Datenschutzrecht - Leitfaden für den Datenschutz in der unternehmerischen Praxis

Inhaltsverzeichnis

Literaturverzeichnis

Dokumente aus dem Internet

Abkürzungsverzeichnis

Abbildungsverzeichnis

A. Problemstellung und Zielsetzung
I. Problemstellung
II. Zielsetzung

B. Grundlagen zum Datenschutzrecht
I. Datenschutz und Datenschutzrecht
II. Recht auf informationelle Selbstbestimmung
III. Zweck des Bundesdatenschutzgesetzes
IV. Anwendungsbereich des Bundesdatenschutzgesetzes
V. Wesentliche Begriffsbestimmungen
1. Personenbezogene Daten
2. Automatisierte Verarbeitung
3. Nicht automatisierte Datei
4. Erhebung
5. Verarbeitung
a) Speicherung
b) Veränderung
c) Übermittelung
d) Sperrung
e) Löschung
6. Nutzung
7. Anonymisierung
8. Pseudonymisierung
9. Verantwortliche Stelle
10. Empfänger
11. Dritter
12. Besondere Arten personenbezogener Daten

C. Grundprinzipien des Datenschutzes
I. Subsidiaritätsprinzip
II. Verbot mit Erlaubnisvorbehalt
III. Grundsatz der Zweckbindung
IV. Transparenzgebot
V. Grundsatz der Direkterhebung
VI. Verhältnismäßigkeitsprinzip
VII. Grundsatz der Datenvermeidung und Datensparsamkeit
VIII. Kontrollprinzip gegen Lizenzprinzip

D. Auslagerung von Datenverarbeitungstätigkeiten
I. Auftragsdatenverarbeitung
II. Funktionsübertragung

E. Rechte der Betroffenen
I. Recht auf Benachrichtigung
II. Recht auf Auskunft
III. Datenkorrekturansprüche
1. Recht auf Berichtigung
2. Recht auf Löschung
3. Recht auf Sperrung
IV. Recht auf Widerspruch
V. Recht auf Gegendarstellung
VI. Recht auf Anrufung
VII. Recht auf Unterlassung und Beseitigung
VIII. Recht auf Schadensersatz
IX. Anspruch auf Strafverfolgung

F. Betrieblicher Datenschutzbeauftragter
I. Bestellung
1. Wann ein Datenschutzbeauftragter bestellt werden muss
2. Wer Datenschutzbeauftragter werden kann
a) Erforderliche Fachkunde
b) Erforderliche Zuverlässigkeit
3. Wo Unvereinbarkeiten bestehen
4. Wie der Datenschutzbeauftragte zu bestellen ist
II. Stellung und Befugnisse
1. Organisatorische Stellung
2. Rechte und Grenzen in der Tätigkeit
3. Benachteiligungsverbot
4. Unterstützungspflicht
5. Recht auf Anrufung des Datenschutzbeauftragten
III. Aufgaben
1. Vorabkontrolle
2. Kontrolle
3. Schulung
4. Verfahrensverzeichnis

G. Systemdatenschutz
I. Datensicherheit
1. Schutzgrade
a) Schutzgrad 1
b) Schutzgrad 2
c) Schutzgrad 3
d) Schutzgrad 4
e) Schutzgrad 5
2. Eintrittsstufen
a) Eintrittsstufe 1
b) Eintrittsstufe 2
c) Eintrittsstufe 3
d) Eintrittsstufe 4
e) Eintrittsstufe 5
3. Datensicherheitsgrundsätze
a) 1. Datensicherheitsgrundsatz
b) 2. Datensicherheitsgrundsatz
c) 3. Datensicherheitsgrundsatz
d) 4. Datensicherheitsgrundsatz
II. Datensicherungsmaßnahmen
1. Kontrollbereiche
a) Zutrittskontrolle
b) Zugangskontrolle
c) Zugriffskontrolle
d) Weitergabekontrolle
e) Eingabekontrolle
f) Auftragskontrolle
g) Verfügbarkeitskontrolle
h) Trennungskontrolle
2. Schutzziele
a) Verfügbarkeit
b) Integrität
c) Vertraulichkeit
d) Zurechenbarkeit
e) Rechtsverbindlichkeit
III. Datenschutzmanagement
1. Datenschutzorganisationsplan
2. Datenschutzerklärung
3. Datenschutz- und Datensicherheitskonzept

H. Abschließende Betrachtung
Anhang 1 – Muster einer Einwilligungserklärung
Anhang 2 – Muster einer Vereinbarung zur Auftragsdatenverarbeitung
Anhang 3 – Muster einer Bestellung zur / zum Datenschutzbeauftragten
Anhang 4 – Muster einer Vorabkontrolle
Anhang 5 – Muster einer Verpflichtungserklärung auf das Datengeheimnis
Anhang 6 – Muster eines Verfahrensverzeichnisses

Literaturverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Dokumente aus dem Internet

Abbildung in dieser Leseprobe nicht enthalten

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Anforderungen an Eingriffserlaubnisse

Abbildung 2: Verhältnismäßigkeitsabwägung

Abbildung 3: Kontrollen und Gleichgewichte des Datenschutzes

Abbildung 4: Auftragsdatenverarbeitung gegen Funktionsübertragung

Abbildung 5: Durchschnittlicher Aufwand eines Datenschutzbeauftragten

Abbildung 6: Risikomatrix zum Datenschutz

Abbildung 7: Vergleich von Kontrollbereichen und Sicherheitszielen

A. Problemstellung und Zielsetzung

Im Folgenden werden die Problemstellung, auf der diese Arbeit aufgebaut ist, und das Ziel, das mit dieser Arbeit verfolgt wird, näher erläutert.

I. Problemstellung

Beim Umgang mit Kunden- und Beschäftigtendaten kommt dem Datenschutz in Zeiten allgegenwärtiger Informationstechnik eine zunehmend größere Bedeutung zu. Ein grundlegendes Wissen zum allgemeinen Datenschutz ist daher unerlässlich, um Projekte im Unternehmen bereits in der Planungsphase den datenschutzrechtlichen Bestimmungen entsprechend gestalten und mögliches Konfliktpotenzial von vornherein verringern zu können.

Für Einsteiger in das Datenschutzrecht, zukünftige oder neu bestellte betriebliche Datenschutzbeauftragte, IT-Sicherheitsbeauftragte, für leitende Angestellte bzw. Führungskräfte, die im Unternehmen für den Datenschutz verantwortlich sind, folglich für alle in der IT-Branche tätigen Beschäftigten sowie für Betriebsratsmitglieder ist ein grundlegendes Wissen im allgemeinen Datenschutzrecht wichtiges Rüstzeug, um der Datenschutzverantwortung im Unternehmen gerecht werden zu können.

II. Zielsetzung

Ziel dieser Arbeit ist es, einen allgemeinen Überblick über in der unternehmerischen Praxis relevante Anforderungen des aktuellen Datenschutzrechts zu geben. Es wird vermittelt, wie Projekte im Unternehmen den datenschutzrechtlichen Bestimmungen entsprechend gestaltet und Vorabkontrollen durchgeführt werden können oder wie ein Verfahrensverzeichnis erstellt werden kann. Des Weiteren werden die in der unternehmerischen Praxis relevanten Anforderungen an die Auslagerung von Datenverarbeitungstätigkeiten sowie an die technische und organisatorische Umsetzung des Datenschutzes im Unternehmen betrachtet. Darüber hinaus werden allgemeine Grundlagen vermittelt, um als zukünftiger oder neu bestellter betrieblicher Datenschutzbeauftragter diese Tätigkeit im Unternehmen entsprechend aufnehmen zu können.

Dahin gehend soll, u.a. auf Grundlage dieser Arbeit, ein Modul zur datenschutzrechtlichen Schulung von Mitarbeitern aus der IT-Branche direkt am Arbeitsplatz erarbeitet werden. Zielgruppe für dieses Modul sind Mitarbeiter, die im Unternehmen mit Daten zu tun haben. Dies können Systemadministratoren, Sachbearbeiter, Kaufleute, Sekretärinnen, Auszubildende oder auch Ingenieure und andere technische Angestellte sein. Das Modul soll die Teilnehmer für den Datenschutz im Unternehmen sensibilisieren, die Hintergründe erläutern, die Gesetzeslage erklären und konkrete Beispiele für die richtige Umsetzung geben.

B. Grundlagen zum Datenschutzrecht

Im Folgenden soll durch einen allgemeinen Überblick über Datenschutz und Datenschutzrecht, Recht auf informationelle Selbstbestimmung und Grundwissen zum Bundesdatenschutzgesetz zu dem Thema hingeführt werden.

I. Datenschutz und Datenschutzrecht

Datenschutz ist ein grundlegendes Recht, das sowohl bei der manuellen als auch bei der maschinellen Datenverarbeitung zu beachten ist. Der Begriff des Datenschutzes ist jedoch missverständlich; denn Datenschutz besteht – was nach dem Wortlaut des Begriffs nahezuliegen scheint – nicht im Schutz von Daten (Datensicherheit – siehe G. I.). Gegenstand des Datenschutzes ist vielmehr der Einzelne, der vor den Gefahren, die die Datenverarbeitung mit sich bringt, geschützt werden soll. Der Einzelne soll durch Regeln für den Umgang durch andere mit seinen personenbezogenen Daten (siehe B. V. 1.) vor der Beeinträchtigung von Persönlichkeitsrechten geschützt werden. Grundidee des Datenschutzes ist daher, dass der Einzelne grundsätzlich selbst darüber bestimmen können soll, zu welchem Zeitpunkt, auf welche Weise und zu welchem Zweck er die ihn betreffenden Daten preisgeben und einer Verarbeitung (siehe B. V. 5.) zugänglich machen will^[1].

Datenschutzrecht ist das Teilgebiet des Rechts, das sich mit dem Datenschutz befasst. Ziel des Datenschutzrechts ist es, das Recht auf informationelle Selbstbestimmung zu gewährleisten und einen Ausgleich zwischen dem Schutz des Einzelnen und den berechtigten Interessen der Allgemeinheit sowie privater Datenverarbeiter zu schaffen. Das Datenschutzrecht umfasst daher im weitesten Sinne alle Gesetze, Verordnungen, Satzungen, Tarifverträge, Verwaltungsvorschriften und Urteile, die das Recht auf informationelle Selbstbestimmung ausgestalten und den Umgang mit personenbezogenen Daten regeln.

II. Recht auf informationelle Selbstbestimmung

Von entscheidender Bedeutung für das Verständnis, den Umfang und die Wirkung des Datenschutzes ist dessen grundrechtliche Verankerung als Recht auf informationelle Selbstbestimmung. Dieses Grundrecht ist eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts und wurde 1983 vom Bundesverfassungsgericht im Zuge des sogenannten ‚Volkszählungsurteils‘ anerkannt.

Aus den vom Bundesverfassungsgericht entwickelten verfassungsrechtlichen Anforderungen an die Verarbeitung personenbezogener Daten folgt zunächst:

Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.^[2]

Demnach gilt das Recht auf informationelle Selbstbestimmung für alle Phasen der Datenverarbeitung, d.h. sowohl für die Datenerhebung (siehe B. V. 4.), die aus der Sicht des Einzelnen eine Preisgabe darstellt, als auch für die Verarbeitung und Nutzung (siehe B. V. 6.), die beide Formen der Verwendung personenbezogener Daten sind^[3]. Das Recht auf informationelle Selbstbestimmung ist jedoch nicht schrankenlos gewährleistet^[4]. Prüfungsmaßstab ist das durch die allgemeine Handlungsfreiheit gemäß Art. 2 Abs. 1 GG in Verbindung mit der Menschenwürde gemäß Art. 1 Abs. 1 GG geschützte allgemeine Persönlichkeitsrecht^[5]. Dahin gehend ergibt sich aus der rechtlichen Konstruktion des Rechts auf informationelle Selbstbestimmung eine Beschränkung – anhand der sogenannten ‚Schrankentrias‘ aus der allgemeinen Handlungsfreiheit – für dessen Umfang. Die drei Schranken sind:

- die Rechte anderer,
- die verfassungsmäßige Ordnung und
- das Sittengesetz.

Neben der verfassungsmäßigen Ordnung kommt den Rechten anderer und dem Sittengesetz jedoch fast keine eigene Bedeutung zu, da die Rechte anderer erst aus der verfassungsmäßigen Ordnung abgeleitet werden und das Sittengesetz zu unbestimmt ist^[6]. Folglich ist die Summe der verfassungskonformen Rechtsnormen entscheidend für eine Beschränkung des Rechts auf informationelle Selbstbestimmung.

Aus den vom Bundesverfassungsgericht entwickelten verfassungsrechtlichen Anforderungen an die Verarbeitung personenbezogener Daten folgt weiterhin:

Einschränkungen dieses Rechts auf informationelle Selbstbestimmung sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsmäßigen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.^[7]

Demnach hat der Einzelne nicht ein Recht im Sinne einer absoluten, unein-schränkbaren Herrschaft über ‚seine‘ Daten und muss grundsätzlich daher Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen^[8]. Das überwiegende Allgemeininteresse kommt in verfassungskonformen Gesetzen zum Ausdruck und steht unter dem Vorbehalt eines Schutzes öffentlicher Interessen (Belange der Allgemeinheit gegenüber Individualinteressen)^[9].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Anforderungen an Eingriffserlaubnisse^[10]

Darüber hinaus ist ein Eingriff in das Recht auf informationelle Selbstbestimmung lediglich dann zulässig, wenn bestimmte Anforderungen erfüllt sind, die als sogenannte ‚Schranken-Schranken‘ bezeichnet werden, da diese entsprechende Einschränkungen am Umfang des Rechts auf informationelle Selbstbestimmung wiederum beschränken^[11].

Zunächst setzt ein Zwang zur Angabe personenbezogener Daten voraus, dass der Gesetzgeber den Verwendungszweck bereichsspezifisch und präzise bestimmt (Grundsatz der Normenklarheit) und dass die Angaben für diesen Zweck geeignet und erforderlich sind (Grundsatz der Verhältnismäßigkeit – siehe C. VI.)^[12]. Die Grundsätze der Normenklarheit und der Verhältnismäßigkeit ergeben sich aus dem Rechtsstaatsprinzip gemäß Art. 20 Abs. 3 GG. Weiterhin bedürfen Beschränkungen einer (verfassungsmäßigen) rechtlichen Grundlage, aus der sich die Voraussetzungen und der Umfang der Beschränkungen klar und für den Bürger erkennbar ergeben (Transparenzgebot – siehe C. IV.)^[13]. Sofern Stellen zur Erfüllung ihrer Aufgaben personenbezogene Daten sammeln und sich eine Wahlmöglichkeit bietet, wie diese Aufgaben erfüllt werden können, ist auf ein milderes Mittel (anderes Mittel, das in gleicher oder sogar besserer Weise geeignet ist, den Zweck zu erreichen) zurückzugreifen, um damit die Belastung für den Einzelnen möglichst gering zu halten (Übermaßgebot)^[14].

Jedoch erst dann, wenn Klarheit darüber besteht, zu welchem Zweck Angaben verlangt werden und welche Verknüpfungs- und Verwendungsmöglichkeiten bestehen, lässt sich die Frage einer zulässigen Beschränkung des Rechts auf informationelle Selbstbestimmung beantworten^[15].

III. Zweck des Bundesdatenschutzgesetzes

Der Zweck des Bundesdatenschutzgesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Damit enthält § 1 Abs. 1 BDSG neben der Festlegung des Gesetzeszwecks zugleich eine Art Legaldefinition des Begriffs Datenschutz; wobei das Gesetz selbst den Begriff nicht nennt. Aufgrund dessen handelt es sich nicht um eine Legaldefinition im gesetzestechnischen Sinne; vielmehr wird lediglich der Zweck des Gesetzes festgelegt. Damit findet die Tatsache Berücksichtigung, dass sich der Datenschutz nicht in und mit diesem einen Gesetz verwirklicht, sondern dass dieser in zahlreichen weiteren speziellen Gesetzen und sonstigen Maßnahmen zum Ausdruck kommt^[16]. Der Einzelne soll durch Bestimmungen für den Umgang durch andere mit seinen personenbezogenen Daten vor der Beeinträchtigung von Persönlichkeitsrechten geschützt werden. Demnach ist das Bundesdatenschutzgesetz ein Schutzgesetz, dessen Normen auf den Schutz des Einzelnen abstellen.

Der Schutzgegenstand des Bundesdatenschutzgesetzes ist das Persönlichkeitsrecht. Der vom Bundesverfassungsgericht im Volkszählungsurteil geprägte Begriff des Rechts auf informationelle Selbstbestimmung wurde hingegen nicht übernommen. Ein materieller Unterschied ist darin jedoch in Bezug auf die Erwägungen des Bundesverfassungsgerichts nicht zu sehen, da der Datenschutz sich am allgemeinen Persönlichkeitsrecht in der Art und Weise ausrichtet, die dieses durch die Rechtsprechung des Bundesverfassungsgerichts erfahren hat^[17]. Auch wenn der Begriff des Persönlichkeitsrechts sich lediglich in einigen wenigen nachfolgenden Regelungen des Bundesdatenschutzgesetzes findet, geht aus dem Wortlaut des Gesetzes deutlich hervor, dass es Ziel und Zweck des Datenschutzes ist, den Einzelnen vor einer Beeinträchtigung in seinem Persönlichkeitsrecht zu schützen. Dies ist insoweit lediglich effektiv und effizient zu verwirklichen, als der tatsächliche Schutz auf einen frühestmöglichen Zeitpunkt verlegt wird, so dass es zu einer Beeinträchtigung des Persönlichkeitsrechts gar nicht erst kommen kann^[18]. Datenschutzrecht ist daher präventiv, d.h. Datenschutz dient dem Schutz von Rechten und Interessen im Vorfeld des sonstigen Rechtsgüterschutzes und schützt diese im Vorfeld materieller Schädigungen oder konkreter Gefahren^[19].

IV. Anwendungsbereich des Bundesdatenschutzgesetzes

Das Bundesdatenschutzgesetz gilt gemäß § 1 Abs. 2 Nr. 3 BDSG für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch nicht-öffentliche Stellen, soweit diese die Daten unter Einsatz von Datenverarbeitungsanlagen (automatisiert) verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien (dateigebunden) verarbeiten, nutzen oder dafür erheben. Davon ausgenommen ist jedoch die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten.

Nicht-öffentliche Stellen (Private) sind gemäß § 2 Abs. 4 S. 1 BDSG natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts. Entscheidend dafür, dass eine datenverarbeitende Stelle dem nicht-öffentlichen Bereich zuzuordnen ist, ist allein die privatrechtliche Organisationsform^[20]. Hierzu zählen natürliche Personen, unabhängig davon, ob diese als Privatpersonen auftreten oder eine selbständige Tätigkeit ausüben (Einzelunternehmen, Freie Berufe) sowie alle privatrechtlich organisierten Unternehmungen und Vereinigungen (OHG, KG, PartG, GmbH, UG, AG, KGaA, eG, Verein, Stiftung des bürgerlichen Rechts). Dahin gehend können auch Gesellschaften oder andere Personenvereinigungen des privaten Rechts ohne eigene Rechtspersönlichkeit Normadressaten des Bundesdatenschutzgesetzes sein, so dass auch Gesellschaften bürgerlichen Rechts oder nicht rechtsfähige Vereine (Parteien, Gewerkschaften) hierunter fallen^[21]. Privatpersonen oder privatrechtliche Unternehmen, die hoheitliche Aufgaben wahrnehmen (beliehene Unternehmen), zählen mit den Bereichen ihrer Tätigkeit, die der Wahrnehmung der hoheitlichen Aufgaben dienen oder zu der vorbereitenden Durchführung dieser Tätigkeiten erforderlich sind^[22], gemäß § 2 Abs. 4 S. 2 BDSG zu den öffentlichen Stellen im Sinne des Bundesdatenschutzgesetzes.

V. Wesentliche Begriffsbestimmungen

Im Folgenden soll ein Überblick über weitere grundlegende Begriffsbestimmungen des Bundesdatenschutzgesetzes, die für das Verständnis der nachfolgenden Ausführungen von entscheidender Bedeutung sind, gegeben werden.

1. Personenbezogene Daten

Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Einzelangaben sind Informationen, die sich auf eine bestimmte einzelne natürliche Person beziehen oder geeignet sind, einen Bezug zu dieser herzustellen^[23]. Die Einzelangaben müssen Auskunft über persönliche und sachliche Verhältnisse der natürlichen Person geben, d.h. es muss sich um Daten handeln, die Informationen über die Person selbst oder über einen auf diese beziehbaren Sachverhalt enthalten. Damit ist der Begriff nicht lediglich auf Daten beschränkt, die ihrer Natur nach personenbezogen sind, d.h. auf Daten, die auf menschliche Eigenschaften bezogen sind. Dahin gehend können auch Daten, die auf eine Sache bezogen sind, personenbezogen sein. Es muss jedoch ein unmittelbarer Bezug zu der natürlichen Person herstellbar sein.

Als persönliche Verhältnisse sind Angaben über die natürliche Person selbst, deren Identifizierung und Charakterisierung (z.B. Name, Adresse, Familienstand, Staatsangehörigkeit, Konfession, Beruf, Eigenschaften, Gesundheitszustand, Überzeugungen) anzusehen^[24].

Sachliche Verhältnisse dagegen sind Angaben über einen auf die natürliche Person beziehbaren Sachverhalt, z.B. Einkommens- und Vermögensverhältnisse, vertragliche oder sonstige Beziehungen zu Dritten^[25].

Personenbezogen sind lediglich die Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ersteres ist der Fall, wenn die entsprechenden Daten mit dem Namen der Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt^[26]. Ist dies nicht der Fall, sind die Daten lediglich dann personenbezogen, wenn die entsprechende Person bestimmbar ist. Hinsichtlich der Bestimmbarkeit kommt es auf die Kenntnisse, Mittel und Möglichkeiten an, mit denen ohne unverhältnismäßigen Aufwand der Bezug hergestellt werden kann^[27].

Darüber hinaus enthält die Begriffsbestimmung die grundlegende Regelung, dass lediglich natürliche Personen dem Schutz des Bundesdatenschutzgesetzes unterliegen. Damit führt diese Beschränkung zur Bedeutung des deutschen Datenschutzes als ein Individualschutzrecht^[28].

Neben dem Begriff der personenbezogenen Daten wird zugleich der Begriff des Betroffenen als derjenige, dessen Schutz das Bundesdatenschutzgesetz zum Ziel hat und dem die Rechte aus diesem Gesetz eingeräumt werden, inhaltlich bestimmt.

2. Automatisierte Verarbeitung

Automatisierte Verarbeitung ist gemäß § 3 Abs. 2 S. 1 BDSG die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

Dies setzt voraus, dass neben der durch technische Anlagen erfolgenden Erhebung und Speicherung auch eine automatisierte Nutzung der Daten ermöglicht wird, d.h. es der Möglichkeit der technischen Auswertung der erhobenen und gespeicherten Daten bedarf^[29].

3. Nicht automatisierte Datei

Eine nicht automatisierte Datei ist gemäß § 3 Abs. 2 S. 2 BDSG jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.

Eine Sammlung von Daten liegt vor, wenn Daten, die zueinander in einem direkten Zusammenhang stehen, auf einem oder auf mehreren zusammengehörenden Datenträgern gespeichert sind^[30]. Das Erfordernis der gleichartig aufgebauten Sammlung beschreibt die äußere Form der Datei, d.h. dass die einzelnen Aufbauelemente (Karteikarten, Formulare usw.) einheitlich gestaltet sind^[31]. Darüber hinaus muss die Datensammlung nach bestimmten personenbezogenen Merkmalen zugänglich sein, d.h. nach den gesammelten Daten gemeinsamen, einen sinnvollen Zusammenhang ergebenden Kriterien ausgewertet werden können^[32]. Dahin gehend lassen sich entsprechende Merkmale nicht allgemein, sondern lediglich nach dem Aufbau und der Zweckbestimmung der jeweiligen Datei festlegen.

4. Erhebung

Erheben ist gemäß § 3 Abs. 3 BDSG das Beschaffen von Daten über den Betroffenen.

Das Bundesdatenschutzgesetz ordnet die Erhebung der Daten nicht der Verarbeitung der Daten zu. Das Beschaffen wird i.S.v. § 1 Abs. 2 S. 3 BDSG als Vorphase, d.h. Voraussetzung für die nachfolgende Verarbeitung angesehen. Unerheblich ist, ob die Daten mündlich oder schriftlich beschafft werden, ob der Betroffene befragt wird oder die Daten mitteilen soll oder ob Dritte befragt oder Unterlagen eingesehen werden. Erforderlich ist jedoch ein zielgerichtetes Beschaffen der Daten durch die nicht-öffentliche Stelle.^[33]

5. Verarbeitung

Verarbeiten ist gemäß § 3 Abs. 4 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten.

Aus dem Wortlaut des Bundesdatenschutzgesetzes geht eindeutig hervor, dass weder die Phase der Erhebung noch die Phase der Nutzung der Datenverarbeitung zugeordnet wird. Der entsprechend alle gesetzlich geregelten Phasen umfassende Oberbegriff ist der in § 1 Abs. 1 BDSG verwendete Begriff des Umgangs mit Daten. Darüber hinaus wird in § 3 Abs. 5 BDSG noch der Begriff des Verwendens von Daten genannt, der die Verarbeitung und Nutzung zusammenfasst. Im Folgenden werden die einzelnen Phasen der Datenverarbeitung inhaltlich bestimmt.

a) Speicherung

Speichern ist gemäß § 3 Abs. 4 Nr. 1 BDSG das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung.

Erfassen ist das schriftliche Fixieren der Daten. Aufnehmen bezeichnet hauptsächlich das Fixieren der Daten mit Aufnahmetechniken, d.h. mittels Audio-Video-Technik usw. Auch bloßes Aufbewahren anderweitig fixierter Daten erfüllt den Tatbestand des Speicherns.^[34] Erforderlich ist, dass personenbezogene Daten unter einem dieser Kennzeichen auf einem Datenträger gespeichert sind, wobei jedoch der Begriff des Datenträgers inhaltlich nicht näher bestimmt wird. Nach dem Sinn der Norm ist darunter jedes Medium zu verstehen, das zum Aufnehmen personenbezogener Daten geeignet ist, d.h. auf dem Informationen für eine spätere Wahrnehmung festgehalten werden können^[35]. Eine Ausnahme ergibt sich für nicht-öffentliche Stellen insoweit, als gemäß § 1 Abs. 2 Nr. 3 BDSG lediglich automatisierte oder dateigebundene Datenspeicherungen erfasst werden und daher lediglich solche nichtautomatisierten Datenträger erheblich sind, die Bestandteil einer Datei sind oder die Datei selbst aufnehmen. Der Tatbestand des Speicherns ist auch dann erfüllt, wenn z.B. von dem Betroffenen oder einem Dritten, der die Daten übermittelt hat, die Daten bereits auf einem Datenträger zur Verfügung gestellt wurden und nunmehr von der nicht-öffentlichen Stelle zum Zweck der weiteren Verarbeitung oder Nutzung vorrätig gehalten werden^[36]. Sofern der Zweck der Speicherung entfallen ist und die Daten gelöscht werden sollen, bleiben diese bis zur endgültigen Löschung gespeichert, da auch das Löschen einen Fall weiterer Verarbeitung darstellt^[37]. Auch gesperrte Daten bleiben gespeicherte Daten. Daher sind als gespeicherte Daten auch solche Daten anzusehen, die gewöhnlich nicht mehr verwendet werden sollen, d.h. die z.B. als Sicherungskopien dienen, um im Falle von Störungen oder Katastrophen die Wiederaufnahme des Betriebs zu ermöglichen oder Archivbestände zu bilden, die aufgrund von Rechtsvorschriften (Revisionszwecke) geführt werden^[38].

b) Veränderung

Verändern ist gemäß § 3 Abs. 4 Nr. 2 BDSG das inhaltliche Umgestalten gespeicherter personenbezogener Daten.

Ein Verändern ist auch das Verknüpfen von Daten aus verschiedenen Dateien. Dabei werden Daten zwar nicht insoweit verändert, als die einzelne Information einen anderen Inhalt bekommt; die Veränderung kann aber darin liegen, dass die Daten durch die Zusammenfassung ihren bisherigen Zusammenhang verlieren und durch ihre oftmals sehr starke Verkürzung insgesamt einen neuen Informationsgehalt bekommen^[39]. Ein Verändern ist nicht bereits das Abwandeln der äußeren Form^[40], sondern lediglich das inhaltliche Umgestalten, d.h. die Daten haben durch die Veränderung einen neuen Informationswert erhalten.

c) Übermittelung

Übermitteln ist gemäß § 3 Abs. 4 Nr. 3 BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden, oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.

Auf die Art und Weise der Bekanntgabe (schriftlich, mündlich, fernmündlich, elektronisch) kommt es nicht an. Der Tatbestand des Übermittelns ist auch dann erfüllt, wenn die Bekanntgabe der Daten nicht an einen einzelnen, bestimmten Dritten erfolgt^[41].

d) Sperrung

Sperren ist gemäß § 3 Abs. 4 Nr. 4 BDSG das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

Das Bundesdatenschutzgesetz schreibt jedoch nicht vor, wie die Kennzeichnung der Sperrung (Sperrvermerk) zu erfolgen hat. Dies hängt im Wesentlichen von dem konkreten Einzelfall, d.h. der Art des Mediums ab, mithilfe dessen die Daten gespeichert sind.

e) Löschung

Löschen ist gemäß § 3 Abs. 4 Nr. 5 BDSG das Unkenntlichmachen gespeicherter personenbezogener Daten.

Unter dem Begriff des Löschens ist jede Form der Unkenntlichmachung zu verstehen, von der materiellen Vernichtung bis hin zu den Hinweisen, die kennzeichnen, dass Daten nicht mehr gelten sollen (Überschreiben, Durchstreichen, Überdecken mit Korrekturhilfsmitteln usw.). In jedem Fall müssen die Daten unlesbar geworden sein.^[42]

6. Nutzung

Nutzen ist gemäß § 3 Abs. 5 BDSG jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.

Neben dem Begriff des Nutzens wird zugleich ein weiterer Oberbegriff für den Umgang mit Daten, und zwar der des Verwendens, inhaltlich bestimmt. Darunter fällt das Verarbeiten einschließlich des Nutzens.

Das Nutzen ist als Auffangtatbestand anzusehen^[43], der regelmäßig dann greift, wenn die Verwendung der Daten keiner der Phasen der Datenverarbeitung zugewiesen werden kann. Ein Nutzen der gespeicherten Daten liegt dann vor, wenn die Daten mit einer bestimmten Zweckbestimmung ausgewertet, zusammengestellt, abgerufen oder auch nur in sonstiger Weise zielgerichtet zur Kenntnis genommen werden sollen. Vom Tatbestand des Nutzens wird daher jeder zweckbestimmte Gebrauch von Daten, welcher eine Handlung mit erkennbarer Wirkung voraussetzt, erfasst.^[44]

7. Anonymisierung

Anonymisieren ist gemäß § 3 Abs. 6 BDSG das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Das Anonymisieren stellt – entgegen dem Wortlaut des Gesetzes – keine Veränderung in dem Sinne dar, weil die Informationen gekürzt, jedoch nicht verändert werden^[45]. Ein Anonymisieren von Daten kann dadurch geschehen, dass aus einem Bestand personenbezogener Daten Angaben ohne Personenbezug mittels entsprechender Auswertung herausgezogen und für nachfolgende Zwecke genutzt werden, wobei die diesbezügliche ‚Veränderung‘ und die nachfolgende Verarbeitung oder Nutzung mangels Personenbezug der Daten nicht mehr den Bestimmungen des Bundesdatenschutzgesetzes unterliegen. Der Personenbezug insgesamt kann durch Löschung der Identifikationsmerkmale entfallen, wobei das Bundesdatenschutzgesetz bezüglich der Löschung, nicht jedoch bezüglich der weiteren Verarbeitung oder Nutzung zur Anwendung kommt. Sofern Daten von vornherein ohne Personenbezug erhoben und gespeichert werden, findet das Bundesdatenschutzgesetz mangels Verarbeitung und Nutzung personenbezogener Daten von vornherein keine Anwendung.

Die Daten sind grundsätzlich lediglich dann anonym, wenn der Personenbezug nicht mehr herstellbar, d.h. eine Reanonymisierung unter normalen Umständen unmöglich ist. Dabei ist jedoch entscheidend, ob die Reanonymisierung der nicht-öffentlichen Stelle unter Verfügbarkeit des dazu erforderlichen Zusatzwissens möglich ist. Verfügbarkeit bedeutet sowohl nicht, dass die Zusatzinformationen schon oder noch bei der nicht-öffentlichen Stelle vorhanden sind, als auch nicht, dass eine Absicht zur Reanonymisierung bestehen muss.^[46]

Aus dem Begriff des unverhältnismäßig großen Aufwands geht hervor, dass es sich regelmäßig um eine nach dem konkreten Einzelfall zu treffende Entscheidung handelt. Sofern die nicht-öffentliche Stelle bereit ist, den unverhältnismäßig hohen Aufwand zu betreiben, sind die entsprechenden Daten nicht anonym.

8. Pseudonymisierung

Pseudonymisieren ist gemäß § 3 Abs. 6a BDSG das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Bei pseudonymisierten Daten handelt es sich um personenbezogene Daten, sofern der nicht-öffentlichen Stelle über das Pseudonym direkt oder indirekt wieder die unmittelbare Kenntnis der vollständigen Identität des Betroffenen möglich ist. Die Daten werden insoweit verändert, als die Einzelangaben ohne Kenntnis oder Nutzung der entsprechenden Zuordnungsfunktion im Nachhinein nicht mehr einer natürlichen Person zugeordnet werden können.^[47]

9. Verantwortliche Stelle

Verantwortliche Stelle ist gemäß § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

Der Begriff der verantwortlichen Stelle ist der Sammelbegriff für die in § 2 BDSG inhaltlich bestimmten Normadressaten des Bundesdatenschutzgesetzes. Jede nicht-öffentliche Stelle, die Daten über Andere erhebt, verarbeitet bzw. verarbeiten lässt oder nutzt, wird erfasst.

Verantwortliche Stelle ist nicht lediglich diejenige Organisationseinheit eines Unternehmens, die die Daten speichert, z.B. das Rechenzentrum, sondern die juristische Person, der diese Organisationseinheit angehört, einschließlich aller Untergliederungen (Fachbereiche, Abteilungen usw.) sowie unselbständigen Niederlassungen und Zweigstellen^[48]. Dahin gehend gilt im Hinblick auf Unternehmen die Einheitstheorie, d.h. für ein Unternehmen besteht eine verantwortliche Stelle. Sofern eine Niederlassung oder Zweigstelle jedoch rechtlich selbständig ist, ist diese verantwortliche Stelle.^[49] Aufgrund dessen, dass das Bundesdatenschutzgesetz kein Konzernprivileg kennt, gehören daher zu einem Konzern oder einer Unternehmensgruppe verschiedene, miteinander verbundene Unternehmen, die jeweils selbst eine eigene verantwortliche Stelle darstellen^[50].

Ungeachtet der Tatsache, dass der Betriebsrat in Bezug auf die diesem hinsichtlich der Einhaltung des Datenschutzes zugesprochenen Eigenverantwortlichkeit grundsätzlich verantwortliche Stelle ist^[51], kann die Mitarbeitervertretung dennoch insoweit nicht unter die Begriffsbestimmung i.S.v. § 3 Abs. 7 BDSG fallen, als diese dann zugleich zum Dritten würde^[52].

10. Empfänger

Empfänger ist gemäß § 3 Abs. 8 S. 1 BDSG jede Person oder Stelle, die Daten erhält.

Der Begriff des Empfängers umfasst sowohl den Dritten als Übermittlungsempfänger^[53] als auch alle datenempfangenden Organisationseinheiten innerhalb der verantwortlichen Stelle, wie z.B. die Mitarbeitervertretung und den der verantwortlichen Stelle insofern zuzuordnenden Auftragsdatenverarbeiter (vgl. D. I.)^[54].

11. Dritter

Dritter ist gemäß § 3 Abs. 8 S. 2 und 3 BDSG jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

Unselbständige Niederlassungen und Zweigstellen eines Unternehmens sind verantwortliche Stelle und nicht Dritte (vgl. B. V. 9.). Sofern die unselbständige Niederlassung bzw. Zweigstelle jedoch im EU-Ausland gelegen ist und dem Recht dieses Landes unterliegt, ist diese Dritte^[55]. Dadurch soll verhindert werden, dass personenbezogene Daten ohne jede rechtliche Prüfung den Schutzbereich des EU-einheitlichen Datenschutzes verlassen können^[56].

Personen innerhalb der verantwortlichen Stelle, u.a. die dort tätigen Beschäftigten, sind i.d.R. nicht Dritte. Sofern einem Beschäftigten jedoch Daten außerhalb seiner betrieblichen Verpflichtungen, z.B. zur privaten oder geschäftlichen Nutzung bekannt gegeben werden, ist der Beschäftigte Dritter^[57].

12. Besondere Arten personenbezogener Daten

Besondere Arten personenbezogener Daten sind gemäß § 3 Abs. 9 BDSG Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Dass die jeweiligen Daten jedoch tatsächlich besonders sensibel sind, ist unerheblich, sofern diese unter eine der genannten Datenkategorien fallen^[58].

Die Information über die besonders sensiblen Umstände kann sich auch mittelbar aus dem Gesamtzusammenhang ergeben. Dahingegen unterliegen Grunddaten, die lediglich Rückschlüsse auf sensible Informationen zulassen, dann nicht dem besonderen Schutz, wenn keine entsprechende Auswertungsabsicht besteht.^[59]

C. Grundprinzipien des Datenschutzes

Das deutsche Datenschutzrecht beruht auf grundlegenden Prinzipien, die sich insbesondere aus den rechtlichen Erwägungen des Volkszählungsurteils ableiten lassen, die das Bundesverfassungsgericht an gerechtfertigte Eingriffe oder Beschränkungen des Rechts auf informationelle Selbstbestimmung stellt. Die entsprechenden Prinzipien finden sich daher im Bundesdatenschutzgesetz wieder.

I. Subsidiaritätsprinzip

Aus dem Grundsatz der Normenklarheit ergibt sich die Anforderung, dass im Datenschutzrecht präzise und bereichsspezifische Regelungen zu treffen sind. Der entsprechende Rechtsgrundsatz ‚lex specialis derogat legi generali‘ (das speziellere Gesetz geht den allgemeineren Gesetzen vor) findet sich daher auch im Bundesdatenschutzgesetz wieder.

Nach § 1 Abs. 3 S. 1 BDSG gehen andere Rechtsvorschriften des Bundes (z.B. Telemediengesetz oder Telekommunikationsgesetz), auf die personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, den Vorschriften des Bundesdatenschutzgesetzes vor. Es ist also zu klären, ob spezialrechtliche Bestimmungen vorhanden sind, die auf den konkreten Einzelfall Anwendung finden. Mangelt es jedoch an besonderen spezialrechtlichen Regelungen, wird dieses durch entsprechende allgemeinrechtliche Regelungen aufgefangen. Für die Vorrangigkeit kommen neben den Bundesgesetzen im formalen Sinn jegliche materiellen Rechtsnormen in Betracht. Folglich gehen in Rechtsverordnungen enthaltene Regelungen den Vorschriften des Bundesdatenschutzgesetzes gleichermaßen vor wie entsprechende Bestimmungen in den Satzungen bundesunmittelbarer juristischer Personen des öffentlichen Rechts (Körperschaften, Anstalten, Stiftungen). Allgemeine Verwaltungsvorschriften und sonstige Verwaltungsanordnungen haben keinen Vorrang, können jedoch zur Erklärung und Auslegung von vorrangigen Rechtsnormen herangezogen werden. Tarifverträge und Betriebsvereinbarungen fallen ebenso wenig unter den Grundsatz der Subsidiarität.^[60]

Die Vorrangigkeit einer anderweitigen Bundesnorm kann lediglich insoweit in Betracht kommen, als die einzelnen ggf. zu beachtenden Vorschriften genau auf den Sachverhalt anzuwenden sind, der auch Gegenstand der Regelung des Bundesdatenschutzgesetzes ist. Aufgrund dessen kann lediglich eine deckungsgleiche Bestimmung der entsprechenden Regelung des Bundesdatenschutzgesetzes vorgehen, d.h. subsidiäres Datenschutzrecht kann lediglich bei Tatbestandsübereinstimmung zur Anwendung kommen. Folglich ist eine Vorschrift des Bundesdatenschutzgesetzes anwendbar, wenn keine fach- oder bereichsspezifische Datenschutzregelung für den gleichen Sachverhalt in einem anderen Bundesgesetz besteht. Das Bundesdatenschutzgesetz wird damit zum Auffanggesetz, das eine lückenfüllende Funktion hat. Eine lediglich teilweise Regelung in einer speziellen Rechtsvorschrift schließt jedoch nicht die Anwendbarkeit des Bundesdatenschutzgesetzes insgesamt aus.^[61]

Darüber hinaus bleibt die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten (z.B. Steuergeheimnis, Sozialgeheimnis, Betriebs- und Geschäftsgeheimnis) oder von Berufsgeheimnissen (z.B. Arztgeheimnis, Schweigepflicht der Rechtsanwälte, Bankgeheimnis), die nicht auf gesetzlichen Vorschriften beruhen, gemäß § 1 Abs. 3 S. 2 BDSG unberührt. Das heißt, ist der Schutz der besonderen Geheimhaltungspflichten weitergehend als der des Bundesdatenschutzgesetzes, gilt dieser weitergehende Schutz. Ist das Schutzniveau gleich, gibt es keine Besonderheiten. Ist das Schutzniveau geringer, gilt für alle Daten, die unter das Bundesdatenschutzgesetz fallen, dieses Gesetz, in allen anderen Fällen der Schutz der speziellen Geheimhaltungsregelung.^[62]

II. Verbot mit Erlaubnisvorbehalt

Im deutschen Datenschutzrecht gilt als allgemeiner Grundsatz ein sogenanntes ‚Verbot mit Erlaubnisvorbehalt‘:

Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind gemäß § 4 Abs. 1 BDSG nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Bei der Aufzählung der Zulässigkeitsvoraussetzungen ist zwar das Bundesdatenschutzgesetz zuerst genannt, aufgrund dessen Eigenschaft als Auffanggesetz entsprechend dem Subsidiaritätsprinzip wird jedoch zunächst die andere Rechtsvorschrift, d.h. die vorrangige bereichsspezifische Norm erheblich^[63]. Die entsprechenden Gestattungsvorschriften sind im nicht-öffentlichen Bereich insbesondere rechtsgeschäftliche Schuldverhältnisse (Vertragsverhältnisse) oder rechtsgeschäftsähnliche Schuldverhältnisse (vertragsähnliche Vertrauensverhältnisse) oder öffentlich gemachte Daten (vgl. § 28 Abs. 1 BDSG). Das Vorliegen des erforderlichen Erlaubnistatbestands ist für jede einzelne Phase der Datenverarbeitung gesondert bzw. erneut zu prüfen^[64]. Sofern eine Rechtsvorschrift für den Umgang mit personenbezogenen Daten eine diesbezügliche Erlaubnis beinhaltet oder sogar ein entsprechendes Gebot enthält, kommt es auf die Einwilligung des Betroffenen nicht an.

Das Einverständnis durch den Betroffenen ist lediglich in den Fällen einzuholen, in denen ansonsten kein Zulässigkeitstatbestand zu finden ist. Die Einwilligung in die Verarbeitung personenbezogener Daten stellt keinen Grundrechtsverzicht dar, sondern die Verwirklichung des Grundrechts auf informationelle Selbstbestimmung^[65]. Infolge einer wirksamen Einwilligung wird die Verarbeitung zulässig. Mangelt es an dieser und liegt auch kein gesetzlicher Rechtfertigungsgrund vor, ist die Verarbeitung rechtswidrig. Unter dem Begriff Einwilligung wird die vorherige Einverständniserklärung (vgl. § 183 BGB) verstanden, d.h. eine nachträgliche Genehmigung ist nicht ausreichend^[66].

Die Einwilligung ist gemäß § 4a Abs. 1 S. 1 BDSG nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Das bedeutet, die Einwilligung muss frei von Zwang sein^[67] und darf nicht von anderen Rechtsfolgen abhängig gemacht werden^[68]. Der Betroffene ist gemäß § 4a Abs. 1 S. 2 BDSG auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Voraussetzung einer informierten Einwilligung ist neben der ausreichenden Zweckbestimmung der Verarbeitung auch die hinreichende Bestimmtheit der verantwortlichen Stelle und der verarbeiteten Daten^[69]. Bei der Erhebung, Verarbeitung oder Nutzung besonderer Arten personenbezogener Daten muss sich die Einwilligung gemäß § 4a Abs. 3 BDSG darüber hinaus ausdrücklich auf diese Daten beziehen. Die Einwilligung bedarf gemäß § 4a Abs. 1 S. 3 BDSG der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Das bedeutet, im konkreten Einzelfall kann auch eine mündliche oder eine konkludente Erklärung ausreichen. Soll eine Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist diese gemäß § 4a Abs. 1 S. 4 BDSG besonders hervorzuheben.

Die Einwilligung ist aus verfassungsrechtlichen Erwägungen jedoch widerruflich. Der Betroffene muss vor allem im Hinblick auf sein Recht auf informationelle Selbstbestimmung in der Lage sein, Einfluss auf den Umgang mit seinen Daten nehmen zu können. Diese Möglichkeit wäre ihm verwehrt, könnte er nicht ein einmal gegebenes Einverständnis wieder zurücknehmen. Der Widerruf ist hierbei an keine bestimmte Form gebunden, sollte aus Beweisgründen jedoch regelmäßig schriftlich erfolgen. Der mit dem Widerruf zum Ausdruck kommende Widerspruch gegen die Verarbeitung, in die zunächst eingewilligt wurde, hat vom gegenwärtigen Zeitpunkt an eintretende Wirkung, d.h. die Verarbeitung wird ex nunc rechtswidrig.^[70] Ein Verzicht auf das Widerrufsrecht ist ausgeschlossen^[71].

Ein Muster für die Erklärung zur Einwilligung in die Datenverarbeitung im Bereich der nicht-öffentlichen Stellen, auf die das Bundesdatenschutzgesetz Anwendung findet, ist als Anhang 1 beigefügt.

III. Grundsatz der Zweckbindung

Damit eine Datenverarbeitung die Anforderungen des Grundsatzes der Normenklarheit erfüllt, ist ein Verwendungszweck bereichsspezifisch und präzise zu bestimmen. Im deutschen Datenschutzrecht gilt daher der Grundsatz, dass die Zweckbestimmung der Daten, d.h. ihre für einen konkreten Zweck bestehende Erforderlichkeit, Voraussetzung für die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung ist. Die Verarbeitung personenbezogener Daten ist lediglich insoweit zulässig, als diese von dem Zweck erfasst wird, der entweder durch die positivrechtliche Ermächtigungsnorm oder die Einwilligung des Betroffenen gedeckt wird. Die Zulässigkeit der Datenverarbeitung im Hinblick auf den von der verantwortlichen Stelle dem Betroffenen mitgeteilten oder unter die Ermächtigungsnorm fallenden Zweck drückt sich in der Verpflichtung der verarbeitenden Stelle aus, den geplanten Zweck bereits vorher genau festzulegen (§ 28 Abs. 1 S. 2 BDSG) und den Betroffenen in hinreichend bestimmter Weise über den mit der Datenverarbeitung verfolgten Zweck zu unterrichten (§§ 4 Abs. 3 S. 1 Nr. 2, 4a Abs. 1 S. 2 sowie 33 Abs. 1 S. 1 BDSG).

Die Zweckbindung ist unmittelbare Auswirkung des Rechts auf informationelle Selbstbestimmung des Betroffenen. Für den Fall, dass und in dem Maße, wie der Betroffene in eine Verarbeitung seiner personenbezogenen Daten eingewilligt hat, muss er einen Eingriff oder eine Beschränkung seines Rechts auf informationelle Selbstbestimmung hinnehmen – jedoch nicht darüber hinausgehend^[72].

Die Bestimmung des Zwecks ist abhängig von der beabsichtigten Verwendung der erhobenen und gespeicherten Daten. Das Bundesdatenschutzgesetz unterscheidet im nicht-öffentlichen Bereich zwischen der Datenerhebung und
-speicherung für eigene Geschäftszwecke (§ 28 BDSG), der Datenübermittlung an Auskunfteien (§ 28a BDSG), dem Scoring (§ 28b BDSG), der geschäftsmäßigen Datenerhebung und -speicherung zum Zweck der Übermittlung (§§ 29 und 30 BDSG) sowie der geschäftsmäßigen Datenerhebung und
-speicherung für Zwecke der Markt- oder Meinungsforschung (§ 30a BDSG).

Das Erheben oder Verarbeiten personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke durch nicht-öffentliche Stellen ist gemäß § 28 Abs. 1 S. 1 BDSG zulässig, wenn

- dies für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
- dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist, oder
- die Daten allgemein zugänglich sind oder die verantwortliche Stelle diese veröffentlichen dürfte.

Das bedeutet, dass personenbezogene Daten grundsätzlich nur zu den Zwecken verarbeitet oder genutzt werden dürfen, für die sie erhoben bzw. gespeichert worden sind.

Von dem Zweckbindungsgrundsatz sieht das Bundesdatenschutzgesetz jedoch eine Reihe von Ausnahmen vor, in denen von dem festgelegten Umfang der zulässigen Verarbeitung abgewichen werden kann. Die Übermittlung oder Nutzung personenbezogener Daten für andere Zwecke ist zulässig, soweit

- dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle (§ 28 Abs. 2 Nr. 1 i.V.m. Abs. 1 S. 1 Nr. 2 BDSG) oder eines Dritten (§ 28 Abs. 2 Nr. 2 lit. a BDSG) erforderlich ist,
- die Daten allgemein zugänglich sind oder veröffentlicht werden dürften (§ 28 Abs. 2 Nr. 1 i.V.m. Abs. 1 S. 1 Nr. 3 BDSG),
- dies zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist (§ 28 Abs. 2 Nr. 2 lit. b BDSG) oder
- dies im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung (§ 28 Abs. 2 Nr. 3 BDSG) erforderlich ist.

Dahin gehend muss stets eine Abwägung zwischen dem ggf. entgegenstehenden schutzwürdigen Interesse des Betroffenen und dem Interesse der verantwortlichen Stelle an der Zweckänderung vorgenommen werden.

Für Zwecke des Adresshandels oder der Werbung dürfen personenbezogene Daten gemäß § 28 Abs. 3 BDSG grundsätzlich lediglich mit Einwilligung des Betroffenen verarbeitet oder genutzt werden. Von diesem grundsätzlichen Verbot gibt es jedoch wiederum eine Reihe von Ausnahmen.

Eine besondere Zweckbindung besteht sowohl für personenbezogene Daten, die gemäß § 31 BDSG ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden als auch für personenbezogene Daten, die gemäß § 40 BDSG für Zwecke der wissenschaftlichen Forschung erhoben oder gespeichert werden.

IV. Transparenzgebot

Der Grundsatz der Transparenz beschreibt die Anforderung, dass jeder Betroffene wissen soll, dass personenbezogene Daten über ihn erhoben, verarbeitet oder genutzt werden. Der Betroffene soll wissen, welche Daten zu welchem Zweck bei welcher Stelle für welchen Zeitraum und aus welchem Grund gespeichert werden. Dahin gehend haben die verantwortlichen Stellen entsprechende Voraussetzungen zur Nachvollziehbarkeit zu schaffen, damit Betroffene ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.

Die verantwortlichen Stellen im nicht-öffentlichen Bereich haben eine Übersicht über ihre Verfahren automatisierter Verarbeitungen, in denen personenbezogene Daten gespeichert sind, zu führen (sogenanntes ‚Verfahrensverzeichnis‘ – siehe F. III. 4.). In das Verfahrensverzeichnis sind die Angaben entsprechend den Meldepflichten des § 4e BDSG aufzunehmen. Jedem, nicht nur einem Betroffenen, ist diese Übersicht in geeigneter Weise verfügbar zu machen.

Sofern ein Betroffener nicht bereits im Zusammenhang mit der Datenerhebung entsprechend unterrichtet wurde, ergibt sich aus § 33 BDSG bei der erstmaligen Speicherung seiner personenbezogenen Daten eine Benachrichtigungspflicht (vgl. E. I.) über die Datenarten, die Zweckbestimmung und die verantwortliche Stelle sowie über eventuelle Empfänger bei der erstmaligen Übermittlung. In der datenschutzrechtlichen Praxis entfällt eine entsprechende Benachrichtigungspflicht jedoch regelmäßig, da es unverhältnismäßig wäre, eine Vielzahl der betroffenen Personen über befugte, erstmalige Übermittlungen oder Speicherungen zu informieren^[73] (vgl. § 33 Abs. 2 S. 1 Nr. 7 lit. a BDSG).

Der Betroffene hat nach § 34 BDSG ein Auskunftsrecht (siehe E. II.) gegenüber der verantwortlichen Stelle im nicht-öffentlichen Bereich über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten. Neben der Benachrichtigungspflicht stellt dieses Recht die notwendige Voraussetzung für die Inanspruchnahme weiterer Rechte der Betroffenen (siehe E.) dar.

Darüber hinaus sind für besondere Verfahren spezifische Informationspflichten der verantwortlichen Stellen vorhanden, wie z.B. nach § 6b BDSG bei der Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) oder nach § 6c BDSG bei mobilen personenbezogenen Speicher- und Verarbeitungsmedien (Chipkarteneinsatz). Weiterhin besteht nach § 42a BDSG eine Informationspflicht gegenüber der zuständigen Aufsichtsbehörde sowie den Betroffenen bei unrechtmäßiger Kenntniserlangung von Daten (sogenannte ‚Datenschutzpanne‘).

V. Grundsatz der Direkterhebung

Das Prinzip des § 4 Abs. 2 S. 1 BDSG, dass personenbezogene Daten beim Betroffenen zu erheben sind, ist unmittelbare Auswirkung des Rechts auf informationelle Selbstbestimmung des Betroffenen. Der Betroffene soll wissen, welche Personen irgendetwas zu welchem Zeitpunkt über ihn an Daten erheben, verarbeiten und nutzen. Infolgedessen sind im Grundsatz personenbezogene Daten bei dem Betroffenen selbst und nicht ohne sein Wissen zu erheben. Das Tatbestandsmerkmal ‚beim Betroffenen‘ bedeutet allgemein, dass die Daten mit seiner Kenntnis oder seiner Mitwirkung erhoben werden. Nach § 4 Abs. 2 S. 2 BDSG ist Kenntnis gegeben, wenn der Betroffene dabei mitwirkt. Mitwirken ist hier als bewusstes aktives oder auch passives Tun zu verstehen^[74]. Den gewöhnlichen und normalen Fall bildet die unmittelbare Ansprache bei dem Betroffenen, sei es mündlich oder schriftlich. Er wirkt auch mit, wenn die Daten bei einem Bevollmächtigten oder einem gesetzlichen Vertreter erhoben werden^[75]. Eine Erhebung bei dem Betroffenen liegt regelmäßig und lediglich dann vor, wenn dieser die tatsächliche Möglichkeit hat, darüber zu bestimmen, ob und welche zu erhebenden Daten er preisgeben und einer Verarbeitung zugänglich machen will^[76]. Damit ist eine Datenerhebung ohne Wissen des Betroffenen grundsätzlich nicht möglich. Die Erhebung ohne seine Mitwirkung ist gemäß § 4 Abs. 2 S. 2 BDSG ausnahmsweise dann zulässig, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

[...]

---

^[1] Helfrich, in: Hoeren/Sieber, Handbuch Multimedia-Recht, Teil 16.1 Rdnr. 11.

^[2] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419.

^[3] Witt, Datenschutz kompakt und verständlich, S. 50.

^[4] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419 (422).

^[5] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419 (421).

^[6] Witt, Datenschutz kompakt und verständlich, S. 52.

^[7] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419.

^[8] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419 (422).

^[9] Witt, Datenschutz kompakt und verständlich, S. 53.

^[10] Witt, Datenschutz kompakt und verständlich, S. 54.

^[11] Witt, Datenschutz kompakt und verständlich, S. 53.

^[12] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419 (422).

^[13] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419 (422).

^[14] Witt, Datenschutz kompakt und verständlich, S. 55.

^[15] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419 (422).

^[16] Simitis, in: Simitis (Hrsg.), BDSG, § 1 Rdnr. 162.

^[17] Gola/Schomerus, BDSG, § 1 Rdnr. 6.

^[18] Gola/Schomerus, BDSG, § 1 Rdnr. 6.

^[19] Bull, NJW 2006, 1617 (1623).

^[20] Gola/Schomerus, BDSG, § 2 Rdnr. 19.

^[21] Bergmann/Möhrle/Herb, BDSG, § 2 Rdnr. 117.

^[22] Bergmann/Möhrle/Herb, BDSG, § 2 Rdnr. 14.

^[23] Gola/Schomerus, BDSG, § 3 Rdnr. 3.

^[24] Witt, Datenschutz kompakt und verständlich, S. 7.

^[25] Witt, Datenschutz kompakt und verständlich, S. 7.

^[26] Gola/Schomerus, BDSG, § 3 Rdnr. 10.

^[27] Witt, Datenschutz kompakt und verständlich, S. 6.

^[28] Witt, Datenschutz kompakt und verständlich, S. 8.

^[29] Schaffland/Wiltfang, BDSG, § 3 Rdnr. 96.

^[30] Gola/Schomerus, BDSG, § 3 Rdnr. 17.

^[31] Gola/Schomerus, BDSG, § 3 Rdnr. 18.

^[32] Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rdnr. 89ff.

^[33] Gola/Schomerus, BDSG, § 3 Rdnr. 24.

^[34] Gola/Schomerus, BDSG, § 3 Rdnr. 26.

^[35] Gola/Schomerus, BDSG, § 3 Rdnr. 26.

^[36] Weichert/Kilian, in: Kilian/Heussen, Computerrechts-Handbuch, Kap. 132 Rdnr. 38.

^[37] Bergmann/Möhrle/Herb, BDSG, § 3 Rdnr. 73.

^[38] Gola/Schomerus, BDSG, § 3 Rdnr. 28.

^[39] Bergmann/Möhrle/Herb, BDSG, § 3 Rdnr. 78.

^[40] Weichert/Kilian, in: Kilian/Heussen, Computerrechts-Handbuch, Kap. 132 Rdnr. 50.

^[41] Gola/Schomerus, BDSG, § 3 Rdnr. 33.

^[42] Gola/Schomerus, BDSG, § 3 Rdnr. 40.

^[43] Bergmann/Möhrle/Herb, BDSG, § 3 Rdnr. 107.

^[44] Gola/Schomerus, BDSG, § 3 Rdnr. 42.

^[45] Gola/Schomerus, BDSG, § 3 Rdnr. 31.

^[46] Gola/Schomerus, BDSG, § 3 Rdnr. 44.

^[47] Weichert/Kilian, in: Kilian/Heussen, Computerrechts-Handbuch, Kap. 131 Rdnr. 79.

^[48] Gola/Schomerus, BDSG, § 3 Rdnr. 48.

^[49] Witt, Datenschutz kompakt und verständlich, S. 22.

^[50] Weichert/Kilian, in: Kilian/Heussen, Computerrechts-Handbuch, Kap. 131 Rdnr. 43.

^[51] BAG, Urt. v. 11.11.1997 – 1 ABR 21/97, NJW 1998, 2466 (2467).

^[52] Gola/Schomerus, BDSG, § 3 Rdnr. 49.

^[53] Weichert/Kilian, in: Kilian/Heussen, Computerrechts-Handbuch, Kap. 131 Rdnr. 66.

^[54] Gola/Schomerus, BDSG, § 3 Rdnr. 51.

^[55] Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rdnr. 254; Schaffland/Wiltfang, BDSG, § 28 Rdnr. 154 und 127, § 27 Rdnr. 17ff.

^[56] Gola/Schomerus, BDSG, § 3 Rdnr. 53.

^[57] Bergmann/Möhrle/Herb, BDSG, § 3 Rdnr. 133.

^[58] Weichert/Kilian, in: Kilian/Heussen, Computerrechts-Handbuch, Kap. 131 Rdnr. 75.

^[59] Gola/Schomerus, BDSG, § 3 Rdnr. 56a.

^[60] Gola/Schomerus, BDSG, § 1 Rdnr. 23.

^[61] Gola/Schomerus, BDSG, § 1 Rdnr. 24.

^[62] Walz, in: Simitis (Hrsg.), BDSG; § 1 Rdnr. 174f.

^[63] Gola/Schomerus, BDSG, § 4 Rdnr. 5.

^[64] Gola/Schomerus, BDSG, § 4 Rdnr. 5.

^[65] Weichert/Kilian, in: Kilian/Heussen, Computerrechts-Handbuch, Kap. 132 Rdnr. 51.

^[66] Helfrich, in: Hoeren/Sieber, Handbuch Multimedia-Recht, Teil 16.1 Rdnr. 76.

^[67] BfDI, Bundesdatenschutzgesetz, S. 20.

^[68] Witt, Datenschutz kompakt und verständlich, S. 76.

^[69] Weichert/Kilian, in: Kilian/Heussen, Computerrechts-Handbuch, Kap. 132 Rdnr. 55.

^[70] Helfrich, in: Hoeren/Sieber, Handbuch Multimedia-Recht, Teil 16.1 Rdnr. 75ff.

^[71] Schaffland/Wiltfang, BDSG, § 4 Rdnr. 21.

^[72] Helfrich, in: Hoeren/Sieber, Handbuch Multimedia-Recht, Teil 16.1 Rdnr. 79.

^[73] Witt, Datenschutz kompakt und verständlich, S. 83.

^[74] Gola/Schomerus, BDSG, § 4 Rdnr. 21.

^[75] Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rdnr. 20.

^[76] Gola/Schomerus, BDSG, § 4 Rdnr. 21.