2. April 2015 - Datenschutz-Begriffe

Bundesdatenschutzgesetz, BDSG

Das Datenschutzrecht, engl. Data Protection Law oder Data Privacy Law, befasst sich mit dem Herrschaftsrecht an bestimmten Daten. Es bildet eine Schnittstelle von Zugangsrechten Dritter zu diesen Daten und dem Recht desjenigen, dessen Daten betroffen sind, sich auf seine Privatsphäre zu berufen.

Das Datenschutzrecht steht historisch betrachtet am Anfang des Informationsrechts. Das erste Datenschutzgesetz in der Bundesrepublik Deutschland hatte Hessen im Jahr 1970.

Internationale Rechtsgrundlagen

Auf europäischer Ebene haben einige Richtlinien Auswirkungen auf das deutsche Datenschutzrecht:

  • Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Personally Identifiable Data, PID) und zum freien Datenverkehr (ABl EG L 23.11.1995, 31, EG Datenschutzrichtlinie)
  • Richtlinie 97/66/EG des Europäischen Parlamentes und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation vom 15.12.1997. Diese trat am 31.10.2003 außer Kraft.
  • Richtlinie 2002/58/EG des Europäischen Parlamentes und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ABl EG Nr. L 201, 37 ff.). Diese trat am 12.07.2002 in Kraft und ergänzt die allgemeine Datenschutzrichtlinie (95/46/EG) bez. elektronischer Kommunikation, d.h. sie befasst sich mit den Bereichen der Sicherheit des Betriebs bzw. Netzes eines Kommunikationsdienstes, mit der Vertraulichkeit der Kommunikation, mit dem Einsatz von Cookies und mit der Verarbeitung von Verkehrs- und Standortdaten sowie Zusatzdiensten der Telekommunikation, z.B. von Rufnummernanzeigen.

Bundesdatenschutzgesetz

Das deutsche Bundesdatenschutzgesetz (BDSG), engl. Federal Data Protection Act (FDPA), regelt den Umgang mit personenbezogenen Daten. Die Regelungen des BDSG basieren zum einen auf den im vorhergehenden Abschnitt Internationale Rechtsgrundlagen aufgeführten europäischen Richtlinien und zum anderen auf dem sogenannten Volkszählungsurteil des Bundesverfassungsgerichts (BVerfG) vom 15.12.1983.

In diesem Urteil wurden verschiedene Vorgaben für das Datenschutzrecht festgelegt. Dazu gehört das Recht auf informationelle Selbstbestimmung (Right of Informational Self Determination), das sich aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 Grundgesetz (GG) ergibt und besagt, dass jeder Bürger das Recht hat, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Die Einschränkungen dieses Rechts bedürfen nach dem BVerfG-Urteil immer einer gesetzlichen Grundlage.

Weiterhin werden in dem Urteil Aufklärungspflichten der Daten verarbeitenden Stellen und der Grundsatz der Zweckbindung festgelegt, d.h. Daten dürfen nur für einen konkreten Zweck und nicht auf Vorrat gespeichert werden.

Neben dem Bundesdatenschutzgesetz gibt es auf Länderebene in Deutschland noch die jeweiligen Landesdatenschutzgesetze (LDSG des Landes …), die für die Behörden und Gemeinden des jeweiligen Bundeslandes gelten. Die Kirchen in Deutschland unterliegen weder dem Bundes- noch den Landesdatenschutzgesetz/en. Sie haben jeweils eigene Datenschutzvorschriften erlassen, nämlich die Anordnung über den kirchlichen Datenschutz der katholischen Kirche (KDO) und das Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD).

Wenn in anderen Rechtsvorschriften des Bundes der Umgang mit personenbezogenen Daten geregelt ist, geht die Anwendung dieser Rechtsvorschriften dem BDSG vor (§ 1 Abs. 3 BDSG). Dies gilt z.B. gemäß §§ 147, 200 Abgabenordnung (AO), die der Finanzverwaltung das Recht gewähren, im Rahmen steuerlicher Außenprüfungen direkt auf die Datenverarbeitungssysteme des Steuerpflichtigen Zugriff zu nehmen.

Weitere spezialgesetzliche Regelungen, die vorrangig vor dem BDSG Anwendung finden, gibt es im Sozialgesetzbuch (SGB) und im Bereich des IT-Rechts, insbesondere im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG).

Im Hinblick auf einen einheitlichen Lebenssachverhalt können daher verschiedene datenschutzrechtliche Regelungen relevant sein. So sind z.B. die Inhalte der Kommunikation über das BDSG bzw. die LDSG geschützt. Auf der Diensteebene, wenn es um die Verkehrsdaten zur Herstellung bzw. Aufrechterhaltung des Dienstes geht, findet das TMG Anwendung, und auf der Transportebene, also bez. des Übertragungsweges, müssen die Anforderungen des TKG beachtet werden.

Das BDSG besteht aus sechs Abschnitten:

  • Im ersten Abschnitt (§§ 1–11) werden allgemeine und gemeinsame Bestimmungen erläutert.
  • Im zweiten Abschnitt (§§ 12–26) wird die Datenverarbeitung für öffentliche Stellen und
  • im dritten Abschnitt (§§ 27–38a) die Datenverarbeitung für private Stellen geregelt.
  • Der vierte Abschnitt (§§ 39–42) enthält Sondervorschriften,
  • im fünften Abschnitt (§§ 43–44) werden Straf- und Bußgeldvorschriften und
  • im sechsten Abschnitt (§§ 45–46) Übergangsvorschriften genannt.

Zweck des BDSG

Nach § 1 Abs. 1 BDSG ist es Zweck des Gesetzes, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Schutzgut des BDSG ist das Recht auf informationelle Selbstbestimmung, das besagt, dass jedermann das Recht hat, im größtmöglichen Umfang darüber zu entscheiden, welche seiner persönlichen Daten und Informationen an Dritte mitgeteilt werden dürfen.

Dieses Recht auf informationelle Selbstbestimmung leitet sich aus dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG (Grundgesetz) in Verbindung mit der Menschenwürde nach Art. 1 Abs. 1 GG ab.

Grundsätze des BDSG

Das BDSG ist geprägt von zwei wesentlichen Grundsätzen. Ausgestaltet sind die Datenschutzregelungen als Verbot mit Erlaubnisvorbehalt. Das heißt, grundsätzlich ist jede Erhebung, Verarbeitung oder Nutzung der geschützten Daten verboten. Ausnahmsweise ist dies jedoch erlaubt, wenn entweder eine Rechtsvorschrift es erlaubt oder der Betroffene eingewilligt hat (§ 4 Abs. 1 BDSG).

Daneben gilt der Grundsatz der Datenvermeidung (Data Reduction) und Datensparsamkeit (Data Economy) gemäß § 3a BDSG. Danach sollen alle Datenverarbeitungssysteme an dem Ziel ausgerichtet sein, keine oder so wenige personenbezogene Daten wie möglich zu verwenden und insbesondere von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen.

Geschützte Daten

Das BDSG schützt personenbezogene Daten. Das sind gemäß § 3 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Letztere wird auch als Betroffener (Data Subject) bezeichnet.

Zu diesen Einzelangaben gehören z.B. Name, Adresse, Bankverbindung, Telefonnummern und E-Mail-Adressen. Es genügt, wenn eine Person anhand von Einzelangaben bestimmbar ist; sie muss nicht namentlich genannt sein. Es werden nur die personenbezogenen Daten natürlicher Personen geschützt, nicht dagegen Daten über juristische Personen wie z.B. Aktiengesellschaften oder GmbHs.

Als besonders schutzwürdig sieht das BDSG die besonderen Arten personenbezogener Daten (Special Categories of Personal Data) an. Das sind nach § 3 Abs. 9 BDSG Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Begriffe

Das BDSG enthält in § 3 zahlreiche Definitionen. Danach bedeutet:

  • Automatisierte Verarbeitung (Automated Processing) die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.
  • Erheben (Collection) ist das Beschaffen von Daten über den Betroffenen. Es bedarf einer Aktivität, durch die die erhebende Stelle oder Person Kenntnis von den Daten erhält oder die Verfügung über diese begründet. Vom Vorliegen einer erlaubnispflichtigen Erhebung ist z.B. auszugehen bei Befragungen (etwa mittels Personalfragebögen) oder in Kunden- und Verbraucherbefragungen, bei medizinischen Untersuchungen (Blutproben) und der Observierung von Personen mittels Kameras (vgl. § 6b BDSG).
  • Verarbeiten (Processing) ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
    • Speichern (Storage) das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung
    • Verändern (Modification) das inhaltliche Umgestalten gespeicherter personenbezogener Daten
    • Übermitteln (Transfer) das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft
    • Sperren (Blocking) das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken
    • Löschen (Erasure) das Unkenntlichmachen gespeicherter personenbezogener Daten
  • Nutzen (Use) ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
  • Anonymisieren (Anonymization) ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
  • Pseudonymisieren (Pseudonymization) ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
  • Verantwortliche Stelle (Controller) ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
  • Empfänger (Recipient) ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

Einwilligung (Consent)

Nach den Grundsätzen des Datenschutzes ist für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten entweder eine dies ausdrücklich erlaubende Rechtsvorschrift oder die Einwilligung des Betroffenen erforderlich. Nach § 4a BDSG muss die Einwilligung auf einer freien Entscheidung des Betroffenen beruhen. Der Betroffene muss vor der Einwilligung von der verarbeitenden Stelle auf den Zweck der Erhebung, Nutzung oder Verarbeitung hingewiesen werden.

Die Einwilligung muss grundsätzlich schriftlich erfolgen. Die Einwilligung muss im Text besonders hervorgehoben werden, wenn sie mit anderen Erklärungen zusammen erteilt werden soll. Wenn besondere Arten personenbezogener Daten erhoben werden sollen, wie z.B. eine Gewerkschaftszugehörigkeit, muss sich die Einwilligung ausdrücklich auch auf diese besonders schutzwürdigen Daten beziehen.

Es gibt Ausnahmen vom Schriftformerfordernis der Einwilligung, z.B. die Einwilligung in elektronischer Form nach § 94 TKG (Telekommunikationsgesetz) und § 12 Abs. 1 TMG (Telemediengesetz). Auch hier muss eine eindeutige, bewusste Handlung vorliegen, die Einwilligung ist zu protokollieren, die Beteiligten müssen die Einwilligung jederzeit abrufen können, und ein Widerruf für die Zukunft muss möglich sein.

Anwendungsbereich (Scope)

Sachlich gilt das Gesetz gemäß § 1 Abs. 2 BDSG für die Tätigkeiten der Datenerhebung, Datenverarbeitung und Datennutzung. Zur Verarbeitung gehört dabei das Speichern, Verändern, Übermitteln, Sperren und Löschen der Daten. Die Rechte und Pflichten der Aufsichtsbehörden für den Datenschutz werden ebenfalls geregelt.

Beim räumlichen Anwendungsbereich sind Fallkonstellationen mit Auslandsbezug in § 1 Abs. 5 BDSG geregelt. Hat nämlich die verantwortliche Stelle ihren Sitz in einem anderen Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, gilt das Sitzprinzip, d.h. das jeweilige nationale Recht am Sitz der verantwortlichen Stelle kommt zur Anwendung und nicht das BDSG.

Wenn diese Stelle jedoch eine Niederlassung in Deutschland hat, greift das Territorialprinzip, d.h. das BDSG gilt. Das gilt auch dann, wenn verantwortliche Stellen ihren Sitz im außereuropäischen Ausland haben, jedoch mit einer Niederlassung in Deutschland vertreten sind.

Zur Einhaltung Verpflichtete

Die Regelungen des BDSG sind von jeder verantwortlichen Stelle, die Daten erhebt, verarbeitet oder nutzt, einzuhalten. Das BDSG unterscheidet bei den Anforderungen und auch bei den Rechten der Betroffenen zwischen der Datenverarbeitung durch öffentliche Stellen, wie z.B. Bundesbehörden, und durch nicht öffentliche, also private, Stellen (Private Bodies). Zu Letzteren gehören nach § 27 BDSG auch öffentlich-rechtliche Unternehmen, die mit anderen Unternehmen im Wettbewerb stehen, wie z.B. die Deutsche Bahn.

Für den Fall, dass Unternehmen Datenschutz konformes Outsourcing betreiben wollen, müssen die Regelungen zur Auftragsdatenverarbeitung (Contract Data Processing) nach § 11 BDSG beachtet werden. Das Outsourcing kann in der Form vorliegen, dass die Datenverarbeitung z.B. auf Tochterunternehmen ausgegliedert wird, die als eigene Servicecenter auch für andere Unternehmen tätig sein können. In einem solchen Fall ist der Auftraggeber, also das Ursprungsunternehmen, weiterhin für die Einhaltung aller Datenschutzregelungen verantwortlich.

Betroffene können ihre durch das BDSG vorgesehenen Rechte (siehe Abschnitt Rechte der Betroffenen) und eventuelle Schadensersatzansprüche weiterhin gegenüber dem Auftraggeber geltend machen. Dem Auftraggeber obliegen in einem solchen Fall bestimmte Sorgfaltspflichten. Er muss den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.

Der Auftrag ist schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen sowie etwaige Unterauftragsverhältnisse festzulegen sind. Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Datenverarbeitung durch öffentliche Stellen

Die Regelungen zur Datenverarbeitung durch öffentliche Stellen in §§ 12 ff. BDSG finden Anwendung auf öffentliche Stellen des Bundes, wie z.B. Bundesbehörden, Körperschaften usw., ohne öffentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen. Weiterhin gelten die Regelungen auch für Landesbehörden, sofern sie Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden und der Datenschutz nicht durch ein Landesdatenschutzgesetz des entsprechenden Landes geregelt ist.

Die Datenerhebung durch öffentliche Stellen ist gemäß § 13 BDSG zulässig, wenn die Kenntnis der Daten zur Erfüllung der Aufgaben der Stelle notwendig ist. Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG – siehe Abschnitt Allgemeine Bestimmungen, Geschützte Daten) ist nur unter den Voraussetzungen des § 13 Abs. 2 BDSG zulässig. Danach ist auch das Erheben solcher Daten möglich, wenn

  • eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend erfordert,
  • der Betroffene eingewilligt hat,
  • es zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,
  • es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,
  • es zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,
  • es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist,
  • es zum Zweck der Gesundheitsvorsorge, medizinischen Diagnostik, Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen,
  • es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder
  • es aus zwingenden Gründen der Verteidigung oder Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist.

Die Datenspeicherung, Datenveränderung und Datennutzung personenbezogener Daten ist nach § 14 BDSG zulässig, wenn es für die Durchführung der Aufgaben der verantwortlichen Stelle notwendig ist und zu dem Zweck erfolgt, zu dem die Daten erhoben worden sind. Sollen das Speichern, das Verändern oder die Nutzung für andere Zwecke erfolgen, ist dies wiederum vom Vorliegen der Voraussetzungen des § 14 Abs. 2 BDSG abhängig. Es ist nämlich dann möglich, wenn

  • eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
  • der Betroffene eingewilligt hat,
  • offensichtlich ist, dass es im Interesse des Betroffenen liegt und kein Grund zur Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde,
  • Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
  • die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich überwiegt,
  • es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist,
  • es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
  • es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder
  • es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

Dabei ist zu berücksichtigen, dass ein anderer Zweck nicht vorliegt, wenn die Verarbeitung oder Nutzung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen der verantwortlichen Stelle dient.

Nach § 15 BDSG ist die Übermittlung personenbezogener Daten an weitere öffentliche Stellen zulässig, wenn die empfangende Stelle die Daten für die Erledigung ihrer Aufgaben benötigt und die Voraussetzungen für eine Nutzung nach § 14 BDSG vorliegen. Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Die empfangende Stelle darf die Daten nur zu dem Zweck verwenden, zu dem sie übermittelt worden sind.

Erfolgt eine Übermittlung von Daten an eine nicht öffentliche Stelle, ist dies nach § 16 Abs. 1 BDSG zulässig, wenn es zur Erfüllung der Aufgaben der übermittelnden Stelle nötig ist und die Nutzungsvoraussetzungen des § 14 BDSG vorliegen. Allerdings ist eine solche Übermittlung an eine private Stelle auch möglich, wenn der private Datenempfänger ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse am Ausschluss der Übermittlung hat.

In diesem Fall einer Übermittlung muss die übermittelnde Stelle den Betroffenen von der Übermittlung unterrichten. Die Verantwortung für die Zulässigkeit der Übermittlung trägt auch hier die übermittelnde Stelle, und der Datenempfänger darf die Daten nur zu dem Zweck verwenden, zu dem sie ihm übermittelt worden sind.

Rechte der Betroffenen

Die Rechte der Betroffenen bei einer Datenverarbeitung durch öffentliche Stellen sind in §§ 19 bis 21 BDSG festgelegt.

Nach § 19 BDSG haben Betroffene einen Anspruch auf Auskunft über die zu ihrer Person gespeicherten Daten und deren Herkunft, über die Empfänger der Daten und den Zweck der Speicherung. Diese Auskunft müssen öffentliche Stellen unentgeltlich erteilen. Soll die Auskunft sich auf bestimmte Empfänger-Stellen beziehen, wie z.B. die Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst oder das Bundesministerium der Verteidigung, darf die Auskunft nur mit Zustimmung dieser Stellen erteilt werden.

Die Erteilung einer Auskunft kann gemäß § 19 Abs. 4 BDSG verweigert werden, wenn die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde, die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss.

Grundsätzlich muss die Verweigerung einer Auskunft begründet werden. Allerdings kann die Begründung unterbleiben, wenn sonst der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In einem solchen Fall muss der Betroffene von der öffentlichen Stelle darauf hingewiesen werden, dass er sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (siehe Abschnitt Datenschutzbeauftragter) wenden kann.

§ 19a BDSG gibt dem Betroffenen einen Anspruch auf Benachrichtigung. Werden Daten ohne Kenntnis des Betroffenen erhoben, ist er von der Speicherung, von der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. Der Betroffene ist auch über die Empfänger von Daten zu unterrichten, soweit er nicht mit der Übermittlung an sie rechnen muss.

Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen. Die öffentliche Stelle muss den Betroffenen nicht benachrichtigen, wenn er auf andere Weise Kenntnis von der Speicherung oder Übermittlung erlangt hat, die Unterrichtung einen unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist.

Nach § 20 Abs. 1 BDSG hat der Betroffene einen Anspruch auf Berichtigung unrichtiger personenbezogener Daten. Lässt sich weder die Richtigkeit noch die Unrichtigkeit von Daten feststellen, sind sie gemäß § 20 Abs. 4 BDSG zu sperren. Dabei ist Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Personenbezogene Daten müssen gelöscht werden, wenn entweder die Speicherung unzulässig ist oder die öffentliche Stelle diese Daten zur Erfüllung ihrer Aufgaben nicht mehr benötigt (§ 20 Abs. 2 BDSG).

Statt der Löschung werden die Daten nur gesperrt, wenn einer Löschung gesetzliche, satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen, Grund zur Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. Gesperrte Daten dürfen grundsätzlich nur mit Einwilligung des Betroffenen an andere Stellen übermittelt bzw. genutzt werden.

Nach § 20 Abs. 7 BDSG dürfen auch solche gesperrten Daten ausnahmsweise ohne Einwilligung des Betroffenen verwendet werden, wenn es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.

Wenn ein Betroffener der Ansicht ist, durch die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen des Bundes in seinen Rechten verletzt worden zu sein, kann er sich nach § 21 BDSG an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden.

Datenverarbeitung nicht öffentlicher Stellen

Die §§ 27 ff. BDSG befassen sich mit der Datenverarbeitung durch nicht öffentliche Stellen, öffentlich-rechtliche Unternehmen des Bundes, die am Wettbewerb teilnehmen, und öffentliche Stellen der Länder, sofern diese als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch entsprechende Landesgesetze geregelt ist. Werden personenbezogene Daten ausschließlich für persönliche oder familiäre Tätigkeiten erhoben, finden die Vorschriften der §§ 27 ff. BDSG keine Anwendung.

Nach § 28 BDSG ist die Datenerhebung, Datenverarbeitung und Datennutzung für eigene Geschäftszwecke zulässig, wenn

  • es für Zwecke eines Vertrags mit dem Betroffenen dient,
  • es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zur Annahme besteht, dass ein schutzwürdiges Interesse des Betroffenen demgegenüber überwiegt, oder
  • die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, falls nicht offensichtlich ein schutzwürdiges Interesse des Betroffenen an einem Ausschluss der Verarbeitung höher wiegt als das Interesse der verantwortlichen Stelle.

Eine Übermittlung oder Nutzung der Daten über die eigenen Geschäftszwecke hinaus ist unter den Voraussetzungen des § 28 Abs. 3 BDSG zulässig. Dies ist der Fall, wenn die Verwendung

  • zur Wahrung berechtigter Interessen eines Dritten oder
  • zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist oder
  • Zwecken der Werbung, Markt- und Meinungsforschung dient, wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe, Berufs-, Branchen- oder Geschäftsbezeichnung, Namen, Titel, akademische Grade, Anschrift und Geburtsjahr beschränken und kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung oder Nutzung hat, oder
  • im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen am Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

Der Betroffene kann der Verwendung seiner Daten für Zwecke der Werbung, Markt- und Meinungsforschung widersprechen. Ist dies erfolgt, ist es unzulässig, die Daten für solche Zwecke zu verwenden.

Besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG (siehe Abschnitt Allgemeine Bestimmungen, Geschützte Daten) dürfen unter engen Voraussetzungen auch dann für eigene Geschäftszwecke erhoben, verarbeitet oder genutzt werden, wenn der Betroffene nicht eingewilligt hat. Voraussetzung dafür ist, dass

  • es zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,
  • es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,
  • es zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt,
  • es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen am Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder
  • es zum Zweck der Gesundheitsvorsorge, medizinischen Diagnostik, Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.

Für andere Zwecke als die eigenen Geschäftszwecke dürfen diese besonderen Arten von personenbezogenen Daten nur unter sehr engen, im BDSG genannten Voraussetzungen verwendet werden. Allerdings ist eine Übermittlung oder Nutzung trotzdem zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist.

§ 29 BDSG erlaubt das geschäftsmäßige Erheben, Speichern oder Verändern personenbezogener Daten zum Zweck der Übermittlung, insbesondere für Werbung, Auskunfteien, Adresshandel und Markt- und Meinungsforschung, wenn

  • kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Erhebung, Speicherung oder Veränderung hat, oder
  • die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt.

In § 30 BDSG werden die Anforderungen für eine geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form festgelegt. Danach müssen die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmbaren natürlichen Person zugeordnet werden können, gesondert gespeichert werden. Eine Zusammenführung der Merkmale und Einzelangaben ist nur für die Erfüllung des Zwecks der Speicherung oder für wissenschaftliche Zwecke zulässig.

Rechte der Betroffenen

Die in §§ 33 bis 35 BDSG geregelten Rechte der Betroffenen im Fall der Datenverarbeitung durch nicht öffentliche Stellen sind mit den Rechten der Betroffenen im Fall der Datenverarbeitung durch öffentliche Stellen vergleichbar, teilweise weichen sie aber zuungunsten der Betroffenen von diesen ab.

§ 33 BDSG gibt dem Betroffenen einen Anspruch auf Benachrichtigung, wenn seine personenbezogenen Daten ohne seine Kenntnis erstmals gespeichert oder übermittelt werden sollen. Der Betroffene hat Anspruch darauf, zu erfahren, welche seiner Daten zu welchem Zweck und von wem erhoben, verarbeitet oder genutzt werden sollen.

Dieser Benachrichtigungsanspruch entspricht dem gleichartigen Anspruch des § 19a BDSG, wenn öffentliche Stellen Daten verarbeiten. Allerdings sind die Ausnahmeregelungen des § 33 BDSG weiter gefasst als in § 19a BDSG. So ist eine Benachrichtigung nicht erforderlich, wenn

  • der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,
  • die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsgemäßer oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,
  • die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheim gehalten werden müssen,
  • die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist,
  • die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,
  • die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
  • die Daten für eigene Zwecke gespeichert und allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig wäre oder die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt, oder
  • die Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert und aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder es sich um listenmäßig oder sonst zusammengefasste Daten handelt und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig wäre.

Der Betroffene hat nach § 34 BDSG auch bei einer Datenverarbeitung durch nicht öffentliche Stellen ein Auskunftsrecht über die zu seiner Person gespeicherten Daten, die Herkunft derselben, den Empfänger der Daten und den Zweck der Speicherung. Allerdings wird hier eine Interessenabwägung vorgenommen, denn über Empfänger von Daten kann der Betroffene nur Auskunft verlangen, wenn sein Interesse höher wiegt als das Interesse an der Wahrung der Geschäftsgeheimnisse der Daten verarbeitenden Stelle.

Die Auskunft wird grundsätzlich schriftlich erteilt und ist generell unentgeltlich. Eine Ausnahme besteht, wenn die Daten zum Zweck der Übermittlung gespeichert werden. Dann kann ein Entgelt verlangt werden, falls die Auskunft vom Betroffenen gegenüber Dritten zu wirtschaftlichen Zwecken verwendet werden kann. Falls die Auskunft kostenpflichtig ist, muss dem Betroffenen die Möglichkeit gegeben werden, sich persönlich Kenntnis über die Daten zu verschaffen, z.B. durch persönliche Einsicht in Unterlagen o.ä. Eine Pflicht zur Auskunftserteilung entfällt, wenn die Fälle vorliegen, in denen auch eine Benachrichtigung des Betroffenen nach § 33 BDSG nicht erforderlich ist (siehe oben).

Nach § 35 BDSG haben Betroffene einen Anspruch auf eine Berichtigung von Daten, sofern sie unrichtig sind. Die Löschung von Daten kann – bis auf die Ausnahmefälle der Sperrung – jederzeit stattfinden. Sie müssen jedoch gelöscht werden, wenn

  • ihre Speicherung unzulässig ist,
  • es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit, über Gesundheit oder das Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  • sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
  • sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten Kalenderjahres beginnend mit ihrer erstmaligen Speicherung ergibt, dass eine länger währende Speicherung nicht erforderlich ist.

Die Regelungen zur Sperrung der Daten in § 35 BDSG entsprechen den Vorschriften des § 20 BDSG zur Sperrung bei der Datenverarbeitung durch öffentliche Stellen (siehe Abschnitt Datenverarbeitung durch öffentliche Stellen, Rechte der Betroffenen).

Wenn ein öffentlich-rechtliches Wettbewerbsunternehmen wie z.B. die Deutsche Bahn handelt, hat der Betroffene zusätzlich die Möglichkeit, sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden (§ 27 Abs. 1 in Verbindung mit § 21 BDSG).

Weitere Ansprüche der Betroffenen

Neben den Ansprüchen auf Auskunft, Benachrichtigung, Berichtigung, Sperrung und Löschung haben Betroffene Schadensersatzansprüche, wenn ihnen durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten ein Schaden entstanden ist.

§ 8 BDSG regelt die Schadensersatzansprüche bei einer Datenverarbeitung durch öffentliche Stellen. Hier hat der Betroffene, unabhängig von einem Verschulden der verantwortlichen Stelle, einen Schadensersatzanspruch, der jedoch in der Höhe auf 130.000 Euro begrenzt ist.

Verursachen nicht öffentliche Stellen einen Schaden, enthält das BDSG diesbezüglich keine Anspruchsnorm. Deshalb sind die Vorschriften der §§ 823 ff. BGB (Bürgerliches Gesetzbuch) anzuwenden, die immer ein Verschulden voraussetzen. Allerdings regelt das BDSG in § 7 eine Beweiserleichterung zugunsten des Betroffenen. Er muss nämlich ein Verschulden einer nicht öffentlichen Stelle nicht beweisen, sondern die nicht öffentliche Stelle muss sich entlasten, also beweisen, dass sie den entsprechenden Schaden nicht verschuldet hat.

Schlussvorschriften

Unter dem fünften Abschnitt des BDSG finden sich die sogenannten Schlussvorschriften, die im Fall des BDSG ausschließlich Bußgeld- und Strafvorschriften für die Verletzung der Regelungen des BDSG beinhalten.

§ 43 befasst sich mit unterschiedlichen Ordnungswidrigkeiten. Nach § 43 Abs. 1 BDSG handelt z.B. ordnungswidrig, wer vorsätzlich oder fahrlässig einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt. Ebenfalls ordnungswidrig handelt, wer entgegen den Vorschriften des § 28 BDSG als private verantwortliche Stelle personenbezogene Daten übermittelt oder nutzt.

Solche Ordnungswidrigkeiten werden mit einer Geldbuße von bis zu 25.000 Euro geahndet. Schwerwiegendere Ordnungswidrigkeiten werden mit einer Geldbuße von bis zu 250.000 Euro geahndet. Dazu gehören gemäß § 43 Abs. 2 BDSG z.B. das vorsätzliche oder fahrlässige unbefugte Erheben oder Verarbeiten von personenbezogenen Daten, die nicht allgemein zugänglich sind, und das Bereithalten solcher Daten zum Abruf mittels automatisierten Verfahrens.

Wenn eine vorsätzliche Handlung des § 43 Abs. 2 BDSG gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begangen wird, hat das strafrechtliche Folgen. Die Strafe besteht gemäß § 44 BDSG in einer Geld- oder Freiheitsstrafe bis zu zwei Jahren. Allerdings wird eine solche Straftat nur auf Antrag durch den Betroffenen, die verantwortliche Stelle, Aufsichtsbehörde oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit verfolgt.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB), engl. Data Protection Commissioner (DPC), ist in einer öffentlichen Stelle, z.B. einer Behörde, oder einer nicht öffentlichen Stelle für die Einhaltung der Regelungen des Datenschutzes verantwortlich. Die Person kann Mitarbeiter der Organisation sein oder als externer Datenschutzbeauftragter bestellt werden. Die Aufgabe und Tätigkeit eines betrieblichen Datenschutzbeauftragten ist in § 4f und § 4g des BDSG sowie in den entsprechenden landesrechtlichen Vorschriften geregelt. Der Datenschutzbeauftragte hat vorrangig die Datenverarbeitungsprogramme zu überwachen und das Daten verarbeitende Personal mit dem Datenschutz vertraut zu machen.

Seine Bestellung ist erforderlich, soweit personenbezogene Daten (z.B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten) automatisiert verarbeitet werden, in allen öffentlichen Stellen und in nicht öffentlichen Stellen (z.B. Firmen, Vereine, Rechtsanwaltskanzleien, Arztpraxen, Steuerkanzleien), wenn mindestens zehn Personen mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben.

Bei einer nicht automatisierten Datenverarbeitung greift die Vorschrift erst ab 20 Beschäftigten. Hierbei zählen Teilzeitkräfte als ganze Beschäftigte. Weiter ist hier unabhängig von der Mitarbeiterzahl eine Bestellung erforderlich, falls sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeiten.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Das BDSG regelt in §§ 22 bis 26 die Bestellung und die Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), engl. Federal Commissioner for Data Protection and Freedom of Information. Dieser wird vom Deutschen Bundestag gewählt, hat eine Amtszeit von fünf Jahren und kann für eine weitere Amtszeit wiedergewählt werden. Er kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung des BDSG und anderer datenschutzrechtlicher Regelungen.

Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs sowie auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis, unterliegen. Bei Verstößen kann der Bundesbeauftragte die entsprechende Stelle zu einer Stellungnahme auffordern. Daneben muss der Bundesbeauftragte dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht erstatten.

Grenzüberschreitender Datentransfer

Der grenzüberschreitende Datentransfer (Transborder Data Flow) stellt ein zentrales Problem des Datenschutzrechts dar. Es ist technisch möglich, dass ein Unternehmen Daten in einem ausländischen Rechenzentrum speichert und von dort aus verwendet. Diese Möglichkeit könnte von Unternehmen ausgenutzt werden, um unerwünschte nationale Datenschutzregelungen zu umgehen. Hierzu sehen die EU-Datenschutzrichtlinie 2002/58/EG (siehe Abschnitt Internationale Rechtsgrundlagen) in Art. 25 und das BDSG in § 4b vor, dass personenbezogene Daten in Drittstaaten – also in Staaten, die nicht EU-Mitglied oder Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sind – nur bei Vorliegen eines angemessenen Schutzniveaus übermittelt werden dürfen.

Ein angemessenes Schutzniveau soll unter Berücksichtigung aller Umstände beurteilt werden, insbesondere nach der Art der Daten, der Dauer der Datenverarbeitung und den im Drittland geltenden allgemeinen Regeln. Nach Ansicht des EuGH (Europäischer Gerichtshof) fällt die Bereitstellung von Daten auf einer Homepage nicht unter den Übermittlungsbegriff der EU-Datenschutzrichtlinie (EuGH, CR (Computer und Recht) 2004, S. 286).

Das BDSG sieht in § 4c Ausnahmetatbestände vor, die eine Datenübermittlung auch in ein Drittland zulassen, das nicht über ein angemessenes Schutzniveau verfügt. Dazu gehört z.B. die Einwilligung des Betroffenen. Neben diesen Ausnahmen ist eine Übermittlung nur zulässig, wenn der Datenübermittler ausreichende Garantien für den Schutz der Privatsphäre und der Grundrechte des Betroffenen bietet (§ 4c Abs. 2 BDSG).

Geplante Änderungen des BDSG

Die EU-Datenschutz-Grundverordnung wird 2018 das Bundesdatenschutzgesetz in seiner jetzigen Form ablösen.

Rechtsanwältin Andrea Gailus

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln