Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten

 

Gemäß § 4 Absatz 1 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Daraus lässt sich schlussfolgern, dass es sich um ein grundsätzliches Verbot mit sogenanntem Erlaubnisvorbehalt handelt. Das bedeutet, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten grundsätzlich verboten ist, es sei denn, es liegen folgende Erlaubnistatbestände vor:

 

  • Einwilligung des Betroffenen (1.)
  • Gestattung durch spezielle Rechtsvorschriften außerhalb des BDSG (2.)
  • Gestattung durch Vorschriften des BDSG (3.)

 

Das Vorliegen eines Erlaubnistatbestands ist dabei für jede der drei Phasen Erhebung, Verarbeitung und Nutzung gesondert zu prüfen. Liegt ein Erlaubnistatbestand nicht vor, stellt die Erhebung, Verarbeitung und Nutzung eine Ordnungswidrigkeit dar (§ 43 Absatz 2 Nr. 1 BDSG), die sowohl die Verhängung eines Bußgelds (§ 43 Absatz 3 BDSG) als auch Schadensersatzansprüche des Betroffenen (§§ 7 und 8 BDSG) nach sich ziehen kann. Im Falle einer unzulässigen Speicherung von personenbezogenen Daten bestehen Löschungspflichten der verantwortlichen Stelle (§ 35 Absatz 2 Nr. 1 und § 20 Absatz 2 Nr. 1 BDSG).

 

1. Einwilligung des Betroffenen

 

Die Einwilligung des Betroffenen kann zwar jeden Umgang mit personenbezogenen Daten rechtfertigen, hat in der Praxis aber zumeist nur dann Bedeutung, wenn kein anderer Erlaubnistatbestand erfüllt ist. Das beruht auf der Überlegung, dass eine Datenerhebung, -verarbeitung oder -nutzung nur dann auf eine Einwilligung gestützt werden soll, wenn kein anderer Erlaubnistatbestand den Umgang mit den Daten rechtfertigen kann, um beim Betroffenen nicht den Eindruck entstehen zu lassen, er habe eine echte Wahl, was mit seinen Daten geschieht.

 

Die Anforderungen an eine wirksame Einwilligung bestimmt § 4a BDSG. Danach muss die Einwilligung freiwillig (a) durch den Betroffenen abgegeben werden und der Betroffene ist zu informieren (b) über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, über die Folgen der Verweigerung der Einwilligung. Darüber hinaus muss die Einwilligung grundsätzlich schriftlich erfolgen (c).

 

 a) Freiwilligkeit der Einwilligung

 

Das BDSG fordert in § 4a Absatz 1, dass die Einwilligung auf einer freien Entscheidung des Betroffenen beruhen muss, d. h. ohne Zwang. Dies kann insbesondere im Rahmen eines Arbeitsverhältnisses problematisch sein, wenn der Arbeitnehmer oftmals nicht wirklich die Möglichkeit hat, eine Einwilligung zu verweigern, ohne mit Konsequenzen seitens des Arbeitgebers rechnen zu müssen, oder zumindest davon ausgeht, keine Möglichkeit hierzu zu haben.

 

Aus dem Erfordernis, dass die Einwilligung auf der freien Entscheidung des Betroffenen beruhen muss, folgt auch, dass sie nur durch den Betroffenen selbst abgegeben werden kann. Eine Ausnahme gilt nur dann, wenn dem Betroffenen die nötige Einsichtsfähigkeit fehlt (zum Beispiel bei Kindern). In diesen Fällen kann auch der gesetzliche Vertreter für den Betroffenen die Einwilligung erklären.

 

 b) Information des Betroffenen

 

Der Betroffene ist auf den Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten hinzuweisen. Dies ist deswegen zur Voraussetzung der Wirksamkeit einer Einwilligung gemacht worden, damit der Betroffene die Konsequenzen seiner Einwilligung abschätzen kann. Demensprechend kann sich eine Einwilligung auch nur auf ganz bestimmte Zwecke beziehen. Eine pauschale Einwilligung ist nicht möglich.

 

Zudem ist der Betroffene auch auf die Folgen einer Verweigerung hinzuweisen, soweit dies nach den Umständen des Einzelfalls erforderlich ist. Dies ist schon von vornherein nicht der Fall, wenn die Verweigerung der Einwilligung gar keine Folgen hat oder die Folgen offensichtlich sind.

 

Bei der Erhebung, Verarbeitung oder Nutzung besonderer Daten im Sinne von § 3 Absatz 9 BDSG (d. h. sensible Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) muss sich die Einwilligung gemäß § 4a Absatz 3 BDSG auch ausdrücklich auf diese Daten beziehen. Dies erfordert somit auch eine vorherige ausdrückliche Information darüber, dass und welche sensiblen Daten erhoben, verarbeitet oder genutzt werden, und dass diese besonders geschützt sind.

 

 c) Schriftlichkeit der Einwilligung

 

Das BDSG schreibt in § 4a Absatz 1 Satz 3 BDSG vor, dass die Einwilligung schriftlich erklärt werden muss, d. h. eigenhändig unterschrieben, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Dies gilt jedenfalls, wenn spezielle, gegenüber dem BDSG vorrangige Vorschriften nicht eine andere Form vorschreiben (zum Beispiel § 13 Absatz 2 TMG für den elektronischen Geschäftsverkehr).

 

Besondere Umstände im Sinne des § 4a Absatz 1 Satz 3 BDSG, die eine Ausnahme vom Schriftformerfordernis zulassen, liegen insbesondere dann vor, wenn dies einen unzumutbaren Aufwand erfordern würde und nicht besondere Interessen des Betroffenen ein Festhalten an der Schriftform erforderlich machen (zum Beispiel bei besonders umfangreichen Datenerhebungen).

 

Erfolgt die Abgabe einer Einwilligungserklärung zusammen mit anderen Erklärungen, muss sie gemäß § 4a Absatz 1 Satz 4 BDSG besonders hervorgehoben werden. Das ist vor allem bei einer Einwilligung durch Allgemeine Geschäftsbedingungen zu beachten.

 

d) § 32l BDSG-Reg.E.

 

Einer Einschränkung werden die beschriebenen allgemeinen Regeln zur Einwilligung in Zukunft voraussichtlich im Rahmen von Arbeitsverhältnissen unterliegen. Es existiert derzeit mit §§ 32 ff. BDSG-Reg.E. ein Regierungsentwurf zur speziellen Regelung des Beschäftigtendatenschutzes. Dieser sieht in § 32l Absatz 1 BDSG-Reg.E. vor, dass Beschäftigtendaten auch aufgrund einer Einwilligung nicht unbegrenzt erhoben, verarbeitet oder genutzt werden dürfen, sondern nur soweit dies in den Vorschriften über den Beschäftigtendatenschutz in §§ 32 ff. BDSG-Reg.E. ausdrücklich vorgesehen sein wird.   

 

 e) Widerruf der Einwilligung und nachträgliche Einwilligung

 

Aus dem Erfordernis der Freiwilligkeit der Einwilligung folgt, dass eine einmal erteilte Einwilligung auch widerrufen werden kann. Dieser Widerruf hat dann aber keine Rückwirkung, sondern gilt nur für den künftigen Umgang mit Daten des Betroffenen.

 

Eine einmal erfolgte Erhebung, Verarbeitung oder Nutzung von Daten kann nicht nachträglich durch eine Einwilligung legitimiert werden.

 

2. Gestattung durch spezielle Rechtsvorschriften außerhalb des BDSG

 

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten kann durch besondere Rechtsvorschriften außerhalb des BDSG gerechtfertigt sein. Solche Vorschriften gehen denen des BDSG vor, da das BDSG den Datenschutz allgemein regelt, soweit nicht speziellere Vorschriften hierzu anwendbar sind.

 

Zu diesen Rechtsvorschriften können beispielsweise zählen:

Bundes- und landesrechtliche bereichsspezifische Erlaubnisse und Gebote zum Umgang mit personenbezogenen Daten (zum Beispiel §§ 91 ff. TKG und §§ 11 ff. TMG im Bereich des elektronischen Geschäftsverkehrs).

Untergesetzliche Rechtsvorschriften wie Rechtsverordnungen, normative Teile von Tarifverträgen und Betriebsvereinbarungen

 

3. Gestattung durch Vorschriften des BDSG

 

Das BDSG sieht in §§ 28 ff. BDSG Erlaubnistatbestände für den Umgang mit  personenbezogenen Daten für nicht-öffentliche Stellen vor. Besonders hervorzuheben sind hierbei folgende Erlaubnistatbestände:

 

a) § 28 Absatz 1 Satz 1 Nr. 1 BDSG

 

Diese Vorschrift gestattet das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke der verantwortlichen Stelle, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Voraussetzung für diesen Erlaubnistatbestand ist ein Vertragsverhältnis oder ein vertragsähnliches Verhältnis zwischen der verantwortlichen Stelle und dem Betroffenen. Erforderlichkeit im Sinne der Vorschrift liegt nicht schon dann vor, wenn die Verwendung der Daten dem Vertragsverhältnis zwischen der verantwortlichen Stelle und dem Betroffenen dient oder nützlich ist, sondern erst wenn die Vorgänge für den jeweiligen Vertragszweck notwendig sind.

 

b) § 28 Absatz 1 Satz 1 Nr. 2 BDSG

 

Nach dieser Vorschrift ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke der verantwortlichen Stelle zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Anders als bei dem vorstehend beschriebenen § 28 Absatz 1 Satz 1 Nr. 1 BDSG ist hier keine vertragliche Beziehung zwischen der verantwortlichen Stelle und dem Betroffenen nötig. Die Zulässigkeit der Verwendung der Daten ist gegeben, wenn eine Abwägung der Interessen der verantwortlichen Stelle mit denen des Betroffenen (zu denen insbesondere das Persönlichkeitsrecht des Betroffenen gehört) zugunsten der verantwortlichen Stelle ausfällt, die Interessen im Zusammenhang mit den geschäftlichen Zwecken der verantwortlichen Stelle stehen und die Verwendung der Daten für die geschäftlichen Zwecke erforderlich ist, d. h. geeignet ist und keine weniger beeinträchtigenden Maßnahmen zur Verfügung stehen.

 

 c) § 32 BDSG

 

Diese Vorschrift ist am 1. September 2009 in Kraft getreten und regelt speziell die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen eines Beschäftigungsverhältnisses

In § 32 Absatz 1 BDSG sind zwei unterschiedliche Erlaubnistatbestände enthalten. In Satz 1 dieser Vorschrift wird die allgemeine Zulässigkeit der Verwendung personenbezogener Daten für Zwecke eines Beschäftigungsverhältnisses geregelt und in Satz 2 die Voraussetzungen für eine Datenverwendung zur Aufdeckung von Straftaten.

 

Gemäß § 32 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Zwecke des Beschäftigungsverhältnisses erforderlich ist. Die Vorschrift erfasst dabei nicht nur die Phase der Durchführung des Arbeitsverhältnisses, sondern auch die Phasen der Anbahnung und Beendigung des Arbeitsverhältnisses. Erforderlich im Sinne von § 32 Abs. 1 S. 1 BDSG sind die Datenerhebung, -verarbeitung oder -nutzung immer dann, wenn eine Prüfung ergibt, dass berechtigte Interessen des Unternehmens auf andere Weise nicht oder nicht angemessen gewahrt werden können.

 

Eine Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten eines Beschäftigten zur Aufdeckung von Straftaten ist gemäß § 32 Absatz 1 Satz 2 BDSG nur zulässig, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Wichtig sind in diesem Zusammenhang zum einen die stets zu prüfende Verhältnismäßigkeit und zum anderen die Dokumentationspflicht hinsichtlich der den Verdacht begründenden Umstände.

 

Im Übrigen ist es geplant, den Beschäftigtendatenschutz künftig in §§ 32 ff. BDSG-Reg.E. zu regeln. Dies wird im Vergleich zum jetzigen § 32 BDSG eine deutlich umfangreichere Regelung darstellen.

 

 d) Weitere wichtige Erlaubnistatbestände des BDSG

 

Insoweit sind insbesondere zu nennen: 

§ 28 Absatz 3 Satz 1 BDSG, der die Zulässigkeit der Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung und des Adresshandels regelt.

§ 30a BDSG, der die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Markt- und Meinungsforschung regelt.

§ 28 Absätze 6 bis 9 BDSG, der Bestimmungen zur Erhebung, Verarbeitung und Nutzung von sensiblen Daten im Sinne von § 3 Absatz 9 BDSG (Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) enthält.

 

 4. Zulässigkeit der Datenerhebung ohne Mitwirkung des Betroffenen

 

In § 4 Absatz 2 Satz 1 BDSG wird bestimmt, dass personenbezogene Daten grundsätzlich beim Betroffenen zu erheben sind, d. h. nicht ohne seine Mitwirkung. Der Betroffene muss also grundsätzlich die Möglichkeit haben, darüber zu entscheiden, ob und welche Daten erhoben werden.

Ohne Mitwirkung des Betroffenen dürfen personenbezogene Daten nur ausnahmsweise erhoben werden unter bestimmten Voraussetzungen, die § 4 Absatz 2 Satz 2 BDSG nennt. Dies ist dann der Fall, wenn

eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt (§ 4 Absatz 2 Satz 2 Nr. 1 BDSG) oder

die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden (§ 4 Absatz 2 Satz 2 Nr. 2a BDSG) oder

die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden (§ 4 Absatz 2 Satz 2 Nr. 2b BDSG).

 

 5. Weitere besondere Bestimmungen für die Datenerhebung, -verarbeitung und -nutzung

 

Zu beachten ist, dass die dargestellten Grundsätze ganz allgemein gelten, es aber für bestimmte Fälle der Datenerhebung, -verarbeitung und -nutzung besondere Regeln oder weitere Einschränkungen gibt.

 

Solche besonderen Regeln sind vor allem zu finden in:

 

§§ 4b und 4c BDSG für die Übermittlung von personenbezogenen Daten an Stellen außerhalb der EU oder des EWR

§ 6a BDSG für automatisierte Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen

§ 6b BDSG für die Videoüberwachung

§ 10 BDSG für die Einrichtung automatisierter Verfahren zur Übermittlung personenbezogener Daten durch Abruf

§ 11 BDSG für die Auftragsdatenverarbeitung

 

.

Copyright Institut für Datenschutz und -Sicherheit GmbH (IfDuS) – Lars Beitlich