Arbeitsrecht: Datenschutzrecht – Anspruch des Betriebsrats auf Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Hat ein Betriebsrat im Rahmen des betriebsverfassungsrechtlichen Informationsanspruchs einen Anspruch auf einen Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Die Rechtsprechung, zum Beispiel das LAG Nürnberg vom 04.08.2004 in RDV 2006 84 L, verneint einen Anspruch aufgrund eines gesetzlichen Online-Zugriffrechts des Betriebsrats. In der zitierten Entscheidung forderte der Betriebsrat den Zugang zu einem SAP – Entgeltabrechungssystem des Arbeitgebers. Nach Ansicht des LAG Nürnberg steht dem Betriebsrat weder als Ausformung seiner Rechte aus § 80 BetrVG noch als Sachausstattung nach § 40 BetrVG ein eigenständiger oder auftragsgemäßer Zugang zu dem arbeitgebergebräuchlichen SAP – Entgeltabrechungssystem zu. Nach Ansicht der Richter des LAG Nürnberg existiere eine entsprechende Anspruchsgrundlage nicht.

Auch das Bundesarbeitsgericht hatte in seiner Entscheidung zum Zugangsrecht des Betriebsrats zum Internet gemäß § 40 Abs. 2 BetrVG vom 03.09.2003 (Az. DAGE 107,231 bzw. NZA 2004, Seite 280) keine Hinweise erteilt, dass sich aus § 40 Abs. 2 BetrVG ein Recht auf Online-Zugriff oder ein Recht auf sonstige Zugriffe auf beim Arbeitgeber elektronisch gespeicherte Daten des Betriebsrats ergeben könnte. Sämtliche weitere in Betracht kommenden Normen, insbesondere auch Überlegungen zur Auftragsdatenverarbeitung gemäß § 11 BDSG greifen hier nicht. Eine entsprechende Anspruchsgrundlage existiert nicht. Die einzige Möglichkeit bleibt letztlich, dass auf Grundlage einer freiwillig geschlossenen Betriebsvereinbarung zwischen Arbeitgeber und Betriebsrat ein über die Gesetzesgrundlagen hinausgehendes Recht eingeräumt wird. Gleichwohl ist hier zu berücksichtigen, dass ein als Online-Zugriffsrecht ausgestaltetes Informationsrecht des Betriebsrats an die Grenzen von § 80 Abs. 2 BetrVG gebunden ist. Es muss diesbezüglich ein konkreter Aufgabenbezug bestehen! Insofern kann der Betriebsrat nicht beliebig auf personenbezogene Daten des Arbeitsgebers online Zugriff nehmen. Dies kann er lediglich zur Erfüllung seiner betriebsverfassungsrechtlich garantierten Aufgaben.

Bereits das BAG hat in seiner Entscheidung vom 23.03.2010 (Az. 1 ABR 81/08) klargestellt, dass ein Betriebsrat nicht jede Auskunft verlangen kann, nur weil die dadurch vermittelten Erkenntnisse ihn insgesamt sachkundiger machen würden. Immerhin darf ein Online-Zugriff nicht dazu dienen, völlig aufgabenbezugslos die Unternehmensstrategie „auszuforschen“. Insofern ist ein schrankenloser Online-Zugriff auch aufgrund einer freiwilligen Betriebsvereinbarung des Betriebsrats mit dem Arbeitgeber nicht möglich, da es immer einen Aufgabenbezug geben muss.

Es bestehen darüber hinaus weitere andere Grenzen des Online-Zugriffs: Der Betriebsrat darf Informationen nicht um ihrer selbst Willen verlangen. Erst recht hat der Betriebsrat keine Möglichkeit, sich Informationen im Wege eines Selbsthilferechts zu beschaffen. Datenschutzrechtlich ist zu konstatieren, dass der Betriebsrat sowohl nach Auffassung des Bundesarbeitsgerichts als auch nach ganz herrschender Meinung Teil der verantwortlichen Stelle des Arbeitsgebers ist, also datenschutzrechtlich Teil des datenverarbeitenden Arbeitsgebers ist. Es ergibt sich jedoch eine Pflicht des Arbeitsgebers zur Ergreifung technischer Maßnahmen wie der Verschlüsselung, Anonymisierung, Pseudonymisierung oder des Mitspeicherns (Logging – Erstellen von Logfiles) aller durchgeführten Aktionen. Dies ergibt sich bereits aus dem Umstand, dass der Betriebsrat nach inzwischen überwiegender Auffassung dem Datengeheimnis gemäß § 5 Satz 1 BetrVG unterliegt (Vgl. hierzu Bundesarbeitsgericht in NZA 2009, Seite 1218).

Der Arbeitgeber ist bekanntlich nach § 9 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG zu gewährleisten. Dies betrifft im Falle des Online-Zugriffs personenbezogener Daten durch den Betriebsrat auch diesen Datenfluss, sodass auch hier der Arbeitgeber zusammen mit dem Betriebsrat Maßnahmen ergreifen muss, damit im Sinne des § 9 BDSG bzw. der Anlage zu § 9 Satz 1 BDSG die Datensicherheit gewährleistet ist. Sofern es sich bei der Datenerhebung / Verarbeitung um eigene Daten des Betriebsrats handelt, unterliegt dieser lediglich der Selbstkontrolle. Handelt es sich hingegen um vom Arbeitgeber erhobene Daten, die der Betriebsrat durch Online-Zugriff dann nutzt bzw. verarbeitet, unterliegen diese Datenflüsse der Kontrolle des Datenschutzbeauftragten des Betriebs. Allerdings darf dies nicht dazu führen, dass das Gebot der Freiheit des Betriebsrats unterlaufen wird und quasi hier der Arbeitgeber durch den betrieblichen Datenschutzbeauftragten Kontrolle über die Tätigkeiten des Betriebsrats erlangt.

Fraglich ist, ob die betroffenen Arbeitnehmer über den konkreten Online-Zugriff des Betriebsrats auf personenbezogene Arbeitnehmerdaten des Arbeitgebers informiert werden müssen? Betriebsverfassungsrechtlich ergeben sich hier keine Anhaltspunkte. Es können sich jedoch aus dem Bundesdatenschutzgesetz entsprechende Verpflichtungen ergeben. Allerdings liegt im Zweifel bei dem bloßen Leserecht in Bezug auf die Daten des Arbeitsgebers eine Nutzung und keine Änderung oder Speicherung ohne Kenntnis des Arbeitnehmers vor, sodass die Betroffenen nicht gemäß § 33 BDSG zu informieren sind.

Karsten Klug
Fachanwalt für Arbeitsrecht, Hamburg

Datenschutzrecht: Was ist bei der Videoüberwachung zu berücksichtigen?

Aus „gegebenen“ Anlass möchte ich Ihnen mit diesem Artikel einige Informationen zur Videonutzung in Ihrem Unternehmen an die Hand geben. Aktuell erhalte ich immer mehr Anfragen von Mandanten, die von den jeweilig zuständigen Landesdatenschutzbehörden angeschrieben wurden und um Auskunft über die Verwendung von Videokameras aufgefordert werden. Anlass dieser Überprüfungen sind jeweils Anzeigen bei den zuständigen Landesdatenschutzbehörden (z.B. durch Mitarbeiter oder ehemalige Mitarbeiter sowie Kunden).

 

Sofern Sie Videokameras einsetzen möchten, sollten Sie vorher folgende Überlegungen anstellen und auch folgende Abwägungen treffen:

1. Allgemeines

Nach der Rechtsprechung (sowohl des Bundesarbeitsgerichtes, vgl. BAG, Beschluss vom 26. August 2008 – 1 ABR 16/07 –, BAGE 127, 276-297, als auch z.B. des BVerfG in Kammerbeschluss vom BVerfG, Stattgebender Kammerbeschluss vom 23. Februar 2007 – 1 BvR 2368/06 –)  greift jede Videoüberwachung in das Recht der betroffenen Personen ein über die Bilddaten selbst zu bestimmen. Des Weiteren erzeugen Kameras nach der Auffassung der Gerichte  einen Überwachungsdruck, der zu Verunsicherungen der Betroffen führt und die Verhaltensweisen der Betroffenen beeinflussen kann. Das Bundesverfassngsgericht hat in seiner zuvor zitierten Entscheidung nicht nur festgehalten, dass das allgemeine Persönlichkeitsrecht nicht nur den Schutz der Privat- und Intimspähre gewährleistet, sondern auch das Recht auf informationelle Selbstbestimmug gewährleistet. Diesem Grundrecht stehen die Interessen der Unternehmen und das Grundrecht am eingerichteten und ausgeübten Gewerbebetrieb, Eigentumsrechte und ggf. die Berufsausübungsfreiheit entgegen. Aufgrund dessen muss im Rahmen einer sogenannten Interessenabwägung in jedem individuellen Einzelfall der Zweck der Videoüberwachung geprüft werden und sodann die Angemessenheit, Erforderlichkeit und Verhältnismäßigkeit geprüft werden.

2. Rechtsgrundlage
Die mittels der Videokamera ggf. erhobenen personenbezogenen Bilddaten, sind personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Nach den Regelungen des Bundesdatenschutzgesetzes sind die Datenerhebung / Speicherung / Verwendung ersteinmal verboten, es sei denn, dass eine Rechtsvorschrift dieses ausdrücklich erlaubt oder die Einwilligung des Betroffenen vorliegt. Es handelt sich somit um eine „Verbotsnorm mit Erlaubnisvorbehalt“. Als maßgebliche Norm bei den sogenannten „nicht-öffentlichen Stellen“ (juristische Personen des privaten Rechts, vgl. § 2 Abs. 4 BDSG) kommt § 6 b BDSG in Betracht.Diese Vorschrift lautet wie folgt:

§ 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie

1.zur Aufgabenerfüllung öffentlicher Stellen,

2.zur Wahrnehmung des Hausrechts oder

3.zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

          erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

 Unter folgenden Voraussetzungen ist eine Videoüberwachung von öffentlich zugänglichen Räumen zulässig:

  • Optische-elektonische Einrichtungen = Videoüberwachung (erfasst sind somit Videokameras aller Art; nicht erfasst sind Ferngläser oder Videokameraatrappen sowie auch die akustische Überwachung)
  • öffentlich-zugängliche Räume
    § 6b BDSG findet nur Anwendung auf die Beobachtung von „öffentlich zugänglichen Räumen“. Dies betrifft somit Räumlichkeiten, die dem Zwecke nach von einer Vielzahl von Personen frei oder nach allgemein erfüllbaren Kriterien betreten und genutzt werden. Es ist dabei unerheblich, ob die Räume umschlossen oder überdacht sind. Auch kommt es nicht auf die Eigentumsverhältnisse bei dem Beobachtungsobjekt an (Beispiele sind: Verkaufsräume von Geschäften, Einkaufspassagen, Restaurants, Cafes, Kaufhäuser etc.). Ebenfalls fallen darunter auch solche Bereiche, die nur „frei zugänglich“ sind, wenn zuvor eine Eintrittskarte erworben wurde (z.B. U-Bahnen, Theater, Fußballstadion etc.). Ausdrücklich nicht öffentlich zugängliche Räume sind z.B. die Privatwohnung, das abgeschlossene bzw. befriedete Firmen- oder Werksgelände, Büro- und Sozialräume.
  • „Beobachtung“ ist nicht nur die Aufnahme von öffentlich zugänglichen Räumen und Übertragung der Bilder auf Bildschirme, sondern ferner müssen diese Aufnahme auch aufgezeichnet und ggf. ausgewertet werden können. Ferner wird die Speicherung mit analoger Technik nicht von dieser Vorschrift erfasst (BDSG Kommentar Gola/Schomerus, 11. Auflage, § 6b, Rdnr. 10).  Durch die Begriffe „Beobachtung“ in Absatz 1 und die weiteren Begriffe „Verarbeitung“ und „Nutzung“ in Absatz 3 wird deutlich, dass § 6b BDSG bereits dann eingreift, wenn Bilddaten durch optisch-elektronische Einrichtungen sichtbar gemacht werden. Aufgrund dessen ist nach Auffassung der Datenschutzbehörden bereits der Tatbestand von § 6b BDG eröffnet, wenn Bilder live auf einen Bildschirm übertragen werden, ohne explizite Speicherug der Bilder. Demgegenüber wird z.B. im vorgenannten Kommentar vertreten, dass die Beobachtung eine Tätigkeit von gewisser Dauer voraussetzt.  Insofern ist dieser Punkt streitig. Auch § 6b BDSG setzt das Erheben von personenbezogenen Daten voraus. Somit müssen die „beobachteten“ Personen individualisierbar sein. Der Tatbestand des § 6b BDSG ist z.B. nicht erfüllt, wenn die Videoaufzeichnung so pixelig und unscharf ist,  so dass dort nur Schatten erkannt werden können und die dort gezeigten Personen nicht individualisierbar sind.
  • Die zulässigen Zwecke der Videoüberwachung sind in den Nr. 1 bis Nr. 3 geregelt. Für die nicht-öffentlichen Stellen sind lediglich die Nr 2. und die Nr. 3 relevant. Somit kommen in Betracht „die Wahrnehmung des Hausrechts“ sowie die „Wahrnehmung berechtigter Interessen für konkret festgelegt Zwecke“. Im ersteren Fall ist der Inhaber des Hausrechts grundsätzlich befugt, die zum Schutze des Objektes bzw. zur Abwehr unbefugten Betretens erforderlichen Maßnahmen zu treffen. Der Zweck der Videoüberwachung „zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke“ stellt einen eng auszulegenden Ausnahmetatbestand dar. Der konkrete Zweck muss vor Inbetriebnahme der Anlage festgelegt und dokumentiert werden.
  • Sind die vorgenannten Voraussetzungen erfüllt, so ist die Erforderlichkeit zu prüfen. Nach Auffassung der Datenschutzbehörden genügt eine abstrakte Gefährdungslage in aller Regel nicht aus. Vielmehr sind belegbare Vorkommnisse in der Vergangenheit erforderlich. Sodann muss die Videoüberwachung für den festgelegten Zweck geeignet sein. Dies ist nur dann der Fall, wenn das Überwachungsziel tatsächlich erreicht wird und kein anderes, gleich wirksames, den Betroffenen weniger in seinen Rechten beeinträchtigendes Mittel zur Verfügung steht.
  • Schließlich ist zu prüfen, ob überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. Dies erfolgt im Rahmen einer Abwägung der wechselseitigen Interessen.

3. Kenntlichmachung der Beobachtung

Die Videoüberwachung ist deutlich kenntlich zu machen (Videokameras sind sichtbar zu installieren und es sollten im Eingangsbereich bzw. vor Betreten der videoüberwachten Bereiche entsprechende Hinweisschilder installiert sein).

Achtung: Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht.

Auch ist daran zu denken, dass gem. § 4d Abs. 5 BDSG eine Vorabkontrolle vor Inbetriebnahme der Überwachungskameras erfolgen muss, sofern von den Videokameras besondere Risiken für die Rechte und Freiheiten der Betroffenen ausgehen. Dies wird regelmäßig bejaht bei dem Einsatz mehrerer Kameras, so dass technisch die Möglichkeit besteht Bewegungsprofile zu erstellen oder wenn die eingesetzte Technik entsprechende Risiken auslöst (z.B. schwenkbare Kameras mit hoher Bildauflösung).

 

Dieses dient nur zur groben Orientierung. Für Detailfragen und Beratung rund um das Thema „Videoüberwachung“ stehe ich Ihnen gerne zur Verfügung. Vereinbaren Sie gerne einen Beratungstermin.

Karsten Klug

Externer Datenschutzbeauftragter (TÜV zertifiziert).

Datenschutz in sozialen Netzwerken

Beschluss des Düsseldorfer Kreises vom 08.12.2011.

In seinem Beschluss stellte der Düsseldorfer Kreis klar, dass Betreiber von sozialen Netzwerken das Datenschutzrecht in Deutschland beachten müssen. Dies gilt auch für Betreiber des europäischen Wirtschaftsraumes. Zumindest gilt dies hinsichtlich der Daten von Betroffenen in Deutschland gemäß § 1 Abs. 5 Satz 2 BDSG, soweit die Betreiber ihre Datenerhebungen durch Rückgriff auf Rechner von Nutzerinnen und Nutzern in Deutschland realisieren. Nach dem Beschluss des Düsseldorfer Kreises müssen Betreiber von sozialen Netzwerken folgende Rechtmäßigkeitsanforderungen erfüllen, wenn sie in Deutschland aktiv sind:

  1. Es muss eine leicht zugängliche und verständlichen Hinweis über die Information gegeben werden, welche Daten erhoben werden und für welchen Zweck diese erhoben und verarbeitet werden. Nur so kann das Recht auf informationelle Selbstbestimmung gewahrt werden. Grundsätzlich müssen die Voreinstellungen des Netzwerkes auf dem Einwilligungsprinzip beruhen.
  2. Es soll eine möglichst einfache Möglichkeit der Betroffenen geben, ihre Ansprüche auf Auskunft, Berichtigung und Löschung der Daten geltend zu machen. Insofern sind entsprechende Kontaktdaten leicht auffindbar und für die Betroffenen bereit zu halten.
  3. Die Verwertung von Fotos zu Zwecken der Gesichtserkennung bzw. das Speichern und Verwenden biometrischer Gesichtserkennungsmerkmale sind ohne ausdrückliche und bestätigte Einwilligung des Betroffenen unzulässig.
  4. Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsmöglichkeiten in sozialen Netzwerken. Im Hinblick auf Nutzungsdaten enthält es, sofern keine diesbezügliche Einwilligung vorliegt, ein Verbot der personenbeziehbaren Profilbildung und die Verpflichtung, nach Beendigung der Mitgliedschaft sämtliche Daten zu löschen.
  5. Das direkte Einbinden von Social Plugins wie Facebook, Twitter etc. in Webseiten deutscher Anbieter, wodurch eine Datenübertragung den jeweiligen Anbieter der Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und Nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.
  6. Die großen Mengen teils auch sehr sensibler Daten, die in sozialen Netzwerken anfallen, sind durch geeignete technische-organisatorische Maßnahmen zu schützen. Der Nachweis, dass entsprechende Maßnahmen getroffen worden sind, obliegt den Anbietern.
  7. Daten von Minderjährigen sind insbesondere zu schützen. Informationen über die Verarbeitung von Daten müssen somit auch für Minderjährige leicht verständlich sein und auf dem Empfängerhorizont der Minderjährigen Rücksicht nehmen.
  8. Betreiber, die außerhalb des europäischen Wirtschaftsraumes ansässig sind, müssen gemäß § 1 Abs. 12 Satz 3 BDSG einen Inlandsvertreter bestellen, der Ansprechperson für die Datenschutzaufsicht ist.
  9. Darüber hinaus gilt für in Deutschland ansässige Unternehmen, welche für das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen möchten oder sich mit entsprechenden Fanpages im Netzwerk präsentieren, dass dieses eine eigene Verantwortung hinsichtlich der Daten von Nutzern und Nuterzinnen haben. Zuvor müssen Erklärungen eingeholt werden, die eine Verarbeitung von Daten der Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Nach Ansicht des Düsseldorfer Kreises sind solche Erklärungen lediglich dann rechtswirksam, wenn verlässliche Informationen über die von dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzbetreiber gegeben werden können.

Nach Ansicht des Düsseldorfer Kreises können Webseitenbetreiber, die in der Regel keinerlei Kenntnisse über die Datenverarbeitungsvorgänge haben, die beispielsweise durch Social Plugins ausgelöst werden, für eventuelle Rechtsverstöße haftbar gemacht werden. Zumindest laufen entsprechende Seitenbetreiber Gefahr, dass sie hier selbst Rechtsverstöße begehen, dadurch dass sie auf ihren eigenen Seiten entsprechend Social Plugins anbieten. Desweiteren dürfen die Anbieter deutscher Internetseiten, die nicht über den Überblick über die durch einen Plugin mögliche Datenverarbeitung haben, nicht ohne weiteres in ihr eigenes Angebot einbinden.

Datenschutz: Datenschutzrecht in Europa

In Europa ist durch den europäischen Gesetzgeber in der Richtlinie EG-DSRl (Richtlinie 95/46/EG) der europäische Schutz personenbezogener Daten geregelt worden.

Die EG-DSRl waren so konzipiert, dass diese als einheitlicher Umsatzmaßstab (auf hohem Niveau) dienen sollte. Ausdrücklich sollte durch die Umsetzung dieser Richtlinie in den einzelnen Ländern keine Reduzierung des Schutzniveaus der personenbezogenen Daten stattfinden.

Daneben sind die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) und die Richtlinie über die Vorratsdatenspeicherung (Richtlinie 2006/24/EG) erlassen worden. Letztere sorgt aktuell wieder für sehr viel Gesprächsstoff, da das europäische Parlament Deutschland zu einer entsprechenden Umsetzung bzw. bereits auch jetzt zur Vorratsdatenspeicherung auffordert.

Als ein wesentlicher Unterschied zwischen der EG-DSRl und dem BDSG ist unter anderem die fehlende Differenzierung zwischen der Datenverarbeitung durch öffentliche und nicht-öffentliche Stellen zu nennen. Dies steht jedoch nicht der Umsetzung bzw. der heutigen Regelung im BDSG und der dort vorgenommenen Differenzierung zwischen öffentlichen und privaten Stellen entgegen. Auch erfasst die EG-DSRl gleichermaßen die automatisierte und auch die nicht-automatisierte Verarbeitung. Schließlich liegt der EG-DSRl ein umfassender Begriff der Datenverarbeitung zugrunde, der auch die Datenerhebung und die Nutzung umfasst, was nun auch in § 3 Abs. 3 und Abs. 5 BDSG aufgenommen worden ist.

Die Umsetzung der EG-DSRl erfolgte (trotz Frist bis zum 24.10.1998) erst im Jahre 2001, nachdem bereits gegen Deutschland ein Vertragsverletzungsverfahren durch die Europäische Kommission eingeleitet worden war. Prägend war bereits dort die Aufnahme der Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG), sowie des Datenschutzes durch Technik oder eines Datenschutzaudits (§§ 9, 9a BDSG).

Hier lag oder liegt ein großes Problem von Europa! Durch die Richtlinienkompetenz, galten diese Normen nicht unmittelbar und zwingend in den einzelnen EU-Ländern, sondern mussten erst jeweils umgesetzt werden. Allein dies sorgte natürlich für unterschiedliche Schutzniveaus.

Durch den Vertrag von Lissabon (in Kraft getreten am 01.12.2009) gab es noch einmal neue Impulse in Bezug auf das europäische Datenschutzrecht. Zum einen sind die drei Säulen der Europäischen Union, nämlich die Europäische Gemeinschaft (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitestgehend vereinigt worden. Zum anderen regelt Art. 16 Absatz 2 AEUV (Konsolidierte Fassung des Vertrages über die Arbeitsweise der Europäischen Union) nun die Zuständigkeit für den Erlass von Datenschutzvorschriften umfassend und ordnet an, dass sowohl vom Parlament als auch vom Rat Datenschutzvorschriften im ordentlichen Gesetzgebungsverfahren erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und somit dessen Kompetenzen erheblich vergrößert.

Inhaltlich ist eine Erweiterung durch den Vertrag von Lissabon insoweit eingetreten, als dass die EU nun auch Regelungen aufstellen kann, die nicht nur für die Verarbeitung personenbezogener Daten für die europäischen Organe und Einrichtungen gelten, sondern auch für die Mitgliedstaaten. Zudem ist mit dem Vertrag von Lissabon die Europäische Grundrechte-Charta für alle Staaten (bis auf Großbritannien und Polen) rechtsverbindlich geworden, die in Art. 8 das Grundrecht des Schutzes personenbezogener Daten enthält.

 

Durch den Vertrag von Lissabon ist es Europa möglich geworden, selbst Datenschutzverordnungen zu erlassen, die sodann unmittelbar und zwingend in allen europäischen Ländern gelten.

Dies wird aktuell durch eine neue EU Datenschutzverordnung geplant. Ein erster Entwurf / Vorschlag ist am 25.1.2012 vorgelegt worden. 

Weitere Hinweise zur EU-Datenschutzverordnung finden Sie hier.

Datenschutz: Die Auftragsdatenverarbeitung (§ 11 BDSG)

Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. Voraussetzung ist,

  • dass personenbezogene Daten
  • im Auftrag der verantwortlichen Stelle
  • durch eine andere Stelle erhoben, verarbeitet oder genutzt werden sollen.

Nach der Grundkonzeption liegt eine Auftragsdatenverarbeitung nur dann vor, wenn der Auftragnehmer weisungsgebunden (ohne eigenen Wertungs- und Entscheidungsspielraum) für den Auftraggeber tätig wird. Ist dies nicht der Fall, liegt eine Datenübermittlung an einen Dritten vor (Funktionsübertragung), so dass der Auftragnehmer selbst zur verantwortlichen Stelle wird. Entscheidend ist (wie immer) nicht der Wortlaut einer Vereinbarung, sondern der tatsächliche Inhalt des Auftrags bzw. wie dieser gelebt wird.

Zudem ist streitig, ob weitere Anforderungen hinzutreten müssen:
Nach der sog. „Funktionsübertragungstheorie“ kommt es auf die reine „Hilfsfunktion“ des Auftragnehmers an.
Nach der Vertragstheorie kommt es auf die vom Auftragnehmer übernommene Aufgabe an, d.h. auch hier auf die Weisungsgebundenheit. Es kommt somit nicht auf das an, was delegiert wird, sondern auf das wie.

Fälle der Auftragsdatenverarbeitung sind z.B. Marketingmaßnahmen, wenn diese streng von dem Auftraggeber vorgegeben werden, aber auch das klassische IT – Outsourcing, wenn zumindest der IT – Dienstleister an die Vorgaben des Auftraggebers gebunden bleibt.

Auch die Auftragsdatenverarbeitung im Konzern ist möglich, so lange keine Anhaltspunkte dafür vorhanden sind, dass sich die beauftragte Ober- oder Muttergesellschaft nicht an die erteilten Weisungen hält (so z.B. bei einer konzernweiten Personaldatenbank).

Quasi als Rechtsfolge bleibt bei der Auftragsdatenverarbeitung der Auftraggeber gem. §§ 11 Abs.1 S.1, 3 Abs. 7 BDSG allein für die Einhaltung der jeweils einschlägigen datenschutzrechtlichen Anforderungen verantwortlich.

Dies umfasst

  • die Zulässigkeit der Erhebung, Verarbeitung, Nutzung der Daten nach allgemeinen und bereichsspezifischen Vorschriften
  • die Wahrung der Rechte des Betroffenen sowie
  • die Haftung gegenüber den Betroffenen.

Der Auftraggeber ist verpflichtet, den Auftragnehmer sorgfältig auszuwählen und zu überwachen.

§ 11 Abs. 2 S. 2 BDSG enthält eine nicht abschließende Liste von Punkten, die der Auftrag enthalten muss:

  • den Gegenstand und die Dauer des Auftrags,
  • den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die Form des Auftrags ist die Schriftform.

Dem Auftragnehmer obliegen folgende Verpflichtungen:

  • Weisungsgebundenheit
  • Hinweispflichten bei Rechtsverstößen

Für die IT – Branche ist § 11 Abs. 5 BDSG interessant (Prüfung und Wartung von DV – Anlagen). Immer dann, wenn seitens externer Dienstleister bei der Systembetreuung die Möglichkeit eines Zugriffs auf personenbezogene Daten besteht, ist § 11 Abs. 5 BDSG anwendbar. Dies ist z.B. auch bei der Fernwartung (Remote-Access) zu beachten.

Falls Sie Fragen im Rahmen der Auftragsdatenverarbeitung haben oder Hilfestellung bei der Formulierung einer schriftlichen Vereinbarung benötigen, stehe ich Ihnen gerne zur Verfügung.

Datenschutz: Die Auskunftspflichten gegenüber dem Betroffenen

§ 34 BDSG:

§ 34 BDSG regelt den Anspruch auf Auskunft des Betroffenen gegenüber den datenverarbeitenden Stellen. Die Voraussetzungen des § 34 BDSG sind:

  • Auskunftsverlangen des Betroffenen
  • Identifikation des Betroffenen
  • Nähere Bezeichnung der Daten (sofern möglich – ist dies nicht möglich, wird der Antrag so ausgelegt, dass Auskunft über alle zu seiner Person gespeicherten Daten begehrt wird)

Der Umfang der Auskunft:

Grundsätzlich sind von dem Anspruch alle Daten erfasst, die zur Person des Betroffenen gespeichert sind.Insbesondere folgende Punkte:

  • „Daten zur Person des Betroffenen“ entspricht dem Begriff personenbezogene Daten gem. § 3 Abs. 1 BDSG.
  • Der Anspruch auf die Herkunft der Daten besteht nur, wenn diese Angabe in den Daten mitgespeichert wurde.
  • Daneben sind auch die Empfänger der Daten und die Kategorie von Empfängern (z.B. Adresshändler, Kreditinstitute etc.) mitzuteilen.
  • Der Zweck der Speicherung ist mitzuteilen (eine pauschale Umschreibung genügt).

§ 34 Abs. 1 S. 3, 4 , Abs. 3 und 4 BDSG enthalten Sonderreglungen für die geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung. In diesen Fällen sind auch solche Daten preiszugeben, die nicht gespeichert sind (sondern z.B. in Akten oder im Kopf des Mitarbeiters vorhanden sind). Auch sollen künftige Daten (über die erst zukünftig ein Personenbezug möglich ist) mitgeteilt werden. Des Weiteren ist der Betroffene darüber zu informieren, welche „Scorewerte“ an welche Personen in den letzten 12 Monaten vor dem Zugang des Auskunftsverlangens mitgeteilt worden sind. Eine Begrenzung des Anspruches wird durch das Erfordernis einer einzelfallbezogenen Interessenabwägung mit der Wahrung des Geschäftsgeheimnisses der verantwortlichen Stelle hergestellt.
Sofern Daten der Anfrage gespeichert werden, dürfen diese gem. Abs. 5 nur für diesen Zweck gespeichert werden. Eine anderweitige Nutzung ist ausgeschlossen.
Grundsätzlich wird gem. Abs. 6 die Schriftform verlangt, es sei denn, dass aufgrund besonderer Umstände auch eine andere Form angemessen ist. Aufgrund der Unsicherheiten im Emailverkehr sollten Auskünfte jedoch nicht per unverschlüsselter Email versandt werden.
Eine Auskunft kann nicht verlangt werden, sofern eine Ausnahmeziffer des § 33 Abs. 2 BDSG vorliegt (§ 34 Abs. 7).

Kosten?

Grundsätzlich sind die Auskünfte gem. § 34 Abs. 8 BDSG kostenfrei. Hiervon gibt es Ausnahmen, sofern die Auskünfte gegenüber Dritten zu wirtschaftlichen Zwecken genutzt werden können (§ 34 Abs. 8 S. 2 BDSG). Allerdings soll auch hier der Betroffene 1 mal pro Jahr eine kostenlose Selbstauskunft in Textform erhalten dürfen. Für jede weitere Auskunft kann dann ein Entgelt verlangt werden. Etwas anderes gilt gem. Abs. 8 S. 5 für den Fall der möglichen Unrichtigkeit der Daten.

Sofern die Auskunft entgeltlich ist, räumt Abs. 9 dem Betroffenen die Möglichkeit der persönlichen Kenntnisnahme ein (kostenfrei). Zudem wird die verantwortliche Stelle verpflichtet, auf diese Möglichkeit hinzuweisen.

Verstöße gegen die Auskunftsvorschriften stellen eine Ordnungswidrigkeit gem. § 43 Abs. 1 Nr. 8a BDSG dar und können mit einer Geldbuße bis zu 50.000,- Euro sanktioniert werden. Zudem kann der Betroffene Schadensersatz gem. § 823 Abs. 2 i.V.m. § 34 BDSG oder direkt aus § 7 BDSG geltend machen.

Mitgeteilt von Anwalt Karsten Klug.

Datenschutz: Die Einwilligung (§ 4a BDSG)

§ 4a BDSG regelt den Fall der Einwilligung in die Datenerhebung. Die Einwilligung stellt keinen Grundrechtsverzicht dar, sondern ist ein Fall der Grundrechtsausübung. Sie ist einseitig widerruflich. Durch eine Einwilligung können konkrete gesetzliche Erhebungs- und Verwendungsverbote nicht erlaubt werden (§ 134 BGB).

Sofern es sich nicht um besondere Sachverhalte (z.B. bei Banken oder Versicherungen) handelt, gilt grundsätzlich, dass Einwilligungen zur Datenerhebung auch zusammen mit anderen Willenserklärungen abgegeben werden können. Sofern jedoch AGB benutzt werden, muss eine Klausel drucktechnisch deutlich hervorgehoben werden. Für den Adresshandel ist dies ausdrücklich in § 28 Abs. 3a S. 2 BDSG geregelt. Im Falle der Online – Einwilligung sind auch noch die Anforderungen des § 13 Abs. 2 TMG zu beachten.

Im Rahmen der Nutzung der Daten zu Werbezwecken für Email oder SMS – Anschreiben ist grundsätzlich § 7 Abs. 2 S. 3 UWG zu beachten. Die unverlangte Emailwerbung stellt grundsätzlich eine unzumutbare Belästigung dar. Aufgrund dessen ist, auch wenn ggf. das Datenschutzrecht diese Nutzung noch erlaubt, das UWG zu beachten und ggf. die Nutzung gleichwohl untersagt. In der sogenannten „Payback – Entscheidung“ hatte der BGH (NJW 2008, 3055) klargestellt, dass aufgrund der besonderen wettbewerbsrechtlichen Komponente eine ausdrückliche Einwilligung erfolgen müsse (Opt-in-Lösung).

Die Einwilligung muss bestimmt sein. Eine zu pauschale Einwilligung, die z.B. die Zweckbestimmung der beabsichtigten Datenverwendung oder die Empfänger einer beabsichtigten Datenübermittlung nicht nennt, ist unzulässig.

Folglich müssen sich aus der Einwilligung

  • die Art der personenbezogenen Daten
  • der Zweck der Erhebung oder Verwendung
  • und ggf. die Empfänger (im Falle der Übermittlung)

ergeben.

Bei der Erhebung sensitiver Daten (§ 3 Abs. 9 BDSG) muss auf den besonderen Schutz und die Sensitivität hingewiesen werden.

Die Einwilligung bedarf grundsätzlich der Schriftform, es sei denn, dass besondere Umstände ein Abweichen vom Formerfordernis angemessen erscheinen lassen. Dies ist z.B. bei der Kommunikation über das Internet oder via Email der Fall. Im Gegensatz zum § 13 Abs. 2 TMG ist bei der Regelung des § 4a Abs. 1 S. 3 BDSG nicht erforderlich, dass der Betroffene seine Einwilligung jederzeit abrufen können muss. Dies jedoch fordert § 13 Abs. 2 TMG.

Achtung bei der formularmäßigen Einwilligung (z.B. in Arbeitsverträgen):
Es ist dabei darauf zu achten, dass als Pflichtfelder nur diejenigen Datenfelder ausgewiesen werden, mit denen Daten aufgrund einer gesetzlichen Erlaubnis erhoben werden. Die freiwillige Angabe weiterer Daten des Betroffenen ist indes möglich. Allerdings liegt eine wirksame Einwilligung (dieser freiwilligen Daten) nicht bereits durch die Eingabe vor. Vielmehr muss bei der Eingabemaske ausdrücklich auf folgende Punkte gem. § 4a Abs. 1 S. 2 BDSG hingewiesen werden:

  • Vorgesehenen Zweck der Erhebung
  • Welche Verarbeitung / Nutzung erfolgt
  • Ggf. auf die Folgen der Weigerung der Einwilligung hinzuweisen.
  • Im Rahmen der freiwilligen Einwilligung bestehen Koppelungsverbote bzw. werden solche diskutiert.

Niederschlag hat das Koppelungsverbot in § 28 Abs. 3 b BDSG gefunden, wonach eine verantwortliche Stelle den Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Verarbeitung oder Nutzung für Zwecke des Adresshandels oder der Werbung abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Datenschutz: Aufbau des BDSG – Teil II

Meldepflichten gem. § 4 d BDSG:

Sie dienen der Vorabkontrolle. Es gibt grundsätzlich ein Regel – Ausnahme – Prinzip.

Die Regel:

Die Regel besagt, dass zunächst einmal alle verantwortlichen Stellen meldepflichtig sind. Gegenstand dieser Meldepflicht sind „Verfahren automatisierter Verarbeitungen“. Mit Verfahren sind nicht einzelne Verarbeitungsvorgänge, sondern ganze „Verarbeitungspakete“, die einem einheitlichen Zwecke dienen, gemeint. Die Meldung hat gem. Abs. 1 gegenüber der zuständigen Aufsichtsbehörde zu erfolgen (bei nicht-öffentlichen Stellen). Eine bestimmte Form ist nicht vorgeschrieben. Die Behörden akzeptieren grundsätzlich auch Emails bzw. Emailanhänge, da die Behörden Musterformulare zur Verfügung stellen und man diese dann ausgefüllt als Emailanhang senden kann.

Ausnahmen von der Meldepflicht (§ 4 d Abs. 2 – 3 BDSG):

Ausnahmen bestehen für folgende Tatbestände:

Die Bestellung eines eigenen Beauftragten für den Datenschutz (unabhängig davon, ob eine sonstige Verpflichtung dazu besteht oder nicht).

Die Erhebung, Verarbeitung, Nutzung der Daten für eigene Zwecke und hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung, Nutzung beschäftigt sind und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung, Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Seit der BDSG – Novelle 2009 ist durch die Formulierung „in der Regel“ klargestellt, dass damit nicht Personen gemeint sind, die sporadisch Daten verarbeiten, sondern diese neun Personen müssen wirklich überwiegend mit der Verarbeitung, Erhebung oder Nutzung beschäftigt sein. Mithin zählen die Mitarbeiter nicht mit, die dies nicht regelmäßig, als freie Mitarbeiter, in Teilzeit oder nur hin und wieder tun.

Ausnahme von der Ausnahme (Abs. 4):
Die Ausnahme (Befreiung von der Meldepflicht) gilt nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle zum Zwecke der (auch anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung gespeichert werden (gemeint sind Datenverarbeitungen gem. §§ 29, 30, 30 a BDSG).

Schließlich gibt es noch die Vorabkontrolle (Abs. 5 – 6):
Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

Die weiteren §§ des BDSG:

§ 4 e BDSG regelt den Inhalt der Meldepflicht
§ 5 BDSG regelt das Datengeheimnis der beschäftigen Personen
§ 6 BDSG regelt die Rechte des Betroffenen mit einem Verweis auf § 34 (Auskunft), § 35 (Löschung, Sperrung) und erklärt die Unabdingbarkeit
§ 6a BDSG enthält die automatisierte Einzelentscheidung (z.B. beim Kreditantrag etc.)
§ 6b BDSG regelt die Videoüberwachung und deren Voraussetzungen.
§ 6c BDSG regelt die Nutzung mobiler personenbezogener Speicher- und Verarbeitungsmedien.
§ 7 BDSG ist Anspruchsgrundlage eines Schadensersatzanspruches des Betroffenen gegen die verantwortliche Stelle.
§ 8 BDSG regelt dies konkret für öffentliche Stellen (natürlich mit einer Haftungsbeschränkung auf 130.000,- Euro).
§ 9 BDSG regelt technische und organisatorische Maßnahmen der verantwortlichen Stelle zur Durchsetzung des BDSG, wie z.B.:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle

§ 9a BDSG regelt das Datenschutzaudit (Zertifizierungsmöglichkeit zur Verbesserung des Datenschutzes).
§ 10 BDSG Einrichtung eines automatisierten Abrufverfahrens.

Mitgeteilt von Anwalt Karsten Klug

Datenschutz: Der Aufbau und einige wichtige Grundsätze des BDSG

Der grundsätzliche Aufbau:

  • Allgemeine und gemeinsame Vorschriften §§ 1 – 11 BDSG (Definitionen, Zweck und Anwendungsbereich des Gesetzes, Prinzipien des Datenschutzes, Datenschutzbeauftragter, etc.).
  • Datenverarbeitung der öffentlichen Stellen §§ 12 – 26 BDSG (Rechtsgrundlagen der Datenverarbeitung, Rechte des Betroffenen und schließlich Regelungen in Bezug auf den Bundesbeauftragten für den Datenschutz).
  • Datenverarbeitung nicht – öffentlicher Stellen und öffentlich – rechtlicher Wettbewerbsbetriebe §§ 27 – 38a BDSG (Rechtsgrundlagen der Datenverarbeitung, Rechte des Betroffenen, Aufsichtsbehörde).
  • Regelungen über Sondervorschriften §§ 39 – 42a BDSG (Daten bei Berufs- oder Amtsgeheimnis, Forschungseinrichtungen, Medien).
  • Übergangs- und Bußgeldvorschriften §§ 43 – 48 BDSG (§§ 43 und 44 BDSG Bußgeld- und Strafvorschriften).

Die einzelnen Vorschriften des allgemeinen Teils:

Anwendungsbereich (§ 1 Abs. 2 BDSG):
Adressaten des Gesetzes sind

  • Öffentliche Stellen des Bundes
  • Öffentliche Stellen der Länder                                            eine Definition enthält § 2 BDSG
  • Nicht-öffentliche Stellen

Der sachliche Anwendungsbereich erstreckt sich auf die in § 3 Abs. 3 – 5 genannte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten mit automatisierten Systemen. Zwar sieht die EG-DSRl vor, dass von dieser bei öffentlichen Stellen sowohl die automatisierte als auch die nicht – automatisierte Verarbeitung erfasst sein sollen. Letztere jedoch nur, wenn sie nach personenbezogenen Kriterien geordnet sind. Gleichwohl konnte der deutsche Gesetzgeber hiervon abweichen. Für nicht-öffentliche Stellen enthält § 1 Abs. 2 Nr. 3 eine Anordnung, wonach das BDSG nicht anwendbar ist, soweit Daten in nicht.

Bei der Datenverarbeitung durch öffentliche Stellen der Länder gilt die Besonderheit, dass durch die Länderkompetenz in mittlerweile allen Bundesländern spezialgesetzliche landesdatenschutzrechtliche Bestimmungen erlassen worden sind. Diese gehen in jedem Falle dem BDSG vor. Soweit jedoch die Länder Bundesaufgaben wahrnehmen, gilt dann das BDSG. Dies gilt darüber hinaus gem. § 1 Abs. 2 Nr. 2b auch, soweit die Bundesländer als Organe der Rechtspflege tätig werden und in dieser Funktion Verwaltungstätigkeit ausüben.

Das BDSG findet keine Anwendung, sofern die Datenverarbeitung im nicht-öffentlichen Bereich ausschließlich zu persönlichen oder familiären Zwecken erfolgt.

§ 1 Abs. 3 BDSG enthält einen „Vorrang des besonderen Datenschutzrechts“. Dies meint z.B. folgende Normen:

Das Allgemeine Gleichbehandlungsgesetz, Ausländergesetz, Bundesgrenzschutzgesetz, das Kreislaufwirtschafts- und Abfallgesetz, das Postgesetz, die Sozialgesetze, das Telekommunikationsgesetz, etc.

In § 1 Abs. 5 BDSG ist die internationale Anwendbarkeit geregelt.

§ 3 BDSG enthält einige Legaldefinitionen:

  • Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (§ 3 Abs. 1).
  • Automatisierte Verarbeitung (§ 3 Abs. 2)
  • Erheben (§ 3 Abs. 3)
  • Verarbeiten (§ 3 Abs. 4):
    • Speichern
    • Verändern
    • Übermitteln
    • Sperren
    • Löschen
  • Nutzen (§ 3 Abs. 5)
  • Anonymisieren (§ 3 Abs. 6)
  • Pseudonymisieren (§ 3 Abs. 6a)
  • Verantwortliche Stelle (§ 3 Abs. 7)
  • Empfänger / Dritter (§ 3 Abs. 8 )
  • Besondere Arten personenbezogener Daten (§ 3 Abs. 9)
  • Mobile personenbezogene Speicher- und Verarbeitungsmedien (§ 3 Abs. 10)
  • Beschäftigte (§ 3 Abs. 11).

Die Grundsätze des BDSG

Es gelten gem. § 3 a BDSG die Grundsätze der Datenvermeidung und Datensparsamkeit:
Dies resultiert aus dem Konzept des BDSG als Verbotsgesetz mit Erlaubnisvorbehalt. Danach dürfen personenbezogene Daten nur ausnahmsweise und unter engen Voraussetzungen verwendet werden, so dass zwangsläufig möglichst sparsam mit den Daten umgegangen werden soll. Geeignete Methoden sind hier die Anonymisierung und die Pseudonymisierung. Diese Konkretisierung der Grundsätze der Datensparsamkeit und Datenvermeidung unterliegen dem Zweckvorbehalt. D. h. es ist nur dann erforderlich, diese Verfahren zu benutzen, wenn dies zum einen technisch möglich ist und zum anderen der Zweck der Datenerhebung immer noch erreicht werden kann.

Beide Grundsätze sind letztlich auch dem verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz geschuldet, da zum einen die Datenverarbeitung für die Erreichung des angestrebten Ziels geeignet, erforderlich und schließlich verhältnismäßig im engeren Sinne sein muss. Insofern kommt es im Rahmen des BDSG immer konkret auf den Zweck bzw. das Ziel an.

Neben dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit ist jeweils noch das Gebot der Normklarheit zu beachten. Dies bedeutet letztlich, dass der Gesetzgeber keine allzu unbestimmten Rechtsbegriffe und keine zu weit gefassten Generalklauseln verwenden darf. Es muss dem Bürger trotz aller unbestimmter Rechtsbegriffe und der Formulierung generalisierender Klauseln möglich sein zu erkennen, welches Verbot oder Gebot eine Norm ausspricht.

Mittels desGrundsatzes der Zweckbindung werden Einschränkungen des Rechts auf informationelle Selbstbestimmung auf das Unvermeidbare reduziert. Das Erheben von personenbezogenen Daten darf nur für eindeutig festgelegte und rechtmäßige Zwecke erfolgen. Des Weiteren darf die Weiternutzung (Nutzung / Verarbeitung) der Daten nur auf eine mit der Zweckbestimmung zu vereinbarenden Weise erfolgen.

Grundsatz der Transparenz: Dieser wird durch das Recht des Betroffenen, Einsicht in seine gespeicherten personenbezogenen Daten zu nehmen, gewährleistet. Dieser Grundsatz wird zum einen durch die Informationspflichten für die datenverarbeitende Stelle und zum anderen durch das Auskunftsrecht des Betroffenen realisiert.

Gibt es Rechtsfolgen bei Verstößen gegen § 3a BDSG?

Nein!!! Die entsprechende Datenverarbeitung bleibt rechtmäßig und auch die Bußgeld- und Strafvorschriften gem. §§ 43, 44 BDSG enthalten diesbezüglich keine Regelung.

§ 4 BDSG – Regelungen zur Zulässigkeit der Datenerhebung – Verbot mit Erlaubnisvorbehalt
In dieser Norm ist das grundsätzliche Verbot der Datenerhebung und der Erlaubnisvorbehalt für den Fall geregelt, dass das BDSG oder ein anderes Gesetz dieses ausdrücklich erlauben oder eine konkrete Einwilligung des Betroffenen vorliegt.

Öffentliche Stellen haben dieses Verbot bei jeder Form der Erhebung und Verwendung von personenbezogenen Daten zu beachten (§ 1 Abs. 2 Nr. und 2 BDSG).

Nicht-öffentliche Stellen haben dieses Verbot nur zu beachten, wenn die personenbezogenen Daten nicht ausschließlich für persönliche oder familiäre Tätigkeiten unter Einsatz von Datenverarbeitungsanlagen oder in bzw. aus Dateien verwendet werden (§ 1 Abs. 2 Nr. 3 BDSG).

Verstöße gegen dieses Verbot haben weitreichende Konsequenzen. Neben einem Bußgeldverfahren und Schadensersatzan-sprüchen (§ 823 Abs. I bzw. § 823 Abs. 2 i.V.m. der Norm des BDSG) besteht die Möglichkeit einer strafrechtlichen Verfolgung gem. § 44 BDSG.

Die Verwendung der Daten ist unzulässig gem. § 20 Abs. 2 bzw. § 30 Abs. 3 oder § 35 Abs. 2 BDSG. Der Betroffene hat ggf. einen Löschungsanspruch.

Maßgebliche Normen, die die Datenerhebung für nicht-öffentliche Stellen (und auch für die öffentlich-rechtlichen Wettbewerbsunternehmen) erlauben, sind die §§ 28 – 30, 35 und 40 BDSG.

Auch für nicht-öffentliche Stellen gibt es außerhalb des BDSG Normen, die die Speicherung von Daten erlauben (z.B. § 91 AktG, § 10 WpHG, etc.).

Im Arbeitsrecht werden Tarifverträge und Betriebsvereinbarungen (§ 77 BetrVG ordnet die normative Außenwirkung für Betriebsvereinbarungen an) als entsprechende Normen in diesem Sinne anerkannt.

§ 4 Abs. 2 S. 1 BDSG (Regel) ordnet zudem den Grundsatz der Direkterhebung an. D. h. die Daten sollen möglichst durch Mitwirkung oder zumindest Kenntnis des Betroffenen erhoben werden. Die heimliche oder in Unkenntnis des Betroffenen erhobene Datenspeicherung ist hiervon natürlich nicht erfasst.

§ 4 Abs. 2 S. 2 BDSG (Ausnahme) regelt die Möglichkeit der Datenerhebung ohne Mitwirkung des Betroffenen. Die Möglichkeit besteht, wenn eine Rechtsvorschrift dies vorsieht (1. Alt.) oder gar zwingend voraussetzt (2. Alt.). Hiervon werden unter anderem die Fälle der verdeckten Ermittlung, Rasterfahndung, Postbeschlagnahme, TÜ (Telekommunikationsüberwachung), Bildaufnahme im Zuge von Observationen oder z.B. automatisierte Auskunftsverfahren bezüglich der bei Telekommunikationsdiensteanbietern gespeicherten Kundendaten (§ 111 ff. TKG) erfasst.

§ 4 Abs. 3 BDSG regelt die Unterrichtungs-, Hinweis- und Aufklärungspflichten des Betroffenen.
Bereits bei der Erhebung hat die verantwortliche Stelle den Betroffenen über

  • die Identität der erhebenden Stelle
  • die Zweckbestimmungen der Erhebung, Verarbeitung und Nutzung und
  • die Kategorien von Empfängern zu unterrichten (soweit der Betroffene mit der Übermittlung an diese nicht rechnen muss)

Bei natürlichen Personen und Gesellschaften bürgerlichen Rechts (GbR) genügen

  • Name und Anschriften der Personen
  • Telefonnummer
  • Emailadresse

Bei juristischen Personen sind

  • die Firmenbezeichnung einschließlich der vollen Namen (Vor- und Zuname) der Vertretungsberechtigten
  • die ladungsfähige Anschrift (kein Postfach)
  • Telefonnummer
  • Emailadresse
  • Registergericht und Registernummer

anzugeben.

Datenschutz: Zweck und Definition nach dem BDSG

Zweck des BDSG:

Das BDSG soll gem. § 1 Abs. 1 nicht allein und umfassend „den Datenschutz“ regeln. Vielmehr soll lediglich der Schutz des Einzelnen vor Beeinträchtigungen seines Persönlichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten gewährleistet werden. Die Bürger sollen über den „bloßen Missbrauch personenbezogener Daten“ hinaus vor den Gefahren für das  Persönlichkeitsrecht durch die Verarbeitung und Nutzung personenbezogener Daten geschützt werden (vgl. BT-Drs. 11/4306, S, 38).

Aufgrund des Umstands, dass die EG-DSRl in Art. 1 den Schutz von Grundrechten und Grundfreiheiten gewährt, ist dieser Schutz weiter als unser nationales BDSG. Nach Auffassung Einiger in Literatur und Rechtsprechung ist aufgrund dessen das BDSG richtlinienkonform auszulegen, so dass auch andere Grundrechte neben dem Persönlichkeitsrecht geschützt werden. Es wird insoweit die These vertreten, dass der Datenschutz dem Grundrechtsschutz insgesamt diene (vgl. z.B. Schmidt in Taeger / Gabel, BDSG Kommentar, 1. Aufl., 2010, m.w.V).

Definition von Datenschutz:

Der Gesetzgeber hat keine Legaldefinition aufgenommen. Letztlich werden unter Datenschutz auch die Begriffe „Datensicherung“ bzw. „Datensicherheit“ verstanden. Aufgrund dessen ist unter Datenschutz „der Schutz von Personen vor den Gefahren für das Persönlichkeitsrecht durch die Verarbeitung personenbezogener Daten“ zu verstehen.

Das BDSG ist ein Schutzgesetz im geforderten Sinne, so dass Personen einen Schadensersatzanspruch gem. § 823 Abs. 2 i.V.m. den einzelnen Normen des BDSG (gegen die verstoßen wurde) gegen die datenverarbeitende Stelle haben.

Daneben ergeben sich unmittelbar aus dem BDSG Konsequenzen für das Individual- und Kollektivarbeitsrecht (auf diese wird jedoch im Rahmen des Seminars 2 näher eingegangen werden).

Ob die Vorschriften des BDSG zwangsläufig auch wettbewerbs- oder verbraucherschützende Funktionen haben, ergibt sich zumindest nicht zwingend aus den Normen selbst. Eine Wettbewerbsbezogenheit wird aus dem Wortlaut des § 4 Nr. 11 UWG argumentativ hergeleitet, da das BDSG zumindest auch eine sekundär wettbewerbsschützende Funktion habe.

„Unlauter handelt insbesondere, wer

1. […]

11. einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.“

Insofern führt die Nutzung von Kundendaten zu Werbezwecken außerhalb der Rechtfertigung gem. § 28 Abs. 3 BDSG auch zur Wettbewerbswidrigkeit der Maßnahme. Nämliches gilt für die Weitergabe von Vertragsdaten zu Werbezwecken an Dritte, soweit dies nicht gem. § 29 BDSG erlaubt ist. Das Gleiche gilt, für die Nutzung solcher Daten zum Scoring oder zum Zwecke der Marktforschung.