Praxis für Psychosomatische Medizin u. Psychotherapie, Coaching, Mediation u. Prävention
Dr. Dr. med. Herbert Mück (51061 Köln)

E-Mail: kontakt@dr-mueck.de (Keine Beratungen per Telefon oder E-Mail!) - Gerne können Sie diese Seite verlinken!

 

Web www.dr-mueck.de

Home
Nach oben
Impressum/Vorwort
Stichwortverzeichnis
Neues auf dieser Website
Angst / Phobie
Depression + Trauer
Scham / Sozialphobie
Essstörungen
Stress + Entspannung
Beziehung / Partnerschaft
Emotionskompetenz
Selbstregulation
Sucht / Abhängigkeit
Fähigkeiten / Stärken
Denkhilfen
Gesundheitskompetenzen
Selbsthilfe+Gesundheitstipps
Krisenintervention
Therapeuten-Suche
Über die Praxis Dr. Mück
Konzept+Methoden
Erfahrungsberichte
Lexikon/Häufige Fragen
Innovationen / Praxisforschung
Wissenschaftsinformationen
Gesundheitspolitik
Infos auf Russisch
English Version
 

 


Datenschutz-Lexikon


Die folgenden Ausführungen wurden mit freundlicher Genehmigung des Forum-Verlages der "PC-Dokumentenmappe Datenschutz II" entnommen. Weitere Informationen und Bestellmöglichkeiten unter
http://www.forum-verlag.com/845

 

Anonymisieren

Anonymisieren ist das Verändern personenbezogener Da­ten derart, dass die Einzelangaben über persönliche oder sach­liche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. (§ 3 Abs. 6 BDSG)

Aufbewahrungsfristen

Aufbewahrungsfristen ergeben sich vor allem aus dem Handelsgesetzbuch (HGB). Geschäftsunterlagen und Handels- und Geschäftsbriefe sowie Unterlagen, die für die Besteuerung wichtig sind, haben Aufbewahrungsfristen von sechs bzw. zehn Jahren. Dazu gehören auch als Dateien gespeicherten Dokumente und Emails. Enthalten die aufzubewahrenden Dokumente datenschutzrechtlich relevante Inhalte, so geht die Aufbewahrungspflicht der grundsätzlichen Pflicht zur sofortigen Löschung nicht mehr benötigter personenbezogener Daten vor.

Auftragsdatenverarbeitung

Von Datenverarbeitung im Auftrag spricht man, wenn sich die verantwortliche Stelle einer Stelle bedient, die für diese im Auftrag pb-Daten erhebt, verarbeitet oder nutzt (z. B. Datenerfassungsbüros oder Direktmarketing, Lohn- oder Gehaltsabrechnungen).

Lässt ein Unternehmen personenbezogene Daten durch ein Dienstleistungs-unternehmen bearbeiten, bleibt die datenschutzrechtliche Verantwortung bei dem beauftragenden Unternehmen. Bei der Auswahl des Auftragnehmers sollte deshalb stets besonderes Augenmerk auf den dortigen Sicherheitsstandard gelegt werden. Die Auftragsvergabe muss schriftlich erfolgen und die Festlegung der Datenverarbeitung (Erhebung, Verarbeitung oder Nutzung), der technischen und organisatorischen Maßnahmen und etwaiger Auftragsverhältnisse umfassen. Dies gilt auch bei Konzerngesellschaften und für die Wartung automatisierter Verfahren und DV-Anlagen (Rechenzentrumsdienstleistungen).

Auskunftsrecht des Betroffenen

Der von der Erhebung personenbezogener Daten Betroffene kann regelmäßig Auskunft verlangen über:

-           alle zu seiner Person gespeicherten Daten einschließlich deren Herkunft

-           den Zweck der Speicherung

-           die Empfänger oder die Kategorien der Empfänger, an welche Daten weitergeleitet wurden

-           den Zweck der Weiterleitung

Die Auskunft muss schriftlich und in der Regel unentgeltlich erteilt werden.

Automatisierte Einzelentscheidung

Automatisiert getroffene Entscheidungen, die für den Betroffenen rechtliche Folgen haben oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich aufgrund einer automatisierten Datenverarbeitung von personenbezogenen Daten getroffen werden, die zur Bewertung von Persönlichkeitsmerkmalen dient (z. B. berufliche Leistungsfähigkeit, Kreditwürdigkeit, Zuverlässigkeit, Verhalten). Solche Entscheidungen sind nur zulässig, wenn sie im Rahmen des Abschlusses oder der Erfüllung eines Rechtsverhältnisses ergehen und dem Begehren des Betroffenen stattgegeben wird, oder wenn die Wahrung berechtigter Interessen des Betroffenen durch geeignete technische Maßnahmen gewährleistet sind und der Betroffene hierüber informiert wurde, § 6a BDSG.

Automatisierte Verarbeitung

Eine automatisierte Verarbeitung liegt immer dann vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden. (Beispiele: Personal-Datenbank, Bewerber-Daten, Adress-Daten, Lieferanten-Daten)

Betriebsrat

Der betriebliche Datenschutzbeauftragte ist unabhängig in der Ausübung seiner Tätigkeit, deshalb unterliegt er nicht der Kontrolle durch den Betriebsrat. Der Betriebsrat hat allerdings die Aufgabe, die Umsetzung der datenschutzrechtlichen Vorgaben im Unternehmen zu überprüfen. 

Betriebsvereinbarungen

Nach ständiger Rechtsprechung der Arbeitsgerichte sind Betriebsvereinbarungen den Rechtsvorschriften im Sinne des § 4 Abs. 1 BDSG gleichzusetzen. Sie können damit Grundlage der Zulässigkeit einer Verarbeitung personenbezogener Daten sein.

Betroffener

Betroffener ist eine natürliche Person, deren personenbezogenen Daten durch die verantwortliche Stelle erhoben, verarbeitet oder genutzt werden.

Bilder

Bilder unterliegen bei ihrer Veröffentlichung, sowohl im Internet als auch in sonstigen Medien, dem Urheberschutz. Grundsätzlich ist die Einwilligung des Berechtigten vor deren Veröffentlichung einzuholen. Auch die Veröffentlichung von Personalfotos in Druckschriften oder im Internet bedarf der Einwilligung sämtlicher abgebildeten Mitarbeiter. Diese kann jederzeit wieder zurückgenommen werden.

Cookies

Cookies sind Informationen, die von einem entsprechend programmierten Web-Server bei dessen Besuch in eine (von der Browser-Software definierte) Datei auf die Festplatte des Besuchers geschrieben und auch wieder ausgelesen werden können. So erhält der Web-Server Informationen über das Navigationsverhalten und damit Informationen über die Interessen des Internetnutzers.
 

Data Warehouse

Unter Data Warehouse versteht man eine Konzeption zur zentralisierten Datenhaltung und integrierten betriebswirtschaftlichen Auswertung. Die Nutzung erfolgt durch Zusammenführung verschiedener Datensätze. Umfangreiche Datenbestände werden mit dem Ziel analysiert, Führungsinformationen zur Verfügung zu stellen (z. B. Auskunft über profitable Kunden zu geben, einen verbesserten Kundendienst zu ermöglichen, ein Frühwarnsystem für Geschäftsprozesse zu etablieren oder Produkteinführungen optimal vorzubereiten).

 

Daten juristischer Personen

Daten juristischer Personen unterliegen grundsätzlich nicht dem Schutz des BDSG. Eine Weitergabe kann ungeachtet dessen jedoch gegen Vorschriften zur Bekämpfung des unlauteren Wettbewerbes, insbesondere des UWG, verstoßen. Datenschutzrechtliche Relevanz kann die Weitergabe von Daten juristischer Personen dann erlangen, wenn Unternehmensdaten in eine Beziehung zu natürlichen Personen (Gesellschaftern, Geschäftsführern oder sonstigen) gebracht werden können.

Datenerhebung

Datenerhebung ist das Beschaffen von Daten über den Betroffenen bei ihm selbst, bei Dritten oder aus sonstigen Quellen.

Datengeheimnis

Alle mit der Datenverarbeitung beschäftigten Personen unterliegen dem Datengeheimnis, § 5 BDSG. Es ist Ihnen generell untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das sog. Datengeheimnis verpflichtet sie, Daten Unbefugten nicht bekannt zu geben oder zugänglich zu machen.

Verstöße gegen das Datengeheimnis können neben personellen Konsequenzen auch die Verfolgung als Ordnungswidrigkeit oder gar als Straftat zur Folge haben! 

Datennutzung

Datennutzung ist jede sonstige Verwendung von Daten außer Verarbeitung (z. B: Verwendung bereits bedruckter Adressaufkleber).

Datenschutzaufsichtsbehörden, Aufgaben und Befugnisse der

Dem jeweiligen Landesdatenschutzbeauftragten stehen als Aufsichtsbehörde nachstehende Kompetenzen zu:

-           anlassunabhängige Kontrolle

-           Einsichtsrecht in Unterlagen und Betreten der Geschäftsräume

-           Anordnung nach § 38 Abs. 5 BDSG zur Beseitigung von technischen oder organisatorischen Mängeln (§ 9 BDSG)

-           bei Nichtbeseitigung dieser Mängel die Untersagung von Verfahren

-           Verlangen der Abberufung betrieblicher Datenschutzbeauftragter, bei nicht hinreichender Fachkunde oder Zuverlässigkeit

Datenschutzbeauftragter

Die Pflicht zur Bestellung von Datenschutzbeauftragten gilt sowohl für Stellen der öffentlichen Verwaltung als auch für privatwirtschaftliche Unternehmungen. Datenschutzbeauftragte müssen bestellt werden, wenn mehr als vier Arbeitnehmer mit der automatisierten oder mindestens zwanzig Mitarbeiter mit der nicht automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind oder die Verarbeitung der Vorabkontrolle unterliegt.

Der Datenschutzbeauftragte muss über fachliche Kenntnisse verfügen und zuverlässig sein. Es darf kein Interessenkonflikt aufgrund der sonstigen von ihm für das Unternehmen ausgeübten Tätigkeit entstehen.

Es können interne oder externe Datenschutzbeauftragte bestellt werden. Entweder kann ein Mitarbeiter des Unternehmens (zusätzlich) mit der Aufgabe des Datenschutzbeauftragten betraut werden oder aber eine natürliche Person außerhalb der verantwortlichen Stelle.

Die Bestellung bedarf zu ihrer Wirksamkeit der Schriftform.

Der Datenschutzbeauftragte wird von der Geschäftsleitung bestellt und ist ihr unmittelbar unterstellt. Er ist weisungsfrei bei der Ausübung seiner Tätigkeit. Das Unternehmen hat die Pflicht, ihn zu unterstützen (z. B. durch Hilfsmittel wie Räume, Einrichtungen, Geräte und Mittel). Der Datenschutzbeauftragte darf wegen seiner Tätigkeit nicht benachteiligt werden. Er hat das Recht zur Anrufung der Aufsichtsbehörde. Betroffene können sich jederzeit an ihn wenden. 

Datenübermittlung

Die Bekanntgabe personenbezogener Daten durch die verantwortliche Stelle an einen Dritten wird als Datenübermittlung bezeichnet. Eine Übermittlung von Daten erfolgt dann, wenn die verarbeitende Stelle personenbezogene Daten durch Weitergabe, Einsichtnahme oder Abruf Dritten zukommen lässt. Die Übermittlung oder Nutzung personenbezogener Daten ist zulässig zur Wahrung berechtigter Interessen eines Dritten oder öffentlicher Interessen, zur Abwehr von Gefahren für die öffentliche Sicherheit/Verfolgung von Straftaten, bei Gruppendaten in Listenform für Zwecke der Werbung und der Markt- und Meinungsforschung unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen, zur wissenschaftlichen Forschung. Der Betroffene kann der Nutzung oder Übermittlung für Zwecke der Werbung, Markt- oder Meinungsforschung widersprechen. Die Übermittlung sensitiver Daten unterliegt weiteren Voraussetzungen.

Datenübermittlung durch automatisierte Abrufverfahren

Das Verfahren muss angemessen sein, d. h. die schutzwürdigen Interessen der Betroffenen und die Aufgaben oder Geschäftszwecke der beteiligten Stellen müssen berücksichtigt werden.

Für das Abrufverfahrens sind schriftliche Regelungen zu treffen über Anlass und Zweck, Angaben zum Dritten, an den übermittelt wird und zur Art der zu übermittelnden Daten.

Maßnahmen zur Datensicherheit (§ 9) sind zu treffen.

Die Abrufe (zumindest Stichproben) und die Zulässigkeit (z. B. Abruf von Schufa-Auskünften) müssen dokumentiert werden.

Datenübermittlung ins Ausland

Für die Übermittlung von personenbezogenen Daten an Stellen in anderen Mitgliedsstaaten der EU, in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder der Organe und Einrichtungen der EG gelten die allgemeinen Regelungen der Datenübermittlung. Dabei findet das Recht des Staates Anwendung, in welchem das die Daten übertragende Unternehmen ansässig ist. Werden personenbezogene Daten von der Bundesrepublik Deutschland aus in Länder der EU oder des EWR übertragen, gelten die gleichen Anforderungen wie bei einer Übermittlung solcher Daten innerhalb Deutschlands.

Die Datenübermittlung in sonstige Staaten unterliegt strengen Anforderungen. Sie ist nur zulässig, wenn im Drittland ein angemessenes Datenschutzniveau gewährleistet ist, durch Entscheidungen der EU-Kommision, beim Safe-Harbor-Verfahren (USA), bei vertraglichen Regelungen oder in festgelegten Sonderfällen (z. B. Einwilligung).

Personenbezogene Daten dürfen grundsätzlich dann nicht übermittelt werden, wenn das Datenschutzniveau bei der empfangenden Stelle im Vergleich mit den entsprechenden EU-Regelungen als nicht angemessen gilt. Für einige Länder wurde das Vorhandensein eines angemessenen Datenschutzniveaus durch die EU-Kommission bereits festgestellt.

Datensicherheitsmaßnahmen (acht Gebote des Datenschutzes)

§ 9 BDSG und seine Anlagen fordern eine datenschutzkonforme Organisation des Unternehmens bzw. der Behörde. Dabei sind insbesondere acht technische und organisatorische Datenschutz- und Datensicherungsmaßnahmen zu treffen.

1.                 Zutrittskontrolle – ist nur räumlich zu verstehen

2.                 Zugangskontrolle – Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.

3.                 Zugriffskontrolle – Die unerlaubte Tätigkeit in DV-Systemen außerhalb eingeräumter Berechtigungen ist zu verhindern.

4.                 Weitergabekontrolle – Hierunter fallen sämtliche Aspekte der Weitergabe personenbezogener Daten: elektronische Übertragung, Datentransport, Übermittlungskontrolle.

5.                 Eingabekontrolle – Nachvollziehbarkeit, Dokumentation der Datenverwaltung und Pflege

6.                 Auftragskontrolle – Gewährleistung einer weisungsgemäßen Auftragsdatenverarbeitung

7.                 Verfügbarkeitskontrolle – Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.

8.                 Trennungskontrolle – Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.

Datenverarbeitung zum Zwecke der Übermittlung

Das BDSG stellt an die kommerzielle Datenverarbeitung zum Zwecke der Übermittlung durch Auskunfteien, Adresshändler oder Markt- und Meinungsforschungsinstitute besondere Anforderungen. Dabei ist grundsätzlich zwischen der Erhebung der Daten zum Zwecke ihrer Weitergabe und der Weitergabe als solcher zu unterscheiden.

Bei der Erhebung der Daten muss bereits geprüft werden, ob beim Betroffenen kein Grund zur Annahme eines schutzwürdigen Interesses am Ausschluss der Erhebung, Speicherung oder Veränderung seiner personenbezogenen Daten besteht. Werden die Daten aus allgemein zugänglichen Quellen entnommen, ist zu prüfen, ob ein schutzwürdiges Interesse des Betroffenen besteht, das jenes an der Erhebung, Speicherung oder Veränderung der Daten überwiegt. In diesen Fällen ist bereits die Erhebung der Daten unzulässig. Ferner muss bereits jetzt der Verwendungszweck der zu erhebenden Daten verbindlich festgelegt werden. Eine Änderung dieses Zweckes ist zu einem späteren Zeitpunkt nicht möglich.

Datenvermeidung und Datensparsamkeit

Für das Betreiben von DV-Systemen gilt, dass nur so viel personenbezogene Daten wie unbedingt nötig erhoben, verarbeitet oder genutzt werden sollten. Soweit möglich, ist von Anonymisierung oder Pseudonymisierung Gebrauch zu machen. Diese Grundsätze sollen bereits bei der Planung der technischen Ausführung eines beabsichtigten Datenverarbeitungsprozesses berücksichtigt werden. Hierdurch soll sichergestellt werden, dass die Verarbeitungsvorgänge bereits technisch so ausgestaltet werden, dass sowenig Daten wie möglich in die Erfassung gelangen.

Direkterhebungsgrundsatz

Personenbezogene Daten sind grundsätzlich unmittelbar beim Betroffenen •und mit seiner Kenntnis zu erheben.

Eine Abweichung von diesem Grundsatz ist nur in Ausnahmefällen möglich und zwar wenn eine Rechtsvorschrift dies vorsieht, oder wenn die Erhebung beim Betroffenen einen unverhältnismäßig hohen Aufwand erfordern würde.

Dritter

Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle, nicht jedoch der Betroffene oder die Stelle, die Daten im Auftrag verwendet.

Email

Im Geschäftsverkehr ist die Email mit der normalen Briefpost vergleichbar. Sie gilt als zugegangen, wenn sie den Account des Empfängers erreicht und mit der Kenntnisnahme nach den gewöhnlichen Umständen gerechnet werden kann, also während der üblichen Geschäfts- bzw. Bürozeiten.

Gestattet ein Arbeitgeber seinen Arbeitnehmern die Nutzung des Unternehmens-Accounts für private Emails, so gilt er als Anbieter eines Teledienstes mit der Folge, dass er zur Wahrung des Fernmeldegeheimnisses gegenüber den Mitarbeitern verpflichtet ist. Private Emails der Mitarbeiter sollten von den geschäftlichen Emails strikt getrennt werden, da sie unter das Briefgeheimnisfallen, selbst wenn sie auf Speichermedien des Unternehmens verwahrt werden.

Email-Werbung

Email-Werbung ist ohne das vorherige Einverständnis des Beworbenen sowohl im privaten, als auch im gewerblichen Bereich unzulässig, Email-Werbung ohne Einwilligung verstößt nicht nur gegen die Grundsätze des Datenschutzes, sondern auch gegen die guten Sitten im Sinne des § 1 UWG. Ist der Empfänger ein Gewerbetreibender, kommt darüber hinaus auch ein unzulässiger Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb in Betracht.

Einwilligung des Betroffenen

Die Erfordernis zur Einwilligung ist in § 4 Abs. 1 BDSG geregelt und in ausgestaltet. Die Einwilligung des Betroffenen in die Erhebung personenbezogener Daten muss vor Beginn der Datenerhebung erfolgen (§ 4 Abs. 1 und § 4a BDSG). Dabei ist der Zweck der Erhebung zu nennen. Sie bedarf i. d. R. der Schriftform. Pauschalisierte Einwilligungen und solche ohne zeitliche und inhaltliche Begrenzung sind nicht zulässig.

Für die Erhebung sensitiver Daten (§ 3 Abs. 9 BDSG) muss sich die Einwilligung ausdrücklich auf diese beziehen.

Die Veröffentlichung von Mitarbeiterdaten im Internet ist ohne deren Einwilligung nur zulässig, soweit dies zur Erfüllung arbeitsvertraglicher Pflichten erforderlich ist. Die Bekanntmachung privater Daten oder die Veröffentlichung von Bildern sind stets nur mit Zustimmung des betroffenen Mitarbeiters zulässig.

Erteilte Einwilligungen sind jederzeit widerrufbar.

Empfänger

Empfänger ist jede Person oder Stelle, die pb-Daten erhält (auch Organisationseinheiten innerhalb der verantwortlichen Stelle).

Firewall

Unter einer Firewall versteht man Systeme zur Sicherung der unternehmensinternen DV bei Internetverbindungen. Es gibt zahlreiche Möglichkeiten der Realisierung, so z. B. die Filterung bestimmter TCP/IP-Adressen oder die Zwischenschaltung bestimmter Firewall-Server. Das Sicherheitsniveau von Firewalls variiert je nach Aufwand und kann sowohl beim Zugriff nach außen als auch für den Zugriff von außerhalb angelegt werden. Die Rechner wickeln den Datenverkehr zwischen lokalen (internen) Netzen und anderen Netzwerken, in der Regel dem Internet, ab. Jeder Zugriff eines Anwenders auf Daten des externen Netzes erfolgt über den Firewall-Rechner. Dieser lädt die angeforderten Daten und gibt sie an den anfordernden Rechner weiter. Nur der Firewall-Rechner steht in unmittelbarer Verbindung mit dem externen Netz.

Haftung des externen Datenschutzbeauftragten

Der externe Datenschutzbeauftragte haftet, sofern nichts anderes vereinbart wurde, für Vorsatz und jede Form der Fahrlässigkeit. Die Haftung kann vertraglich eingeschränkt werden. Ein Haftungsausschluss für Vorsatz und grobe Fahrlässigkeit ist jedoch nicht möglich. In jedem Falle kommt lediglich eine Haftung gegenüber dem beauftragenden Unternehmen in Betracht. Eine unmittelbare Haftung gegenüber den Betroffenen besteht nicht.

Haftung des internen Datenschutzbeauftragten

Der interne Datenschutzbeauftragte haftet lediglich im Rahmen der üblichen Arbeitnehmerhaftung gegenüber dem Unternehmen. Eine unmittelbare Haftung gegenüber den Betroffenen besteht nicht.

Heimarbeitsplätze

Werden Mitarbeiter an Heimarbeitsplätzen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt, so ist dafür Sorge zu tragen, dass auch hier das gesetzliche vorgeschriebene Datenschutzniveau gewährleistet wird.

Kontrolle des Datenschutzes

Im Bereich der privaten Wirtschaft sind zunächst die Unternehmen als speichernde Stellen selbst für sie Einhaltung der Datenschutzstandards verantwortlich. Daneben bestehen Überwachungs- und Kontrollkompetenzen des jeweiligen Landesdatenschutzbeauftragten als Aufsichtsbehörde. Bei Fragen oder in Zweifelsfällen können sich die betrieblichen Datenschutzbeauftragten an die Aufsichtsbehörde wenden. Die Aufsichtsbehörde ist auch zuständig für die Vorabkontrolle bei meldepflichtigen Vorgängen.

Konzerndatenschutz

Jedes einzelne Unternehmen eines Konzerns (Zusammenschluss mehrerer selbständiger juristischer Personen unter einer einheitlichen Führung), ist zur Bestellung eines Datenschutzbeauftragten verpflichtet, sofern die Anforderungen des § 4f BDSG erfüllt sind. Es kann ein Konzerndatenschutzbeauftragter bestellt werden. Dieser ist in der Firma, welche ihn als Arbeitnehmer beschäftigt, interner und in den anderen Unternehmen des Konzerns externer Datenschutzbeauftragter. Der Konzerndatenschutzbeauftragte muss in jedem einzelnen Unternehmen schriftlich ernannt werden.

Konzernprivileg

Ein Konzernprivileg, wie es in anderen Rechtsgebieten vorhanden ist, kennt das BDSG nicht. Die Übermittlung personenbezogener Daten zwischen einzelnen juristischen Personen innerhalb eines Konzern unterfällt somit uneingeschränkt den Regelungen des BDSG.

Kundenbindungssysteme

Kundenbindungssysteme wie z. B. Payback- oder sonstige Bonuskarten werden in den meisten Fällen den datenschutzrechtlichen Anforderungen nicht gerecht. Häufigste Gründe für Beanstandungen sind unzureichende Einwilligungen der Kunden, die Erhebung nicht erforderlicher Daten, die Weiterleitung an andere Stellen, wenn sich mehrere Unternehmen für die Herausgabe von Payback-Karten zusammengeschlossen haben oder das Erstellen detaillierter Kundenprofile.

Löschung vorhandener personenbezogener Daten

Unter Löschung personenbezogener Daten versteht man deren unwiederbringliche Vernichtung. Personenbezogene Daten sind unverzüglich zu löschen beim Wegfall des Grundes ihrer Erhebung, bei unzulässigen Daten und bei. besonderen Datenarten oder Daten über Strafhandlungen oder Ordnungswidrigkeiten, deren Richtigkeit nicht bewiesen ist. Es ist nicht zulässig, Daten zur späteren Verwendung “auf Vorrat” zu speichern.

Meldepflicht

Die verantwortliche Stelle hat Verfahren automatisierter Verarbeitung vor der Inbetriebnahme der Aufsichtsbehörde zu melden.

Keine Meldepflicht besteht, wenn ein Datenschutzbeauftragter bestellt ist.

Für Adresshändler, Auskunfteien, Markt- und Meinungsforschungsinstitute gilt diese Ausnahmeregelung nicht.

Mobile personenbezogene Speicher- und Verarbeitungsmedien (Chipkarten)

Dies sind an den Betroffenen ausgegebene Datenträger, auf denen pb-Daten über die Speicherung hinaus durch die ausgebende Stelle automatisiert verarbeitet werden können und bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. Der Betroffene ist über: den Herausgeber und seine Anschrift, die Funktionsweise und Art der zu verarbeitenden Daten, die Wahrung seiner Rechte und die zu treffenden Maßnahmen bei Verlust oder Zerstörung zu unterrichten. Geräte zur Auskunftserteilung sind unentgeltlich zur Verfügung zu stellen.

Beispiele: Geldkarten der Banken, Chipkarten zu modernen Zeiterfassungssystemen

Newsletter

Der Versand von Newslettern per Email ist, auch wenn diese Werbung beinhalten, zulässig, soweit der Empfänger dem zuvor zugestimmt hat. Die Anfrage, ob zukünftig Newsletter übersandt werden dürfen, stellt jedoch eine unzulässige Email-Werbung dar.

Personalaktenführung

Der Arbeitgeber muss bei der Personalaktenführung folgende Grundsätze berücksichtigen:

-           Grundsatz der Transparenz gegenüber dem betroffenen Mitarbeiter

-           Grundsatz der Aktenwahrheit; die Inhalte der Akten müssen zutreffend sein

-           Grundsatz der Zulässigkeit; die Erhebung der in den Personalakten befindlichen Daten muss zulässig sein

-           Grundsatz der Vertraulichkeit von Personalakten

Diese Grundsätze sind datenschutzrechtlich relevant.

Nicht-automatisierte Dateien

Nicht-automatisierte Dateien sind nicht-automatisierte Sammlungen von pb-Daten, die gleichartig aufgebaut sind und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können. 

Personenbezogene Daten (pb-Daten)

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), soweit sie nicht ausschließlich für familiäre oder persönliche Zwecke verwendet werden.

Daten über persönliche Verhältnisse sind z. B. Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit Beruf, Konfession, Krankheiten; Angaben über sachliche Verhältnisse sind z. B. Angaben zu Einkommen, Eigentumsverhältnissen, KFZ-Typ, Steuern, Versicherungen.

Besondere personenbezogene Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Sie dürfen nur unter bestimmten Voraussetzungen verwendet werden.

Diese Daten unterliegen der Vorabkontrolle durch den DSB! Beispiele: Persönlichkeitsprofile, Lifestyle-Daten, Kunden-/Nutzungsprofile, personenbezogene Krankheitsstatistik ...

Robinsonliste

Die Robinsonliste wird vom Deutschen Direktmarketingverband geführt und enthält Einträge von Personen, die keine Zusendungen von Werbematerial erhalten wollen. Ihre Beachtung ist freiwillig. 

Schadensersatz

Wird dem Betroffenen durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner Daten ein Schaden zugefügt, ist die verantwortliche Stelle oder der Träger zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

Schulung interner Datenschutzbeauftragter

Mitarbeiter, die zum internen Datenschutzbeauftragten bestellt werden sollen, müssen neben ihrer persönlichen Zuverlässigkeit und Kenntnissen innerbetrieblicher Abläufe auch über die zur Erfüllung dieser Aufgabe erforderliche Sachkunde verfügen. Ein Nachweis hierüber kann durch die Teilnahme an entsprechenden Schulungen erbracht werden.

Schulung von Mitarbeitern

Der Datenschutzbeauftragte muss die im Unternehmen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigten Mitarbeiter im Rahmen regelmäßiger Schulungen über neue Entwicklungen der gesetzlichen Bestimmungen zum Datenschutz sowie über die bereits getroffenen oder zu erwartenden innerbetrieblichen Maßnahmen unterrichten.

Sperrdatei

Hat ein Betroffener Widerspruch gegen die Nutzung seiner persönlichen Daten zum Zwecke der Werbung eingelegt, muss sichergestellt werden, dass dieser Widerspruch auch bei späteren Werbeaktionen. Hierzu ist es erforderlich, diesen Adressaten in eine Sperrdatei  aufzunehmen. 

Sperrung von Daten

Unter Sperrung personenbezogener Daten ist deren Kennzeichnung zu verstehen, ihre weitere Verarbeitung oder Nutzung einzuschränken.

In besonderen Fällen besteht die Pflicht, Daten zu sperren.

Wenn personenbezogene Daten eigentlich gelöscht werden müssten, dies aber aufgrund satzungsmäßiger oder gesetzlicher Aufbewahrungsfristen nicht möglich ist, eine Löschung die schutzwürdigen Interessen des Betroffenen beeinträchtigen würde oder die Löschung aufgrund der Art der Datenspeicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich wäre, dann müssen die Daten gesperrt werden. Personenbezogene Daten sind auch dann zu sperren, wenn ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Gesperrte Daten dürfen in der Regel nicht ohne Einwilligung des Betroffenen genutzt oder übermittelt werden.

Straf- und Bußgeldvorschriften

Das BDSG enthält in den §§ 43 und 44 Ordnungswidrigkeits- und Straftatbestände. Als Sanktionen können Bußgelder von bis zu 25.000 Euro Geldstrafen und Freiheitsstrafen von bis zu zwei Jahren verhängt werden.

Mit Geldbußen kann belegt werden, wer der Meldepflicht nicht nachkommt, einen Beauftragten für den Datenschutz nicht ordnungsgemäß bestellt, Betroffene nicht ordnungsgemäß über Widerspruchsrechte informiert, Daten inkorrekt übermittelt oder nutzt, Gründe zur Datenübermittlung nicht aufzeichnet, Betroffene nicht ordnungsgemäß benachrichtigt, bestrittene Daten ohne Gegendarstellung übermittelt, Prüfungen der Aufsichtsbehörde behindert oder vollziehbare Anordnungen der Aufsichtsbehörde nicht beachtet.

Mit Geldbußen bis zu 250.000 Euro wird belegt, wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, zum Abruf mittels automatisierten Verfahrens bereithält, abruft oder sich oder einem anderen verschafft, die Übermittlung durch unrichtige Angaben erschleicht, Daten entgegen der Zweckbegrenzung an Dritte weitergibt oder anonymisierte Daten mit Einzelangaben von Betroffenen zusammenführt. Werden solche Handlungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern begangen, stellt dies einen Straftatbestand dar. Freiheitsstrafe von bis zu zwei Jahren oder Geldstrafe können die Folge sein.

Ebenfalls mit Freiheits- oder Geldstrafe wird das Ausspähen von Daten sanktioniert.

Darüber hinaus können Verstöße gegen Datenschutzgrundsätze die zivilrechtliche Haftung auf Schadensersatz zur Folge haben.

Stapelverarbeitung von Daten

Unter der Stapelverarbeitung ist der Abruf oder die Übermittlung eines Gesamtbestandes an Daten zu verstehen, § 10 Abs. 4 S. 4 BDSG.

Telefaxwerbung

Ohne das vorherige Einverständnis des Beworbenen ist Telefaxwerbung sowohl im privaten, als auch im gewerblichen Bereich unzulässig. Faxwerbung ohne Einwilligung verstößt nicht nur gegen die Grundsätze des Datenschutzes, sondern auch gegen die guten Sitten im Sinne des § 1 UWG. Ist der Empfänger ein Gewerbetreibender, kommt darüber hinaus auch ein unzulässiger Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb in Betracht.

Telefonmarketing

Telefonmarketing ist gegenüber Privatpersonen nur dann zulässig, wenn diese zuvor ihr Einverständnis hierzu abgegeben haben, unabhängig davon, ob Neukunden geworben werden sollen, oder der Anruf der Kundenpflege oder -rückgewinnung dient.

Tragbarer PC (Laptop)

Die Speicherung personenbezogener Daten auf Laptops ist insbesondere dann problematisch, wenn sie unverschlüsselt erfolgt. Wird der Laptop gestohlen oder an einem privaten, nicht hinreichend gesicherten Anschluss mit dem Internet verbunden, ist der erforderliche Datenschutz nicht mehr gewährleistet. Sensible Daten sollten deshalb nach Möglichkeit nicht auf Laptops gespeichert werden. Ist dies unumgänglich, sollte die Speicherung stets in verschlüsselter Form erfolgen. Sensible Daten, insbesondere die in § 3 Abs. 9 BDSG genannten  personenbezogenen Daten, dürfen auf tragbaren PC nur dann verarbeitet werden, wenn dies aufgrund der Aufgabenerfüllung unvermeidbar ist. Falls sensible bzw. personenbezogene Daten verarbeitet werden müssen, ist die Installation von Sicherheitssoftware erforderlich. 

Übermittlung von Daten

Eine Übermittlung von Daten erfolgt dann, wenn die verarbeitende Stelle personenbezogene Daten durch Weitergabe, Einsichtnahme oder Abruf Dritten zukommen lässt. Eine bloße Bereitstellung dieser Daten zum Abruf genügt hingegen nicht.

Veränderung von Daten

Verändern ist das inhaltliche Umgestalten personenbezogener Daten.

Verantwortliche Stelle

Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

Verarbeitung von Daten

Verarbeiten von personenbezogenen Daten ist deren Speichern, Verändern, Übermitteln, Sperren oder Löschen. Besonders strengen Anforderungen unterliegt die Verarbeitung besonders sensitiver personenbezogener Daten unterliegt.

Verarbeitung von Daten, automatisierte

Eine automatisierte Verarbeitung personenbezogener Daten ist immer dann gegeben, wenn die Erhebung, Verarbeitung oder Nutzung unter dem Einsatz von Datenverarbeitungsanlagen erfolgt, § 3 Abs. 2 BDSG. 

Verarbeitung von Daten, nicht automatisierte

Nicht-automatisierte Dateien sind nicht-automatisierte Sammlungen von personenbezogenen Daten, die gleichartig aufgebaut sind und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können.

Hierfür genügt bereits eine alphabetische Ordnung, sofern personenbezogene Angaben als Suchkriterien für die Erhebung, Verarbeitung oder Nutzung fungieren. (Beispiele:

EDV-Listen, Mitarbeiterkartei, Buchausleihe, Schlüsselkartei, Personalfragebogen, Unfallberichte, Lohnsteuerkarten).

Verfahrensverzeichnis

Jedermann hat das Recht auf Offenlegung des Unternehmens, welche personenbezogenen Daten zu welchem Zweck gespeichert und ggf. weitergegeben werden.

Das Unternehmen hat dem Datenschutzbeauftragten Verzeichnisse der meldepflichtigen Verfahren zur Verfügung zu stellen. Diese bilden die Grundlage des betrieblichen Datenschutzes. Ihr Inhalt richtet sich nach § 4e BDSG. Die Verfahrensübersicht muss eine hinreichende Aussagekraft haben und sich stets auf aktuellem Stand befinden. Das Verfahrensverzeichnis besteht aus einem öffentlichen und einem nicht öffentlichen Teil. Der öffentliche Teil muss auf Anfrage jedem Interessenten zugänglich gemacht werden. Es genügt, wenn er im Internet abrufbar ist.

Videoüberwachung

Videoüberwachung ist zulässig zur Beobachtung öffentlich zugänglicher Räume (z. B. Eingangsbereiche, Verkaufsräume, Schalterhallen, Zaunanlagen) sowie Verarbeitung und Nutzung der Aufnahmen zur

-           Aufgabenerfüllung öffentlicher Stellen,

-           Wahrnehmung des Hausrechts oder

-           Wahrnehmung berechtigter Interessen für konkrete Zwecke.

Die Zwecke der Überwachung müssen vorab konkret festgelegt und dokumentiert werden.

Es besteht die Pflicht zur Information. Die betreffenden Bereiche müssen entsprechend gekennzeichnet sein. Es ist erkennbar zu machen, dass überwacht wird und wer dies tut Unmittelbar, wenn Zweck erreicht ist, müssen der erhobenen Daten gelöscht werden.

Nicht betroffen ist die Überwachung von rein privaten Räumen oder Geländen sowie die Überwachung des Arbeitsplatzes. Letztere kann jedoch anderweitigen Bestimmungen unterfallen.

Vorabkontrolle

Der Datenschutzbeauftragte hat eine Vorabkontrolle durchzuführen, wenn es um sensitive Daten geht oder die Persönlichkeit des Betroffenen bewertet werden soll.

Automatisierte Verarbeitungen personenbezogener Daten müssen bereits vor ihrem Beginn geprüft werden, sofern sie besondere Risiken für die Rechte und Freiheiten der Betroffenen bergen. Dies ist immer dann der Fall, wenn besonders sensitive Daten im Sinne des § 3 Abs. 9 BDSG zur Verarbeitung gelangen sollen, oder wenn die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten und Leistungen zu bewerten, § 4d Abs. 5 BDSG.

Die Kontrolle ist schriftlich zu dokumentieren und sollte mindestens eine Stellungnahme enthalten. Gegenstand der Prüfung ist die Zulässigkeit des beabsichtigten Verfahrens sowie die Feststellung, ob eine den speziellen Risiken entsprechende Vorsorge getroffen wurde.

Vorratsdatenspeicherung

Die Speicherung personenbezogener Daten auf Vorrat, d. h. für nicht bekannte Zwecke, ist nicht zulässig.

Widerspruchsrecht

Personenbezogene Daten dürfen nicht verwendet werden, wenn der Betroffene wegen seiner besonderen persönlichen Situation widerspricht und sein Interesse höher zu bewerten ist als das der verantwortlichen Stelle (sofern keine Verpflichtung durch eine Rechtsvorschrift besteht).

Der Betroffene hat ein zusätzliches Widerspruchsrecht bei Nutzung seiner Daten für Zwecke der Werbung, Markt- oder Meinungsforschung.

Zulässigkeit der Datenverarbeitung im nicht öffentlichen Bereich

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist grundsätzlich nur dann zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Im Bereich der privaten Wirtschaft ist die Verarbeitung personenbezogener Daten für eigene Zwecke grundsätzlich  zulässig im Rahmen der Zweckbestimmung eines Vertragsverhältnisses (z. B. Arbeitsvertrag) oder vertragsähnlichen Vertrauensverhältnisses (z. B. Bewerbung), zur Wahrung berechtigter Interessen der verantwortlichen Stelle unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen oder wenn die Daten aus öffentlichen Quellen entnommen werden können.

Strengere Anforderungen sind an die Verarbeitung personenbezogener Daten für fremde Zwecke geknüpft. Diese ist nur dann zulässig, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Verarbeitung hat.

Zulässigkeit der Datenverarbeitung im öffentlichen Bereich

Im öffentlichen Bereich ist das Verarbeiten personenbezogener Daten zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist.

Zulässigkeit der Erhebung, Verarbeitung und Nutzung besonderer Arten von personenbezogenen Daten

Die Erhebung, Verarbeitung und Nutzung besonderer Arten personenbezogener Daten ist zulässig

-           bei Einwilligung des Betroffenen

-           ohne Einwilligung, wenn dies aus lebenswichtigem Interesse des Betroffenen oder Dritten erforderlich ist, und er selbst keine Einwilligung geben kann

-           die Daten vom Betroffenen offenkundig öffentlich gemacht wurden

-           dies für rechtliche Ansprüche erforderlich ist und das schutzwürdige Interesse des Betroffenen dagegen nicht überwiegt

-           dies zur Durchführung wissensch. Forschung erforderlich ist

-           dies aus Gesundheitszwecken erforderlich ist und das Personal der Geheimhaltungspflicht unterliegt

Zweckbestimmung

Personenbezogene Daten dürfen nur dann erhoben werden, wenn vorab ihre Zweckbestimmung festgelegt wurde. Zulässig ist die Erhebung, Verarbeitung oder Nutzung im Rahmen der Zweckbestimmung eines Vertragsverhältnisses (z. B. Arbeitsvertrag) oder vertragsähnlichen Vertrauensverhältnisses (z. B. Bewerbung), zur Wahrung berechtigter Interessen der verantwortlichen Stelle unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen oder wenn die Daten aus öffentlichen Quellen entnommen werden können.

Über den Zweck muss der Betroffene informiert werden. Eine nur vage Definition der Zweckbestimmung genügt nicht. Sie muss so deutlich wie möglich formuliert werden. Eine vom ursprünglichen Zweck abweichende Bearbeitung oder Nutzung personenbezogener Daten ist ohne die erneute Einwilligung des Betroffenen nicht zulässig.