Bundesdatenschutzgesetz

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
QS-Recht

Dieser Artikel wurde wegen formaler oder inhaltlicher Mängel in der Qualitätssicherung Recht zur Verbesserung eingetragen. Dies geschieht, um die Qualität von Artikeln aus dem Themengebiet Recht auf ein akzeptables Niveau zu bringen. Hilf mit, die inhaltlichen Mängel dieses Artikels zu beseitigen, und beteilige dich an der Diskussion! (+)

Basisdaten
Titel: Bundesdatenschutzgesetz
Früherer Titel: Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung
Abkürzung: BDSG
Art: Bundesgesetz
Geltungsbereich: Bundesrepublik Deutschland
Rechtsmaterie: Verwaltungsrecht
Fundstellennachweis: 204-3
Ursprüngliche Fassung vom: 27. Januar 1977
(BGBl. 1977 I S. 201)
Inkrafttreten am: überw. 1. Januar 1978
Neubekanntmachung vom: 14. Januar 2003
(BGBl. 2003 I S. 66)
Letzte Neufassung vom: 20. Dezember 1990
(BGBl. I S. 2954, 2955 ff.)
Inkrafttreten der
Neufassung am:
überw. 1. Juni 1991
Letzte Änderung durch: Art. 1 G vom 14. August 2009
(BGBl. 2009 I S. 2814)
Inkrafttreten der
letzten Änderung:
1. September 2009
bzw. 1. April 2010
(Art. 5 G vom 14. August 2009)
Weblink: Text des BDSG
Bitte den Hinweis zur geltenden Gesetzesfassung beachten.

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden (siehe auch: Datenschutz).

Geschichtliche Entwicklung[Bearbeiten]

Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung.

Vereinzelt gab es schon seit langem Bestimmungen, die dem Schutz der Privatsphäre dienten (Beichtgeheimnis, ärztliche Schweigepflicht, Steuergeheimnis, Postgeheimnis). Überlegungen zu einem umfassenden Datenschutz nahmen in den 1960er Jahren in den USA ihren Anfang und gingen einher mit der Entwicklung der Computertechnologie und den damit verbundenen Gefahren für die Privatsphäre (englisch: privacy).

In Deutschland eröffnete Hessen 1970 mit dem ersten Datenschutzgesetz der Welt die Datenschutzgesetzgebung. Im Jahr 1977 folgte der Bund mit der ersten Fassung des Bundesdatenschutzgesetzes. Nach dem Volkszählungsurteil des Bundesverfassungsgerichts 1983 war klar, dass die bisherigen Datenschutzgesetze nicht den verfassungsrechtlichen Anforderungen genügten. Diese mussten innerhalb eines angemessenen Zeitraumes novelliert werden. 1986 verabschiedete Hessen als erstes Land ein neues, daran angepasstes Datenschutzgesetz; 1990 war auch der Bund so weit.

Eine ausdrückliche Kompetenz des Bundes zur umfassenden Regelung des Datenschutzes enthält das Grundgesetz nicht. Die Regelungskompetenz für ein Bundesdatenschutzgesetz ergibt sich aus dem Rückgriff auf die Gesetzgebungszuständigkeiten für verschiedene Bereiche, die für den Datenschutz von Bedeutung sind. Für den Datenschutz im Anwendungsbereich der öffentlichen Verwaltung ist dies die Gesetzgebung für das Verwaltungsverfahren (Art. 70 ff. i. V. m. Art. 84 Abs. 1, 85 Abs. 1 und 86 GG). Die Datenverarbeitung wird als Arbeits- und Organisationsmittel eingesetzt und ist damit dem Bereich des Verwaltungsverfahrens zuzuordnen. Bundesrechtliche Datenschutzbestimmungen können daher für die Verwaltungstätigkeit des Bundes sowie für die der Länder, Gemeinden und Gemeindeverbände erlassen werden, soweit diese Bundesrecht ausführen. Im Bereich der landeseigenen Ausführung von Bundesrecht bedarf es hierzu der Zustimmung des Bundesrates. Für die gesetzliche Regelung des Schutzes der Privatsphäre in nicht-öffentlichen Bereichen beruht die Gesetzgebungskompetenz des Bundes auf der jeweiligen Sachkompetenz, also auf seiner im GG festgelegten Zuständigkeit u. a. für die Gesetzgebung auf dem Gebiet des Wirtschafts-, Arbeits-, Zivil-, Straf- und Prozessrechts.

Novellierung 2009[Bearbeiten]

Das BDSG ist 2009 durch Gesetzesbeschlüsse des Deutschen Bundestages mit drei Novellen geändert worden: Am 29. Mai 2009 hat der Bundestag mit der „Novelle I“[1] die Tätigkeit von Auskunfteien und ihrer Vertragspartner (insbesondere Kreditinstitute) sowie das Scoring neu geregelt. Die lange und heftig diskutierte „Novelle II“ ist am 3. Juli 2009 vom Bundestag verabschiedet worden[2]. Durch sie werden im BDSG 18 Paragrafen geändert. Stichworte sind: Änderungen des Listenprivilegs beim Adresshandel, Neuregelung für Markt- und Meinungsforschung, opt-in, Koppelungsverbot, Beschäftigtendatenschutz, Auftragsdatenverarbeitung, neue Befugnisse für die Aufsichtsbehörden und neue oder stark erweiterte Bußgeldtatbestände, Informationspflichten bei Datenschutzverstößen, Kündigungsschutz für Datenschutzbeauftragte. Einen Tag zuvor hatte der Bundestag die „Novelle III“ als kleinen Unterpunkt im Rahmen des Gesetzes zur Umsetzung der EU-Verbraucherkreditrichtlinie den § 29 BDSG um zwei Absätze erweitert.

Überblick über das BDSG[Bearbeiten]

Das BDSG besteht aus sechs Abschnitten:

  • Im ersten Abschnitt (§§ 1–11) werden allgemeine und gemeinsame Bestimmungen erläutert,
  • im zweiten Abschnitt (§§ 12–26) die Datenverarbeitung für öffentliche Stellen und
  • im dritten Abschnitt (§§ 27–38a) für private Stellen geregelt.
  • Der vierte Abschnitt (§§ 39–42) enthält Sondervorschriften,
  • im fünften Abschnitt (§§ 43–44) werden Straf- und Bußgeldvorschriften und
  • im sechsten Abschnitt (§§ 45–46) Übergangsvorschriften genannt.

Allgemeine und gemeinsame Bestimmungen[Bearbeiten]

§ 1 Absatz 1 BDSG lautet:

Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Grundsätze[Bearbeiten]

Ein wesentlicher Grundsatz des Gesetzes ist das so genannte Verbotsprinzip mit Erlaubnisvorbehalt. Dieses besagt, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Prinzip verboten ist. Sie ist nur dann erlaubt, wenn entweder eine klare Rechtsgrundlage gegeben ist (d. h., das Gesetz erlaubt die Datenverarbeitung in diesem Fall) oder wenn die betroffene Person ausdrücklich (meist schriftlich) ihre Zustimmung zur Erhebung, Verarbeitung und Nutzung gegeben hat (§ 4 Absatz 1, § 4a). Die angewendeten Verfahren mit automatisierter Verarbeitung sind vom (behördlichen oder betrieblichen) Datenschutzbeauftragten zu prüfen oder (wenn ein solcher nicht vorhanden ist) bei der zuständigen Aufsichtsbehörde anzeigepflichtig (§ 4d).

Ebenfalls gilt der in § 3a definierte Grundsatz der Datensparsamkeit und Datenvermeidung: So sollen sich alle Datenverarbeitungssysteme an dem Ziel ausrichten, keine oder so wenig personenbezogene Daten wie möglich zu verwenden und insbesondere von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen.

Geschützte Daten[Bearbeiten]

Geregelt wird der Umgang mit personenbezogenen Daten. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen, Personalnummer).

Im Gegensatz dazu stehen anonyme Daten, bei denen die Person unbekannt (also unbestimmbar) ist. Pseudonyme Daten, bei denen der Name durch einen Decknamen ersetzt wird, fallen jedoch wieder unter den Geltungsbereich des BDSG, weil es sich dabei um Angaben bestimmbarer Personen handelt. Da es aber aufwändiger ist, vom Pseudonym auf den Inhaber zu schließen, ist das informationelle Selbstbestimmungsrecht hiermit besser geschützt als z. B. mit Namen.

Nicht in den Geltungsbereich des BDSG fallen Daten über juristische Personen (GmbH, AG usw.). Entgegen dem eindeutigen Wortlaut haben einzelne Verwaltungsgerichte Datenschutzgesetze auch auf juristische Personen angewandt.[3]

Besonders geschützt werden so genannte besondere Arten von Daten gemäß § 3 Abs. 9 BDSG, nämlich Daten über rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben. Nach § 4d Abs. 5 BDSG unterliegen diese Daten der Vorabkontrolle. Das bedeutet, dass der Umgang mit den Daten in Institutionen, die Daten dieser Art erheben, verarbeiten oder speichern, vor Beginn der Datenverarbeitung geprüft werden muss. Dafür zuständig ist der Beauftragte für den Datenschutz, der von der betreffenden Institution bestellt werden muss.

Bei diesen Daten ist das Verbotsprinzip mit Erlaubnisvorbehalt durch einen Ausnahmekatalog noch enger definiert und eine ausdrückliche Einwilligung des Betroffenen notwendig.

Sachlicher Anwendungsbereich[Bearbeiten]

Das BDSG regelt folgende Tätigkeiten: Die Datenerhebung, die Datenverarbeitung und die Datennutzung. Ein Erheben im Sinne des Gesetzes liegt bereits bei der bloßen Beschaffung von Daten über natürliche Personen beim Betroffenen oder bei Dritten vor. Zur Verarbeitung gehört dabei das Speichern, Verändern, Übermitteln, Sperren und Löschen der Daten. Unter Nutzen ist jede Verwendung personenbezogener Daten außerhalb der Verarbeitung zu verstehen. Auch wird im BDSG geregelt, welche Rechte und Pflichten die Aufsichtsbehörden für den Datenschutz haben.

Räumlicher Anwendungsbereich[Bearbeiten]

Bei einem Sitz der verantwortlichen Stelle im EG/EWR-Ausland gilt grundsätzlich das Sitzprinzip, d. h., der Sitz der verantwortlichen Stelle ist maßgeblich für das nationale Recht. Eine Firma mit Sitz in Frankreich beispielsweise kann ihr französisches Recht bei der Datenverarbeitung in Deutschland exportieren.

Falls die Stelle jedoch eine Niederlassung in Deutschland hat, gilt grundsätzlich das Territorialprinzip, d. h., es gilt das deutsche BDSG. Dies gilt ebenso für Stellen, die einen Sitz in einem Nicht-EG/EWR-Staat haben.

Normadressaten[Bearbeiten]

Im BDSG wird unterschieden zwischen Datenschutz in öffentlichen und nichtöffentlichen Stellen. Öffentlich-rechtliche Wettbewerbsunternehmen, die im Wettbewerb zu privaten Unternehmen stehen (z. B. die Deutsche Bahn), werden wie nichtöffentliche Stellen behandelt.

Datenverarbeitung der nichtöffentlichen Stellen[Bearbeiten]

Jede nichtöffentliche Stelle (z. B. Unternehmen), in der zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt sind, benötigt einen Datenschutzbeauftragten (kurz DSB). Desgleichen bei zwanzig oder mehr Mitarbeitern, wenn die Daten manuell (z. B. mit Karteikarten) verarbeitet werden, wenn Verarbeitungen eine Vorabkontrolle erfordern oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymen Übermittlung (Meinungsforschung) verarbeitet werden.

Die Pflichten der verantwortlichen (verarbeitenden) Stelle fallen immer der Geschäftsführung zu. Unabhängig von der Bestellung eines Datenschutzbeauftragten umfassen sie u. a.:

  • Gewährung der Betroffenenrechte (Benachrichtigung, Auskunft, Korrektur, Sperrung, Löschung)
  • transparente und dokumentierte EDV (Verfahrensverzeichnis)
  • Schutz der EDV und der Daten im Sinne der IT-Sicherheit (§ 9 BDSG nebst Anhang)
  • Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte

Rechte der Betroffenen[Bearbeiten]

Betroffene (natürliche Personen, über die Daten bei öffentlichen oder nicht-öffentlichen Stellen gespeichert sind), haben nach dem Bundesdatenschutzgesetz folgende (gem. § 6 Abs. 1 BDSG unabdingbare) Rechte:

  • Auskunft darüber, ob und welche personenbezogenen Daten über sie gespeichert sind
  • Auskunft darüber, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden
  • Berichtigung von falschen personenbezogenen Daten
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde für den Datenschutz
  • Löschung oder Sperrung ihrer Datensätze. Der Anbieter ist nicht zwingend zur Löschung verpflichtet
  • Übermittlung persönlicher Daten an Dritte zu untersagen

Die beiden erstgenannten Rechte können verweigert werden, falls das allgemeine öffentliche Interesse, das Interesse der jeweiligen nicht-öffentlichen Stelle an der Wahrung des Geschäftsgeheimnisses oder das Interesse Dritter zur Geheimhaltung überwiegt. Dies muss allerdings im Einzelfall geprüft werden. Eine Verweigerung der Auskunft muss mit Angabe der Gründe dokumentiert werden.

Jeder Bürger hat also ein Auskunftsrecht bezüglich der über ihn gespeicherten Daten sowie ein Recht auf Richtigstellung falscher Daten. Für die befragten Stellen ergibt sich eine Auskunftspflicht, von der jedoch Polizei und Geheimdienste ausgenommen sind. Die Auskunft ist von öffentlichen Stellen unentgeltlich zu erteilen (§ 19 Abs. 7 BDSG). Bei der Auskunftserteilung durch private Stellen kann unter Umständen ein Entgelt verlangt werden (§ 34 BDSG), allerdings muss der Betroffene darauf hingewiesen und ggf. eine kostenfreie Alternative angeboten werden. Umstritten war lange Zeit die Praxis der Schufa, ein Selbstauskunftersuchen mit einer negativen Wertung zu belegen; diese Praxis hat die Schufa jedoch aufgegeben[4]. Des Weiteren hat jeder das Recht, der Nutzung seiner Adressdaten für Werbung oder der Markt- oder Meinungsforschung bei der datenspeichernden Stelle zu widersprechen und eine Sperrung seiner Daten zu verlangen.

Sondervorschriften[Bearbeiten]

Für die Behörden der Länder und Gemeinden gelten die jeweiligen Landesdatenschutzgesetze. Sonderregelungen gibt es auch für die öffentlich-rechtlichen Rundfunkanstalten.

Öffentlich-rechtliche Religionsgesellschaften unterliegen weder dem Bundesdatenschutzgesetz noch den Landesdatenschutzgesetzen. Die Römisch-katholische Kirche hat die Anordnung über den kirchlichen Datenschutz erlassen und die Synode der Evangelischen Kirche in Deutschland das Datenschutzgesetz der Evangelischen Kirche in Deutschland.

Für Verwaltungsverfahren im Geltungsbereich des Sozialgesetzbuchs sind für den Schutz der Sozialdaten besondere Vorschriften gültig, welche statt des Bundesdatenschutzgesetzes oder landesrechtlicher Regelungen anzuwenden sind. Dies gilt auch für die Durchführung jener Gesetze, die gemäß § 68 Erstes Buch Sozialgesetzbuch (SGB I) als besondere Teile des Sozialgesetzbuches gelten, wie also für Verfahren, die BAföG- oder Wohngeldstellen durchführen. Der Sozialdatenschutz ist im zweiten Kapitel des Zehntes Buch Sozialgesetzbuch (SGB X) geregelt.

Siehe auch[Bearbeiten]

Literatur[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. (BT-Drs. 16/13219, 16/10581)
  2. (BT-Drs. 16/12011 und 16/13657)
  3. So entschied das Verwaltungsgericht Wiesbaden am 18.Januar 2008 (AZ 6 E 1559/06), dass datenschutzrechtliche Vorgaben „auch auf juristische Personen, soweit ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung nach Artikel 14 GG gegeben ist, entsprechend“ anzuwenden sind. Am 27. Februar 2009 bestätigte das Verwaltungsgericht Wiesbaden seine Rechtsprechung (AZ 6 K 1045/08.WI).
  4. FAQ SCHUFA-Score, Punkt 4.18

Weblinks[Bearbeiten]

Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!