Das Bun­des­da­ten­schutz­ge­setz (BDSG) regelt (in sei­ner aktu­el­len Fas­sung) die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten inkl. deren Über­mitt­lung an Dritte. Hier­bei wer­den sowohl die auto­ma­ti­sierte (per IT Sys­teme) als auch die manu­elle Ver­ar­bei­tung berück­sich­tigt durch öffent­li­che (Behör­den, Ämter) und nicht-öffentliche Stel­len (z.B. Unternehmen).

Per­so­nen­be­zo­gene Daten wer­den defi­niert als “Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nisse einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son” (§ 3 BDSG). Damit sind Infor­ma­tio­nen gemeint, die sich auf einen ein­zel­nen (leben­den) Men­schen bezie­hen oder einen Bezug zu ihm mög­lich machen. Unter per­sön­li­chen und sach­li­chen Ver­hält­nis­sen sind Anga­ben gemeint, die einen per­sön­li­chen oder sach­li­chen Bezug zu die­sem Men­schen ermög­li­chen. Das beginnt mit Anschrift und Tele­fon­num­mer und endet nicht zwin­gend bei Beur­tei­lun­gen und Bewer­tun­gen oder Kauf­ver­hal­ten. Per­so­nen­be­zo­gene Daten kön­nen gerade in Unter­neh­men intern (Per­so­nal­ak­ten) und extern (Kun­den­da­ten, Fak­tura, Wer­bung etc.) vorliegen.

Es gel­ten die Grund­sätze der Daten­ver­mei­dung und der Daten­spar­sam­keit nach § 3a BDSG: mög­lichst keine oder so wenig wie mög­lich an per­so­nen­be­zo­ge­nen Daten erhe­ben, ver­ar­bei­ten oder nutzen.

Ein wesent­li­cher Grund­satz des BDSG ist das sog. “Ver­bots­prin­zip mit Erlaub­nis­vor­be­halt”. Die­ses besagt, dass die Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten im Prin­zip eigent­lich ver­bo­ten ist. Diese ist jedoch erlaubt, wenn ent­we­der gesetz­li­che Ver­pflich­tun­gen vor­lie­gen, sie zur Durch­füh­rung eines Ver­trags­ver­hält­nis­sen erfor­der­lich sind oder wenn die betrof­fene Per­son aus­drück­lich (zumeist schrift­lich) ihre Zustim­mung (§13 Abs.2 ff). Die dann zum Ein­satz kom­men­den Ver­fah­ren der Ver­ar­bei­tung sind vom inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten zu prü­fen, oder (wenn ein sol­cher nicht vor­han­den ist) bei der zustän­di­gen Auf­sichts­be­hörde anzei­ge­pflich­tig. Je nach Sen­si­ti­vi­tät der Daten hat eine Vor­ab­kon­trolle stattzufinden.

Dass eine Zustim­mung / Ein­wil­li­gung auf einer freien Ent­schei­dung des Betrof­fe­nen basie­ren muss, sollte selbst­ver­ständ­lich sein, birgt jedoch gerade im Arbeit­neh­mer­da­ten­schutz einige Stolpersteine.

Auf­grund der Menge sog. unbe­stimm­ter Rechts­be­griffe im BDSG muss meist eine am jewei­li­gen Ein­zel­fall ori­en­tierte Aus­le­gung im Ermes­sen­spiel­raum erfol­gen. Dadurch besteht eine gewisse Rechts­un­si­cher­heit, auch vor dem Hin­ter­grund, dass bis­her noch keine aus­ge­prägte höchst­rich­ter­li­che Recht­spre­chung vor­liegt (Stand Anfang 2010).

Die Umset­zung des Bun­des­da­ten­schutz­ge­setz und sei­ner Rege­lun­gen in Unter­neh­men ist mit Aus­lau­fen der Überg­angs­zeit in 2004 oberste Pflicht. Unge­ach­tet der Größe eines Unter­neh­mens sind bei Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten die Rege­lun­gen des BDSG ein­zu­hal­ten — Zuwi­der­hand­lun­gen kön­nen mit Ord­nungs­gel­dern von zur Zeit bis 300.000 EUR oder sogar straf­recht­lich geahn­det wer­den. Die­ser Umstand ist bedau­er­li­cher­weise nicht jedem Unter­neh­mer bewusst.

Das BDSG schreibt die Bestel­lung eines sog. Daten­schutz­be­auf­trag­ten für nicht-öffentliche Ein­rich­tun­gen, also Unter­neh­men, spä­tes­tens vier Wochen nach Auf­nahme der Geschäfts­tä­tig­keit zwin­gend vor, wenn

• mehr als neun Mit­ar­bei­ter mit der automatisierten
• mehr als neun­zehn Mit­ar­bei­ter mit der manuellen

Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten befasst sind oder

• eine auto­ma­ti­sierte Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten statt­fin­det, die einer Vor­ab­kon­trolle unterliegen
• per­so­nen­be­zo­gene Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt– und Mei­nungs­for­schung auto­ma­ti­siert ver­ar­bei­tet werden
• oder eines der og. Kri­te­rien im Laufe der Geschäfts­tä­tig­keit eintritt.

Der Ein­satz eines Daten­schutz­be­auf­trag­ten (intern oder extern) oder zumin­dest die regel­mä­ßige Prü­fung auf Kon­for­mi­tät mit dem BDSG durch einen exter­nen Daten­schutz­be­auf­trag­ten emp­fiehlt sich auf­grund der Rechts­un­si­cher­hei­ten jedoch generell.

Das BDSG steht nicht alleine da, son­dern es müs­sen wei­tere Gesetze bei der Ein­schät­zung und Umset­zung her­an­ge­zo­gen wer­den oder diese sind dem BDSG teil­weise über­ge­ord­net. Hierzu zäh­len u.a. das

• Tele­me­di­en­ge­setz (TMG)
• Betriebs­ver­fas­sungs­ge­setz (BetrVG)
• Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG)
• und andere

Betrof­fene haben nach § 6 Abs. 1 BDSG u.a. Recht auf

• Aus­kunft, ob und wel­che per­so­nen­be­zo­ge­nen Daten über sie gespei­chert sind
• Aus­kunft über die Her­kunft ihrer Daten und den Verwendungszweck
• Berich­ti­gung / Kor­rek­tur ihrer Daten
• Löschung oder Sper­rung ihrer Daten
• Ver­bot der Über­mitt­lung an Dritte
• Beschwer­de­recht bei der zustän­di­gen Aufsichtsbehörde

Wei­ter­füh­rende Links

• “Daten­schutz­be­auf­trag­ter” hier im Blog
• Bun­des­da­ten­schutz­ge­setz
• “Bun­des­da­ten­schutz­ge­setz” bei Wikipedia

Flyer Daten­schutz, Daten­si­cher­heit und Daten­schutz­be­auf­trag­ter a.s.k. Daten­schutz
ask Daten­schutz Daten­si­cher­heit Daten­schutz­be­auf­trag­ter V1_2.pdf
Ver­sion: 1.2

Spra­chen:	Deutsch
Autor:	Sascha Kuhrau
Anfor­de­run­gen:	PDF Rea­der
Kate­go­rie:	Flyer
Datum:	29. Januar 2012

323.2 KiB
345 Down­loads
Details…