ die Zweckbestimmungen der Erhebung,

Verarbeitung oder Nutzung und ♦ die Kategorien von Empfängern nur,

soweit der Betroffene nach den Umstän-den des Einzelfalles nicht mit der Über-mittlung an diese rechnen muss,

zu unterrichten (§ 4 Abs. 3 Satz 1 BDSG).

Identität der verantwortlichen Stelle Die Information über die verantwortliche Stelle ist von Bedeutung, weil der Betroffe-ne wissen soll, mit wem er es zu tun hat. Ohne Kenntnis der verantwortlichen Stelle kann der Betroffene bspw. sein Recht auf Auskunft nicht geltend machen (s.u. 5.4).

Nicht nur nach dem Datenschutzrecht ist die verantwortliche Stelle verpflichtet zu sagen, wer sie ist. Eine vergleichbare Ver-

pflichtung gilt im Fernabsatz für den Unter-nehmer gegenüber dem Verbraucher nach § 312 c BGB sowie im Elektronischen Geschäftsverkehr nach § 312 e BGB. Auch die Online-Anbieter im Internet sind im Rahmen der Anbieterkennzeichnung zur Aufdeckung ihrer Identität verpflichtet. Im Wirtschaftsleben gilt also die Regel: „Wer mit jemanden Geschäfte abschließen will, sagt, wer er ist“. Dasselbe gilt auch im Datenschutzrecht.

Zu informieren ist zumindest über den Namen bzw. die Firma der verantwortlichen Stelle, unter der sie im Handelsregister eingetragen ist, sowie ihre postalische An-schrift, unter der sie zu erreichen ist. Eine Orientierung bieten die Informationen, die nach § 4 e BDSG über die Identität der verantwortlichen Stelle in das Verfahrens-verzeichnis aufzunehmen sind.

Zweck der Verarbeitung Die Information über den Verarbeitungs-zweck entspricht der Verpflichtung der verantwortlichen Stelle nach § 28 Abs. 1 Satz 2 BDSG vor der Erhebung festzulegen, zu welchem Verwendungszweck die Daten des Betroffenen erhoben werden (s.o. 3.1). Für die verantwortliche Stelle bedeutet dies, dass sie vor der Erhebung den Verwen-dungszweck festlegen muss, um dann den jeweiligen Betroffenen bei der Erhebung über diesen zu unterrichten.

Beispiel: „Um Ihre Bestellung zu erfül-len, verarbeiten wir … „.

Die Information über den Verwendungs-zweck muss so präzise sein, dass sie den Betroffenen in die Lage versetzt, ihre Rechtmäßigkeit zu überprüfen. Gleichzeitig bewirkt sie präventiv, dass die für die Da-tenverarbeitung verantwortliche Stelle die Voraussetzungen der Rechtmäßigkeit selbst überprüft.

Kategorien der Empfänger Schließlich muss der Betroffene zumindest über die Kategorien der vorgesehenen Empfänger unterrichtet werden. Die ver-antwortliche Stelle wird im Regelfall nicht wissen, an welchen Spediteur sie zur Erfül-lung ihrer Verpflichtung aus einem Kaufver-trag die Ware zu Versendung übergeben wird. An wen seine Daten im Einzelfall übermittelt worden sind, kann der Betroffe-ne im Wege seines Auskunftsanspruches in Erfahrung bringen.

5.3 Benachrichtigung Werden die Daten des Betroffenen aus-nahmsweise nicht offen bei ihm erhoben, sondern bei Dritten oder heimlich, dann ist der Betroffene nach § 33 Abs. 1 BDSG zumindest nachträglich zu benachrichtigen. Der Umfang der Unterrichtung entspricht den Angaben, über die der Betroffene im Fall einer offenen Erhebung hätte unterrich-tet werden müssen (s.o. 5.1):

Allerdings gibt es zahlreiche Ausnahmen von der Verpflichtung zur Benachrichti-gung. Die wichtigste ist, dass der Betroffene bereits auf andere Weise von der Speiche-rung oder Übermittlung erfahren hat (§ 33 Abs. 2 Nr. 1 BDSG).

5.4 Auskunftsanspruch Der Auskunftsanspruch geht von dem Be-troffenen aus. Nach § 34 Abs. 1 Satz 1 BDSG ist dem Betroffenen auf sein Verlan-gen hin Auskunft zu erteilen über seine Daten zu erteilen. Die Auskunftspflichten entsprechen inhaltlich weitgehend den Informationspflichten der verantwortlichen Stelle. Da sich die Auskunft auf die Vergan-genheit der Datenverarbeitung bezieht, muss die verantwortliche Stelle aber auch über Art und Umfang der gespeicherten Daten Auskunft geben, darüber hinaus über

die Herkunft der personenbezogenen Daten des Betroffenen sowie

die Empfänger, an die seine Daten wei-tergegeben worden sind.

Konkretisierung Der Betroffene soll in seinem Auskunftsbe-gehren seinen Informationswunsch näher präzisieren, damit die verantwortliche Stelle über Anhaltspunkte verfügt, die gesuchten Angaben zu machen: Er soll die Art der personenbezogenen Daten, über die Aus-kunft erteilt werden soll, näher bezeichnen (§ 34 Abs. 1 Satz 2 BDSG)

Beispiel: „Ich habe bei Ihnen im Früh-jahr 2005 Waren bestellt und möchte nun wissen, welche Daten Sie über mich noch gespeichert haben“ (in Ordnung).

Beispiel: „Bitte teilen Sie mit, ob und welche Daten sie über mich gespeichert haben“ (zu Allgemein).

Form der Auskunft In der Regel soll die Auskunft schriftlich erteilt werden, „soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist“ (§ 34 Abs. 3 BDSG). Besondere Umstände, die

Johann Bizer


bspw. eine elektronische Auskunft ermögli-chen, liegen vor, wenn der Betroffene sein Auskunftsbegehren selbst elektronisch, also bspw. per E-Mail stellt.

Kosten der Auskunft Die Auskunft ist grundsätzlich kostenlos. (§ 34 Abs. 5 Satz 1 BDSG). Eine Ausnahme gilt bspw. für Auskunfteien, wenn der Be-troffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Dies soll bspw. der Fall sein, wenn der Betroffene die Auskunft der SCHUFA gegenüber seiner Bank benötigt, um seine Kreditwürdigkeit zu belegen (§ 34 Abs. 5 Satz 2 ff. BDSG). Die Vorschrift wird von den Datenschutzbeauftragten kritisiert.

Zu beachten ist aber auch, dass nach § 34 Abs. 6 BDSG im Fall einer entgeltli-chen Auskunft dem Betroffenen die Mög-lichkeit zu geben ist, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten und Anga-ben zu verschaffen. Er ist hierauf in geeig-neter Weise hinzuweisen (§ 34 Abs. 6 BDSG).

Ausnahmen Ausnahmen von der Auskunftspflicht über Herkunft und Empfänger gelten bspw. für Auskunfteien, wenn ein berechtigtes Inte-resse an der Wahrung eines Geschäftsge-heimnisses überwiegt (§ 34 Abs. 1 Satz 3 BDSG). Hierfür reicht die bloße Behaup-tung der Auskunftei aber nicht aus.

5.5 Sonstige Informationspflichten

Automatisierte Einzelentscheidungen Bei automatisierten Einzelentscheidungen bezieht sich der Auskunftsanspruch des Betroffenen auch „auf den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten“ (§ 6 a Abs. 3 BDSG).

Videoüberwachung Werden öffentlich zugängliche Räume vi-deoüberwacht, dann sind der „Umstand der Beobachtung und die verantwortliche Stelle“ den Betroffenen durch geeignete Maßnah-men erkennbar zu machen (§ 6 b BDSG).

Chipkarten Besondere Transparenzvorschriften gelten auch für die Chipkarten, auf denen perso-nenbezogene Daten automatisiert verarbei-tet werden (§ 6 c BDSG). Im Sprach-gebrauch des Gesetzes werden diese Karten „mobile personenbezogene Speicher- und

Verarbeitungsmedien“ genannt (§ 3 Abs. 10 BDSG). Verpflichtet ist die Stelle, die ein solches Medium ausgibt oder ein automati-siertes Verfahren auf ein solches Medium aufbringt, ändert oder hierzu bereithält.

Was ist wichtig? Personenbezogene Daten sind bei dem Betroffenen zu erheben. Dabei ist er über Identität der verantwortlichen Stelle, den Zweck der Verarbeitung sowie die Kate-gorien der Empfänger zu unterrichten.

Werden die Daten ausnahmsweise nicht beim Betroffenen offen erhoben, dann ist er nachträglich zu benachrichtigen.

Der Betroffene hat einen Auskunftsan-spruch über seine Daten, ihre Herkunft und Empfänger gegenüber der verant-wortlichen Stelle.

6 Datensicherheit Der Datenschutz ist nur gewährleistet, wenn die personenbezogenen Daten auch sicher verarbeitet werden.

Ziele der IT-Sicherheit und damit auch der Datensicherheit sind die ♦ Vertraulichkeit ♦ Verfügbarkeit und ♦ Integrität personenbezogener Daten.

Das BDSG spricht in § 9 BDSG von „technischen und organisatorischen Maß-nahmen“ der Datensicherheit. Technische Maßnahmen sind Sicherheitsmaßnahmen durch technische Einstellungen und Vorkeh-rungen: Hierzu zählen bspw. Maßnahmen wie Zugangssicherungen (Passwortschutz, Chipkarten etc.).

Organisatorische Maßnahmen sind Re-geln über die Zuständigkeit und Verantwor-tung der Datenverarbeitung wie Dienstan-weisungen oder Betriebsvereinbarungen. In der Anlage zu § 9 BDSG ist ausdrücklich von der Gestaltung der innerbetrieblichen Organisation die Rede:

„Werden personenbezogene Daten au-tomatisiert verarbeitet oder genutzt, ist die (…) innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforde-rungen des Datenschutzes gerecht wird. Dabei sind abhängig von der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignete Maßnahmen zu treffen.“

Datensicherheit wird nicht nur durch Technik und auch nicht nur durch Organisa-tion erreicht, sondern vor allem durch ein geeignetes Zusammenwirken von Maßnah-

men aus Technik und Organisation ermög-licht.

Notwendig ist nicht jeder mögliche Aufwand an technisch und organisatori-schen Maßnahmen, sondern nur diejenigen, die wirklich erforderlich sind. Der Aufwand muss dabei in einem angemessenen Ver-hältnis zu dem angestrebten Schutzzweck stehen (§ 9 Satz 2 BDSG).

In der Anlage zu § 9 BDSG werden eine Reihe von Maßnahmen genannt, die „insbe-sondere“ zu ergreifen sind. Insbesondere bedeutet in der Rechtsprache, dass es sich um Regelbeispiele handelt. Der Katalog der Maßnahmen ist also nicht abschließend. Die Experten der Datensicherheit orientieren sich häufig an den im IT-Grundschutz des Bundesamtes für die Sicherheit in der In-formationstechnik (BSI) vorgeschlagenen Schutzmaßnahmen.

Für die Anwender werden die von ihnen zu beachtenden Regeln der Datensicherheit wie bspw. Passwortsicherheit, Raumschutz u.a. in gesonderten Dienst- und Arbeitsan-weisungen festgehalten und verbindlich gemacht. Die Verletzung derartiger Regeln kann arbeitsrechtliche Folgen nach sich ziehen.

Was ist wichtig? Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist durch techni-sche und organisatorische Maßnahmen zu schützen.

7 Kontrolle Die Datenverarbeitung unterliegt einer internen und externen Kontrolle.

Die Bedeutung der Kontrolle der Verarbei-tung personenbezogener Daten ergibt sich insbesondere aus der Unsichtbarkeit der Erhebung, Verarbeitung und Nutzung. Der Betroffene hat in der Regel keinen Zugriff auf die Datenverarbeitung bei der verant-wortlichen Stelle, so dass er auf andere Kontrollinstitutionen angewiesen ist, damit sein Recht auf informationelle Selbstbe-stimmung gewahrt bleibt. Art. 29 der EG-Datenschutzrichtlinie spricht ausdrücklich von „unabhängigen Kontrollstellen“, die die Mitgliedstaaten einzurichten haben.

7.1 Aufsichtsbehörde Die Aufsichtsbehörde kontrolliert die Aus-führung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz (§ 38 Abs. 1 Satz 1 BDSG). Ihre Aufgabe ist die



Kontrolle, ob die verantwortlichen nicht-öffentlichen Stellen die Vorschriften über den Datenschutz einhalten. In einigen Bun-desländern liegt diese Aufgabe bei den Landesbeauftragten für den Datenschutz, in anderen bei dem Innenministerium bzw. entsprechenden Mittelbehörden.

Pflichten und Prüfungsrechte Die für die Datenverarbeitung verantwortli-che Stelle ist gegenüber der Aufsichtsbe-hörde verpflichtet,

die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen (§ 38 Abs. 3 Satz 1 BDSG),

Die von der Aufsichtsbehörde mit der Kon-trolle beauftragten Personen sind befugt,

während der Betriebs- und Geschäftszei-ten Grundstücke und Geschäftsräume der Stelle zu betreten (§ 38 Abs. 4 Satz 1 BDSG),

und dort Prüfungen und Besichtigungen vorzunehmen (§ 38 Abs. 4 Satz 1 BDSG),

geschäftliche Unterlagen, insbesondere das Verfahrensverzeichnis sowie die ge-speicherten personenbezogenen Daten und die Datenverarbeitungsprogramme einzusehen (§ 38 Abs. 4 Satz 2 BDSG).

Befugnisse Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschrif-ten über den Datenschutz fest, so ist sie befugt,

die Betroffenen hierüber zu unterrichten (§ 38 Abs. 1 Satz 3 BDSG),

den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen an-zeigen (§ 38 Abs. 1 Satz 3 BDSG) sowie

bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchfüh-rung gewerberechtlicher Maßnahmen unterrichten (§ 38 Abs. 1 Satz 3 BDSG).

Die Aufsichtsbehörde kann Maßnahmen zur Beseitigung festgestell-ter technischer oder organisatorischer Mängel anordnen (§ 38 Abs. 5 Satz 1 BDSG).

bei schwerwiegenden Mängeln den Einsatz einzelner Verfahren untersagen, wenn die Mängel entgegen einer Anord-nung und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden (§ 38 Abs. 5 Satz 2 BDSG).

die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht be-sitzt. (§ 38 Abs. 5 Satz 3 BDSG).

Sanktionen In § 43 Abs. 1 und 2 BDSG sind die Tatbe-stände aufgezählt, deren Verletzung eine Ordnungswidrigkeit nach sich zieht. Nach § 43 Abs. 2 BDSG sind Bußgelder bis max. 250.000 € bei einem Verstoß möglich.

Ein Datenschutzverstoß ist eine Straftat, wenn eine in § 43 Abs. 2 BSDG bezeichne-te vorsätzliche Handlung gegen Entgelt oder in der Absicht begangen wird, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. In diesem Fall wird die Tat mit Freiheitsstrafe bis zu zwei Jah-ren oder mit Geldstrafe bestraft.

Die Tat wird nur auf Antrag verfolgt. An-tragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauf-tragte für den Datenschutz und die Informa-tionsfreiheit sowie die Aufsichtsbehörden.

Beratung Mit der Änderung des BDSG vom 26.08.2006 wurde zudem die Aufsichtsbe-hörde verpflichtet, die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse zu beraten und zu unterstützen (§ 38 Abs. 1 Satz 2 BDSG).

7.2 Betrieblicher Datenschutzbeauftragter

Erhebliche Bedeutung für die betriebliche Praxis des Datenschutzes hat der betriebli-che Datenschutzbeauftragte als internes Kontrollinstrument (§ 4 Abs. f BDSG). Er kann auch extern bestellt werden (Abs. 2 Satz 3) Zu seinen Aufgaben gehört, auf die Einhaltung des Datenschutzes im Unter-nehmen hinzuwirken. Dazu hat er

eine Überwachungsaufgabe sowie eine Schulungsaufgabe (Awareness).

Nach § 4 g Abs. 1 Satz 3 BDSG hat er insbesondere ♦ die ordnungsgemäße Anwendung der

Datenverarbeitungsprogramme, mit de-ren Hilfe personenbezogene Daten ver-arbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung perso-nenbezogener Daten rechtzeitig zu unter-richten (Nr. 1);

♦ die bei der Verarbeitung personenbezo-gener Daten tätigen Personen durch ge-eignete Maßnahmen mit den Vorschrif-ten dieses Gesetzes sowie anderen Vor-schriften über den Datenschutz und mit den jeweiligen besonderen Erfordernis-

sen des Datenschutzes vertraut zu ma-chen (Nr. 2).

Der betriebliche Datenschutzbeauftragte kann sich zur Unterstützung in Zweifelsfäl-len (§ 4 g Abs. 1 Satz 2 BDSG) und zur Inanspruchnahme von Beratung an die zuständige Aufsichtsbehörde wenden (§ 4 g Abs. 1 Satz 3 BDSG).

Die verantwortliche Stelle hat ihrem be-trieblichen Datenschutzbeauftragten

das Verfahrensverzeichnis zur Verfügung zu stellen (§ 4 g Abs. 2 Satz 1 BDSG) und

ihn bei der Erfüllung seiner Aufgaben, insbesondere durch Ausstattung und Hilfspersonal zu unterstützen (§ 4 f Abs. 5 Satz 1 BDSG).

Bestellung Einen betrieblichen Datenschutzbeauftrag-ten müssen nicht-öffentliche Stellen bestel-len, die die personenbezogene Daten auto-matisiert erheben, verarbeiten oder nutzen. Ein betrieblicher Datenschutzbeauftragter muss bestellt werden (§ 4 f. Abs. 1 BDSG), wenn

in der verantwortlichen Stelle mindes-tens 10 Personen ständig mit der auto-matisierten Verarbeitung personenbezo-gener Daten beschäftigt sind (vgl. Satz 4) oder

die Verarbeitung einer Vorabkontrolle unterliegt (Satz 6) oder

personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhoben, verarbeitet oder genutzt werden (Satz 6).

7.3 Datenschutzaudit Ein weiterer Mechanismus, die Einhaltung von Datenschutzanforderungen in der be-trieblichen Praxis zu überprüfen, ist die Durchführung eines (freiwilligen) Daten-schutzaudits. Es kann intern, auch vom betrieblichen Datenschutzbeauftragten, oder von externen Einrichtung durchgeführt werden. Gegenstand des Datenschutzaudits ist die Einhaltung der Datenschutzanforde-rungen sowie die Funktionsfähigkeit des Datenschutz- bzw. Sicherheitsmanage-ments. Das Audit unterstützt die Tätigkeit des betrieblichen Datenschutzbeauftragten.

Was ist wichtig? Die Kontrolle der Einhaltung des Daten-schutzrechts erfolgt durch betriebliche Datenschutzbeauftragte sowie durch staatli-che Aufsichtsbehörden.

Documents

Sieben Goldene Regeln des Datenschutzes