Datenschutzrechtliche Grundbegriffe

 

Das Bundesdatenschutzgesetz (BDSG) enthält zahlreiche Begriffe, für die es größtenteils selbst Definitionen bereithält. Die folgende Darstellung gibt eine kurze Übersicht über die wichtigsten dieser datenschutzrechtlichen Grundbegriffe.

 

 

Anonymisieren (§ 3 Absatz 6 BDSG)

 

Anonymisieren ist gemäß § 3 Absatz 6 BDSG das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Bei anonymisierten Daten handelt es sich somit nicht mehr um personenbezogene Daten, die in den Schutzbereich des BDSG fallen (dies gilt jedenfalls für die weitere Verarbeitung der anonymisierten Daten, nicht aber für die im Rahmen der Anonymisierung erfolgende Löschung der Identifikationsmerkmale). Die wichtigste Vorschrift in diesem Zusammenhang ist § 40 Absatz 2 BDSG, die ein Anonymisieren von Daten für die wissenschaftliche Forschung verlangt.

 

 

Automatisierte Verarbeitung (§ 3 Absatz 2 BDSG)

 

Automatisierte Verarbeitung ist gemäß § 3 Absatz 2 Satz 1 BDSG die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Voraussetzung für die automatisierte Verarbeitung ist, dass Daten durch technische Anlagen erhoben werden und gespeichert sowie die eine automatisierte Auswertung (Nutzung) ermöglicht wird.

 

 

 

Beschäftigte (§ 3 Absatz 11 BDSG)

Die gesetzliche Definition des Begriffs des Beschäftigten in § 3 Abs. 11 BDSG hat im Moment Bedeutung im Zusammenhang mit dem am 1. September 2009 in Kraft getretenen § 32 BDSG, der eine speziellen Regelung zum Beschäftigtendatenschutz darstellt, und wird dies in Zukunft mit den derzeit geplanten Bestimmungen der §§ 32 ff. BDSG-Reg.E. zum Beschäftigtendatenschutz haben. Die Vorschrift will nahezu alle in abhängiger Tätigkeit Beschäftigte erfassen. Im Einzelnen sind nach der gesetzlichen Definition als Beschäftigte anzusehen:

 

– Arbeitnehmerinnen und Arbeitnehmer,

 

– zu ihrer Berufsbildung Beschäftigte,

 

– Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),

 

–  in anerkannten Werkstätten für behinderte Menschen Beschäftigte,

 

– nach dem Jugendfreiwilligendienstegesetz Beschäftigte,

 

– Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

 

– Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,

 

– Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

 

 

Besondere Arten personenbezogener Daten (§ 3 Absatz 9 BDSG)

 

Hierbei handelt es sich um besonders sensible personenbezogene Daten. Nach § 3 Absatz 9 BDSG sind dies Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Das BDSG enthält zu den besonderen Arten personenbezogener Daten an verschiedenen Stellen spezielle Bestimmungen. Soll beispielsweise die Erhebung, Verarbeitung oder Nutzung solcher Daten durch Herbeiführung einer Einwilligung des Betroffenen legitimiert werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen (§ 4a Absatz 3 BDSG). Ohne Einwilligung ist das Erheben, Verarbeiten oder Nutzen dieser sensiblen Daten in der Regel nur nach § 8 Absätze 6 bis 9 BDSG zulässig.

 

 

Betroffener (§ 3 Absatz 1 BDSG)

 

Betroffene sind diejenigen, dessen Schutz das BDSG bezweckt, unabhängig von der Staatsangehörigkeit oder des Aufenthaltsortes.

 

 

Datenvermeidung und Datensparsamkeit (§ 3a BDSG)

 

Das Gesetz definiert den Grundsatz der Datenvermeidung und der Datensparsamkeit in § 3a BDSG wie folgt:

 

„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“

 

Hierbei handelt es sich allerdings nur um einen Programmsatz, der bei Nichtbeachtung nicht zwangsweise durchsetzbar ist. Die Nichtbeachtung hat grundsätzlich nicht unmittelbar die Rechtswidrigkeit einer Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zur Folge. Allerdings ist – jedenfalls soweit keine Einwilligung des Betroffenen vorliegt – unabhängig vom Grundsatz der Datenvermeidung und der Datensparsamkeit der Grundsatz der Erforderlichkeit zwingend einzuhalten. Hier kann es dann durchaus zu einer Auswirkung auf die Zulässigkeit des Vorgangs insgesamt kommen, wenn mehr Daten erhoben, verarbeitet oder genutzt werden, als es erforderlich wäre.

 

Dritter (§ 3 Absatz 8 Sätze 2 und 3 BDSG)

 

Dritter ist gemäß § 3 Absatz 8 Satz 2 BDSG jede Person oder Stelle außerhalb der verantwortlichen Stelle. Darüber hinaus stellt § 3 Absatz 8 Satz 3 BDSG klar, dass weder der Betroffene noch Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, Dritte sind.

 

Empfänger (§ 3 Absatz 8 Satz 1 BDSG)

 

Empfänger ist nach § 3 Absatz 8 Satz 1 BDSG jede Person oder Stelle, die Daten erhält. Dies beinhaltet alle Dritten im Sinne von § 3 Absatz 8 Satz 2 BDSG, aber auch alle datenempfangenden Personen oder Einrichtungen innerhalb der verantwortlichen Stelle sowie Auftragsdatenverarbeiter im Sinne des § 11 BDSG.

 

Erheben von Daten (§ 3 Absatz 3 BDSG)

 

Erheben ist gemäß § 3 Absatz 3 BDSG das Beschaffen von Daten über den Betroffenen. Wie die Daten beschafft werden, spielt keine Rolle, es kommt aber darauf an, dass sie nicht nur zufällig erlangt, sondern gezielt beschafft werden.

 

Löschen (§ 3 Absatz 4 Nr. 5 BDSG)

 

Das Löschen ist die letzte Phase der Verarbeitung von personenbezogenen Daten. Es ist gemäß § 3 Absatz 4 Nr. 5 BDSG das Unkenntlichmachen gespeicherter personenbezogener Daten. Voraussetzung für ein Löschen ist, dass Daten unkenntlich gemacht werden, d. h. dass aus ihnen keine Informationen mehr gewonnen werden können. Ob dies durch physische Vernichtung oder überschreiben oder durchstreichen oder sonstige Kennzeichnungen erfolgt, ist unerheblich. Jedoch genügt es beispielsweise nicht, dass Daten als ungültig gekennzeichnet werden, dabei aber trotzdem noch lesbar sind, da hierbei noch Informationen aus den Daten gewonnen werden können.

 

Mobile personenbezogene Speicher- und Verarbeitungsmedien (§ 3 Absatz 10 BDSG)

 

Hierbei handelt es sich um Chipkarten oder sogenannte Smardcards. Dies sind gemäß § 3 Absatz 10 BDSG Datenträger, die an den Betroffenen ausgegeben werden, auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. Kennzeichnend ist, dass der Betroffene zwar über den Gebrauch des Geräts entscheiden kann, nicht aber die Verarbeitung der Daten selbst steuern kann. Eine Chipkarte ist zum Beispiel eine EC-Karte mit Geldkartenfunktion, nicht aber ein PC.

 

Nutzen (§ 3 Absatz 5 BDSG)

 

Nutzen ist gemäß § 3 Absatz 5 BDSG jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt, d. h. – jeweils eine Zweckbestimmung vorausgesetzt – jede Auswertung, Zusammenstellen, jedes Abrufen oder jede Kenntnisnahme. Es muss dabei immer einen Personenbezug vorliegen (nicht also bei bloßen statistischen Zwecken).

 

Personenbezogene Daten (§ 3 Absatz 1 BDSG)

 

Personenbezogene Daten sind nach § 3 Absatz 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

 

Einzelangaben sind Informationen, die sich auf eine einzelne Person beziehen oder geeignet sind, einen solchen Bezug herzustellen.

 

Angaben zu persönlichen Verhältnissen sind solche, die eine Person identifizieren oder charakterisieren (zum Beispiel Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Krankheitsbild usw.).

 

Angaben zu sachlichen Verhältnissen sind solche, die einen Sachverhalt in Bezug auf eine Person beschreiben (zum Beispiel vertragliche Beziehungen der Person zu anderen, Grundbesitz usw.).

 

Natürliche Personen, auf die sich der Schutzbereich des BDSG beschränkt, sind alle lebenden Menschen, unabhängig von Alter oder Staatsangehörigkeit. Juristische Personen (zum Beispiel Kapitalgesellschaften) oder Personenmehrheiten (zum Beispiel Personengesellschafte oder nicht rechtsfähige Vereine) werden nicht durch das BDSG geschützt. Anders verhält es sich aber wiederum für die hinter der juristischen Person oder der Personenmehrheit stehenden Personen. Es darf durch Angaben über juristische Personen oder Personenmehrheiten kein Bezug zu den dahinter stehenden Personen hergestellt werden können. Daten Verstorbener werden vom BDSG nicht geschützt.

 

Daten beziehen sich auf eine bestimmte natürliche Person, wenn sie eine Verbindung mit dem Namen der natürlichen Person besteht oder sich ein Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn sich mit den der speichernden Stelle zur Verfügung stehenden Hilfsmitteln ohne unverhältnismäßigen Aufwand ein Bezug zur Person herstellen lässt.

 

 

Pseudonymisieren (§ 3 Absatz 6a BDSG)

 

Pseudonymisieren ist gemäß § 3 Absatz 6a BDSG das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen
zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Wesentlicher Unterschied zur Anonymisierung ist, dass bei der Pseudonymisierung in der Regel ein Personenbezug unproblematisch wieder hergestellt werden kann. Damit fallen pseudonymisierte Daten in den Anwendungsbereich des BDSG. Gleichwohl tragen sie den schutzwürdigen Belangen der Betroffenen besser Rechnung als offene Daten, sodass im Rahmen einer Interessenabwägung bei einer Prüfung der Zulässigkeit einer Verarbeitung von pseudonymisierten Daten die Interessen des Betroffenen geringer gewichten zu sind als bei der Verarbeitung von offenen Daten.

 

Speichern (§ 3 Absatz 4 Nr. 1 BDSG)

 

Speichern ist ein Unterfall des Verarbeitens. Nach der gesetzlichen Definition des § 3 Absatz 4 Nr. 1 BDSG versteht man darunter das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung. Es handelt sich also um eine nachlesbare Fixierung oder um ein Vorrätighalten von Informationen, die gerade zum Zwecke ihrer weiteren Verarbeitung oder Nutzung erfolgen müssen.

 

Sperren (§ 3 Absatz 4 Nr. 4 BDSG)

 

Sperren, das auch eine Phase der Verarbeitung ist, ist gemäß § 3 Absatz 4 Nr. 4 BDSG das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Wie die Kennzeichnung zu erfolgen hat, ist gesetzlich nicht vorgeschrieben. Denkbar ist eine technische Zugriffsbeschränkung oder aber auch eine Kennzeichnung durch Sperrvermerk. In der Praxis sehr gebräuchlich ist die Archivierung in einem Datenträgerarchiv.

 

Übermitteln (§ 3 Absatz 4 Nr. 3 BDSG)

 

Hierbei handelt es sich neben dem Speichern wohl um die wichtigste Phase des Verarbeitens. Übermitteln ist gemäß § 3 Absatz 4 Nr. 3 BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Voraussetzung für ein Übermitteln ist, dass die Daten einem Dritten im Sinne von § 3 Absatz 8 Satz 2 BDSG bekannt gegeben werden, d. h. einer Person oder Stelle außerhalb der verantwortlichen Stelle. Dies sind beispielsweise nicht Auftragsdatenverarbeiter [„Auftragsdatenverarbeiter“ mit Hyperlink zum Fachmodul Auftragsdatenverarbeitung] im Sinne von § 11 BDSG. Auch bei einer Gesamtrechtsnachfolge (z. B. Erbschaft) liegt keine Übermittlung vor.

 

Verändern (§ 3 Absatz 4 Nr. 2 BDSG)

 

Auch hierbei handelt es sich um einen Unterfall des Verarbeitens. Man versteht unter Verändern gemäß § 3 Absatz 4 Nr. 2 BDSG das inhaltliche
Umgestalten gespeicherter personenbezogener Daten. Es ist hierfür eine inhaltliche Änderung oder eine Änderung des Informationswertes erforderlich. Eine bloße formale Änderung genügt nicht.

 

Verantwortliche Stelle (§ 3 Absatz 7 BDSG)

 

Verantwortliche Stelle ist gemäß § 3 Absatz 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Die verantwortlichen Stellen sind die Normadressaten im Sinne des § 2 BDSG. Verantwortliche Stellen sind nicht: Der Betroffene selbst, Dritte im Sinne von § 3 Absatz 8 BDSG sowie Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung nach § 11 BDSG (der Auftraggeber bleibt verantwortliche Stelle).

 

Verarbeiten (§ 3 Absatz 4 BDSG)

 

Verarbeiten ist gemäß § 3 Absatz 4 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

 

 

 

.

Copyright Institut für Datenschutz und -Sicherheit GmbH (IfDuS) – Lars Beitlich