- Die Datenschutzexperten - Seminare zum Datenschutz und zur EU-DSGVO, Bestellung des externen Datenschutzbeauftragten, Gutachten zum Datenschutz

Suchen
Direkt zum Seiteninhalt

Hauptmenü:

Rund um den Datenschutz
Datenschutzlexikon
Inhaltsverzeichnis 0–9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

A

Anonymisierte Daten
Nach der Legaldefinition des § 3 Abs. 6 Bundesdatenschutzgesetz (BDSG) gelten Daten dann als anonymisiert, wenn Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig hohen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten Person oder einer bestimmbaren Personengruppe zugeordnet werden können.


Anonymisierte Daten lassen folglich unter normalen Umständen keine Rückschlüsse auf Personen zu und unterfallen deshalb nicht den Einschränkungen des Bundesdatenschutzgesetzes (BDSG). Anonymisierte Daten können uneingeschränkt bearbeitet, genutzt und weitergegeben werden. (s.a. Pseudonymisierte Daten)


Aufbewahrung, Pflicht zur
Gemäß § 35 Abs. 2 Nr. 1 BDSG sind personenbezogene Daten stets zu löschen, wenn deren Aufbewahrung unzulässig ist. Zulässig ist die Aufbewahrung, wenn die Aufbewahrung gesetzlich vorgeschrieben ist. Gesetzliche Aufbewahrungspflichten gehen somit der grundsätzlichen Pflicht zur sofortigen Löschung nicht mehr benötigter personenbezogener Daten vor und verdrängen insoweit die (allgemeineren) Regelungen des Bundesdatenschutzgesetzes (BDSG). In diesen Fällen schreibt das BDSG im Regelfall eine Sperrung der Daten vor (s.a. Sperrung von Daten).


Beispiele für gesetzliche Aufbewahrungspflichten sind:


• Handelsrechtliche Vorschriften (v.a. § 257 HGB) für empfangene Handelsbriefe sowie Wiedergabe gesendeter Handelsbriefe, wozu auch entsprechende E-Mails gehören (6 Jahre). Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Konzernlageberichte (10 Jahre).


• Steuerrechtliche Vorschriften (v.a. § 147 AO) für alle rechnungslegungsrelevante Unterlagen (6 bis 10 Jahre).


• Fachspezifische Vorschriften z.B. im medizinischen Bereich für Röntgenunterlagen gemäß § 28 RöntgVO (30 Jahre))


Aufsichtsbehörde, Kompetenzen der
Für jedes Bundesland in dem die Verarbeitung personenbezogener Daten stattfindet ist der jeweilige Landesdatenschutzbeauftragte die zuständige Aufsichtsbehörde, die die Einhaltung der Vorschriften des BDSG überwacht (§ 38 BDSG). Den Landesdatenschutzbeauftragten stehen u.a. folgende Kompetenzen zu:


• (Vor-Ort) Kontrollen bei datenverarbeitenden Stellen des nicht-öffentlichen Bereichs (z.B. bei Privatunternehmen)


• Anordnung zur Beseitigung von technischen oder organisatorischen Mängeln


• Verhängung von Bußgeldern bei Verstößen gegen das BDSG


• Untersagungsverfügungen bei rechtswidrigen Datenverarbeitungsvorgängen


• Verlangen der Abberufung betrieblicher Datenschutzbeauftragter, bei nicht hinreichender Fachkunde oder Zuverlässigkeit.


Die jeweiligen Landesdatenschutzbeauftragten finden Sie hier.


Auftragsdatenverarbeitung/Auftragsdatenverarbeitungsvertrag
Lässt ein Unternehmen personenbezogene Daten von Kunden, Partnern etc., aber auch der eigenen Mitarbeiter (z.B. Lohn- oder Gehaltsabrechnungen) weisungsgebunden durch ein fremdes Dienstleistungsunternehmen bearbeiten, bleibt es für die ordnungsgemäße Verarbeitung der Daten dennoch verantwortlich (§ 11 Abs. 1 BDSG).


Bei der Auswahl des Auftragnehmers muss deshalb stets besonderes Augenmerk auf den dortigen Datenschutzstandard gelegt werden. Die Auftragsvergabe muss schriftlich erfolgen und die Festlegung der Datenerhebung, ihrer Verarbeitung oder Nutzung, die technischen und organisatorischen Maßnahmen beim Auftraggeber und etwaige Unterauftragsverhältnisse umfassen.


Ein solcher Auftragsdatenverarbeitungsvertrag muss rechtssicher auf die jeweiligen Umstände zugeschnitten sein und benötigt immer individuelle Beratung - auch, um Bußgelder zu vermeiden. Dies gilt umso mehr, wenn eine Auftragsdatenverarbeitung im Ausland erfolgt.


Bei der Fernwartung von Datenverarbeitungsanlagen sind die Vorschriften zur Datenverarbeitung gemäß § 11 Abs. 5 BDSG analog anzuwenden. (s.a. „Wartungsarbeiten“)


Auftragskontrolle


Auskunftsrecht des Betroffenen
Der von der Erhebung personenbezogener Daten Betroffene kann gemäß § 34 BDSG von der verarbeitenden Stelle (z.B. Versandunternehmen) Auskunft verlangen über:


• die zu seiner Person gespeicherten Daten sowie deren Herkunft,


• die Empfänger oder die Kategorien der Empfänger, an welche Daten weitergeleitet wurden,


• den Zweck der Weiterleitung.


Darüber hinaus kann der Betroffene bei der geschäftsmäßigen Speicherung von Daten zum Zwecke der Übermittlung Auskunft über die Herkunft der Daten sowie deren Empfänger verlangen, soweit nicht das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt.


Die Auskunft muss in Textform (z.B. per E-Mail) und in der Regel unentgeltlich erteilt werden.


Außenprüfung am PC des Steuerpflichtigen
Bei einer Außenprüfung darf der Außenprüfer Einsicht in die betriebsintern gespeicherten Unternehmensdaten nehmen. Da hierbei lediglich die nach der Abgabenordnung (AO) ohnehin aufbewahrungspflichtigen Unterlagen durch den Prüfer aufgerufen und eingesehen werden dürfen, bestehen hiergegen eigentlich keine datenschutzrechtlichen Bedenken. Der Außenprüfer ist ausschließlich leseberechtigt. Eine Speicherung und Mitnahme von Daten durch den Außenprüfer ist nicht zulässig.


Wichtig ist schließlich, dass steuerrelevante Unterlagen wirksam von den sonstigen personenbezogenen Daten getrennt sind, um unberechtigte Einsicht zu verhindern.


Automatisierte Abrufverfahren
Automatisierte Abrufverfahren betreffen das Bereitstellen von personenbezogenen Daten zum späteren automatischen Abruf durch Dritte. Die datenschutzrechtliche Zulässigkeit eines solchen Verfahrens ist in § 10 BDSG speziell geregelt


Automatisierte Einzelentscheidung
Automatisiert getroffene Entscheidungen welche den Betroffenen erheblich beeinträchtigten oder rechtliche Folgen für ihn haben sind nur zulässig, wenn sie im Rahmen des Abschlusses oder der Erfüllung eines Rechtsverhältnisses ergehen und dem Begehren des Betroffenen stattgegeben wird, oder wenn die Wahrung berechtigter Interessen des Betroffenen durch geeignete technische Maßnahmen gewährleistet sind und der Betroffene hierüber informiert wurde (§ 6a BDSG).


Automatisierte Erhebung, Verarbeitung oder Nutzung


B

Behavioural Targeting
Behavioural Targeting basiert auf der Analyse des Verhaltens eines individuellen Kunden im Internet. Hier wird z.B. unter Verwendung von Cookies, das Surfverhalten des Einzelnen analysiert mit dem Ziel, dem Kunden aufgrund seiner Surfhistorie genau auf ihn zugeschnittene Werbung einzublenden. Gerade durch die Verwendung von Cookies ist das Verfahren datenschutzrechtlich problematisch. (s.a. „Cookies“)


Betriebsrat
Der Betriebsrat hat gemäß § 75 BetrVG die Aufgabe, das Recht der Arbeitnehmer auf freie Entfaltung der Persönlichkeit zu gewährleisten - dies schließt den ordnungsgemäßen Umgang mit den personenbezogenen Daten der Arbeitnehmer ein. Die Arbeit des Betriebsrates ist jedoch nicht auf die Überprüfung des rechtmäßigen Umgangs mit Personaldaten beschränkt, sondern umfasst generell die Art und Weise, wie den Rechten der Mitarbeiter entsprochen wird.


Trotz dieser Überschneidungen im Aufgabengebiet übt der betriebliche Datenschutzbeauftragte seine Tätigkeit auch gegenüber dem Betriebsrat unabhängig aus und unterliegt deshalb auch keiner Kontrolle durch das Gremium. Gleichzeitig ist der Datenschutzbeauftragte nach der Rechtsprechung der Arbeitsgerichte nicht befugt, Kontrollrechte hinsichtlich der Tätigkeit des Betriebsrates wahrzunehmen, um dessen Autonomie nicht zu gefährden. Beide Institutionen neben Ihre Aufgaben somit nebeneinander wahr. Eine Kooperation ist nicht verpflichtend, kann aber sinnvoll sein.


Die Bestellung eines Betriebsratsmitgliedes für die Aufgabe des betrieblichen Datenschutzbeauftragten ist nach der Rechtsprechung des Bundesarbeitsgerichts möglich.


Betriebsvereinbarungen
Eine Betriebsvereinbarung ist ein Vertrag zwischen dem Arbeitgeber und dem Betriebsrat, der die Arbeitnehmer repräsentiert. Betriebsvereinbarungen gelten nur innerhalb des Betriebs, für den sie abgeschlossen wurden. Nach ständiger Rechtsprechung der Arbeitsgerichte sind Betriebsvereinbarungen den Rechtsvorschriften im Sinne des § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) gleichzusetzen. Sie können damit Grundlage der Zulässigkeit einer Verarbeitung personenbezogener Daten sein. Mit einer Betriebsvereinbarung kann insbesondere die individuelle Einwilligung des Arbeitnehmers ersetzt werden.


Bilder
Bilder unterliegen bei ihrer Veröffentlichung, sowohl im Internet, als auch in sonstigen Medien, dem Urheberschutz (UrhG). Gleichzeitig droht bei der Veröffentlichung von Bildern, die Personen erkennbar abbilden, eine Verletzung des Persönlichkeitsrechts gemäß §§ 22, 23 KUG, wenn die Betroffenen hierzu ihr Einverständnis nicht erteilt haben. Grundsätzlich ist somit die Einwilligung des Urhebers und der Abgebildeten vor der Veröffentlichung einzuholen..


Auch die Veröffentlichung von Personalfotos in Druckschriften oder im Internet bedarf der Einwilligung sämtlicher abgebildeter Mitarbeiter. Lediglich für Führungskräfte gilt hier eine Ausnahme, da bei diesen die Repräsentation des Unternehmens Teil des Arbeitsverhältnisses ist.


Bundesdatenschutzgesetz (BDSG)Bundesdatenschutzgesetz (BDSG)
Das BDSG ist das wichtigste Gesetz für den Datenschutz der privaten Wirtschaft. Es wurde zuletzt 2009 eine grundlegenden Reform unterzogen. Für den privaten Sektor enthält vorrangig der 1. Abschnitt („Allgemeine Bestimmungen und Begriffsdefinitionen“) und der 3. Abschnitt („Datenverarbeitung nicht-öffentlicher Stellen“) sowie der 5. Abschnitt („Bußgeldvorschriften“) die relevanten Regelungen.


Bußgeld- und Strafvorschriften
Das BDSG enthält in den §§ 43 und 44 Ordnungswidrigkeits- und Straftatbestände. Als Sanktionen können Bußgelder von bis zu € 300.000 und Freiheitsstrafen von bis zu zwei Jahren verhängt werden.


Im Einzelnen gilt:


Vorsätzliche oder fahrlässige Verstöße z.B. gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten, können als Ordnungswidrigkeiten mit Bußgeldern bis zu € 50.000,00 geahndet werden (§43 Abs. 1 BDSG).


Die unberechtigte Erhebung oder Verarbeitung personenbezogener Daten u.ä. kann mit Bußgeld bis zu € 300.000,00 belegt werden (§ 43 Abs. 2 BDSG).


Werden Handlungen gemäß § 43 Abs. 2 BDSG gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern begangen, stellt dies einen Straftatbestand dar. Freiheitsstrafe von bis zu zwei Jahren oder Geldstrafe können die Folge sein.


Darüber hinaus können Verstöße gegen Datenschutzgrundsätze ggf. auch eine zivilrechtliche Haftung auf Schadensersatz zur Folge haben.


C

Cloud
Die „Cloud“ (dt. „Wolke“) oder „Cloud-Computing“ beschreiben als Oberbegriffe den Ansatz, dass IT-Anwendungen und -Infrastrukturen (v.a. Speicherplatz, Rechnerkapazitäten, Software) nicht mehr beim Anwender vor Ort selbst vorgehalten werden, sondern dem jeweiligen Bedarf angepasst bei einem Dienstleister eingekauft werden. Der Zugriff erfolgt über das Internet. Hierunter fallen z.B. Angebote wie SaaS („Software as a Service“)


Dem wirtschaftlichen Vorteil der stets bedarfsgerechten Inanspruchnahme steht datenschutzrechtlich der große Nachteil gegenüber, dass der Nutzer von Cloud-Diensten im Regelfall keine Informationen darüber erhält, wo in der „Cloud“ der Dienstleister die Informationen speichert.


Folglich ist die Auslagerung personenbezogener Daten in die Cloud aufgrund der strengen Vorschriften zur Auftragsdatenverarbeitung nicht möglich.


(s.a. Auftragsdatenverarbeitung) (s.a. Auftragskontrolle) (s.a. Weitergabekontrolle)


Cookies
Cookies sind kleine Programme, die beim Besuch einer Webseite auf dem Computer des Nutzers gespeichert werden. Hiermit kann der Nutzer beim Surfen innerhalb des Angebots und bei erneuten Besuch der Webseite wieder identifiziert werden. So kann z.B. ein individueller Warenkorb gespeichert werden. Gleichzeitig ermöglichen Cookies jedoch auch die Verfolgung eines Nutzers und die Analyse seiner Bewegungen und Vorlieben im Internet und sind deshalb datenschutzrechtlich hochproblematisch.


Eine europäische Richtlinie sieht seit 2009 vor, dass Cookies zu Werbezwecken nur eingesetzt werden dürfen wenn eine explizite Einwilligung des Nutzers vorliegt. Die EU-Richtlinie wurde jedoch bis heute nicht in nationales Recht umgesetzt. Die Rechtslage und insbesondere eine richtlinienkonforme Umsetzung der Einwilligung sind deshalb nach wie vor unklar.


Nutzer können selbst über ihren Browser die empfehlenswerten Einstellungen tätigen, inwieweit Cookies überhaupt zugelassen werden sollen bzw. wie lange diese gespeichert werden.


D

Data-Warehouse
Unter der Bezeichnung Data-Warehouse versteht man das Erstellen einer Datenbank, in der Daten aus unterschiedlichen Quellen zusammengefasst werden. Mit Hilfe eines Data-Warehouses könne z.B. Kundenprofile durch die Zusammenführung verschiedener Datensätze des jeweiligen Kunden (z.B. mehrerer Bestellungen bei einem Versandhaus) erstellt werden. Dies erlaubt Rückschlüsse auf das generelle Kaufverhalten eines Kunden. Entsprechend kann z.B. Werbung individuell auf den Kunden zugeschnitten werden. Bei der Einrichtung solcher Data-Warehouses muss datenschutzrechtlich stets darauf geachtet werden, dass die Verwendung der zusammengeführten personenbezogenen Daten womöglich die ursprüngliche Zweckbindung überschreitet. In diesen Fällen wäre eine gesonderte Einwilligung des Kunden erforderlich.


(s.a. Einwilligung) (s.a. Zweckbindung/Zweckbestimmung)


Datei
Eine Datei ist eine Ansammlung zusammengehöriger Daten, die auf einem Speichermedium gespeichert sind. Eine Datensammlung besteht immer aus verschiedenen Untergruppen von Dateien, die ohne Begrenzung stets zu weiteren Dateien aufgeschlüsselt werden können. Der Begriff der Datei ist in § 3 Abs. 2 BDSG legal definiert als „jede Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und ausgewertet werden kann.


Daten,juristische Personen
Daten juristischer Personen unterliegen grundsätzlich nicht dem Schutz des Bundesdatenschutzgesetz (BDSG), selbst wenn es sich um sensible Informationen handelt. Eine Weitergabe kann ungeachtet dessen jedoch gegen Vorschriften zur Bekämpfung des unlauteren Wettbewerbs, insbesondere des UWG, verstoßen. Datenschutzrechtliche Relevanz kann die Weitergabe von Daten juristischer Personen aber erlangen, wenn Unternehmensdaten in eine Beziehung zu Gesellschaftern, Geschäftsführern oder sonstigen natürlichen Personen gebracht werden können.


Daten, personenbezogene
Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen lebenden Person (Betroffener). Mit ihnen lässt sich eine Person unmittelbar identifizieren oder wird zumindest identifizierbar. Der Begriff der personenbezogenen Daten ist zentral im Datenschutzrecht. Nur wenn personenbezogene Daten vorliegen, greifen die datenschutzrechtlichen Vorschriften des BDSG. Daten juristischer Personen sind grundsätzlich nicht personenbezogen. Eine Ausnahme besteht aber dann, wenn sich aus dem Firmennamen Rückschlüsse auf deren Inhaber ziehen lassen ("Otto Müller GmbH, Kleinkleckersdorf").


Daten, sensitive
Sensitive oder sensible Daten sind „besondere Arten personenbezogener Daten“. Sie stehen unter einem besonderen Schutz durch das Bundesdatenschutzgesetz (BDSG). In § 3 Abs. 9 definiert das Bundesdatenschutzgesetz (BDSG) sensitive Daten als „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Eine Erhebung, Verarbeitung oder Nutzung derartiger Daten ist nur unter den besonders strengen Voraussetzungen des § 4a Abs. 3 Bundesdatenschutzgesetz (BDSG) oder des § 28 Abs. 6 Bundesdatenschutzgesetz (BDSG) zulässig. Größte Relevanz haben sensitive Daten im Gesundheitsbereich.


Datengeheimnis
Alle mit der Datenverarbeitung beschäftigten Personen unterliegen dem Datengeheimnis, § 5 Bundesdatenschutzgesetz (BDSG). Ihnen ist es untersagt, unbefugt personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Eine unbefugte Nutzung liegt bereits dann vor, wenn durch einen Mitarbeiter dessen persönliche, ihm intern zugewiesene Nutzungsberechtigung überschritten wird. Verstöße gegen das Datengeheimnis können neben personellen Konsequenzen auch die Verfolgung als Ordnungswidrigkeit oder gar als Straftat zur Folge haben.


Überschneidung bestehen v.a. im Sozial- und Gesundheitsbereich mit den spezielleren Regelungen zum Sozialgeheimnis (§ 35 SGB I) und dem für ärztliches Personal geltenden Patientengeheimnis (§ 203 StGB).


Datenschutzbeauftragter
Im privaten Bereich muss laut BDSG ein betrieblicher Datenschutzbeauftragte bestellt werden wenn


  • • mehr als neun Personen mit der automatisierten, oder

  • • mindestens zwanzig Personen mit der nicht automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind(Anmerkg.: heutzutage praktisch irrelevant).

  • Innerhalb eines Konzerns gilt die Bestellungspflicht für jeden einzelnen Konzernbetrieb. Ein Konzernprivileg sieht das Gesetz nicht vor.


    Der Datenschutzbeauftragte muss über fachliche Kenntnisse verfügen und zuverlässig sein. Es darf kein Interessenkonflikt aufgrund der sonstigen von ihm für das Unternehmen ausgeübten Tätigkeit entstehen.


    Die Bestellung eines Datenschutzbeauftragten kann intern mit einem Mitarbeiter oder mit einem externen Experten besetzt werden. Wird ein Mitarbeiter zum betrieblichen Datenschutzbeauftragten ernannt, kommt diesem ein besonderer Kündigungsschutz zu Gute. Dieser ist dann - vergleichbar mit einem Betriebsrat - nur noch mit besonderer Begründung kündbar. Ein externer Dienstleister kann nach Vertragsablauf jederzeit als Datenschutzbeauftragter abberufen werden.


    Die Bestellung bedarf zu ihrer Wirksamkeit der Schriftform.


Weitere Informationen zur Stellung eines externen Datenschutzbeauftragten und zur Ausbildung eines internen Datenschutzbeauftragten finden sie hier.


Datenschutzgrundverordnung
Auf europäischer Ebene wird seit Jahren an der Verabschiedung einer EU-Datenschutzgrundverordnung gearbeitet. Diese soll das Datenschutzniveau in den europäischen Mitgliedsstaaten vereinheitlichen. Die Verordnung fände in allen Mitgliedsstaaten direkte Anwendung und würde die nationalen Datenschutzgesetze, die die Richtlinie 95/46/EG umgesetzt haben - in Deutschland das BDSG - ersetzen.


Die Verhandlungen ziehen sich jedoch hin. Zuletzt ist im Oktober 2013 eine ausgearbeitete Verhandlungsposition angenommen worden, danach ist der weitere Prozess jedoch abermals ins Stocken gekommen. Es bleibt schwer absehbar, ob und wann die Verabschiedung der geplanten Datenschutzgrundverordnung gelingen kann.


Datentransfer in Länder der EU bzw. des EWR
Das Gebot des freien Datentransfers bestimmt die grundsätzliche Zulässigkeit von Datenübertragungen zwischen EU-Mitgliedsländern bzw. dem EWR angehörigen Staaten. Dabei findet das Recht des Staates Anwendung, in welchem das die Daten übertragende Unternehmen ansässig ist. Werden personenbezogene Daten von der Bundesrepublik Deutschland aus in Länder der EU oder des EWR übertragen, gelten die gleichen Anforderungen wie bei einer Übermittlung solcher Daten innerhalb Deutschlands.


Datentransfer in Drittländer
Der Datentransfer in Drittländer außerhalb der EU unterliegt hingegen erheblich strengeren Anforderungen. Danach dürfen personenbezogene Daten grundsätzlich dann nicht übermittelt werden, wenn das Datenschutzniveau bei der empfangenden Stelle im Vergleich mit den entsprechenden EU-Regelungen als nicht angemessen gilt. Für einige Länder wurde das Vorhandensein eines angemessenen Datenschutzniveaus durch die EU-Kommission bereits festgestellt. Andere Länder - insbesondere die USA und Indien - gelten datenschutzrechtlich als Drittländer.


Datenverarbeitung zum Zwecke der Übermittlung
An die kommerzielle Datenverarbeitung zum Zwecke der Übermittlung durch Auskunfteien, Adresshändler oder Markt- und Meinungsforschungsinstitute stellt das Bundesdatenschutzgesetz (BDSG) besonders strenge Anforderungen. Dabei ist grundsätzlich zwischen der Erhebung der Daten zum Zwecke ihrer Weitergabe und der Weitergabe als solcher zu unterscheiden.


Im BDSG finden sich hierzu ausführliche Spezialvorschriften z.B. in § 28 Abs. 3 Nr.3, § 28a, § 29 und 30 BDSG.


Datenvermeidung und Datensparsamkeit
Diese Grundsätze wurden bei der Novelle des Bundesdatenschutzgesetzes (BDSG) neu in § 3a BDSG aufgenommen. Sie sollen schon im Rahmen der Planung der technischen Ausführung eines beabsichtigten Datenverarbeitungsprozesses berücksichtigt werden. Hierdurch soll sichergestellt werden, dass die Verarbeitungsvorgänge bereits technisch so ausgestaltet werden, dass so wenige Daten wie möglich in die Erfassung gelangen. Werden Daten verarbeitet, soll dies möglichst in pseudonymisierter bzw. anonymisierter Form geschehen.


Direkterhebungsgrundsatz
Personenbezogene Daten müssen grundsätzlich unmittelbar beim Betroffenen erhoben werden. Eine Abweichung von diesem Grundsatz ist nur in Ausnahmefällen möglich und zwar wenn eine Rechtsvorschrift dies vorsieht, oder die Erhebung beim Betroffenen einen unverhältnismäßig hohen Aufwand erfordern würde. In beiden Fällen dürfen im Zeitpunkt der Datenerhebung keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.


Dritter
Jede Person oder Stelle außerhalb der verantwortlichen Stelle, nicht jedoch der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedsstaat der EU oder in einem anderen Vertragsstaat des EWR personenbezogene Daten im Auftrag erheben, verarbeiten oder Nutzen. Auftragsdatenverarbeiter gelten nicht als Dritte im Sinne des BDSG, da die Verantwortung für die gesetzeskonforme Datenverarbeitung beim Auftraggeber verbleibt.


(s.a. Auftragsdatenverarbeitung)


E

Eingabekontrolle


E-Mail
Die E-Mail-Adresse unterfällt im Regelfall dem Begriff des Personenbezogenen Datums. Die Verarbeitung, Speicherung und Wiedergabe von E-Mail-Adressen ist im Regelfall durch die Vorschriften des BDSG reglementiert. Für den Bereich der E-Mail-Werbung existieren spezialgesetzliche Vorschriften (v.a. § 7 UWG).


Der Umgang mit E-Mails ist in vielen Bereichen relevant:


  • • im Geschäftsverkehr


    Im Geschäftsverkehr ist die E-Mail mit der normalen Briefpost vergleichbar. Sie gilt als zugegangen, wenn sie den Account des Empfängers erreicht und mit der Kenntnisnahme nach den gewöhnlichen Umständen gerechnet werden kann, also während der üblichen Geschäfts- bzw. Bürozeiten. E-Mails können, abhängig von ihrem Inhalt, dem Begriff des Handelsbriefes im Sinne des § 257 HGB unterfallen. Sie müssen dann dieser Regelung entsprechend sechs Jahre aufbewahrt werden, auch wenn sie personenbezogene Daten enthalten.


    (s.a. Aufbewahrungspflichten)


    Von den geschäftlichen Mails sollten private Mails von Mitarbeitern streng getrennt werden, da letztere dem Briefgeheimnis unterfallen, selbst wenn sie auf Speichermedien des Unternehmens verwahrt werden.

  • • private E-Mail am Arbeitsplatz


    Gestattet ein Arbeitgeber seinen Arbeitnehmern die private Nutzung des Unternehmens-Accounts, so gilt er als Anbieter eines Teledienstes mit der Folge, dass er zur Wahrung des Fernmeldegeheimnisses gegenüber den Mitarbeitern verpflichtet ist. Eine Gestattung des dienstlichen E-Mail-Accounts zur privaten Nutzung ist deshalb nicht zu empfehlen. Alternativ kann der gelegentliche Zugriff über das Internet auf private Webmail-Accounts gestattet werden.

  • • E-Mail-Werbung


    Die Verwendung der E-Mail-Adresse zu Werbezwecken wird, unterliegt neben den Vorschriften des BDSG den strengen Voraussetzungen des § 7 Abs. 2 Nr.3 UWG. E-Mail-Werbung ist danach ausschließlich mit ausdrücklicher Einwilligung des Betroffenen zulässig. Verstöße können von Wettbewerbern und Betroffenen abgemahnt werden und ziehen meist erhebliche Kosten nach sich.


Einwilligung des Betroffenen
Die Erfordernis zur Einwilligung des Betroffenen in die Erhebung personenbezogener Daten ist in § 4 Abs. 1 BDSG geregelt und in § 4a BDSG ausgestaltet. Die Einwilligung muss stets für einen konkreten Zweck vor Beginn der Datenerhebung erfolgen, sie muss freiwillig sein und der Betroffene ist über die Folgen einer etwaigen Verweigerung der Einwilligung aufzuklären. Dabei ist der Zweck der Erhebung zu nennen. Die Einwilligung bedarf der Schriftform. Pauschalisierte Einwilligungen ohne inhaltliche Begrenzung sind nicht zulässig.


Werden sensitive Daten i.S.d. § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG) erhoben, so muss sich die Einwilligung ausdrücklich auch auf diese beziehen.


Die Veröffentlichung von Mitarbeiterdaten im Internet ist ohne deren Einwilligung nur zulässig, soweit dies zur Erfüllung arbeitsvertraglicher Pflichten erforderlich ist. Die Bekanntmachung privater Daten oder die Veröffentlichung von Bildern sind stets nur mit Zustimmung des betroffenen Mitarbeiters zulässig.


Erteilte Einwilligungen sind stets jederzeit mit Wirkung für die Zukunft widerruflich.


Werden Einwilligungen zusammen mit anderen Erklärungen, wie z.B. vertragliche Vereinbarungen, abgegeben, so müssen sie besonders gekennzeichnet werden. Dies kann z.B. durch eine deutliche Absetzung im Text, etwa unter farbiger Hervorhebung und/oder Einrahmung erfolgen.


Erhebung von Daten
Erheben ist in § 3 Abs. 3 BDSG als das Beschaffen personenbezogener Daten über den Betroffenen legaldefiniert.


Erlaubnistatbestände
Aufgrund des durch das BDSG normierten Verbots mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) bedarf es immer eines Erlaubnistatbestandes, welcher der verantwortlichen Stelle im konkreten Einzelfalle ermöglicht, personenbezogene Daten Dritter zu erheben, zu verarbeiten oder zu nutzen. Erlaubnistatbestände zur Datenverarbeitung finden sich z.B. in § 28 BDSG, aber auch in spezialgesetzlichen Regelungen wie den SGB I bis XII. Liegt kein gesetzlicher Erlaubnistatbestand vor, ist die Einwilligung des Betroffenen erforderlich.


EU-Datenschutzrichtlinie
Die zentrale europäische Richtlinie zum Datenschutz ist die Richtlinie 95/46/EG. Das Bundesdatenschutzgesetz setzt die Vorgaben dieser Richtlinie in Deutschland um. Auf europäischer Ebene ist seit Jahren die Verabschiedung einer Datenschutzgrundverordnung geplant, die direkt gilt und die Richtlinie sowie das Bundesdatenschutzgesetz ersetzen würde. Bisher wurde jedoch hierüber keine Einigkeit erzielt und ein konkreter Zeitpunkt für die Verabschiedung der Verordnung ist nicht absehbar.


(s.a. Datenschutzgrundverordnung)


F

Das Fernmeldegeheimnis
§ 88 TKG verpflichtet die Anbieter von Telekommunikationsdiensten zur Einhaltung des Fernmeldegeheimnisses. Telekommunikationsanbieter können dabei nicht nur die „großen“ Provider sein - auch Unternehmen, die Ihren Mitarbeitern die private Nutzung der dienstlichen E-Mail-Adresse gestatten, sind im Regelfall als Anbieter von Telekommunikationsdienstleistungen einzustufen und unterliegen dem Fernmeldegeheimnis.


(s.a. E-Mail)


Firewall
Unter einer Firewall versteht man eine Software, die einen PC (Personal Firewall) oder ein lokales Netzwerk (Externe Firewall), vor einem ungehinderten Datenfluss und unbegrenzten Zugriffen abschirmen. Je nach Konfiguration können bestimmte Anfragen und Zugriffe „von Außen“ zugelassen oder verweigert werden.


Funktionsübertragung
Bei Fällen der Funktionsübertragung handelt der Auftragnehmer im Gegensatz zur Auftragsdatenverarbeitung nach § 11 BDSG nicht nach den Weisungen des Auftraggebers. Sondern verfügt über eigene Handlungsspielräume zum Umgang mit den vom Auftraggeber erhaltenen Daten. Funktionsübertragungen sind, anders als Auftragsdatenverarbeitungen, „echte“ Übermittlungen personenbezogener Daten an Dritte, für welche die erforderlichen Erlaubnistatbestände vorliegen und im Streitfalle auch von der verantwortlichen Stelle nachgewiesen werden müssen.


Die Abgrenzung zur Auftragsdatenverarbeitung ist häufig sehr problematisch und sollte mit großer Sorgfalt vorgenommen werden.


(s.a. Auftragsdatenverarbeitung)


G

Geschäftsführung, Kontrolle durch
Der betriebliche Datenschutzbeauftragte übt seine Tätigkeit unabhängig aus. Er unterliegt deshalb keiner Kontrolle durch die Geschäftsführung, ist dieser aber funktional direkt unterstellt.


Gutachter
Vielfach ist es zu Erledigung von Aufgaben erforderlich, Gutachten von externen Experten einzuholen. Oftmals müssen dann auch personenbezogene Daten Dritter an den Gutachter übermittelt werden. In diesen Fällen ist darauf zu achten, dass diese Daten durch den Experten nur zum Zwecke der auftragsgemäßen Beratung bzw. Begutachtung verwandt werden und dass sie nach Beendigung der Tätigkeit zurückgegeben oder gelöscht werden. Diese Verpflichtungen sollten bereits bei der Beauftragung schriftlich fixiert werden.


H

Haftung des Datenschutzbeauftragten
Die Haftung des Datenschutzbeauftragten bestimmt sich danach, ob eine interne oder eine externe Bestellung vorliegt:


  • • Externe Bestellung:


    Der externe Datenschutzbeauftragte ist Dienstleister und haftet, sofern nichts anderes vereinbart wurde, für Vorsatz und jede Form der Fahrlässigkeit. Die Haftung kann vertraglich eingeschränkt werden. Ein Haftungsausschluss für Vorsatz und grobe Fahrlässigkeit ist jedoch nicht möglich. In jedem Falle kommt lediglich eine Haftung gegenüber dem beauftragenden Unternehmen in Betracht. Eine unmittelbare Haftung gegenüber den Betroffenen besteht hingegen nicht.

  • • Interne Bestellung:


    Der interne Datenschutzbeauftragte haftet lediglich im Rahmen der üblichen Arbeitnehmerhaftung gegenüber dem Unternehmen. Eine unmittelbare Haftung gegenüber den Betroffenen besteht hingegen nicht.


Heimarbeitsplätze
Werden Mitarbeiter an Heimarbeitsplätzen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt, so ist dafür Sorge zu tragen, dass auch hier das gesetzliche Datenschutzniveau gewährleistet wird.


I

Informationelle Selbstbestimmung
Informationelle Selbstbestimmung bedeutet, dass grundsätzlich jeder selbst darüber entscheiden kann, wer seine personenbezogenen Daten zu welchen Zwecken erhalten oder sie weitergeben darf und wem dies untersagt sein soll. Das „Recht auf informationelle Selbstbestimmung“ ist unmittelbar in der „Verfassung“ der Bundesrepublik Deutschland, dem Grundgesetz, verankert. Das Bundesverfassungsgericht hat in seinem bis heute für den Datenschutz maßgeblichen „Volkszählungsurteil“ (BVerfG 65, 1 = NJW 1984, 419) aus dem Jahre 1983 dieses Recht aus dem allgemeinen Persönlichkeitsrecht (Recht auf freie Entfaltung der Persönlichkeit), Art. 2 Abs. 1 des Grundgesetzes abgeleitet. Dieses Urteil und das daraus entwickelte Grundrecht der informationellen Selbstbestimmung bilden die Basis für die Grundsätze und die Struktur des heutigen Datenschutzrechtes.


IP-Adresse
Im Internet wird jedem Teilnehmer eine sogenannte IP-Adresse zugewiesen. Über diese Adresse wird der Nutzer erreichbar und identifizierbar. IP-Adressen können statisch sein oder werden bei jedem Zugriff auf das Internet erneut automatisch zugewiesen werden. IP-Adressen sind nicht ortsgebunden. Jedem Computer können mehrere IP-Adressen zugewiesen sein. Nach heute sich festigender Meinung in Literatur und Rechtsprechung ist die IP-Adresse zu den personenbezogenen Daten zu zählen und fällt somit in den Schutzbereich des BDSG.


K

Kontrolle des Datenschutzes
Im Bereich der privaten Wirtschaft sind zunächst die Unternehmen als speichernde Stellen selbst für die Einhaltung der Datenschutzstandards verantwortlich. Daneben bestehen Überwachungs- und Kontrollkompetenzen des jeweiligen Landesdatenschutzbeauftragten als Aufsichtsbehörde. Bei Fragen oder in Zweifelsfällen können sich die betrieblichen Datenschutzbeauftragten an die Aufsichtsbehörde wenden. Die Aufsichtsbehörde ist auch zuständig für die Vorabkontrolle bei meldepflichtigen Vorgängen.


Konzerne
In Konzernen, das heißt dem Zusammenschluss mehrerer juristischer Personen unter einer einheitlichen Führung, ist jedes einzelne Unternehmen zur Einrichtung eines Datenschutzbeauftragten verpflichtet, sofern die Anforderungen des § 4f Bundesdatenschutzgesetz (BDSG) erfüllt sind. Es existiert kein Konzernprivileg.


In der Praxis ist es üblich dennoch einen Konzerndatenschutzbeauftragten zu bestellen, der die Arbeit der einzelnen Datenschutzbeauftragten koordiniert. Soll der Konzerndatenschutzbeauftragte auch in den einzelnen Unternehmen als Datenschutzbeauftragter bestellt werden, kann dies nur über eine externe Bestellung erfolgen.


Konzernprivileg
Ein Konzernprivileg, wie es in anderen Rechtsgebieten vorhanden ist, kennt das Bundesdatenschutzgesetz (BDSG) nicht. Der Transfer personenbezogener Daten zwischen einzelnen juristischen Personen innerhalb eines Konzern unterfällt somit uneingeschränkt den Regelungen des Bundesdatenschutzgesetz (BDSG).


Kundenbindungssysteme
Kundenbindungssysteme wie z.B. Payback- oder sonstige Bonuskarten werden in den meisten Fällen den datenschutzrechtlichen Anforderungen nicht gerecht. Häufigste Gründe für Beanstandungen sind unzureichende Einwilligungen der Kunden, die Erhebung nicht erforderlicher Daten, die Weiterleitung an andere Stellen, wenn sich mehrere Unternehmen für die Herausgabe von Payback-Karten zusammengeschlossen haben oder das Erstellen detaillierter Kundenprofile.


L

Laptop
Die Speicherung personenbezogener Daten auf Laptops ist insbesondere dann problematisch, wenn sie unverschlüsselt erfolgt. Wird der Laptop gestohlen oder an einem privaten, nicht hinreichend gesicherten Anschluss mit dem Internet verbunden, ist der erforderliche Datenschutz nicht mehr gewährleistet. Sensible Daten sollten deshalb nach Möglichkeit nicht auf Laptops gespeichert werden. Ist dies unumgänglich, sollte die Speicherung stets in verschlüsselter Form erfolgen. Auf Laptops befindliche personenbezogene Daten sollten so schnell wie möglich wieder gelöscht werden.


Legaldefinitionen
Der Begriff „Legaldefinition“ beschreibt die genaue Umschreibung unbestimmter Rechtsbegriffe im Gesetz selbst. Beispielsweise ist der Begriff der personenbezogenen Daten wie etliche andere Begriffe auch in § 3 BDSG legaldefiniert.


Löschung vorhandener Daten
Personenbezogene Daten müssen stets unverzüglich nach dem Wegfall des Grundes ihrer Erhebung gelöscht werden. Insbesondere ist es nicht zulässig, Daten zur späteren Verwendung „auf Vorrat“ zu speichern. Unter Löschung personenbezogener Daten versteht man deren unwiederbringliches Tilgen. Bei elektronisch gespeicherten Daten ist dabei zu beachten, dass der Befehl „Löschen“ die Daten im Allgemeinen nur zum Überschreiben freigibt. Tatsächlich sind sie jedoch noch auf dem Speichermedium vorhanden.


(s.a. Aufbewahrungspflichten)


M

Markt- und Meinungsforschung
Besondere Vorschriften zur geschäftsmäßigen Datenerhebung finden sich in § 30a BDSG.


Meldepflicht
Gemäß § 4d Bundesdatenschutzgesetz (BGSG) unterliegen Verfahren automatisierter Datenverarbeitung einer grundsätzlichen Meldepflicht. Inhalt und Umfang dieser Pflicht sind in § 4e Bundesdatenschutzgesetz (BDSG) genannt. Die Meldepflicht besteht gegenüber der zuständigen Aufsichtsbehörde und somit dem jeweiligen Landesbeauftragten für den Datenschutz. Sie entfällt insbesondere dann, wenn das betreffende Unternehmen einen Datenschutzbeauftragten benannt hat und hat deshalb wenig Praxisrelevanz.


Mitarbeiterschulungen
Eine der Pflichten des betrieblichen Datenschutzbeauftragten ist es, alle diejenigen Beschäftigten innerhalb der verantwortlichen Stelle zu schulen, welche regelmäßigen Umgang mit personenbezogenen Daten haben, § 4g Abs. 1 S. 3 Nr. 2 BDSG. Im Rahmen dieser Schulungen bietet es sich zweckmäßigerweise an, die Mitarbeiter schriftlich auf das Datengeheimnis (§ 5 BDSG) zu verpflichten.


Zur Unterstützung und Vorbereitung der Schulungen eignet sich z.B. auch eine entsprechende Mitarbeiterbroschüre.


Mitteilungspflichten bei Datenverlusten
§ 42a BDSG normiert in bestimmten Fällen des Verlustes personenbezogener Daten Meldepflichten gegenüber der zuständigen Aufsichtsbehörde.


Die Benachrichtigung muss erfolgen wenn


  1. 1. besondere Arten von personenbezogenen Daten (§ 3 Abs. 9 BDSG),
  2. 2. personenbezogen Daten, die einem Berufsgeheimnis (§ 203 Abs. 1 StGB) unterliegen,
  3. 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen oder
  4. 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten


unrechtmäßig übermittelt oder sonst Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte und schutzwürdigen Interessen der Betroffenen drohen.


Die Meldepflicht ist sehr ernst zu nehmen. Im Falle eines Datenverlustes der oben genannten Datenkategorien empfiehlt sich dringendst die Einholung fachkundiger Beratung, um ein schnelles und strukturiertes Vorgehen zu gewährleisten und die rechtlichen und finanziellen Folgen abzumildern


N

Natürliche Personen
Durch das BDSG geschützt werden ausschließlich natürliche Personen (§§ 1, 3 Abs. 1 BDSG). Dies bedeutet, dass juristische Personen und die zu ihnen gehörigen Daten grundsätzlich nicht in den Schutzbereich des Gesetzes einbezogen sind. Der Begriff „natürliche Person“ leitet sich von der Rechtsfähigkeit eines Menschen ab, die mit der Vollendung der Geburt beginnt (§ 1 BGB) und endet mit dem Tod. Demnach handelt es sich bei den vom BDSG geschützten Personenkreis um lebende Menschen, ungeachtet ihres Alters oder ihrer Geschäftsfähigkeit.


Newsletter
Der Versand von Newslettern per E-Mail ist, insbesondere wenn diese Werbung beinhalten, nur zulässig, soweit der Empfänger dem zuvor zugestimmt hat. Verstöße sind betreffen nicht nur das Datenschutzrecht, sondern sind gemäß § 7 Abs. 2 Nr. 3 UWG abmahnfähig. Dies kann erhebliche finanzielle Folgen nach sich ziehen. Im Internet ist die Einwilligung zwingend über das sogenannte Double-Opt-In-Verfahren einzuholen.


(s.a. E-Mail)


P

Payback-Karten
Payback-Karten belohnen treue Kunden durch einen Bonus o.ä.. Gleichzeitig werden aber auch zahlreiche Daten über den Kunden gesammelt. Payback-Systeme bergen deshalb verschiedene datenschutzrechtliche Risiken. So können Kundendaten zwischen den einzelnen Partnerunternehmen übertragen oder Kundenprofile angelegt werden. Die Nutzung der gewonnenen Daten zu Werbe- und Analysezwecken bedarf stets der vorherigen Einwilligung des Betroffenen. Diese kann jederzeit widerrufen werden.


Personalaktenführung, Grundsätze der
Die Grundsätze der Personalaktenführung sind durch den Arbeitgeber stets zu berücksichtigen. Sie sind von datenschutzrechtlicher Relevanz:
  • • Grundsatz der Transparenz gegenüber dem betroffenen Mitarbeiter
  • • Grundsatz der Aktenwahrheit; die Inhalte der Akten müssen zutreffend sein
  • • Grundsatz der Zulässigkeit; die Erhebung der in den Personalakten befindlichen Daten muss zulässig sein
  • • Grundsatz der Vertraulichkeit von Personalakten


Personenbezogene Daten


Plugin
Bei Plugins handelt es sich um Zusatzprogramme, die die Funktionen eines Browsers erweitern. Mit ihrer Hilfe lassen sich Dateiformate erkennen und bearbeiten, die dem HTML-Standard nicht bekannt sind.


Pseudonymisierung
Unter der Pseudonymisierung personenbezogener Daten versteht man das „Ersetzen des Namens und anderer Indentifikationsmermale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren“ (§ 3 Abs. 6a BDSG).


Somit bedeutet Pseudonymisierung in Abgrenzung zur Anonymisierung (§ 3 Abs. 6 BDSG) nicht zwingend ein dauerhaftes Entfernen des Personenbezugs.


R

Re-targeting
Re-targeting ist eine Werbeform im Internet. Wie beim Behavioural Targeting werden Werbebannern gezielt auf das Verhalten der einzelnen Internetnutzer ausgerichtet. Nutzer, die sich z.B. auf bestimmten Shoppingseiten Produkte ansehen bekommen auf den folgenden Seiten, die aufgerufen werden (z.B. Blogs, Nachrichtenseiten etc.) die Werbung für das Produkt eingeblendet, welches Sie vorher auf der Shopping-Plattform betrachtet haben.


(s.a. Behavioural Targeting)


RFId-Chip
Radio Frequenzy Identifikation (RFID) - Chips werden an Produkten, Paketen o.ä. angebracht und ermöglichen die Erfassung durch einen in kurzer Reichweite platzierten Sensor. Ermöglicht wird das über einen Miniatursender, der an jeder einzelnen Ware befestigt wird. Er sendet Informationen über das Produkt an den Sensor, der z.B. an der Kasse, am Ausgang oder im Warenlager platziert ist. Datenschutzrechtlich ist problematisch, dass durch die Sensoren an den Waren und Paketen theoretisch Bewegungsprofile von Kunden erstellt werden können. Dem wird in der Praxis meist entgegengewirkt, indem der Sensor nach Kauf des Produktes durch den Endkunden deaktiviert wird.


Weitere Verwendung finden RFID-Chips z.B. auch in Bereichen der Altenpflege bei demenzkranken Personen mit Weglauftendenz. Der Einsatz kann eine freiheitsentziehende Maßnahme darstellen (z.B. wenn bei Erfassung des Sensors das Öffnen der Türe verhindert wird) und bedarf dann der richterlichen Genehmigung.


Robinsonliste
Die Robinsonliste wird vom Deutschen Direktmarketingverband geführt und enthält Einträge von Personen, die keine Zusendungen von Werbematerial erhalten wollen. Ihre Beachtung ist zwar freiwillig, wird aber von vielen Unternehmen akzeptiert. Nähere Infos finden sie unter www.robinsonliste.de.


S

Sanktionen


Schadensersatz
Fügt die verantwortliche Stelle dem Betroffenen aufgrund unzulässigen oder unrichtigen Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten einen Schaden zu, so ist sie oder ihr Träger diesem ggf. zivilrechtlich zur Zahlung von Schadensersatz verpflichtet, sofern sie nicht die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Mehrere Verantwortliche haften gesamtschuldnerisch.


Schengener Informationssystem (SIS)
Das SIS wurde im Zusammenhang mit dem Schengener Abkommen über die Aufhebung der Kontrollen an den EU-Binnengrenzen eingerichtet. Hier werden Daten über bestimmte Personen gespeichert. Konkret handelt es sich um Personen, die von der Polizei gesucht oder überwacht werden, vermisste Personen oder solche, die in Gewahrsam zu nehmen sind,. Zugriffsberechtigt sind nur Sicherheitsbehörden in Schengen-Ländern sowie die beiden europäischen Behörden Europol und Eurojust. Zuständig für die Umsetzung des SIS in Deutschland ist das Bundeskriminalamt. Hier oder beim Bundesdatenschutzbeauftragten kann jeder Auskunft über die womöglich zu seiner Person gespeicherten SIS-Daten erhalten.


Schulung interner Datenschutzbeauftragter
Mitarbeiter, die zum internen Datenschutzbeauftragten bestellt werden sollen, müssen neben ihrer persönlichen Zuverlässigkeit und Kenntnissen innerbetrieblicher Abläufe auch über die zur Erfüllung dieser Aufgabe erforderliche Sachkunde verfügen. Diese umfasst rechtliches, technisches und betriebswirtschaftliches Know-how. Ein Nachweis hierüber kann durch die Teilnahme an entsprechenden Schulungen erbracht werden.


Nähere Informationen zu Schulungsangeboten finden Sie hier:


Schulung von Mitarbeitern
Der Datenschutzbeauftragte muss gemäß § 4g Abs. 1 S. 4 Nr. 2 BDSG die im Unternehmen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigten Mitarbeiter im Rahmen regelmäßiger Schulungen über die gesetzlichen Bestimmungen zum Datenschutz sowie über die bereits getroffenen oder zu erwartenden innerbetrieblichen Maßnahmen unterrichten.


Selbstbestimmunginformationelle


Sperrdatei
Wenn der Betroffene Widerspruch gegen die Nutzung seiner persönlichen Daten zum Zwecke der Werbung eingelegt hat muss sichergestellt werden, dass dieser Widerruf auch bei späteren Werbeaktionen, die sich möglicherweise auch auf neu gekaufte oder „gemietete“ Unterlagen stützen, gültig bleibt. Hierzu ist es nicht nur zulässig, sondern vielmehr sogar erforderlich, diesen Adressaten in eine Sperrdatei aufzunehmen.


Sperrung von Daten
In besonderen Fällen besteht die Pflicht, Daten zu sperren. Dies ist namentlich dann der Fall, wenn personenbezogene Daten eigentlich gelöscht werden müssten, dies aber aufgrund satzungsmäßiger oder gesetzlicher Fristen nicht möglich ist, eine Löschung die schutzwürdigen Interessen des Betroffenen beeinträchtigen würde oder die Löschung aufgrund der Art der Datenspeicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich wäre (§ 35 Abs. 3 BDSG). Personenbezogene Daten sind auch dann zu sperren, wenn ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Unter Sperrung personenbezogener Daten ist deren Kennzeichnung zu dem Zweck zu verstehen, ihre weitere Verarbeitung oder Nutzung einzuschränken.


Stapelverarbeitung von Daten
Unter der Stapelverarbeitung ist der Abruf oder die Übermittlung eines Gesamtbestandes an Daten zu verstehen, § 10 Abs. 4 S. 4 Bundesdatenschutzgesetz (BDSG).


Sytemadministrator
Der Systemadministrator hat die Befugnis, Software zu installieren, zu deinstallieren und zu ändern, während Benutzer diese Software lediglich starten und mit ihr arbeiten dürfen. Auf den Betriebsebenen von PC und Servern muss eine Trennung zwischen Administrations- und Benutzerebene zunächst eingerichtet werden.


T

Technische/organisatorische Maßnahmen
Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Anforderungen des BDSG, insbesondere aber der Anlage zu § 9 BDSG, zu gewährleisten, § 9 S. 1 BDSG.


Die, auch die acht Gebote zum Datenschutz genannten, Prüfpunkte der Anlage zum § 9 BDSG sind:


  • Zutrittskontrolle - gemeint ist die Berechtigung zum physischen Betreten von Räumen, in welchen sich Datenverarbeitungsanlagen befinden,

  • Zugangskontrolle - der Kreis derjenigen Personen, welche berechtigt sind, an EDV-Systemen in oder mit denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden können, zu arbeiten,

  • Zugriffskontrolle - diejenigen Personen, die berechtigt sind, auf bestimmte, personenbezogene Vorgänge, Bereiche, Partitionen u.ä. zuzugreifen,

  • • Weitergabekontrolle - ermöglicht die Feststellung, wer welche personenbezogene Daten an wen übermittelt hat und gewährleistet die sichere Übertragung unter Ausschluss von unbefugten Zugriffen oder Veränderungen,

  • • Eingabekontrolle - gewährleistet die Feststellung, wer wann welche Datensätze angelegt, verändert oder gelöscht hat,

  • • Auftragskontrolle - stellt sicher, dass personenbezogene Daten, welche im Auftrag verarbeitet werden, nur auf Weisung des Auftraggebers verarbeitet werden,

  • • Verfügbarkeitskontrolle - gewährleistet einen Schutz vor zufälliger Zerstörung oder vor unbeabsichtigtem Verlust personenbezogener Daten,

  • • Trennungsgebot - stellt sicher, dass Daten, welche zu unterschiedlichen Zwecken erhoben wurden ausschließlich im Rahmen ihrer Zweckbestimmung verarbeitet oder genutzt werden, insbesondere also, dass es zu keinem unbefugtem Zusammenführen von Datensätzen einer natürlichen Person kommt.


Telefaxwerbung
Telefaxwerbung ist ohne das vorherige Einverständnis des Beworbenen sowohl im privaten, als auch im gewerblichen Bereich stets unzulässig. Dies begründet sich damit, dass der Rahmen des Zumutbaren durch die mit der Faxwerbung für den Empfänger verbundenen Papier- und ggf. auch Personalkosten regelmäßig überschritten wird. Faxwerbung ohne Einwilligung verstößt damit nicht nur gegen die Grundsätze des Datenschutzes, sondern auch gegen die guten Sitten im Sinne des § 1 UWG. Ist der Empfänger ein Gewerbetreibender, kommt darüber hinaus auch ein unzulässiger Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb in Betracht.


Telefonwerbung
Telefonwerbung ist gegenüber Privatpersonen nur dann zulässig, wenn diese zuvor ihr Einverständnis hierzu abgegeben haben, unabhängig davon, ob Neukunden geworben werden sollen, oder der Anruf der Kundenpflege oder -rückgewinnung dient.


Gegenüber Gewerbetreibenden wird diese Praxis weniger restriktiv gehandhabt, sofern das beworbene Produkt den Geschäftsbereich des Beworbenen betrifft. Einwilligungen können hier auch als konkludent erteilt betrachtet werden, wenn entsprechende Anhaltspunkte bestehen, oder branchenüblich sein.


Trennungsgebot


U

Übermittlung von Daten
Eine Übermittlung von Daten erfolgt dann, wenn die verarbeitende Stelle personenbezogene Daten durch Weitergabe, Einsichtnahme oder Abruf Dritten zukommen lässt (§ 3 Abs. 4 Nr. 3 BDSG). Eine bloße Bereitstellung dieser Daten zum Abruf genügt hingegen nicht. Die Übertragung von Daten an den Betroffenen ist keine Übermittlung im Sinne des BDSG, da dieser kein "Dritter" ist.


V

Veränderung von Daten
Verändern ist das inhaltliche Umgestalten personenbezogener Daten.


Verantwortliche Stelle
Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (§ 3 Abs. 7 BDSG).


Verarbeitung von Daten
Verarbeiten von personenbezogenen Daten ist deren Speichern, Verändern, Übermitteln, Sperren oder Löschen (§ 3 Abs. 4 BDSG).


Verarbeitung von Daten, automatisierte
Eine automatisierte Verarbeitung personenbezogener Daten ist immer dann gegeben, wenn die Erhebung, Verarbeitung oder Nutzung unter dem Einsatz von Datenverarbeitungsanlagen erfolgt (§ 3 Abs. 2 BDSG).


Verarbeitung von Daten, nicht automatisierte
Eine nicht automatisierte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten liegt vor, wenn diese Daten ohne elektronische Unterstützung gesammelt werden. Diese Sammlung muss so strukturiert sein, dass das Auffinden personenbezogener Daten aufgrund ihrer Systematik erleichtert wird (z.B. Aktenregister). Hierfür genügt bereits eine alphabetische Ordnung, sofern personenbezogene Angaben als Suchkriterien fungieren.


Verbraucherschutz,
Datenschutz und Verbraucherschutz stehen in einer engen gegenseitigen Beziehung und sind teilweise deckungsgleich. Dies gilt vor allem für den E-Commerce-Bereich. Das Bundesverfassungsgericht bereits in seinem “Volkszählungsurteil” (BverfG 65, 1) aus dem Jahre 1983 den Begriff des Rechtes auf informationelle Selbstbestimmung geprägt. Kernsatz ist, dass jeder Bürger - und somit auch jeder Verbraucher - grundsätzlich das Recht hat, selbst zu entscheiden, wer welche persönlichen Daten von ihm erhalten soll. Jeder soll selbst „Herr seiner Daten“ sein.


Das BDSG trägt dem Rechnung, indem es öffentlichen und privaten Stellen erhebliche Restriktionen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten auferlegt. Ohne die ausdrückliche Einwilligung des Betroffenen ist eine solche grundsätzlich unzulässig. Lediglich in einigen, durch Gesetze bestimmte Ausnahmefällen ist die Einwilligung entbehrlich.


Hieraus ergeben sich eine Vielzahl von Rechten der Betroffenen oder auch der Allgemeinheit. Insbesondere kann jedermann ohne Nennung von Gründen verlangen:
  • • Einsichtnahme in die öffentlichen Verfahrensverzeichnisse, die für jeden Vorgang der automatisierten Datenverarbeitung zu führen sind und bestimmte Inhalte umfassen müssen.
  • • Auskunft über die von ihm gespeicherten Daten, den Zweck ihrer Speicherung sowie über Empfänger oder Empfängerkategorien im Falle der Weiterübermittlung an Dritte.
  • • Auskunft über die Herkunft der Daten
Unternehmen und Behörden sind zur kostenlosen Auskunfterteilung Verpflichtet!


Verfahrensverzeichnis
Das Unternehmen hat dem Datenschutzbeauftragten Verzeichnisse der meldepflichtigen Verfahren zur Verfügung zu stellen (§ 4g Abs. 2 BDSG). Diese bilden für den betrieblichen Datenschutzbeauftragten die Arbeitsgrundlage zu Aufbau und Strukturierung des betrieblichen Datenschutzes. Ihr Inhalt richtet sich nach § 4e BDSG.


In der Praxis werden diese Verzeichnisse jedoch aus praktischen Gründen meist vom Datenschutzbeauftragten selbst erstellt. Das Verfahrensverzeichnis muss eine hinreichende Aussagekraft haben und sich stets auf aktuellem Stand befinden. Das Verfahrensverzeichnis besteht aus einem öffentlichen und einem nicht öffentlichen Teil. Der öffentliche Teil muss auf Anfrage jedem Interessenten zugänglich gemacht werden (§ 4g Abs. 2 S. 2 BDSG). Diese Pflicht wird z.B. erfüllt, wenn das „öffentliche“ Verfahrensverzeichnis im Internet abrufbar ist.


Informationen für betriebliche Datenschutzbeauftragte über die Erstellung von Verfahrensverzeichnisse finden Sie hier.


Videoüberwachung
Hier ist stets zwingend zwischen der Überwachung öffentlicher und nicht-öffentlicher Bereiche zu unterscheiden. § 6b Bundesdatenschutzgesetz (BDSG) erfasst lediglich die Überwachung öffentlich zugänglicher Bereiche. Die Rechtmäßigkeit der Überwachung nicht-öffentlicher Bereiche hingegen richtet sich meist nach § 28 Abs. 1 Nr. 2 BDSG.


Vorabkontrolle
Automatisierte Verarbeitungen personenbezogener Daten müssen bereits vor ihrem Beginn geprüft werden, sofern sie besondere Risiken für die Rechte und Freiheiten der Betroffenen bergen. Dies ist immer dann der Fall, wenn besonders sensitive Daten im Sinne des § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG) zur Verarbeitung gelangen sollen, oder wenn die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten und Leistungen zu bewerten, § 4d Abs. 5 Bundesdatenschutzgesetz (BDSG).


Art und Umfang der Kontrolle sind nicht normiert. Aus dem Inhalt der durch das Bundesdatenschutzgesetz (BDSG) umgesetzten EU-Richtlinie zum Datenschutz kann jedoch gefolgert werden, dass die Kontrolle schriftlich zu dokumentieren ist und mindestens eine nicht bindende Stellungnahme, besser jedoch ein verbindliches Ergebnis enthalten muss. Gegenstand der Prüfung ist die Zulässigkeit des beabsichtigten Verfahrens sowie die Feststellung, ob eine den speziellen Risiken entsprechende Vorsorge getroffen wurde.


Vorratsspeicherung
Die Speicherung personenbezogener Daten auf Vorrat, d.h. für nicht bekannte Zwecke, ist nicht zulässig.


W

Wartungsarbeiten
Von beauftragten Dritten durchgeführte Wartungsarbeiten, auch Fernwartung, von Datenverarbeitungsanlagen sind keine Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG), da hierbei keine personenbezogenen Daten verarbeitet werden, sondern allenfalls ein Zugriff auf diese erfolgt. Durch den Zugriff auf personenbezogene Daten haben sie, was ihre sicherheitstechnische Relevanz anbelangt, jedoch eine große Ähnlichkeit zur Auftragsdatenverarbeitung. Deshalb schreibt der Gesetzgeber in § 11 Abs. 5 BDSG die analoge Anwendung der Vorschriften zur Auftragsdatenverarbeitung vor (§ 11 Abs. 1 bis 4 BDSG).


Weitergabekontrolle


Werturteile
Betroffenen handelt, ist nicht unumstritten und bedarf im Zweifel einer Einzelfallentscheidung. Insbesondere im Hinblick auf die besondere Sensibilität von Werturteilen im Prüfungs- und Personalbereich wird in der Fachliteratur vertreten, dass auch Werturteile dem Schutz des BDSG unterfallen können.


Widerspruchsrecht
In vielen Fällen muss der Betroffene vor Verwendung seiner Daten - z.B. zu Werbezwecken oder zur Markt und Meinungsforschung - vorher seine Einwilligung erteilen. Der Betroffene kann der Nutzung oder Übermittlung personenbezogener Daten aber auch jederzeit wieder widersprechen.


Z

Zugangskontrolle


Zugriffskontrolle


Zutrittskontrolle


Zulässigkeit der Datenverarbeitung im nicht öffentlichen Bereich
Im Bereich der privaten Wirtschaft ist die Verarbeitung personenbezogener Daten für eigene Zwecke grundsätzlich dann zulässig, wenn es die Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses dient. Strengere Anforderungen sind an die Verarbeitung personenbezogener Daten für fremde Zwecke geknüpft. Diese ist nur dann zulässig, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Verarbeitung hat.


Zulässigkeit der Datenverarbeitung im öffentlichen Bereich
Im öffentlichen Bereich ist das Verarbeiten personenbezogener Daten zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist.


Zweckbindung/Zweckbestimmung
Personenbezogene Daten dürfen nur dann erhoben werden, wenn vorab ihre Zweckbestimmung festgelegt wurde. Über diese Zweckbestimmung muss der Betroffene informiert werden. Eine nur vage Definition der Zweckbestimmung genügt nicht. Sie muss so deutlich wie möglich formuliert werden. Eine von der ursprünglichen Zweckbestimmung abweichende Bearbeitung oder Nutzung personenbezogener Daten ist ohne die erneute Einwilligung des Betroffenen nicht zulässig.
Inhaltsverzeichnis 0–9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
 
Copyright 2016. All rights reserved.
Zurück zum Seiteninhalt | Zurück zum Hauptmenü