Bundesdatenschutzgesetz

1 Geschichtliche Entwicklung 2 Novellierung 2009 3 Überblick über das BDSG 4 Allgemeine und gemeinsame Bestimmungen 4.1 Grundsätze 4.2 Geschützte Daten 4.3 Sachlicher Anwendungsbereich 4.4 Räumlicher Anwendungsbereich 4.5 Normadressaten 5 Datenverarbeitung der nichtöffentlichen Stellen 6 Rechte der Betroffenen 7 Sondervorschriften 8 Siehe auch 9 Literatur 10 Einzelnachweise 11 Weblinks

Geschichtliche Entwicklung

Vereinzelt gab es schon seit langem Bestimmungen, die dem Schutz der Privatsphäre dienten (Beichtgeheimnis, ärztliche Schweigepflicht, Steuergeheimnis, Postgeheimnis). Überlegungen zu einem umfassenden Datenschutz nahmen in den 1960er Jahren in den USA ihren Anfang und gingen einher mit der Entwicklung der Computertechnologie und den damit verbundenen Gefahren für die Privatsphäre (englisch: privacy).

In Deutschland eröffnete Hessen 1970 mit dem ersten Datenschutzgesetz der Welt die Datenschutzgesetzgebung. Im Jahre 1977 folgte der Bund mit der ersten Fassung des Bundesdatenschutzgesetzes. Nach dem Volkszählungsurteil des Bundesverfassungsgerichts 1983 war klar, dass die bisherigen Datenschutzgesetze nicht den verfassungsrechtlichen Anforderungen genügten. Diese mussten innerhalb eines angemessenen Zeitraumes novelliert werden. 1986 verabschiedete Hessen als erstes Land ein neues, daran angepasstes Datenschutzgesetz, 1990 war auch der Bund so weit.

Eine ausdrückliche Kompetenz des Bundes zur umfassenden Regelung des Datenschutzes enthält das Grundgesetz nicht. Die Regelungskompetenz für ein Bundesdatenschutzgesetz ergibt sich aus dem Rückgriff auf die Gesetzgebungszuständigkeiten für verschiedene Bereiche, die für den Datenschutz von Bedeutung sind. Für den Datenschutz im Anwendungsbereich der öffentlichen Verwaltung ist dies die Gesetzgebung für das Verwaltungsverfahren (Art. 70 ff. i. V. m. Art. 84 Abs. 1, 85 Abs. 1 und 86 GG). Die Datenverarbeitung wird als Arbeits- und Organisationsmittel eingesetzt und ist damit dem Bereich des Verwaltungsverfahrens zuzuordnen. Bundesrechtliche Datenschutzbestimmungen können daher für die Verwaltungstätigkeit des Bundes sowie für die der Länder, Gemeinden und Gemeindeverbände erlassen werden, soweit diese Bundesrecht ausführen; im Bereich der landeseigenen Ausführung von Bundesrecht bedarf es hierzu der Zustimmung des Bundesrates. Für die gesetzliche Regelung des Schutzes der Privatsphäre im nicht-öffentlichen Bereichen beruht die Gesetzgebungskompetenz des Bundes auf der jeweiligen Sachkompetenz, also auf seiner im GG festgelegten Zuständigkeit u. a. für die Gesetzgebung auf dem Gebiet des Wirtschafts-, Arbeits-, Zivil-, Straf- und Prozessrechts.

Novellierung 2009

Das BDSG ist 2009 durch Gesetzesbeschlüsse des Deutschen Bundestages mit drei Novellen geändert worden: Am 29. Mai 2009 hat der Bundestag mit der „Novelle I“^[1] die Tätigkeit von Auskunfteien und ihrer Vertragspartner (insbesondere Kreditinstitute) sowie das Scoring neu geregelt. Die lange und heftig diskutierte „Novelle II“ ist am 3. Juli 2009 vom Bundestag verabschiedet worden^[2]. Durch sie werden im BDSG 18 Paragrafen geändert. Stichworte sind: Änderungen des Listenprivilegs beim Adresshandel, Neuregelung für Markt- und Meinungsforschung, opt-in, Koppelungsverbot, Beschäftigtendatenschutz, Auftragsdatenverarbeitung, neue Befugnisse für die Aufsichtsbehörden und neue oder stark erweiterte Bußgeldtatbestände, Informationspflichten bei Datenschutzverstößen, Kündigungsschutz für Datenschutzbeauftragte. Einen Tag zuvor hatte der Bundestag die „Novelle III“ als kleinen Unterpunkt im Rahmen des Gesetzes zur Umsetzung der EU-Verbraucherkreditrichtlinie den § 29 BDSG um zwei Absätze erweitert.

Überblick über das BDSG

Das BDSG besteht aus sechs Abschnitten:

• Im ersten Abschnitt (§§ 1–11) werden allgemeine und gemeinsame Bestimmungen erläutert,
• im zweiten Abschnitt (§§ 12–26) die Datenverarbeitung für öffentliche Stellen und
• im dritten Abschnitt (§§ 27–38a) für private Stellen geregelt.
• Der vierte Abschnitt (§§ 39–42) enthält Sondervorschriften,
• im fünften Abschnitt (§§ 43–44) werden Straf- und Bußgeldvorschriften und
• im sechsten Abschnitt (§§ 45–46) Übergangsvorschriften genannt.

Allgemeine und gemeinsame Bestimmungen

§ 1 Absatz 1 BDSG lautet:

Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Grundsätze

Ein wesentlicher Grundsatz des Gesetzes ist das so genannte Verbotsprinzip mit Erlaubnisvorbehalt. Dieses besagt, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Prinzip verboten ist. Sie ist nur dann erlaubt, wenn entweder eine klare Rechtsgrundlage gegeben ist (d. h., das Gesetz erlaubt die Datenverarbeitung in diesem Fall) oder wenn die betroffene Person ausdrücklich (meist schriftlich) ihre Zustimmung zur Erhebung, Verarbeitung und Nutzung gegeben hat (§ 13 Absatz 2 ff). Die angewendeten Verfahren mit automatisierter Verarbeitung sind vom (behördlichen oder betrieblichen) Datenschutzbeauftragten zu prüfen, oder (wenn ein solcher nicht vorhanden ist) bei der zuständigen Aufsichtsbehörde anzeigepflichtig (§ 4d).

Ebenfalls gilt der in § 3a definierte Grundsatz der Datenvermeidung und Datensparsamkeit: So sollen sich alle Datenverarbeitungssysteme an dem Ziel ausrichten, keine oder so wenig personenbezogene Daten wie möglich zu verwenden und insbesondere von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen.

Geschützte Daten

Geregelt wird der Umgang mit personenbezogenen Daten. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen, Personalnummer).

Im Gegensatz dazu stehen anonyme Daten, bei denen die Person unbekannt (also unbestimmbar) ist. Pseudonyme Daten, bei denen der Name durch einen Decknamen ersetzt wird, fallen jedoch wieder unter den Geltungsbereich des BDSG, weil es sich dabei um Angaben bestimmbarer Personen handelt. Da es aber aufwändiger ist, vom Pseudonym auf den Inhaber zu schließen, ist das informationelle Selbstbestimmungsrecht hiermit besser geschützt, als z. B. mit Namen.

Nicht in den Geltungsbereich des BDSG fallen Daten über juristische Personen (GmbH, AG usw.). Entgegen dem eindeutigen Wortlaut haben einzelne Verwaltungsgerichte Datenschutzgesetze auch auf juristische Personen angewandt.^[3]

Besonders geschützt werden so genannte besondere Arten von Daten gemäß § 3 Abs. 9 BDSG, nämlich Daten über rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben. Nach § 4d Abs. 5 BDSG unterliegen diese Daten der Vorabkontrolle. Das bedeutet, dass der Umgang mit den Daten in Institutionen, die Daten dieser Art erheben, verarbeiten oder speichern, vor Beginn der Datenverarbeitung geprüft werden muss. Dafür zuständig ist der Beauftragte für den Datenschutz, der von der betreffenden Institution bestellt werden muss.

Bei diesen Daten ist das Verbotsprinzip mit Erlaubnisvorbehalt durch einen Ausnahmekatalog noch enger definiert und eine ausdrückliche Einwilligung des Betroffenen notwendig.

Sachlicher Anwendungsbereich

Das BDSG regelt folgende Tätigkeiten: Die Datenerhebung, die Datenverarbeitung und die Datennutzung. Ein Erheben im Sinne des Gesetzes liegt bereits bei der bloßen Beschaffung von Daten über natürliche Personen beim Betroffenen oder bei Dritten vor. Zur Verarbeitung gehört dabei das Speichern, Verändern, Übermitteln, Sperren und Löschen der Daten. Unter Nutzen ist jede Verwendung personenbezogener Daten außerhalb der Verarbeitung zu verstehen. Auch wird im BDSG geregelt, welche Rechte und Pflichten die Aufsichtsbehörden für den Datenschutz haben.

Räumlicher Anwendungsbereich

Bei einem Sitz der verantwortlichen Stelle im EG/EWR-Ausland gilt grundsätzlich das Sitzprinzip, d. h. der Sitz der verantwortlichen Stelle ist maßgeblich für das nationale Recht. Eine Firma mit Sitz in Frankreich beispielsweise kann ihr französisches Recht bei der Datenverarbeitung in Deutschland exportieren.

Falls die Stelle jedoch eine Niederlassung in Deutschland hat, gilt grundsätzlich das Territorialprinzip, d. h. es gilt das deutsche BDSG. Dies gilt ebenso für Stellen, die einen Sitz in einem Nicht-EG/EWR-Staat haben.

Normadressaten

Im BDSG wird unterschieden zwischen Datenschutz in öffentlichen und nichtöffentlichen Stellen. Öffentlich-rechtliche Wettbewerbsunternehmen, die im Wettbewerb zu privaten Unternehmen stehen (z. B. die Deutsche Bahn), werden wie nichtöffentliche Stellen behandelt.

Datenverarbeitung der nichtöffentlichen Stellen

Jede nichtöffentliche Stelle (z. B. Unternehmen), in der zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt sind, benötigt einen Datenschutzbeauftragten (kurz DSB). Desgleichen bei zwanzig oder mehr Mitarbeitern wenn die Daten manuell (z. B. mit Karteikarten) verarbeitet werden, wenn Verarbeitungen eine Vorabkontrolle erfordern oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymer Übermittlung (Meinungsforschung) verarbeitet werden.

Die Pflichten der verantwortlichen (verarbeitenden) Stelle fallen immer der Geschäftsführung zu. Unabhängig von der Bestellung eines Datenschutzbeauftragten umfassen sie u. a.:

• Gewährung der Betroffenenrechte (Benachrichtigung, Auskunft, Korrektur, Sperrung, Löschung)
• transparente und dokumentierte EDV (Verfahrensverzeichnis),
• Schutz der EDV und der Daten im Sinne der IT-Sicherheit (§ 9 BDSG nebst Anhang)
• Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte

Rechte der Betroffenen

Betroffene (natürliche Personen, über die Daten bei öffentlichen oder nicht-öffentlichen Stellen gespeichert sind), haben nach dem Bundesdatenschutzgesetz folgende (gem. § 6 Abs. 1 BDSG) unabdingbare Rechte:

• Auskunft darüber, ob und welche personenbezogenen Daten über sie gespeichert sind
• Auskunft darüber, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden
• Berichtigung von falschen personenbezogenen Daten
• Übermittlung persönlicher Daten an Dritte zu untersagen
• Löschung oder Sperrung ihrer Datensätze. Der Anbieter ist nicht zwingend zur Löschung verpflichtet.
• Beschwerderecht bei der zuständigen Aufsichtsbehörde für den Datenschutz

Die beiden erstgenannten Rechte können verweigert werden, falls das allgemeine öffentliche Interesse, das Interesse der jeweiligen nicht-öffentlichen Stelle an der Wahrung des Geschäftsgeheimnisses oder das Interesse Dritter zur Geheimhaltung überwiegt. Dies muss allerdings im Einzelfall geprüft werden. Eine Verweigerung der Auskunft muss mit Angabe der Gründe dokumentiert werden.

Jeder Bürger hat also ein Auskunftsrecht bezüglich der über ihn gespeicherten Daten sowie ein Recht auf Richtigstellung falscher Daten. Für die befragten Stellen ergibt sich eine Auskunftspflicht, von der jedoch Polizei und Geheimdienste ausgenommen sind. Die Auskunft ist von öffentlichen Stellen unentgeltlich zu erteilen (§ 19 Abs. 7 BDSG). Bei der Auskunftserteilung durch private Stellen kann unter Umständen ein Entgelt verlangt werden (§ 34 BDSG), allerdings muss der Betroffene darauf hingewiesen und ggf. eine kostenfreie Alternative angeboten werden. Umstritten war lange Zeit die Praxis der Schufa, ein Selbstauskunftersuchen mit einer negativen Wertung zu belegen; diese Praxis hat die Schufa jedoch aufgegeben^[4]. Des Weiteren hat jeder das Recht der Nutzung seiner Adressdaten für Werbung oder der Markt- oder Meinungsforschung bei der datenspeichernden Stelle zu widersprechen und eine Sperrung seiner Daten zu verlangen.

Sondervorschriften

Für die Behörden der Länder und Gemeinden gelten die jeweiligen Landesdatenschutzgesetze. Sonderregelungen gibt es auch für die öffentlich-rechtlichen Rundfunkanstalten.

Öffentlich-rechtliche Religionsgesellschaften unterliegen weder dem Bundesdatenschutzgesetz noch den Landesdatenschutzgesetzen. Die Römisch-katholische Kirche hat die Anordnung über den kirchlichen Datenschutz erlassen und die Synode der Evangelischen Kirche in Deutschland das Datenschutzgesetz der Evangelischen Kirche in Deutschland.

Für Verwaltungsverfahren im Geltungsbereich des Sozialgesetzbuchs sind für den Schutz der Sozialdaten besondere Vorschriften gültig, welche statt des Bundesdatenschutzgesetzes oder landesrechtlicher Regelungen anzuwenden sind. Dies gilt auch für die Durchführung jener Gesetze, die gemäß § 68 Erstes Buch Sozialgesetzbuch (SGB I) als besondere Teile des Sozialgesetzbuches gelten, wie also für Verfahren, die BAföG- oder Wohngeldstellen durchführen. Der Sozialdatenschutz ist im zweiten Kapitel des Zehntes Buch Sozialgesetzbuch (SGB X) geregelt.

Siehe auch

• Datenschutzauditgesetz

Literatur

• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Hrsg.): BfDI-Info 1. Bundesdatenschutzgesetz. Text und Erläuterung. 13. Auflage. Bonn 2007. Download
• Lutz Bergmann, Roland Möhrle, Armin Herb: Kommentar zum Datenschutzrecht. Boorberg-Verlag. Stuttgart 43. Liefg. September 2011. ISBN 3-415-00616-6.
• Wolfgang Däubler, Thomas Klebe, Peter Wedde, Thilo Weichert: Bundesdatenschutzgesetz. Kompaktkommentar zum BDSG und anderen Gesetzen. Bund-Verlag. 3. Auflage 2010. ISBN 978-3-7663-3917-1.
• Peter Gola, Rudolf Schomerus, Christoph Klug: BDSG – Bundesdatenschutzgesetz. Kommentar. 10. Auflage, Verlag C. H. Beck, 2010, ISBN 978-3-406-59834-0.
• Spiros Simitis (Hrsg.): Kommentar zum Bundesdatenschutzgesetz Nomos, Autoren: Ulrich Dammann, Alexander Dix, Eugen Ehmann, Walter Ernestus, Otto Mallmann, Thomas Petri, Philip Scholz, Achim Seifert, Spiros Simitis, Bettina Sokoll, 7. Auflage, Baden-Baden 2011, ISBN 978-3-3829-4183-3.
• Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht, Verlag Dr. Kovac, Hamburg, 2011. ISBN 978-3-8300-5418-4 Link zum Buch

Einzelnachweise

1. ↑ (BT-Drs. 16/13219, 16/10581)
2. ↑ (BT-Drs. 16/12011 und 16/13657)
3. ↑ So entschied das Verwaltungsgericht Wiesbaden am 18.Januar 2008 (AZ 6 E 1559/06), dass datenschutzrechtliche Vorgaben „auch auf juristische Personen, soweit ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung nach Artikel 14 GG gegeben ist, entsprechend“ anzuwenden sind. Am 27. Februar 2009 bestätigte das Verwaltungsgericht Wiesbaden seine Rechtsprechung (AZ 6 K 1045/08.WI).
4. ↑ FAQ SCHUFA-Score

Weblinks

• Bundesdatenschutzgesetz vom BMJ bei juris
• Kommentierung zu den Straftatbeständen des Datenschutzrechts – Computer- & Mediendelikte (CuMK)
• Änderungen des BDSG 2009 (ausführlichere Beschreibung der geänderten Vorschriften, PDF-Dokument; 124 kB)
• Gesetzestext: Synopse der Änderungen durch BDSG-Novellen I-III, 2009 (Gegenüberstellung des neuen und alten Gesetzes-Wortlauts)
• Neues Datenschutzrecht in Kraft (Aufsatz von RA Terhaag zu Adresshandel, Listenprivileg, Datenschutzbeauftragten, Arbeitnehmerdatenschutz, Informations- und Anzeigepflichten sowie den neuen Richtlinien für die Auftragsdatenvereinbarung)

Dieser Artikel basiert auf dem Artikel Bundesdatenschutzgesetz aus der freien Enzyklopädie Wikipedia und ist unter der Lizenz Creative Commons Attribution/Share Alike verfügbar. Zusätzliche Bedingungen können anwendbar sein. In der Wikipedia ist eine Liste der Autoren verfügbar.