Quick-Intro – Schnelleinstieg in das Thema Datenschutz 2013-02-25T23:29:36+00:00

Die Verfassung der BRD gewährleistet jedem das Recht grundsätzlich selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen. Aufgabe des Datenschutzes ist es nach § 1 Bundesdatenschutzgesetz (BDSG) “den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“. In den Landesdatenschutzgesetzen finden sich ähnliche Aufgabenumschreibungen zum Schutz des “Rechts auf informationelle Selbstbestimmung “. Das gesamte Datenschutzrecht bezieht sich nur auf personenbezogene Daten. Darunter sind “Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person” zu verstehen. Juristische Personen werden nicht erfasst.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Die Einwilligung ist regelmäßig schriftlich zu erteilen. Zuvor ist der Betroffene auf den Zweck der Verarbeitung hinzuweisen. Bereits als Vorfrage für die Zulässigkeit der Datenverarbeitung ist von Bedeutung, ob überhaupt personenbezogene Daten benötigt werden. Gestaltung und Auswahl von Datenverarbeitungsprogrammen haben sich nämlich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Dabei ist insbesondere von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen.

Darüberhinaus sind die Grundsätze der Erforderlichkeit und Zweckbindung der Datenverarbeitung zu berücksichtigen. Danach ist die Datenverarbeitung nur zulässig, wenn sie zur Aufgabenerfüllung erforderlich ist. Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. Die Verarbeitung darf nur für vorher festgelegte Zwecke erfolgen. Eine Datenerhebung und -speicherung für noch nicht festgelegte Zwecke ist unzulässig. Zweckänderungen sind allein in den im Gesetz genannten Ausnahmefällen möglich.

Den bei der Datenverarbeitung beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Bei nicht öffentlichen Stellen sind die Beschäftigten bei Aufnahme ihrer Tätigkeit nach § 5 BDSG auf das Datengeheimnis zu verpflichten.

Zum Schutz der personenbezogenen Daten sind von den Daten verarbeitenden Stellen die notwendigen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG zu gewährleisten. Insbesondere sind dazu die in der Anlage zu § 9 BDSG enthaltenen “Gebote” einzuhalten, die 8 Kontrollziele (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Einhaltung der Zweckbestimmung) vorgeben.

Weist eine Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen auf wie z. B. die Verarbeitung besonderer Datenarten (Angaben über rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben ) oder soll damit die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens bewertet werden, ist vor dem Beginn der Verarbeitung eine Vorabkontrolle durchzuführen (§ 4d Abs. 5 BDSG). Eine Vorabkontrolle ist nicht durchzuführen, wenn eine gesetzliche Verpflichtung oder eine freiwillige Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.

Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen (§ 6a Abs. 1 BDSG).

Besonderer Schutzbedarf besteht auch bei automatisierten Abrufverfahren. Bei diesen Online-Verfahren trägt die empfangende Stelle die Verantwortung für die Zulässigkeit des Abrufs (§ 10 Abs. 4 Satz 1 BDSG). In manchen Landesdatenschutzgesetzen ist die Einrichtung von automatisierten Abrufverfahren an besondere rechtliche Voraussetzungen geknüpft.

(Quellen: Texte des BfDI und BSI, BDSG)

[Quick Intro] [DS u. IT-Security] [Behörden] [Gefährdungen] [Rechte] [Maßnahmen] [DS-Management] [DS-Konzept] [DS-Beauftragter]