IN  NH HA AL LT TS SV VE ER RZ ZE EI IC CH HN NI IS  I

Diagrammverzeichnis   VI

Abk  ürzungsverzeichnis  VII

1.  Inhalt und Ziel der Arbeit  1

2.  Grundlagen Datenschutz - Bundesdatenschutzgesetz  2

2.1.  Historische Entwicklung.  2

2.2.  Zweck  3

2.3.Aufbau   4

2.4.Begriffbestimmungen   5

2.4.1.  Öffentliche Stellen.  5

2.4.2.  Nicht-öffentliche Stellen  7

2.5.  Anwendungsbereich.  7

2.5.1.  Sachlicher Anwendungsbereich.  7

2.5.2.  Persönlicher Anwendungsbereich / Normadressat  7

2.6.  Tragende Grundsätze  8

2.6.1.  Verbotsprinzip mit Erlaubnisvorbehalt.  8

2.6.2.  Grundsatz der Zweckbindung  9

2.6.3.  Grundsatz der Verhältnismäßigkeit.  9

2.6.4.  Datenvermeidung und Datensparsamkeit.  10

2.6.5.  Grundsatz der Transparenz  10

3.  Verantwortlicher für den Datenschutz  12

3.1.  Bestellung.  12

3.1.1.  Fachkunde  14

3.1.2.  Zuverlässigkeit  15

3.1.3.  Mehrfachbestellung.  16

II

3.2.  Stellung und Befugnisse.  17

3.2.1.  Stellung in der Hierarchie.  17

3.2.2.  Benachteiligungsverbot.  17

3.2.3.  Unterstützungspflicht der verantwortlichen Stelle  18

3.3.  Aufgaben  18

3.3.1.  Beratung und Mitwirkung  18

3.3.2.  Kontrolle.  19

3.3.3.  Vorabkontrolle.  19

3.3.4.  Schulung.  20

3.3.5.  Verfahrensverzeichnis  20

3.4.  Widerruf.  21

3.5.  Einsatz externer DSB  21

3.6.  Aufsichtsbehörden.  22

4.  Haftung bei unsicheren IT-Systemen.  24

4.1.  Ansprüche der verantwortlichen Stelle gegenüber dem DSB.  24

4.1.1.  vertragliche Ansprüche  24

4.1.1.1.  Schadensersatz wegen Nichterfüllung.  24

4.1.1.2.  Schadensersatz wegen Schlechterfüllung - § 280 Abs. 1 BGB  

   25

4.1.2.  deliktische Ansprüche  29

4.1.2.1.  Verletzung des allg. Persönlichkeitsrechts - § 823 Abs. 1 BGB  

   29

4.1.2.2.  Verstoß gg. im BDSG enthaltene Schutznormen § 823 Abs.  2

BGB   32

4.2.  Ansprüche des Betroffenen gegenüber dem DSB.  33

4.2.1.  vertragliche Ansprüche  33

4.2.2.  deliktische Ansprüche  34

4.2.2.2.  Verstoß gg. im BDSG enthaltene Schutznormen - § 823 Abs.  

2  BGB  34

4.2.2.3.  Kreditgefährdung durch Verstoß gegen die Verschwiegenheit  

durch  Verbreitung unwahrer Tatsachen - § 824 BGB  35

4.2.2.4.  Verstoß gegen die Verschwiegenheit durch sittenwidrige  

vorsätzliche  Schädigung - § 826 BGB  37

III

4.2.2.5.  Amtshaftung § 839 Abs. 1 BGB i.V.m. Art. 34 GG  38

4.2.2.6.  Eigenhaftung des Beamten § 839 Abs.1 S. 1 BGB.  40

4.3.  Ansprüche des Betroffenen gegenüber der verantwortlichen Stelle  

   41

4.3.1.  dingliche Ansprüche.  42

4.3.2.  vertragliche Ansprüche  43

4.3.3.  deliktische Ansprüche  44

4.3.3.1.  Ansprüche aus § 7 BDSG.  44

4.3.3.2.  Ansprüche aus § 8 BDSG.  49

4.3.3.3.  Ansprüche aus § 823 Abs. 1 BGB  50

4.3.3.4.  Ansprüche aus §§ 823 Abs. 2, 824, 826 BGB  52

4.4.  Ordnungswidrigkeiten und Strafvorschriften.  52

4.4.1.  Ordnungswidrigkeiten  52

4.4.2.  Strafvorschriften.  54

5.  Einsatz von Kommunikationsmitteln im Arbeitsverhältnis  55

5.1.  Telekommunikationsgesetz, Teledienstegesetz und  

Teledienstedatenschutzgesetz   55

5.2.  Telefon  56

5.2.1.  Private und dienstliche Nutzung  56

5.2.2.  Kontrollmöglichkeiten und deren Grenzen  57

5.2.2.1.  Kontrolle dienstlicher Gespräche  57

5.2.2.2.  Kontrolle von privaten Gesprächen.  59

5.3.  E-Mail  61

5.3.1.  Private und dienstliche Nutzung  62

5.3.2.  Kontrollmöglichkeiten und deren Grenzen  62

5.3.2.1.  Kontrolle dienstlicher E-Mail  62

5.3.2.2.  Kontrolle privater E-Mail.  63

5.4.  Internet  64

5.4.2.  Kontrollmöglichkeiten und deren Grenzen  65

5.4.2.1.  Kontrolle der dienstlichen Internet-Nutzung  65

5.4.2.2.  Kontrolle der zulässigen privaten Internet-Nutzung  66

IV

6.  Sicherheitspolitik  68

6.1.  Datensicherheit  68

6.1.1.  Allgemeines  68

6.1.2.  Anlage zu § 9 BDSG.  70

6.2.  Messbarkeit der Sicherheit / Return of Security Investment (RoSI)  

   74

6.3.  Wirtschaftskriminalität.  75

7.  Auswertung des Fragebogens  76

8.  Schlusswort.  111

Literaturverzeichnis.   IX

Internetquellen   XIV

Anlage  I - Fragebogen  XV

V

DI  IA AG GR RA AM MM MV VE ER RZ ZE EI IC CH HN NI IS S D  

Diagramm  1: Anzahl der verschickten Fragebögen  77

Diagramm  2: Anzahl der beschäftigten MA.  78

Diagramm  3: Branchenzugehörigkeit der Unternehmen  79

Diagramm  4: Existenz ausländischer Niederlassungen  80

Diagramm  5: Standorte ausländischer Niederlassungen  81

Diagramm  6: Arten der personenbezogenen Datenverarbeitung.  82

Diagramm  7: Anzahl der mit personenbezogenen Daten beschäftigten MA  84

Diagramm  8: Existenz unternehmerischer Stellen  86

Diagramm  9: Nutzung der Kommunikationsmittel  88

Diagramm  10: Überwachung der Kommunikation.  90

Diagramm  11: Arten der Kontrollmaßnahmen.  91

Diagramm  12: Existenz eines Back - up - Systems  92

Diagramm  13: Wie oft wird eine Sicherung durchgeführt?  93

Diagramm  14: Wo werden die Sicherungen aufbewahrt.  93

Diagramm  15: Regelmäßige Schulung der MA.  94

Diagramm  16: Sensibilisierung der Führungskräfte  95

Diagramm  17: Auskunftsersuchen im letzten Jahr.  96

Diagramm  18: Kontrolle auf das Datengeheimnis.  98

Diagramm  19: Unmittelbare Unterstellung  99

Diagramm  20: weitere Tätigkeit des DSB  100

Diagramm  21: Unterstellung in der Hierarchie  102

Diagramm  22: Teilnahmen an Datenschutzseminaren  104

Diagramm  23: Funktion mit Datenverantwortung.  106

Diagramm  24: Wahrnehmung der Tätigkeit als DSB  107

Diagramm  25: Jährliches Budget  108

Diagramm  26: Beurteilung des Budget  110

VI

AB BKÜRZUNGSVERZEICHNIS A

AG - Aktiengesellschaft

AG - Arbeitgeber

AktG - Aktiengesetz

allg. - Allgemein

AN - Arbeitnehmer

BAG - Bundesarbeitsgericht

bDSB - betrieblicher Datenschutzbeauftragter

BDSG - Bundesdatenschutzgesetz

BfD - Bundesbeauftragte für den Datenschutz

BGB - Bürgerliches Gesetzbuch

BGH - Bundesgerichtshof

BRRG - Rahmengesetz zur Vereinheitlichung des Beamtenrechts

bzw. - beziehungsweise

d.h. - das heißt

DSB - Datenschutzbeauftragter

DV - Datenverarbeitung

EU-DatSchRL - EU - Datenschutzrichtlinie

gem. - gemäß

GG - Grundgesetz

gg. - gegen

GL - Geschäftsleitung

GmbH - Gesellschaft mit beschränkter Haftung

VII

GmbHG - GmbH-Gesetz

hrsg. - herausgegeben

h.M. - herrschende Meinung

i.S.d. - im Sinne des

i.V.m. - in Verbindung mit

KonTraG - Gesetz zur Kontrolle und Transparenz

LDSG - Landesdatenschutzgesetz

MA - Mitarbeiter

MDStV - Mediendienstestaatsvertrag

o.g. - oben genannte(n)

o.V. - ohne Verfasser

SGB - Sozialgesetzbuch

StGB - Strafgesetzbuch

TDDSG - Teledienste-Datenschutzgesetz

TDG - Teledienstegesetz

TDSV - Teledienste-Staatsvertrag

TKG - Telekommunikationsgesetz

u.a. - unter anderem

u.ä. - und ähnliches

usw. - und so weiter

u.U. - unter Umständen

vgl. - vergleiche

z.B. - zum Beispiel

VIII

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

1. I IN NHALT U ZI IEL D AR RBEIT 1 UND Z DER A

Diese Diplomarbeit soll sich mit der Haftung bei Verstößen gegen den Datenschutz und die Datensicherheit beschäftigen. Ziel ist ein Überblick über die möglichen Schadensersatzansprüche des Geschädigten, und die Ermittlung des jeweiligen Anspruchsgegners des Geschädigten.

Die Arbeit ist in zwei Teile gegliedert, einen theoretischen und einen praktischen.

Im theoretischen Teil wird zunächst auf die Grundlagen des Datenschutzrechtes eingegangen und im weiteren einen Einblick in die Zuständigkeit für den Datenschutz geben.

Im Hauptteil wird auf die Möglichkeiten der Haftung eingegangen. Aufgezeigt werden dabei die unterschiedlichen Arten der Haftung. Es wird auf die verschiedenen Anspruchsgrundlagen des Geschädigten gegenüber den Verantwortlichen und der Verantwortlichen untereinander eingehen.

Im folgenden Teil wird kurz auf die datenschutzrechtliche Situation der Kontrollen der Telekommunikation am Arbeitsplatz eingegangen, insbesondere darauf, welche Möglichkeiten dem Arbeitgeber dabei zur Verfügung stehen und welche Grenzen er dabei nicht überschreiten darf.

Im letzten Abschnitt des theoretischen Teils wird auf die Datensicherheit sowie auf die Folgen Ihrer Nichtbeachtung eingegangen und die Messbarkeit der Sicherheit.

Im praktischen Teil der Arbeit werden die Themenpunkte des theoretischen Teils auf die Praxis angewandt. Dies wird durch die Auswertung einer selbsterstellten Umfrage geschehen. Es wurden dabei verschiedene Unternehmen zu verschiedenen Punkten des Datenschutzes befragt.

1

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

2. G GR RUNDLAGEN D DA ATENSCHUTZ - - B BU UNDESDATENSCHUTZGESETZ 2

Datenschutz bezieht sich - entgegen dem allgemeinen Sprachgebrauchnicht auf den Schutz der Daten, sondern seit jeher auf den Schutz der Persönlichkeit dessen, auf den die Daten sich beziehen.

2.1. Historische Entwicklung

Die Grundidee des Datenschutzes existiert schon seit über 2.400 Jahren, als der Eid des Hippokrates die ärztliche Schweigepflicht erstmals festlegte. Bereits zur Zeit des Römischen Imperiums wurden von allen mündigen Bürgern persönliche Daten über Familien- und Vermögensverhältnisse erhoben, um in diesem Zusammenhang die Steuern der Bürger zu errechnen.

Wie man erkennt, gibt es schon seit langem Datenerhebung undverarbeitung durch den Staat. Volkszählungen sind wohl die größten gleichzeitigen Datenerhebungen die es gibt. So wurde 1890 bei der Volkszählung in den USA zum ersten Mal eine Maschine zur Auswertung genutzt. Durch diese erste automatisierte Datenverarbeitung konnte die Auswertung der Erhebung in nur vier Wochen mit gerade einmal 50 MA geschafft werden. Bei der Erhebung 1880 brauchte man noch sieben Jahre und 500 MA, um die erhobenen Daten auszuwerten. ¹ Durch den zunehmenden Einsatz elektronischer Datenverarbeitung und den damit verbundenen Gefahren wurde 1970 das 1. Hessische Datenschutzgesetz, das erste Datenschutzgesetz der Welt, verkündet. Somit begann die Geschichte der Datenschutzgesetzgebung. ² Am 1. Februar 1977 wurde das erste Bundesdatenschutzgesetz (BDSG) im Bundesgesetzblatt verkündet. ³ Dieses Gesetz sollte die Interessen des Betroffenen bei Speicherung, Übermittlung, Veränderung und Löschung (Datenverarbeitung) personenbezogener Daten schützen. Es wurde mit dieser ersten Regelung nur die Datenverarbeitung erfasst, also das, was mit den erho- ¹ Vgl. Pfahl, S. 1 - 16 (4).

² Vgl. Gola/Klug, Einleitung Rd. 1.

³ BGBl. I S. 201.

2

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

benen Daten passiert, aber nicht die Erhebung der Daten selbst. Dieser Fehler wurde bei der geplanten Volkszählung 1983 offensichtlich. Durch eine Verfassungsbeschwerde und dem daraus entstandenen „Volkszählungsurteil" ⁴ hat das Bundesverfassungsgericht mit seiner Leitentscheidung festgestellt, dass das durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs.1 GG geschützte allgemeine Persönlichkeitsrecht auch die „Befugnis des einzelnen, grundsätzlich zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“ ⁵ , umfasst. Im Jahre 2001 wurde die „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ ⁶ des Europäischen Parlamentes vom 24. Oktober 1995 in deutsches Recht umgesetzt.

2.2. Zweck

Das BDSG ist ein "Querschnittsgesetz" und enthält, abgesehen von einigen Sondervorschriften, keine Regelungen für bestimmte Lebensbereiche. ⁷ Das Gesetz umschreibt seine Zweckbestimmung in § 1 Abs. 1 BDSG wie folgt: „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ Es ist der Schutz des Grundrechts auf Datenschutz gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. ⁸ Es sollen die personenbezogenen Daten, unabhängig von ihrer Staatsangehörigkeit und ihrem Aufenthaltsort, geschützt werden. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. ⁹ Das BDSG gilt nicht für Daten juristischer Personen, wie z.B. einer AG oder eines eingetragenen Vereins. Kann man die Daten einer juristischen

⁴ BVerfG, Urteil v. 15.12.83, Az. 1 BvR 209, 269, 362, 420, 440, 483/83, BVerfGE 65, S.1 ff.

⁵ BVerfGE 65, 1, 42.

⁶ Richtlinie 95/46/EG, S. 31 ff.

⁷ Vgl. Tinnefeld/Ehrmann, S. 155.

⁸ BVerfG, NJW (1991), 2129, 2132.

⁹ § 3 Abs. 1 BDSG.

3

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

Person jedoch genau einer natürlichen Person, z.B. einer Ich-AG oder Ein-Mann-GmbH, zuordnen, so handelt es sich auch hier um personenbezogene Daten, die durch das BDSG geschützt werden. ¹⁰ Das BDSG gilt jedoch nur subsidiär neben anderen Rechtsvorschriften des Bundes und der Länder gem. § 1 Abs. 3 BDSG. Es dient daher als Auffanggesetz.

2.3. Aufbau

Das BDSG gliedert sich in sechs Abschnitte.

• Erster Abschnitt: Allgemeine und Gemeinsame Bestimmungen (§§ 1 - 11 BDSG)

Inhaltlich regelt dieser Bereich, ebenso wie der Allgemeine Teil des BGB, Regelungen, die für den restlichen Teil des Gesetzes verbindlich sind. Er enthält neben zahlreichen Begriffbestimmungen auch das Verbotsprinzip (siehe 2.6.1.) als Grundsatz der Datenerhebung, -verarbeitung undnutzung.

• Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen (§§ 12 - 26 BDSG)

Hier finden sich die Voraussetzungen der Datenverarbeitung durch öffentliche Stellen. Auch die Individualrechte des Betroffenen und die Rechtsstellung des Bundesbeauftragten für den Datenschutz (BfD) werden geregelt.

• Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen (§§ 27 - 38a BDSG)

Dieser Abschnitt betrifft die Rechtsgrundlagen des Datenschutzes im nicht-öffentlichen Bereich, die Informationsrechte des Betroffenen, sowie Informationen über die Einrichtung und Kompetenz der Aufsichtsbehörden.

¹⁰ Vgl. Bayrische Datenschutzaufsichtsbehörde S. 3.

4

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

• Vierter Abschnitt: Sondervorschriften (§§ 39 - 42 BDSG)

An dieser Stelle sind Sondervorschriften für vier Fälle zu finden:

• die Zweckbindung bei einem verlängerten Geheimnisschutz bei Übermittlung der Daten an Dritte

• bei Verarbeitung und Nutzung personenbezogener Daten durch Forschungsinstitute

• Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien und

• die Bestellung eines DSB der Deutschen Welle

• Fünfter Abschnitt: Schlussvorschriften (§§ 43 - 44 BDSG)

In diesem Abschnitt werden die strafrechtlichen Sanktionen oder Bußgelder bei Gesetzesverstößen geregelt. Aber auch wer die strafrechtliche Verfolgung veranlassen darf, ist hier fixiert.

• Sechster Abschnitt: Übergangsvorschriften (§§ 45 - 46 BDSG)

Abschließende Regelungen für den Anpassungszeitraum werden in diesem letzten Abschnitt getroffen für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die bei in-Kraft-treten des Gesetzes bereits begonnen haben.

2.4. Begriffbestimmungen

2.4.1. Öffentliche Stellen

Öffentliche Stellen des Bundes sind gem. § 2 Abs. 1 BDSG Behörden, Organe der Rechtspflege und andere öffentlich-rechtliche Einrichtungen. Dies sind alle Einrichtungen der unmittelbaren Bundesverwaltung, der mittelbaren Bundesverwaltung sowie Vereinigungen von öffentlichen Stellen des Bundes. Unter den Einrichtungen der unmittelbaren Bundesverwaltung sollen alle Einrichtungen des Bundes gesehen werden, die unmittelbar beim Bund bestehen, ohne über eine eigene Rechtsfähigkeit zu verfü-

5

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

gen. Hierzu zählen insbesondere die Behörden des Bundes. Zu den mittelbaren Einrichtungen der Bundesverwaltung sind die selbständigen Einrichtungen mit eigener Rechtsfähigkeit zu verstehen. Hierbei handelt es sich um juristische Personen des öffentlichen Rechts, z.B Körperschaften (u.a. die Berufsgenossenschaften und die Bundesversicherungsanstalt für Angestellte), Anstalten (z.B. Fachhochschulen als Anstalten des öffentlichen Rechts) und Stiftungen (z.B. Stiftung Warentest). Die Vereinigungen von öffentlichen Stellen des Bundes, ungeachtet ihrer Rechtsform, an denen die Länder oder nicht-öffentliche Stellen nicht beteiligt sind, gelten als öffentliche Stellen.

Ebenfalls zählen zu den öffentlichen Stellen die öffentlichen Stellen der Länder gem. § 2 Abs. 2 BDSG, aber nur soweit für diese Stellen nicht die jeweiligen Landesdatenschutzgesetze gem. § 1 Abs. 2 Nr. 2 BDSG gelten. Da es sich bei den öffentlichen Stellen der Länder um die gleichen Behörden, Organe der Rechtspflege und andere öffentlich-rechtliche Einrichtungen des Bundes handelt, wird hier auf den oberen Abschnitt verwiesen. ¹¹ Des Weiteren zählen zu den öffentlichen Stellen Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, z.B. „Der Verband deutscher Rentenversicherungsträger e.V.“. Bei solchen Mischvereinigungen regelt § 2 Abs. 3 BDSG, unter welchen Voraussetzungen diese Vereinigungen als Stellen des Bundes oder der Länder gesehen werden. Diese Sonderregelung ist immer dann anzuwenden, wenn Stellen des Bundes und eines Bundeslandes an einer Vereinigung des privaten Rechts beteiligt sind. In diesen Fällen ist es unerheblich, dass auch andere natürliche oder juristische Personen an dieser Vereinigung beteiligt sein können. 12

¹¹ Vgl. Simitis/Dammann, BDSG § 2 Rd. 58.

¹² Vgl. Gola/Schomerus § 2, Rd. 16.

6

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

2.4.2. Nicht-öffentliche Stellen

Nicht-öffentliche Stellen sind natürliche und juristische Personen des Privatrechts, Gesellschaften und andere Personenvereinigungen des privaten Rechts. Zu den natürlichen Personen werden auch freiberuflich Tätige gezählt. Bei juristischen Personen des Privatrechts werden ebenfalls eingetragene Vereine gem. § 21 BGB hinzugezählt. Dies sind z.B. Gewerkschaften, aber auch politische Parteien.

Zu den nicht-öffentliche Stellen sind alle natürlichen Personen und Personenmehrheiten zu zählen, ungeachtet ihrer möglichen wirtschaftlichen Verbundenheit, z.B. im Konzernverbund. Rechtlich unselbständige Stellen, z.B. Niederlassungen, gehören rechtlich grundsätzlich zum Unternehmen. Auch nicht-öffentliche Stellen werden als öffentliche Stellen angesehen, wenn diese hoheitliche Aufgaben der Verwaltung übernehmen. 13

2.5. Anwendungsbereich

2.5.1. Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich des BDSG ist geregelt durch den „Umgang“ ¹⁴ mit personenbezogenen Daten. Dieser „Umgang“ ist ein Oberbegriff für die Phasen des Erhebens, Speicherns, Veränderns, Übermittelns, Sperrens, Löschens und Nutzens personenbezogener Daten in Akten und Dateien.

2.5.2. Persönlicher Anwendungsbereich / Normadressat

Normadressaten des BDSG sind Verarbeiter und Nutzer personenbezogener Daten. Hierzu zählen zum einen öffentliche Stellen des Bundes und der Länder, soweit bei diesen der Datenschutz nicht durch Landesgesetze geregelt ist, zum anderen nicht-öffentliche Stellen. ¹⁵ Bei einer Verarbeitung und Nutzung personenbezogener Daten im Bereich der privaten Datenverarbeitung findet das BDSG keine Anwendung, wenn die personenbezogenen Daten „ausschließlich für persönliche und familiäre Tätigkei-

¹³ Vgl.Tinnefeld/Ehmann/Gerlin S. 267.

¹⁴ § 1 Abs. 1 BDSG.

¹⁵ §1 Abs. 2 BDSG.

7

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

ten“ genutzt werden. 16

2.5.3. Räumlicher Anwendungsbereich

Hat eine verantwortliche Stelle ihren Sitz in der Europäischen Union bzw. im Europäischen Wirtschaftsraum, so gilt grundsätzlich das Sitz(land)prinzip. Der Sitz der verantwortlichen Stelle ist somit maßgebend für das anzuwendende nationale Recht. Befindet sich der Sitz einer Firma beispielsweise in Schweden, so kann diese Firma ihr schwedisches Recht bei der Datenverarbeitung nach Deutschland exportieren. Dies gilt auch für deutsche Stellen. Bei deutschen öffentlichen Stellen, z.B. Diplomatischen Vertretungen in anderen Staaten, gilt ebenfalls das BDSG. ¹⁷ Gibt es aber eine Niederlassung der verantwortlichen Stelle in Deutsch-land, so gilt grundsätzlich das Territorialprinzip, d. h. es gilt das deutsche BDSG. Das Territorialprinzip gilt ebenso für Stellen, die ihren Sitz in einem Nicht-EU-Staat haben. ¹⁸ Bei einem Transit der Daten eines Drittlandes durch Deutschland findet das BDSG keine Anwendung. 19

2.6. Tragende Grundsätze

2.6.1. Verbotsprinzip mit Erlaubnisvorbehalt

§ 4 Abs. 1 BDSG enthält den wesentlichen Grundsatz des deutschen Datenschutzrechtes. Dieser Grundsatz des Verbots mit Erlaubnisvorbehalt besagt, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist. Sie ist nur solange erlaubt, wie es einen gesetzlichen Rechtfertigungstatbestand gibt, sei es durch das BDSG oder eine andere Rechtsvorschrift, oder wem der Betroffene seine Einwilligung gegeben hat. 20

¹⁶ §§ 1 Abs. 2 Nr. 3, 27 Abs. 1 S. 2.

¹⁷ Vgl. Tinnefeld/Ehmann/Gerling, S. 269.

¹⁸ Vgl. Gola/Klug, S. 43.

¹⁹ § 1 Abs. 5 S. 3 BDSG.

²⁰ Vgl. Hetmank, Abs. 22.

8

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

2.6.2. Grundsatz der Zweckbindung

Das BDSG sieht vor, dass personenbezogene Daten nur dann erhoben, verarbeitet und genutzt werden dürfen, soweit dies erforderlich ist. Der Grundsatz der Zweckbindung ²¹ besagt, dass diese personenbezogenen Daten nur für den eindeutig konkret festgelegten Zweck, für den sie erhoben wurden, verarbeitet und genutzt werden dürfen. Bei öffentlichen Stellen dürfen gem. § 14 BDSG personenbezogene Daten verarbeitet und genutzt werden, wenn sie zur jeweiligen Aufgabenerfüllung der öffentlichen Stelle erforderlich sind. Nicht-öffentliche Stellen müssen bereits vor Erhebung der personenbezogenen Daten den konkreten Zweck, für den die Daten verarbeitet und genutzt werden sollen, gem. § 28 Abs. 1 S. 2 BDSG, festlegen.

Eine Zweckentfremdung der personenbezogenen Daten ist grundsätzlich verboten. Eine Zweckänderung ist unter bestimmten Voraussetzungen jedoch möglich. 22 23

2.6.3. Grundsatz der Verhältnismäßigkeit

Das verfassungsgemäße gesetzliche Grundrecht auf informelle Selbstbestimmung kann zwangsläufig nicht schrankenlos gewährt werden. ²⁴ Einschränkungen des Verbotsprinzips bedürfen einer verfassungsgemäßen rechtlichen Grundlage. Eine Vielzahl der Erlaubnistatbestände ist unter den Vorbehalt gestellt, dass das berechtigte Interesse der verantwortlichen Stelle dem schutzwürdigen Interesse des Betroffenen überwiegt. Dabei ist zu beachten, dass hierbei die verfassungsrechtliche Verhältnismäßigkeit beachtet wird. Diese Verhältnismäßigkeit besagt, dass jedes Handeln im Hinblick auf den zu verfolgenden Zweck geeignet, erforderlich und angemessen sein muss. ²⁵ Rechtsgrundlage des Verhältnismäßig-keitsgrundsatzes ist das in Art. 20 Abs. 3 GG verankerte Rechtsstaats-

²¹ Art.6 Abs. 1 lit. b der RL 95/46/EG.

²² Vgl. Hetmank, Abs. 22. ²³ Vgl. BfD-Info 1, S. 26.

²⁴ BVerfGE 65, 1 = NJW 1984, 419.

²⁵ Vgl. Roßnagel/v. Zezschwitz, 3.1 Rd. 32 ff.

9

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

prinzip. 26

2.6.4. Datenvermeidung und Datensparsamkeit

Der Grundsatz der Verhältnismäßigkeit besagt, dass jedes Handeln geeignet, erforderlich und angemessen sein muss. Das trifft auch auf die technische Gestaltung der Datenverarbeitungssysteme zu. In § 3 a BDSG wird dies durch den Grundsatz der Datenvermeidung und Datensparsamkeit konkretisiert. Bei der Gestaltung und der Auswahl von Datenverarbeitungssystemen sind diese gemäß § 3 a BDSG daran auszurichten, keine (Datenvermeidung) oder so wenig personenbezogene Daten wie möglich (Datensparsamkeit) zu erheben, zu verarbeiten oder zu nutzen. Dadurch soll das Risiko der Gefahren für das informelle Selbstbestimmungsrecht des Betroffenen von vornherein minimiert werden. Dies soll z.B. durch Anonymisierung ²⁷ oder Pseudonymisierung ²⁸ der personenbezogenen Daten durch den Einsatz der technischen Möglichkeiten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck erfolgen. 29

2.6.5. Grundsatz der Transparenz

Eine Verarbeitung personenbezogener Daten des Betroffenen darf nicht ohne sein Wissen erfolgen. Dies gehört zu den datenschutzrechtlichen Grundprinzipien. Bereits in der Europäischen Datenschutzkonvention muss die Datenerhebung nach Treu und Glauben in rechtmäßiger Weise erfolgen. ³⁰ Dies beinhaltet, dass der Betroffene grundsätzlich über die ihn betreffende Datenverarbeitung und -nutzung informiert wird. Durch diesen Grundsatz der Transparenz kann der Betroffene selbst über seine persönlichen Angaben bestimmen und somit sein Recht zur Wahrung des Persönlichkeitsschutzes wahrnehmen. Der Betroffene soll die Möglichkeit haben, ab dem Zeitpunkt der Erhebung über den Zeitraum der Verarbeitung und Nutzung, Informationen über seine Daten zu bekommen. Dieses Prin-

²⁶ Vgl.Sachs/Sachs, Art. 20 Rdn. 146.

²⁷ § 3 Abs. 6 BDSG.

²⁸ § 3 Abs. 6a BDSG.

²⁹ Vgl. Gola/Klug S. 46.

³⁰ Art. 5 lit. a. der RL 95/46/EG

10

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

zip findet vor allem im Grundsatz der Direkterhebung ³¹ und den damit ver-bundenen Unterrichtungspflichten Anwendung. Darüber hinaus gewährleistet das Datenschutzrecht die Transparenz durch Benachrichtigungs-und Auskunftspflichten. 32 33

³¹ § 4 Abs. 2 BDSG.

³² Vgl. Bay. Datenschutzaufsichtsbehörde, S. 9. ³³ Vgl. Gola/Klug S. 49.

11

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

3. V VE ERANTWORTLICHER F DA ATENSCHUTZ 3 DEN D FÜR D

Die Verantwortung für die ordnungsgemäße Durchführung der nach dem Gesetz notwendigen Datenschutzmaßnahmen obliegt der Leitung der ver-antwortlichen Stelle. Dies bedeutet, dass der Behördenleiter bei den öffentlichen Stellen bzw. der Unternehmensinhaber oder die Leitung der juristischen Person bei nicht-öffentlichen Stellen als erstes für den Datenschutz verantwortlich ist. Ihnen obliegt die Aufgabe, für ihre öffentliche oder nicht-öffentliche Stelle, die eine automatisierte Erhebung, Verarbeitung und Nutzung personenbezogener Daten durchführt, gemäß § 4 f Abs. 1 S. 1 BDSG einen Beauftragten für Datenschutz schriftlich zu bestellen. Für den bestellten Beauftragten für Datenschutz bei nicht-öffentlichen Stellen hat sich die Bezeichnung "betrieblicher Datenschutzbeauftragter" (bDSB) etabliert. Ziel des Gesetzgebers ist es, durch den gesetzlichen Schutz des informellen Selbstbestimmungsrechts eine hohe Effektivität zu gewährleisten. Dieses Ziel erreicht der Gesetzgeber durch eine Mischung aus Eigen- und Fremdkontrolle.

3.1. Bestellung

Bei öffentlichen Stellen, die personenbezogene Daten automatisiert verarbeiten, im Gegensatz zu öffentlichen Stellen die personenbezogene Daten nicht automatisiert verarbeiten und nicht-öffentlichen Stellen, ist die Bestellung eines DSB verpflichtend. Dies hat unabhängig von der Zahl der Beschäftigten zu geschehen. Bei nicht-öffentlichen Stellen ist grundsätzlich auch ein DSB zu bestellen. Jedoch sieht das Gesetz hier eine Abstufung der Anforderungen vor. Diese Anforderungen können in drei Kriterien unterteilt werden:

• der Verarbeitungsform (manuell oder automatisiert)

• der Bedeutung der Verarbeitungsaktivitäten (bei besonderen Gefährdungen für das Persönlichkeitsrecht)

• der Anzahl der bei der Verarbeitung beschäftigten Personen.

Daraus ergibt sich, dass, wenn eine nicht-öffentliche Stelle mit der auto-

12

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

matisierten Datenverarbeitung mindestens 5 Arbeitnehmer, oder bei manueller Datenverarbeitung mindestens 20 Arbeitnehmer beschäftigt, eine Bestellpflicht besteht. ³⁴ Es entfallen jedoch diese Mindestvorschriften, wenn aus der Art der zu verarbeitenden Daten bzw. dem Verwendungszweck besondere Gefährdungen des Persönlichkeitsrechts des Betroffenen zu befürchten sind. Dies ist gem. § 4 f Abs. 1 S. 6 BDSG der Fall, wenn eine nicht-öffentliche Stelle automatisierte Verarbeitungen vornimmt, die einer Vorabkontrolle ³⁵ unterliegen. Zum anderen besteht ebenfalls eine Bestellpflicht, unabhängig von der Zahl der Beschäftigten, für Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zwecke der personenbezogenen oder auch nur anonymisierter Übermittlung erheben, verarbeiten oder nutzen. 36

Die Bestellung des DSB muss schriftlich erfolgen ³⁷ , wobei auch Aufgabe und organisatorische Stellung zu konkretisieren sind. Die Schriftform ist rechtsbegründend. Fehlt es an einer schriftlichen Vereinbarung ist die Bestellung unwirksam und die verantwortliche Stelle ist der Verpflichtung aus § 4 f Abs. 1 BDSG nicht nachgekommen. Ihr droht daher ein Bußgeld ³⁸ , unter Umständen auch eine Schadensersatzpflicht. ³⁹ Die Bestellung des DSB hat bei öffentlichen Stellen, die automatisiert personenbezogene Daten verarbeiten, spätestens bei Beginn der Verarbeitung zu geschehen. Öffentliche Stellen, die nicht automatisiert personenbezogene Daten verarbeiten, und nicht-öffentliche Stellen sind zur Bestellung eines DSB spätestens einen Monat nach Aufnahme ihrer Tätigkeit verpflichtet, oder unverzüglich nach Eintritt der Voraussetzungen für die Bestellpflicht. Anforderungen zur Bestellung des DSB sind gemäß § 4 f Abs. 2 BDSG, dass der zu Bestellende die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Ein festes Anforderungsprofil gibt es nicht.

³⁴ Vgl. Gola/Klug, § 4f Rd. 7 ff.

³⁵ § 4 d Abs. 5 BDSG.

³⁶ Vgl. Simitis/Simitis, § 4 f Rd. 12 ff.

³⁷ § 4f Abs. 1 S. 1 BDSG.

³⁸ § 43 Abs. 1 Nr. 2 und Abs. 3. BDSG

³⁹ Vgl. Simitis/Smitis, § 4 f Rdn. 59.

13

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

3.1.1. Fachkunde

Die geforderte Fachkunde lässt sich in drei Teile untergliedern in rechtliche, technische und organisatorische Kenntnisse. Die rechtlichen Kenntnisse basieren auf der Aufgabenstellung gem. § 4 g Abs. 1 S.1 BDSG. Demnach muss der DSB auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinaus hinwirken. Dies bedeutet, der DSB muss grundsätzlich Kenntnisse über das Datenschutzrecht, insbesondere bei öffentlichen Stellen über die jeweiligen LDSG, aber auch über einschlägige spezielle datenschutzrechtliche Regelungen und Spezialvorschriften haben. ⁴⁰ Er muss neben diesen Kenntnissen aber auch Kenntnisse über weiterführende Rechtsvorschriften besitzen. Hier muss man unterscheiden zwischen den öffentlichen und nicht-öffentlichen Stellen. So sind z.B. für den öffentlichen Bereich Kenntnisse über Amtshilfe, spezielle Vorschriften der jeweiligen Behörde, aber auch über das Bundesbeamtengesetz notwendig. Bei nicht-öffentlichen Stellen muss der DSB weiterführende Kenntnisse über das Betriebsverfassungsgesetz, die Abgabenordnung oder das Sozialgesetzbuch haben. ⁴¹ Neben diesen rechtlichen Kenntnissen sind gem. Literatur und h.M. auch die technischen Kenntnisse erforderlich. Dies sind Kenntnisse über den Bereich der Informations- und Kommunikationstechniken. Der zu Bestellende muss zumindest Grundkenntnisse über Verfahren und Technik der Datenverarbeitung haben. Er hat als DSB vorbeugend darauf zu achten, dass den Anforderungen beim Einsatz von Datenverarbeitungssystemen des Datenschutzes Genüge getan wird. Dies bedeutet, dass durch geeignete technische und organisatorische Maßnahmen personenbezogene Daten in jeder Phase ihrer Verarbeitung geschützt werden müssen. Falls diese notwendigen speziellen technischen Kenntnisse nicht realisierbar sind, kann er sich einen Spezialisten als Berater heranziehen. ^{42 43} Als dritter Punkt der Trias sind die organisatorischen Kenntnisse und Fä-

⁴⁰ Vgl.Roßnagel/Abel, 5.6. Rdn. 38.

⁴¹ Vgl. Haaz, S. 104 ff.

⁴² Vgl. Koch, S. 110. ⁴³ Vgl. Roßnagel/Abel, 5.6. Rdn. 42.

14

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

higkeiten zu nennen, die ebenso wie die technischen Kenntnisse durch Literatur und h.M. gefordert werden. Hierunter sind die betrieblichen Zusammenhänge zu sehen. Der DSB muss über die formalen und tatsächlichen Strukturen der Organisation, die Aufgabenzuordnung sowie über die Kompetenz und Verantwortung der Stelleninhaber informiert sein. Nur durch diese Kenntnisse kann er möglichen Risiken und Gefahren durch geeignete technische und organisatorische Maßnahmen in richtiger Art und Weise begegnen. Für diese Kenntnisse sind dem DSB Organisationsübersichten, Stellenbeschreibungen, Dienstanweisungen u.ä. zur Verfügung zu stellen. Weiterhin muss der betriebliche DSB die Fähigkeit besitzen, Maßnahmen zu erarbeiten, die sowohl den Datenschutzbestimmungen als auch den Unternehmens-/Behördeninteressen genügen. ⁴⁴ Als zusätzlicher Punkt muss auch noch die soziale Kompetenz des Beauftragten gesehen werden. Es werden demnach auch pädagogischdidaktische und kommunikative Kenntnisse für erforderlich gehalten. Diese werden für die Information und Schulung der datenschutzrechtlichen Regelungen der an der Verarbeitung beteiligten Personen benötigt. ⁴⁵ Diese Kenntnisse und Fähigkeiten des zu Bestellenden müssen in ausreichendem Maße, bereits zum Zeitpunkt der Bestellung, vorhanden sein. Ebenso muss auch die Lernbereitschaft des zu Bestellenden gegeben sein, sich weiter nötige Fachkunde anzueignen.

3.1.2. Zuverlässigkeit

Neben der erforderlichen Fachkompetenz steht auch die Zuverlässigkeit des zu Bestellenden. Die Anforderungen an die Zuverlässigkeit sind gegeben, wenn der DSB aufgrund seiner persönlichen Eigenschaften, sowie seines Verhaltens geeignet ist, seine Aufgaben ordnungsgemäß zu erfüllen. ⁴⁶ Zur Zuverlässigkeit gehören unter anderem Verschwiegenheit, Unbestechlichkeit und ein ausgeprägtes Verantwortungsbewusstsein. Aber auch Belastbarkeit, Lernfähigkeit und Gewissenhaftigkeit und die Inkom-

⁴⁴ Vgl.Tinnefeld/Ehmann, S. 228 f.

⁴⁵ Vgl. Simitis/Simitis, § 4f Rd. 91.

⁴⁶ Vgl. Auenhammer, § 28 Rd. 10.

15

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

patibilität der Aufgabe des DSB mit anderen hauptamtlichen Aufgaben des DSB zählen hierzu. Bei der nebenamtlich beauftragten Person des DSB kann es zur Interessenskollision mit der im Gesetz geforderten Zuverlässigkeit kommen. Insbesondere darf der DSB nicht in Situationen kommen, in denen er sich selbst kontrollieren muss. Daher sollten ebenfalls nicht Personen als DSB bestellt werden, die in ihrer Funktion in einen Interessenskonflikt geraten würden. Dies gilt z.B. für den Inhaber selbst, den Vorstand, den Geschäftsführer oder den sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter, da sie sich nicht wirksam selbst kontrollieren können. Auch sollten nach Auffassung der Aufsichtsbehörden nicht Personen zum DSB bestellt werden, die in einen Interessenkonflikt über das unvermeidliche Maß hinaus geraten könnten. Dies könnte z.B. auf den Betriebsleiter, den Leiter der EDV oder den Personalleiter zutreffen. 47

3.1.3. Mehrfachbestellung

Gemäß § 4 f Abs. 1 S. 5 BDSG ist die Bestellung eines DSB auch für mehrere Behörden, also bereichsübergreifend, gestattet, wenn dies die Struktur einer öffentlichen Stelle zulässt. Eine Möglichkeit könnte hier z.B. der DSB einer Mittelbehörde sein, der gleichzeitig auch für die nachgeordneten Dienststellen zuständig wäre. Für nicht-öffentliche Stellen ist immer ein DSB für ein Unternehmen vorgesehen. Falls dieses Unternehmen beispielsweise Niederlassungen hat, so müssen für diese Niederlassungen keine gesonderten DSB bestellt werden. Handelt es sich aber um rechtlich eigenständige Unternehmen, die z.B. in einem Konzernverbund zusammengeschlossen sind, muss für jedes Unternehmen ein DSB bestellt werden. Nicht erlaubt ist es, wenn ein Unternehmen für die restlichen Unternehmen im Konzernverbund einen DSB mitbestellt. Es besteht aber die Möglichkeit, dass jedes Unternehmen ein und dieselbe Person zum DSB bestellt. ⁴⁸ Auf die Möglichkeit neben internen DSB auch Externe zu ver-

⁴⁷ Vgl.Mensen, LfD Niedersachsen

http://www.lfd.niedersachsen.de/master/C291134_N13163_L20_D0_I560.html v. 5.7.05.

⁴⁸ Vgl. Koch, S. 31 f.

16

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

pflichten wird unter Punkt 3.5. in dieser Arbeit näher eingegangen.

3.2. Stellung und Befugnisse 3.2.1. Stellung in der Hierarchie

Für eine wirkungsvolle Tätigkeit ist es am Besten, wenn der DSB eine unabhängige und organisatorisch herausgehobene Stellung hat. Die ist gem. § 4 f Abs. 3 S.1 BDSG so zu sehen, dass der DSB dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar unterstellt ist. Seine Unabhängigkeit wird ihm in § 4 f Abs. 3 S. 2 und 3 BDSG gegeben. Dies beinhaltet, dass der DSB auf dem Gebiet des Datenschutzes weisungsfrei ist. Es darf ihm niemand vorschreiben, wie er seine Arbeit wahrzunehmen hat. Diese Weisungsfreiheit ist aber nur auf seine Kontroll- und Beratungstätigkeit gem. § 4 g BDSG bezogen. Er hat keine Entscheidungsbefugnisse, diese hat ausschließlich der Leiter der verantwortlichen Stelle. Es besteht aber ein direktes Vortragsrecht gegenüber dem Leiter der verantwortlichen Stelle, um ihn über datenschutzrelevante Angelegenheiten zu informieren. Daher nimmt der DSB der verantwortlichen Stelle die Verantwortung für Belange des Datenschutzes nicht ab, sondern soll diese bei der Sicherung dieser Belange unterstützen. Seine arbeitsrechtliche Stellung wird, wenn er seine Arbeit als DSB nur Teilzeit wahrnimmt, nicht berührt. Er ist dann weiterhin in seine arbeitsrechtliche Hierarchie eingeordnet. 49

3.2.2. Benachteiligungsverbot

Gem. § 4 f Abs. 3. S. 3 BDSG darf der DSB nicht wegen der Erfüllung seiner Tätigkeit benachteiligt werden. Es sollen damit mögliche Diskriminierungen durch die verantwortliche Stelle bzw. auch deren MA verhindert werden. Eine solche Benachteiligung liegt vor, wenn dies eine Reaktion auf die Tätigkeit des DSB ist. Dieses können direkte Benachteiligungen, z.B. Entlassung oder Übergehung bei der Beförderung sein. Es besteht aber auch die Möglichkeit der indirekten Benachteiligung, z.B. materielle oder personelle Ausstattung der zweiten oder dritten Wahl, welche aber

⁴⁹ Vgl. BfD, BfD-Info 4, S. 12f.

17

Haftung b bei V Verstößen g gegen d den D Datenschutz u und d H

noch nicht unterhalb der Schwelle zur Verletzung der Unterstützungspflicht liegen. Das Benachteiligungsverbot wirkt auch nach der Bestellung zum DSB weiter, so dass spätere Benachteiligungen ausgeschlossen werden können. 50

3.2.3. Unterstützungspflicht der verantwortlichen Stelle

Eine Unterstützungspflicht gem. § 4 f Abs. 5 S. 1 BDSG hat die verant-wortliche Stelle dem DSB gegenüber. Sie hat ihm bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal, Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Der Gesetzgeber fordert hier von der verantwortlichen Stelle eine aktive Unterstützung des DSB. Diese Unterstützung konkretisiert sich in § 4 g Abs. 1 S. 3 2. HS BDSG, nach dem die verantwortliche Stelle rechtzeitig über neue Vorhaben der automatisierten Verarbeitung von Daten den DSB zu unterrichten hat. Zuletzt entscheidet aber die verantwortliche Stelle über den Umfang der Unterstützung des DSB, da die Unterstützung unter dem Vorbehalt der Erforderlichkeit steht. 51

3.3. Aufgaben

Der DSB hat die ihm gesetzlich zugewiesene Aufgabe, gem. § 4 g BDSG auf die Einhaltung des BDSG und anderer Vorschriften des Datenschutzes hinzuwirken. Die Aufgaben des DSB liegen im Wesentlichen in der Beratung und Kontrolle, den Schulungen, sowie der Unterstützung der Betroffenen bei der Möglichkeit der Einsichtnahme in das von ihm geführte Verfahrensverzeichnis.

3.3.1. Beratung und Mitwirkung

Die Beratungsfunktion des DSB ist seine zentrale Aufgabe. Die Beratung soll jeden unterstützen, seine Persönlichkeitsrechte zu schützen. Er hat

⁵⁰ Vgl. Engelien-Schulz, S. 241 - 250 (246).

⁵¹ Vgl. Koch, S. 143 ff.

18