Einwilligung

Der Betroffene hat verschiedene Möglichkeiten, die Verwendung seiner Daten direkt zu beeinflussen. Hierzu gehören insbesondere die Einwilligung und das Widerspruchsrecht.

Das Datenschutzrecht gestattet die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, soweit eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat (Gesetzesvorbehalt - § 4 Abs. 1 BDSG). Gemäß § 4a BDSG bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Nach § 4a Abs. 1 BDSG ist eine Einwilligung

"...nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben."

Begriffserklärung: Erheben

Erheben ist das Beschaffen von personenbezogenen Daten über den Betroffenen (§ 3 Abs. 3 BDSG). Zum Erheben gehören sämtliche Aktivitäten, die der Speicherung und weiteren Verwendung der Daten vorgelagert sind. Der Begriff umfasst nicht die zufällig erlangten oder aufgedrängten Informationen. Das Erheben setzt nach allgemeiner Auffassung ein finales, zielgerichtetes Beschaffen personenbezogener Daten voraus. Dabei kommt es allerdings nicht darauf an, ob die verantwortliche Stelle bereits bei der Beschaffung eine bestimmte Verwendung der Daten beabsichtigt. Der Erhebungsbegriff ist ferner methodenoffen, d.h. das Vorliegen einer Erhebung ist nicht an bestimmte Verfahren gebunden.

Das Datenschutzrecht geht in erster Linie vom Beschaffen personenbezogener Daten bei Betroffenen selbst aus. Es müssen jedoch bei der Unterschiedlichkeit der Aufgabenstellung auch andere Formen der Informationsbeschaffung mit einbezogen werden. Die von der verantwortlichen Stelle ausgeübte Tätigkeit kann es erforderlich machen, Informationen bei anderen Stellen oder Personen zu beschaffen. Das Erheben umfasst folglich jede Form gezielt betriebener Gewinnung personenbezogener Daten, auch wenn dies ohne Mitwirkung Betroffener durch andere öffentliche Stellen oder private Dritter sowie durch zweckgerichtete Beobachtung geschieht. Insoweit stellt jede Datenübermittlung für die Stelle, die die Daten empfängt, eine Erhebung dar.

Nicht-öffentliche Stellen

§ 2 Abs. 4 BDSG definiert nicht öffentliche Stellen als

"natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes."

Nicht-öffentliche Stellen sind demnach

soweit sie personenbezogene Daten verarbeiten, unabhängig davon, ob die Verarbeitung in eigener Verantwortung (d.h. als verantwortliche Stelle) oder im Auftrag (d.h. als Auftragnehmer) erfolgt.

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (§ 4f BDSG) besteht grundsätzlich für alle nicht-öffentlichen Stellen.

Begriffserklärung: Nutzen

Nutzen ist jede Verwendung der personenbezogenen Daten, soweit es sich nicht um Verarbeitung handelt (§ 3 Abs. 5 BDSG). Damit beinhaltet der Nutzungsbegriff sämtliche Aktivitäten in Bezug auf den Umgang mit personenbezogenen Daten, die nicht unter den Verarbeitungsbegriff (Speichern, Übermitteln, Sperren, Löschen) fallen. Dabei kommt es entscheidend auf die Verwendung bzw. Kenntnisnahme des Informationsgehalts der Daten an. Der bloß technische Zugriff auf die Daten im Rahmen eines programminternen Sortierprozesses ist keine Nutzung im Sinne des Gesetzes. Dagegen stellt jeder Zugriff auf ein bestimmtes Datum, bei dem dieses zur Kenntnis genommen wird bzw. zu Kenntnis genommen werden kann eine Nutzung dar. Dies gilt z. B., wenn eine Reihe von Datensätzen auf einem Bildschirm angezeigt werden und auf diese Art und Weise einem Bearbeiter zur Kenntnis gelangen (selbst dann, wenn sich das gesuchte Datum nicht unter den angezeigten Daten befindet).

Personenbezogene Daten

Das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts schützt Daten natürlicher Personen.

§ 3 Abs. 1 BDSG definiert - in Übereinstimmung mit den Landesdatenschutzgesetzen - personenbezogene Daten als "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)."

Daten juristischer Personen werden nicht durch das Datenschutzrecht geschützt.

Im Hinblick auf die Feststellung des Bundesverfassungsgerichts im Volkszählungsurteil, dass es unter den Bedingungen der modernen Datenverarbeitung kein belangloses Datum gibt, kennt das Datenschutzrecht keine unwichtigen Daten. Geschützt sind vielmehr sämtliche Informationen über eine Person: Name, Geburtstag, Familienstand und Beruf genauso wie  Daten über Vertrags- und Eigentums- und Wohnverhältnisse, oder auch das Surfverhalten im Internet.

"Bestimmt" ist eine Person, wenn sie mit den zu ihr gespeicherten Daten eindeutig zu identifizieren ist. Zu den Bestimmungsdaten zählen neben Namen und Anschrift auch Sozialversicherungsnummer, Ausweisnummern, Konto- und Tefefonnummern, Personalnummern, Kfz-Kennzeichen.

Daten sind auch dann personenbezogen, wenn die Person zwar nicht direkt oder eindeutig durch die Daten identifiziert wird, die Zuordnung jedoch indirekt, ggf. durch Verwendung zusätzlicher Informationen, vorgenommen werden kann. Dabei ist irrelevant, auf welche Weise die Bezugsperson identifiziert werden kann. Entscheidend ist allein die Möglichkeit einer Zuordnung.

Für die Bestimmbarkeit der Person ist darauf abzustellen, ob unter realistischen Annahmen die Möglichkeit besteht, die Daten ohne unzumutbaren Aufwand auf eine natürliche Personen zurückzuführen. Dabei sind auch die Befugnisse und Möglichkeiten Dritter einzubeziehen. Wenn z. B. eine nicht-öffentliche Stelle aufgrund begrenzter Verarbeitungskapazitäten und Zugriffsmöglichkeiten selbst nicht dazu in der Lage ist, ein Datum einer Person zuzuordnen, jedoch andere Stellen, mit denen geschäftliche Kontakte bestehen oder hergestellt werden können, diese Zuordnung vornehmen könnten, ist das betreffende Datum personenbezogen. Gleiches gilt für den Fall, dass staatliche Stellen (z. B. Finanz- und Strafermittlungsbehörden) im Rahmen ihrer Kompetenzen die Möglichkeit haben, die Daten einzelnen Personen zuzuordnen.

Ein Personenbezug ist auch dann gegeben, wenn die Daten zwar zunächst nicht mit Sicherheit einer einzelnen Person, sondern einem Kreis von Personen (etwa einer Familie, den Bewohnern eines Hauses, einer Dienststelle) zuzuordnen ist, wenn jedoch durch zusätzliche Ermittlungen herausgefunden werden kann, um wessen Daten es sich handelt. Dies gilt zum Beispiel für den Fall, dass mehrere Familienangehörige oder Firmenmitarbeiter einen Telefonanschluss oder einen Personalcomputer nutzen.

Begriffserklärung: Verarbeiten

Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (3 Abs. 4 Satz 1 BDSG). Weder das Erheben noch das Nutzen, Anonymisieren und Pseudonymisieren gehören zur Datenverarbeitung im Sinne dieser Definition. Diese Formen des Umgangs mit personenbezogenen Daten werden deshalb stets gesondert in bundesgesetzlichen Datenschutzbestimmungen erwähnt.

Brauchen Sie einen externen Datenschutzbeauftragten?

Und wann muss überhaupt ein externer Datenschutzbeauftragter bestellt werden?

Das Bundesdatenschutzgesetz verpflichtet nicht-öffentliche Stellen, die personenbezogene Daten verarbeiten, zur Bestellung eines betrieblichen Datenschutzbeauftragten. Unter bestimmten im BDSG genannten Voraussetzungen entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten. Wer entgegen den gesetzlichen Vorschriften keinen Datenschutzbeauftragten bestellt, muss mit einem Bußgeld von bis zu 50.000 Euro rechnen (§ 43 Abs. 1 Nr. 2 i.V.m. Abs. 3 S. 1 BDSG).

Die EU-Datenschutzgrundverordnung (EU-DSGVO), die ab Mai 2018 das Bundesdatenschutzgesetz weitgehend ablöst, schränkt diese Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen ein. Nach Art. 37 EU-DSGVO sind u.a. nur noch Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, deren "Kerntätigkeit" in einer Datenverarbeitung besteht, die eine "umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich" macht oder deren "Kerntätigkeit" in der Verarbeitung besonders sensibler Daten (bspw. Gesundheitsdaten) besteht.

Die Vorschrift des Art. 37 EU-DSGVO erhält allerdings in Absatz 4 eine Öffnungsklausel dahingehend, dass die einzelnen Mitgliedstaaten eine Pflicht zur Bestellung eines Datenschutzbeauftragten auf der Grundlage eigener, nationaler Vorschriften vorsehen können. Da in Deutschland die Erfahrungen mit der unternehmensinternen Selbstkontrolle durch Datenschutzbeauftragte in den letzten Jahrzehnten positiv waren, ist es möglich, dass die bisher bestehende Regelung dann übernommen wird und insoweit alles bei Alten bleibt.

Wir möchten Sie bei der Beantwortung der Frage, ob Sie nach bisher noch geltendem Recht einen Datenschutzbeauftragten bestellen müssen, unterstützen.

Beantworten Sie die folgenden Fragen - in wenigen Schritten sind Sie bereits am Ziel.

> DSB-Check starten <

 

Rechtlicher Hinweis

Der PrivCom-DSB-Check ist lediglich ein Werkzeug zur Selbsteinschätzung. Fragen zum DSB-Check oder zur gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten richten Sie bitte an die E-Mail-Adresse dsb-check@privcom.de. Eine verbindliche Auskunft, ob Ihr Unternehmen einen Datenschutzbeauftragten benennen muss, kann Ihnen nur die für Sie zuständige Datenschutzaufsichtsbehörde erteilen. Welche Aufsichtsbehörde für Sie zuständig ist, erfahren Sie beim virtuellen Datenschutzbüro: www.datenschutz.de

PrivCom Datenschutz GmbH, Hamburg, im Juni 2014