Betrieblicher Datenschutzbeauftragter

Question 1

Datenschutz

Answer 1

• ist Grundrecht
• ist Ausprägung des Rechtes auf informationelle Selbstbestimmung
• ist Ausprägung der Würde des Menschen aus Art. 1
• Schutzziel ist die Würde des Menschen
• Einhalten des Datenschutzes ist gesetzliche Verpflichtung, ebenso wie ggf. das Bestellen (=Ernennen) eines betrieblichen Datenschutzbeauftragten
• BDSG und die Datenschutzgesetze der Länder nunmehr konkretisieren dieses Grundrecht, sie sichern es, gewähren aber auch Eingriffe

Datenschutz bezweckt den Schutz der Menschenwürde und hat grundrechtlichen Verfassungsrang. Er konkretisiert sich im BDSG und weiteren Bundes- und Landesgesetzen und in Gerichtsentscheidungen. “Datenschutz” im hier gegenständlichen Sinn betrifft nur personenbezogene Daten

Question 2

Vorteile durch Einhalten des Datenschutzes

Answer 2

betriebswirtschaftliche Vorteile:
- der Umgang mit Daten wird effizienter gestaltet, es entstehen weniger Daten, diese sind besser nutzbar, das Einhalten des Datenschutzes ist Marketingargument und kann insbesondere im Dienstleistungsmarketing das Beziehungsmarketing verbessern

Question 3

personenbezogenen Daten

Answer 3

• wird, gültig für das gesamte BDSG und das weitere Datenschutzrecht, in § 3 Abs. 1 BDSG definiert
• sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)
• nur personenbezogene Daten werden vom BDSG geschützt; nur dieser Schutz ist Aufgabe und Kompetenz des betrieblichen Datenschutzbeauftragten

Question 4

§ 1 Abs. 1

Answer 4

• Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird

Question 5

Einzelangaben

Answer 5

• Informationen über einen einzelnen (spezifizierte oder spezifizierbare) lebenden Menschen (natürliche Person); keine Einzelangaben sind aggregierte Daten (zusammengefasste Daten, Sammelangaben), sofern nicht eine einzelne Person dennoch feststellbar wäre

Question 6

Persönliche Verhältnisse

Answer 6

• Informationen zu der Person als solcher. Beispiel: Name, Geburtsdatum, Beruf

Question 7

Sachliche Verhältnisse

Answer 7

• Angaben über einen auf den spezifizierten Menschen (den “Betroffenen”) beziehbaren Sachverhalt
• Beispiele: Mitarbeit in einem Unternehmen, Produktverantwortlichkeiten, Teilnahme an einer Konferenz oder einer Fortbildung, Eigentum, Zugehörigkeit zu einer Religionsgemeinschaft und vergleichbare Informationen

Question 8

Bestimmte Person

Answer 8

• Personenbezug ist unmittelbar erkenntlich

Question 9

Bestimmbare Person

Answer 9

• zur Identifizierung des Betroffenen sind weitere Angaben erforderlich, sie ist aber möglich

Question 10

§ 3 Abs. 3 BDSG “Erheben”

Answer 10

Erheben ist das Beschaffen von Daten über den Betroffenen

• Erheben ist Beschaffen
• Beschaffen ist gezieltes Tun oder Dulden; gezielt ist mit Wissen und Wollen
• Unerheblich ist es, ob die erhobenen Daten verarbeitet oder genutzt werden sollen
• Beschaffen mittels Duldens liegt vor, wenn Daten entgegengenommen werden
• Gleichgültig ist die Art des Beschaffens, etwa ob schriftlich oder mündlich, durch Befragen oder durch Einsichtnehmen in Unterlagen, ob sie beim Betroffenen erhoben werden (Personalbögen, Kundenbefragungen, Befragen von Dritten; Heranziehen von Personalakten anderer nicht öffentlicher Stellen)

Erhebung liegt vor z.b. bei:
- schriftlicher oder mündlicher Befragungen durch Behörden, Arbeitgeber, Meinungsforschungsinstitute, Befragung Dritter durch Auskunfteien oder Detekteien, Observation des Betroffenen durch Kameras oder Abhöranlagen und Blutentnahme, Fingerabdrücken und DNA-Analysen

Question 11

“Verarbeiten”, § 3 Abs. 4 BDSG

Answer 11

• Umgang mit Daten zur rechtlichen Prüfung und Entscheidung
• ist ein zentraler Begriff des BDSG
• definiert eine der Hauptarten des Umgangs, neben dem Erheben und Nutzen
• ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten

Oberbegriff umfasst „Verarbeiten“ 5 konkrete Handlungen:

1. Speichern
2. Verändern
3. Übermitteln
4. Sperren
5. Löschen

Question 12

„Speichern“, § 3 Abs. 4 Ziff. 1

Answer 12

• das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung

Question 13

„Verändern“, § 3 Abs. 4 Ziff. 2

Answer 13

• das inhaltliche Umgestalten gespeicherter personenbezogener Daten

Beispiele:

• Namensänderungen, Änderungen der Telephonnummern usw.
• Hinzufügen oder Herausnehmen von Bildern oder Schneiden von Tonaufzeichnungen, und so neue Zusammenhänge entstehen
• Verfälschen oder sonstiges Manipulieren von Daten
• Verknüpfen von Daten aus verschiedenen Dateien

Question 14

„Übermitteln“, § 3 Abs. 4 Ziff. 3, iVm §§ 3 Abs. 7 und Abs. 8

Answer 14

• das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
  a) die Daten an den Dritten weitergegeben werden oder
  b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft

§ 3 Abs. 7:
- Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt

Question 15

Dritter: Legaldefinition des § 3 Abs. 8 S.2

Answer 15

• ist jede Person oder Stelle außerhalb der verantwortlichen Stelle
  Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

Question 16

„Sperren“, § 3 Abs. 4 Ziff. 4

Answer 16

• das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken
• diese Kennzeichnung muß bewirken, daß die Daten wirklich nur noch in Ausnahmefällen herangezogen werden können, Einzelheiten ergeben sich oftmals spezialgesetzlich
• Kennzeichnung kann bei elektronischer Datenverarbeitung technisch z.B. durch Ausblendung erfolgen oder durch eine inhaltliche Ergänzung des Datenfeldes
• konventioneller Datenspeicherung ist eine eindeutig erkennbare Markierung notwendig, aus der hervorgeht, dass die Daten grundsätzlich nicht genutzt werden dürfen
• Betroffene hat einen Anspruch auf Datensperrung, wenn Daten aus persönlichkeitsrechtlichen Gründen gelöscht werden müssten (dazu unten), die Löschung aber nicht möglich ist, z.B. weil gesetzliche oder sonstige rechtliche Aufbewahrungsfristen entgegenstehen, weil die Löschung schutzwürdige Betroffeneninteressen beeinträchtigen würde oder diese einen unverhältnismäßig großen Aufwand verursachen würde (§ 35 Abs. 3 BDSG, vgl. § 20 Abs. 3 BDSG)
• Daten sind außerdem zu sperren, soweit der Betroffene ihre Richtigkeit bestreitet und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt (sog. Non-Liquet-Fälle, § 35 Abs. 4 BDSG, vgl. § 20 Abs. 4 BDSG); dieser Grundsatz schließt aber nicht aus, dass die verantwortliche Stelle auf Grund besonderer gesetzlicher Rechtfertigung die Daten verarbeiten darf

Beispiele:
- Verbringen von Akten in besondere Räume oder Schränke mit kontrolliertem Zugang; Kennzeichnen von Daten oder Datensätzen mit entsprechenden Markierungen und ggf. besonderem Zugriffsschutz.

Question 17

„Löschen“, § 3 Abs. 4 Ziff. 5

Answer 17

• das Unkenntlichmachen gespeicherter personenbezogener Daten
• Daten dürfen nicht mehr rekonstruierbar sein
• Betracht kommt eine physikalische Vernichtung der Datenträger (verbrennen, shreddern, zerschneiden usw.) oder ein Überschreiben der Daten physikalisch
• keineswegs genügt das „Löschen“ durch bloß logische Kennzeichnung (“Papierkorb leeren”), erforderlich ist mehrfaches Überschreiben oder Vernichten des Datenträgers
• zuvor ist die Berechtigung oder auch Verpflichtung zum Löschen der Daten zu prüfen

Question 18

„Nutzen“, § 3 Abs. 5 BDSG

Answer 18

• ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt
• ist ein Auffangtatbestand, der immer dann greift, wenn eine Verwendung der Daten keiner Phase der Datenverarbeitung zugeordnet werden kann
• damit wird sichergestellt, dass jeder Umgang mit personenbezogenen Daten vom Gesetz erfasst wird
• Nutzen ist insbesondere die Verwendung personenbezogener Daten innerhalb der verantwortlichen Stelle, z. B. die interne Weitergabe an eine andere Organisationseinheit innerhalb der gleichen Behörde; die daran beteiligten Organisationseinheiten sind zueinander grundsätzlich nicht Dritte (Nr. 2.9).
• eine Nutzung liegt auch vor, wenn ein Datenabgleich durchgeführt wird; fehlt bei der Informationsverwendung der Personenbezug, liegt ein Nutzen im Sinne des DSG-LSA nicht vor

Question 19

“Anonymisieren” und “Pseudonymisieren”, § 3 Abs. 6 ff BDSG

Answer 19

Anonymisieren:
- ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können
Pseudonymisieren:
- ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren

• hier geht es mithin um das Unkenntlichmachen des Personenbezuges unter Erhalten der Daten als solcher, sie werden physikalisch nicht zerstört

Beispiele:
- Autokennzeichen, Personalnummern, Nicknames (Pseudonymisieren); Trennen von personenbezogenen Daten (Namen etc.) von den inhaltlichen Angaben vor Auswertung (Vorgehensweise bei Volkszählungen)

Question 20

Gebot der Datensparsamkeit, § 3a BDSG (Datenvermeidung und Datensparsamkeit)

Answer 20

• Datenvermeidung ist bester Datenschutz
• Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen
• insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert
• ist zwingendes Recht, eine entgegenstehende Vereinbarung, etwa ein freiwilliger Verzicht des Betroffenen, ist nicht wirksam

Question 21

Datenvermeidung ist bester Datenschutz

Answer 21

Daten dürfen nur erhoben, verarbeitet und genutzt werden, soweit es erforderlich ist

Question 22

§ 4 BDSG: Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

Answer 22

(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn
1.eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2.a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
1. die Identität der verantwortlichen Stelle,
2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss,
zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.

Question 24

§ 4a Einwilligung

Answer 24

(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.
(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.
(3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.