Datenschutz: Der Aufbau und einige wichtige Grundsätze des BDSG

Der grundsätzliche Aufbau:

  • Allgemeine und gemeinsame Vorschriften §§ 1 – 11 BDSG (Definitionen, Zweck und Anwendungsbereich des Gesetzes, Prinzipien des Datenschutzes, Datenschutzbeauftragter, etc.).
  • Datenverarbeitung der öffentlichen Stellen §§ 12 – 26 BDSG (Rechtsgrundlagen der Datenverarbeitung, Rechte des Betroffenen und schließlich Regelungen in Bezug auf den Bundesbeauftragten für den Datenschutz).
  • Datenverarbeitung nicht – öffentlicher Stellen und öffentlich – rechtlicher Wettbewerbsbetriebe §§ 27 – 38a BDSG (Rechtsgrundlagen der Datenverarbeitung, Rechte des Betroffenen, Aufsichtsbehörde).
  • Regelungen über Sondervorschriften §§ 39 – 42a BDSG (Daten bei Berufs- oder Amtsgeheimnis, Forschungseinrichtungen, Medien).
  • Übergangs- und Bußgeldvorschriften §§ 43 – 48 BDSG (§§ 43 und 44 BDSG Bußgeld- und Strafvorschriften).

Die einzelnen Vorschriften des allgemeinen Teils:

Anwendungsbereich (§ 1 Abs. 2 BDSG):
Adressaten des Gesetzes sind

  • Öffentliche Stellen des Bundes
  • Öffentliche Stellen der Länder                                            eine Definition enthält § 2 BDSG
  • Nicht-öffentliche Stellen

Der sachliche Anwendungsbereich erstreckt sich auf die in § 3 Abs. 3 – 5 genannte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten mit automatisierten Systemen. Zwar sieht die EG-DSRl vor, dass von dieser bei öffentlichen Stellen sowohl die automatisierte als auch die nicht – automatisierte Verarbeitung erfasst sein sollen. Letztere jedoch nur, wenn sie nach personenbezogenen Kriterien geordnet sind. Gleichwohl konnte der deutsche Gesetzgeber hiervon abweichen. Für nicht-öffentliche Stellen enthält § 1 Abs. 2 Nr. 3 eine Anordnung, wonach das BDSG nicht anwendbar ist, soweit Daten in nicht.

Bei der Datenverarbeitung durch öffentliche Stellen der Länder gilt die Besonderheit, dass durch die Länderkompetenz in mittlerweile allen Bundesländern spezialgesetzliche landesdatenschutzrechtliche Bestimmungen erlassen worden sind. Diese gehen in jedem Falle dem BDSG vor. Soweit jedoch die Länder Bundesaufgaben wahrnehmen, gilt dann das BDSG. Dies gilt darüber hinaus gem. § 1 Abs. 2 Nr. 2b auch, soweit die Bundesländer als Organe der Rechtspflege tätig werden und in dieser Funktion Verwaltungstätigkeit ausüben.

Das BDSG findet keine Anwendung, sofern die Datenverarbeitung im nicht-öffentlichen Bereich ausschließlich zu persönlichen oder familiären Zwecken erfolgt.

§ 1 Abs. 3 BDSG enthält einen „Vorrang des besonderen Datenschutzrechts“. Dies meint z.B. folgende Normen:

Das Allgemeine Gleichbehandlungsgesetz, Ausländergesetz, Bundesgrenzschutzgesetz, das Kreislaufwirtschafts- und Abfallgesetz, das Postgesetz, die Sozialgesetze, das Telekommunikationsgesetz, etc.

In § 1 Abs. 5 BDSG ist die internationale Anwendbarkeit geregelt.

§ 3 BDSG enthält einige Legaldefinitionen:

  • Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (§ 3 Abs. 1).
  • Automatisierte Verarbeitung (§ 3 Abs. 2)
  • Erheben (§ 3 Abs. 3)
  • Verarbeiten (§ 3 Abs. 4):
    • Speichern
    • Verändern
    • Übermitteln
    • Sperren
    • Löschen
  • Nutzen (§ 3 Abs. 5)
  • Anonymisieren (§ 3 Abs. 6)
  • Pseudonymisieren (§ 3 Abs. 6a)
  • Verantwortliche Stelle (§ 3 Abs. 7)
  • Empfänger / Dritter (§ 3 Abs. 8 )
  • Besondere Arten personenbezogener Daten (§ 3 Abs. 9)
  • Mobile personenbezogene Speicher- und Verarbeitungsmedien (§ 3 Abs. 10)
  • Beschäftigte (§ 3 Abs. 11).

Die Grundsätze des BDSG

Es gelten gem. § 3 a BDSG die Grundsätze der Datenvermeidung und Datensparsamkeit:
Dies resultiert aus dem Konzept des BDSG als Verbotsgesetz mit Erlaubnisvorbehalt. Danach dürfen personenbezogene Daten nur ausnahmsweise und unter engen Voraussetzungen verwendet werden, so dass zwangsläufig möglichst sparsam mit den Daten umgegangen werden soll. Geeignete Methoden sind hier die Anonymisierung und die Pseudonymisierung. Diese Konkretisierung der Grundsätze der Datensparsamkeit und Datenvermeidung unterliegen dem Zweckvorbehalt. D. h. es ist nur dann erforderlich, diese Verfahren zu benutzen, wenn dies zum einen technisch möglich ist und zum anderen der Zweck der Datenerhebung immer noch erreicht werden kann.

Beide Grundsätze sind letztlich auch dem verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz geschuldet, da zum einen die Datenverarbeitung für die Erreichung des angestrebten Ziels geeignet, erforderlich und schließlich verhältnismäßig im engeren Sinne sein muss. Insofern kommt es im Rahmen des BDSG immer konkret auf den Zweck bzw. das Ziel an.

Neben dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit ist jeweils noch das Gebot der Normklarheit zu beachten. Dies bedeutet letztlich, dass der Gesetzgeber keine allzu unbestimmten Rechtsbegriffe und keine zu weit gefassten Generalklauseln verwenden darf. Es muss dem Bürger trotz aller unbestimmter Rechtsbegriffe und der Formulierung generalisierender Klauseln möglich sein zu erkennen, welches Verbot oder Gebot eine Norm ausspricht.

Mittels desGrundsatzes der Zweckbindung werden Einschränkungen des Rechts auf informationelle Selbstbestimmung auf das Unvermeidbare reduziert. Das Erheben von personenbezogenen Daten darf nur für eindeutig festgelegte und rechtmäßige Zwecke erfolgen. Des Weiteren darf die Weiternutzung (Nutzung / Verarbeitung) der Daten nur auf eine mit der Zweckbestimmung zu vereinbarenden Weise erfolgen.

Grundsatz der Transparenz: Dieser wird durch das Recht des Betroffenen, Einsicht in seine gespeicherten personenbezogenen Daten zu nehmen, gewährleistet. Dieser Grundsatz wird zum einen durch die Informationspflichten für die datenverarbeitende Stelle und zum anderen durch das Auskunftsrecht des Betroffenen realisiert.

Gibt es Rechtsfolgen bei Verstößen gegen § 3a BDSG?

Nein!!! Die entsprechende Datenverarbeitung bleibt rechtmäßig und auch die Bußgeld- und Strafvorschriften gem. §§ 43, 44 BDSG enthalten diesbezüglich keine Regelung.

§ 4 BDSG – Regelungen zur Zulässigkeit der Datenerhebung – Verbot mit Erlaubnisvorbehalt
In dieser Norm ist das grundsätzliche Verbot der Datenerhebung und der Erlaubnisvorbehalt für den Fall geregelt, dass das BDSG oder ein anderes Gesetz dieses ausdrücklich erlauben oder eine konkrete Einwilligung des Betroffenen vorliegt.

Öffentliche Stellen haben dieses Verbot bei jeder Form der Erhebung und Verwendung von personenbezogenen Daten zu beachten (§ 1 Abs. 2 Nr. und 2 BDSG).

Nicht-öffentliche Stellen haben dieses Verbot nur zu beachten, wenn die personenbezogenen Daten nicht ausschließlich für persönliche oder familiäre Tätigkeiten unter Einsatz von Datenverarbeitungsanlagen oder in bzw. aus Dateien verwendet werden (§ 1 Abs. 2 Nr. 3 BDSG).

Verstöße gegen dieses Verbot haben weitreichende Konsequenzen. Neben einem Bußgeldverfahren und Schadensersatzan-sprüchen (§ 823 Abs. I bzw. § 823 Abs. 2 i.V.m. der Norm des BDSG) besteht die Möglichkeit einer strafrechtlichen Verfolgung gem. § 44 BDSG.

Die Verwendung der Daten ist unzulässig gem. § 20 Abs. 2 bzw. § 30 Abs. 3 oder § 35 Abs. 2 BDSG. Der Betroffene hat ggf. einen Löschungsanspruch.

Maßgebliche Normen, die die Datenerhebung für nicht-öffentliche Stellen (und auch für die öffentlich-rechtlichen Wettbewerbsunternehmen) erlauben, sind die §§ 28 – 30, 35 und 40 BDSG.

Auch für nicht-öffentliche Stellen gibt es außerhalb des BDSG Normen, die die Speicherung von Daten erlauben (z.B. § 91 AktG, § 10 WpHG, etc.).

Im Arbeitsrecht werden Tarifverträge und Betriebsvereinbarungen (§ 77 BetrVG ordnet die normative Außenwirkung für Betriebsvereinbarungen an) als entsprechende Normen in diesem Sinne anerkannt.

§ 4 Abs. 2 S. 1 BDSG (Regel) ordnet zudem den Grundsatz der Direkterhebung an. D. h. die Daten sollen möglichst durch Mitwirkung oder zumindest Kenntnis des Betroffenen erhoben werden. Die heimliche oder in Unkenntnis des Betroffenen erhobene Datenspeicherung ist hiervon natürlich nicht erfasst.

§ 4 Abs. 2 S. 2 BDSG (Ausnahme) regelt die Möglichkeit der Datenerhebung ohne Mitwirkung des Betroffenen. Die Möglichkeit besteht, wenn eine Rechtsvorschrift dies vorsieht (1. Alt.) oder gar zwingend voraussetzt (2. Alt.). Hiervon werden unter anderem die Fälle der verdeckten Ermittlung, Rasterfahndung, Postbeschlagnahme, TÜ (Telekommunikationsüberwachung), Bildaufnahme im Zuge von Observationen oder z.B. automatisierte Auskunftsverfahren bezüglich der bei Telekommunikationsdiensteanbietern gespeicherten Kundendaten (§ 111 ff. TKG) erfasst.

§ 4 Abs. 3 BDSG regelt die Unterrichtungs-, Hinweis- und Aufklärungspflichten des Betroffenen.
Bereits bei der Erhebung hat die verantwortliche Stelle den Betroffenen über

  • die Identität der erhebenden Stelle
  • die Zweckbestimmungen der Erhebung, Verarbeitung und Nutzung und
  • die Kategorien von Empfängern zu unterrichten (soweit der Betroffene mit der Übermittlung an diese nicht rechnen muss)

Bei natürlichen Personen und Gesellschaften bürgerlichen Rechts (GbR) genügen

  • Name und Anschriften der Personen
  • Telefonnummer
  • Emailadresse

Bei juristischen Personen sind

  • die Firmenbezeichnung einschließlich der vollen Namen (Vor- und Zuname) der Vertretungsberechtigten
  • die ladungsfähige Anschrift (kein Postfach)
  • Telefonnummer
  • Emailadresse
  • Registergericht und Registernummer

anzugeben.