Datenschutzrecht

Bei den im Bundesdatenschutzgesetz (BDSG) normierten Regelungen handelt es sich grundsätzlich um „Verbote mit Erlaubnisvorbehalt“. Das heißt, dass grundsätzlich von einem Verbot der Datenerhebung, -verarbeitung und -nutzung ohne die Einwilligung des Betroffenen auszugehen ist.

In § 4 Abs. 1 BDSG findet sich aber auch die Regelung, dass die Datenerhebung auch durch eine gesetzliche Norm erlaubt sein kann.

Danach ist das Erheben, Verarbeiten oder Nutzen personenbezogener Daten ausnahmsweise erlaubt, wenn der Betroffene eingewilligt hat oder ein Tarifvertrag, eine Betriebsvereinbarung oder eine gesetzliche Norm die Verarbeitung erlaubt.

Die Einwilligung nach § 4 Abs. 1 BDSG muss gemäß § 4a Abs. 1 BDSG auf der freien Entscheidung des Betroffenen beruhen.

Folglich muß der Betroffene vorab über den Zweck der Datenerhebung bzw. -speicherung hingewiesen und informiert werden (sogenannte „informierte Einwilligung“).

Die Einwilligung bedarf nach § 4a Abs. 1 Satz 3 BDSG der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Diese Einwilligung ist grundsätzlich und jederzeit frei widerruflich. Entgegenstehende Vereinbarungen sind unwirksam.

Daneben haben die Länder eigene Datenschutzgesetze und datenschutzrechtliche Verordnungen erlassen.

Eine Übersicht der Normen finden Sie im Internet unter:

http://www.datenschutz.de/recht/gesetze

http://www.gesetze-im-internet.de

Mustererklärungen und weitere Informationen zum Datenschutz finden Sie auf unserer Partnerseite im Internet unter: http://www.datenschutzerklaerung-online.de.

AKTUELL (Dezember 2010):

Gesetzentwurf des BMI zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht

Einzelheiten zum Inhalt der BMI-Gesetzesinitiative:

1.
Die gesetzesinitiative zielt auf die Stärkung der Selbstbestimmung durch eine Ergänzung des Bundesdatenschutzgesetzes.

2.
Notwendig ist ein breiter Ansatz, der das gesamte Internet einbezieht und sich nicht nur auf einzelne Teilaspekte wie Geodaten oder gar nur auf Google Street View beschränkt.

3.
Werden Daten, die über Personen zusammengestellt worden sind, gezielt veröffentlicht, greift dies besonders tief in das Persönlichkeitsrecht ein. Eine gezielte Verbreitung von Persönlichkeitsprofilen darf deshalb nur mit Einwilligung des Betroffenen erfolgen oder aber wenn ein klar überwiegendes Interesse an der Veröffentllichung besteht. Hier gibt es eine „rote Linie“, die jeder beachten muss.

Die Schwelle für das Vorliegen unzulässiger Veröffentlichungen ist im Sinne dieser „roten Linie“ hoch angesetzt. Ähnlilch wie der physische öffentliche Raum ist auch das Internet als ein öffentlicher Raum anzusehen, der grundsätzlich frei von staatlichen Restriktionen bleiben sollte.

Soweit ein Betroffener ausnahmsweise in einen solchen Eingriff einwilligt, muss diese Einwilligung des Betroffenen ausdrücklich und gesondert erklärt werden. Dies kann auch elektronisch geschehen. Das Verbot gilt dann nicht, wenn ein überwiegendes schutzwürdiges Interesse der verantwortlichen Stelle an der Veröffentlichung besteht. Als derartige Inbteressen kommen insbesondere die Meinungsfreiheit, die Forschungsfreiheit und die Kunstfreiheit in Frage.

Die Pressefreiheit wird doppelt geschützt. Zum einen giklt für die Presse weiterhin das Presseprivileg nach § 41 BDSG. Zum anderen können sich auch presse-ähnliche Berichterstattungen, die dem Informationsinteresse der Allgemeinheit dienen im Einzelfall auf ein überwiegendes schutzwürdiges Interesse an der Veröffentlichung berufen.

4.
Als Diskussionsgrundlage enthält der Entwurf zudem erste Regelungsvorschläge zu bestimmten Internetdiensten, die für die Integrität des Persönlichkeitsrechts von besonderer Bedeutung sind. Im Einzelnen sind dies:

Gesichtserkennungsdienste
Profilbildungen anhand von Suchmaschinenanfragen
Erhebung von Standortdaten

5.
Immaterieller Schadensersatz (Schmerzenzgeld)
Als Sanktion schwerer Verletzungen des Persönlichkeitsrechts soll ein neuer Schmerzenzgeldanspruch im BDSG geschaffen werden. Einen Schmerzenzgeldanspruch kennt das BDSG bisher nur in Bezug auf die automatisierte Datenverarbeitung öffentlicher Stellen. Der Anspruch richtet sich gegen private Unternehmen. Die neue Regelung stellt zugleich Kriterien für die Bemessung der Höhe des immateriellen Schadensersatzes auf. Die Kriterien sind hierbei nicht abschließend und werden durch die bewährten Maßstäbe der Rechtsprechung ergänzt. Die ausdrücklich genannten Kriterien betonen den Sanktionscharakter der Geldentschädigung. Neben der Genugtuungsfunktion für den Betroffenen besteht dieser vor allem in der Prävention. Die Geldentschädigung soll so bemessen sein, dass sie einen angemessenen Hemmungseffekt entfaltet. Insoweit muss sich die Höhe des immateriellen Schadensersatzes auch an der Höhe der tatsächlichen oder zu erwartenden Gewinne orientieren.

F A Q
(FREQUENTLY ASKED QUESTIONS)

„Was versteht man unter „ERHEBEN“ von Daten?“
Der Begriff der „Erhebung“ ist in § 3 Abs. 3 BDSG definiert als „das Beschaffen von Daten über den Betroffenen“. Es bedarf daher einer Aktivität, durch die die erhebende Stelle oder Person Kenntnis von den Daten erhält oder Verfügung über diese begründet.
 Für eine für das Datenschutzrecht relevante Handlung bedarf es aufgrund des Kausalerfordernisses aus § 1 Abs. 2 Nr. 3 und/oder § 27 Abs. 1 Satz 1 BDSG („dafür erhoben“) jedoch auch eine anschließende Weiterverarbeitung oder Nutzung.
 Von einer erlaubnispflichtigen Erhebung ist beispielsweise auszugehen bei Befragungen (Fragebögen; Personal-, Kunden- oder Verbraucherbefragungen), medizinischen Untersuchungen (Blutproben) oder Observierung von Personen mittels Kameras.
„Was versteht man unter „VERARBEITEN“ von Daten?“
Unter „Verarbeitung“ personenbezogener Daten fallen gemäß § 3 Abs. 4 BDSG die Speicherung (Nr. 1), Veränderung (Nr. 2), Übermittlung (Nr. 3), Sperrung (Nr. 4) und Löschung (Nr. 5). Die relevantesten Verarbeitungen sind dabei das Speichern und Übermitteln.
Was versteht man unter „SPEICHERUNG“ von Daten?“
Speicherung nach § 3 Abs. 4 Nr. 1 BDSG bedeutet das Erfassen, Aufnehmen oder Aufbewahren von Daten (auf einem Datenträger) zum Zwecke ihrer weiteren Verwendung. Hierzu zählt aber nicht nur die elektronische Speicherung, sondern auch Aufzeichnungen auf (unformatierten) Datenträgern wie Notizzetteln.
Was versteht man unter „VERÄNDERUNG“ von Daten?“
Als „Veränderung“ bezeichnet das BDSG das inhaltliche Umgestalten gespeicherter Daten und fasst darunter die Modifikation des Informationsgehaltes und des Aussagewertes eines konkreten Datums. Letztlich unterfallen nur Einwirkungen auf das Datum selbst, nicht aber der Inhaltswandel eines Datums – beispielweise durch verändertes Vorwissen Dritter – dem Begriff der Datenveränderung.
Was versteht man unter „ÜBERMITTLUNG“ von Daten?“
Als „Übermittlung“ bezeichnet man die Bekanntgabe von Daten durch die verantwortliche Stelle an Dritte durch Weitergabe, Einsichtnahme oder Abruf.
 Fraglich ist hierbei regelmäßig, wer als „Dritter“ einzustufen ist. Nach § 3 Abs. 8 Satz 2 BDSG ist „Dritter“ jede Person oder Stelle außerhalb der verantwortlichen Stelle.
 Nicht als Dritte gelten der Betroffene selbst und diejenigen Personen oder Stellen, die innerhalb der EU/EWR im Auftrag der speichernden Stelle Daten verarbeiten oder nutzen, § 3 Abs. 8 Satz 3 BDSG.
Was versteht man unter der „VERANTWORTLICHE STELLE“?“
Die „verantwortliche Stelle“ ist in § 3 Abs. 7 BDSG definiert als „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutz oder dies durch andere im Auftrag vornehmen lässt“.
Was versteht man unter den „DRITTEN“ im Sinne des BDSG?“
Das Verhältnis von verantwortlicher Stelle und Drittem bestimmt sich nach dem sogenannten funktionalen Stellenbegriff.
 Danach sind „Dritte“ alle Behörden, Stellen und Personen außerhalb der jeweiligen Behörde bzw. des einzelnen Unternehmens; alle organisatorischen Teile innerhalb einer Behörde oder eines Unternehmens, deren Funktion in keinem direkten Zusammenhang mit der konkreten Datenverarbeitung steht, der Empfänger bei einem Datenaustausch zwischen zwei verschiedenen Stellen und der Empfänger bei jedem Datentransfer in Staaten außerhalb von EU/EWR.
 Achtung! Damit ist eine Datenübermittlung auch bei scheinbar hausinternen Mitteilungen gegeben, wenn diese Mitteilungen die vorgegebene Funktions- und Geschäftsverteilung übersteigen.
Was versteht man unter einer „SPERRUNG“ von Daten?“
Sperrung“ bezeichnet die Kennzeichnung personenbezogener Daten zu dem Zweck, ihre weitere Verarbeitung oder Nutzung einzuschränken. Diese Verarbeitungsphase zielt damit auf die Möglichkit, bei automatisierten Dateien den Zugriff auf Datenfelder oder ganze Datensätze programmtechnisch unmöglich zu machen.
 Sperrung bedeutet aber keine Löschung, denn sonst könnte die verantwortliche Stelle dann nicht sagen, welche Daten zu sperren sind, also welche Daten von der Sperrung umfasst sein sollen.
Was versteht man unter „LÖSCHUNG“ von Daten?“
Unter „Löschung“ von Daten wird nach dem BDSG das Unkenntlichmachen von Daten verstanden. Gemeint ist damit aber allein das unwiederbringliche Tilgen der Daten. Das Löschen kann beispielsweise durch Überschreiben, Radieren, Schwärzen oder Vernichten der Datenträger (einschließlich aller Sicherheitskopien) erfolgen.
 Nicht ausreichend ist der bloße Vermerk „gelöscht“ oder das bloße Archivieren und Auslagern von Daten.
Kann die notwendige Einwilligung des Betroffenen auch im Rahmen von Allgemeinen Geschäftsbedingungen erteilt werden?“
Bei der Einbindung der Einwilligung zur Datenverarbeitung in Allgemeine Geschäftsbedingungen bestehen Schwierigkeiten. So verstößt eine derartige Einbindung ohne sachlichen Zusammenhang in AGB gegen das Transparenzgebot. Auch eine Bevollmächtigungs-Klausel in AGB, personenbezogene Daten an Dritte weiterzugeben, besteht nicht ohne Weiteres die Inhaltskontrolle von AGB nach § 307 BGB. Auch ist eine Klausel in AGB wegen unangemessener Benachteiligung unwirksam, wonach personenbezogene Daten an §Unternehmen des Konzerns“ weitergegeben werden dürfen.
 Letztlich sind alle Klauseln in AGB nichtig, die von den wesentliche Grundgedanken des BDSG abweichen.
Kann eine Einwilligung zur Datenverarbeitung auch durch schlüssiges Verhalten (konkludent) erteilt werden?“
Nach § 4a Abs. 1 Satz 3 BDSG bedarf die Einwilligung grundsätzlich der Schriftform. Liegen aber besondere Umstände vor, kann auch eine andere Form angemessen sein. Dies kann beispielsweise dann der Fall sein, wenn Daten im Rahmen einer Verbraucherbefragung unter dem ausdrücklichen Hinweis auf die Freiwilligkeit der Teilnahme und detaillierter Beschreibung der Zweckbestimmung erhoben werden. Im Einzelfall kann eine ausdrückliche Einwilligung in die spätere Datenverarbeitung entbehrlich machen, da bereits in der freiwilligen Teilnahme an der Umfrage eine (konkludente) Einwilligung gesehen werden kann.
Inwieweit unterliegen auch anonymisierte oder zusammenfassende (aggregierte) Daten und Datensammlungen dem BDSG?“
Entscheidend ist hierbei nach der Legaldefinition des Anonymisierens in § 3 Abs. 6 BDSG, ob die Daten nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Grundsätzlich ist aber die Erstellung anonymer Profile in vollem Umfang zulässig, da das Datenschutzrecht dann nicht zum Tragen kommt. Dieser Grundsatz gilt auch für Pseudonyme, sofern nicht Zuordnungslisten in der Hand des Datenverarbeiters die Aufdeckung der Identität des hinter dem Pseudonym stehenden Nutzers ermöglichen.