Bundesdatenschutzgesetz
Florian
Elbing, , Maximilian Zernikow
Inhaltsverzeichnis
Womit
beschäftigt sich der Datenschutz?
Der
Datenschutz ist in der zweiten Hälfte des 20. Jahrhunderts
entstanden. Er ist nicht klar definierbar und wird nicht einheitlich
interpretiert. Grundsätzlich dient der Datenschutz als Schutz vor
missbräuchlicher Datenverarbeitung, Privatsphäre, informationelle
Selbstbestimmung und vor Schutz des Persönlichkeitsrechts. Ziel des
Datenschutzes ist es, dass alle Menschen selbst entscheiden können,
welche Daten für andere zugänglich sein sollen.
Das
Bundesdatenschutzgesetz (BDSG) regelt die Persönlichkeitsrechte beim
Umgang mit personenbezogenen Daten. Es beschreibt die technischen und
organisatorischen Maßnahmen, die zu treffen sind, damit dem
Bundesdatenschutzgesetz genüge getan wird. Einbezogen in den
Datenschutz sind im öffentlichen und nichtöffentlichen Bereich alle
mit elektronischen Datenverarbeitungsanlagen bearbeitbare und
speicherbare Daten ebenso wie die Datenverarbeitung in Akten, auf
Bild- und Tonträgern.
Wodurch
grenzt sich der Datenschutz von der Datensicherung ab?
Datensicherung
Unter
einer Datensicherung versteht man sowohl den Vorgang des Kopierens
der in einem Computersystem vorhandenen Daten auf ein Speichermedium
(das man transportieren kann), als auch die auf dem Speichermedium
gesicherten Daten. Die Datensicherung wird auch als Backup oder
Sicherungskopie bezeichnet. Deren Wiederherstellung wird auch als
Restore bezeichnet.
Die
Datensicherung dient dem Schutz vor Risiken wie Hardware-Schäden,
Diebstahl, Feuer, Fluten, dem Datenverlust durch versehentliches oder
absichtliches Löschen oder Überschreiben, sowie für die
Archivierung. Die Datensicherungen werden entfernt von der EDV-Anlage
in einer sicheren Umgebung gelagert. Für kleinere Unternehmen eignen
sich z.B. Bankschließfächer.
Datenschutz
Der
Datenschutz hebt sich in der Sicht von der Datensicherung ab, dass
gespeicherte personenbezogene Daten vor dem Missbrauch von anderen
Personen geschützt werden. Weiterhin soll die Privatsphäre von
anderweitigen Personen geschützt werden. Somit soll kein Mensch in
seiner Persönlichkeit eingeschränkt werden.
Was
ist unter informationeller Selbstbestimmung zu verstehen?
Informationelle
Selbstbestimmung
Das
Recht auf informationelle Selbstbestimmung ist im bundesdeutschen
Recht das Recht des Einzelnen, grundsätzlich selbst über die
Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
Es handelt sich dabei nach der Rechtsprechung des
Bundesverfassungsgerichts um ein Datenschutz-Grundrecht, das im
Grundgesetz für die Bundesrepublik Deutschland nicht ausdrücklich
erwähnt wird. Der Vorschlag, ein Datenschutz-Grundrecht in das
Grundgesetz einzufügen, fand bisher nicht die erforderliche
Mehrheit. Personenbezogene Daten sind jedoch nach Art. 8 der
EU-Grundrechtecharta geschützt.
Volkszählungsurteil
1983:
"Wer
nicht mit hinreichender Sicherheit überschauen kann, welche ihn
betreffenden Informationen in bestimmten Bereichen seiner sozialen
Umwelt bekannt sind, und wer das Wissen möglicher
Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann
in seiner Freiheit wesentlich gehemmt werden, aus eigener
Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf
informationelle Selbstbestimmung wären eine Gesellschaftsordnung und
eine diese ermöglichende Rechtsordnung nicht vereinbar, in der
Bürger nicht wissen können, wer was wann und bei welcher
Gelegenheit über sie weiß."
Quelle:
Bundesverfassungsgericht, BVerfGE 65, 1
Einschränkungen
des Grundprinzips
Gewisse
Einschränkungen im Grundrecht sind gegebenenfalls möglich, jedoch
bedürfen sie einer gesetzlichen Grundlage. Dabei muss der
Gesetzgeber unterscheiden zwischen dem Geheimhaltungsinteresse des
Betroffenen und dem öffentlichen Informationsinteresse.
Ausnahmen
bzw. Einschränkungen bedürfen einer gesetzlichen Grundlage und sie
sind nur dann zulässig wenn sie im überwiegenden Allgemeininteresse
dienen.
Jedoch
müssen die Maßnahmen stark differenziert werden zwischen gegen oder
mit den Willen des Betroffenen. Die gesetzliche Ermächtigung muss
aber auch „bereichsspezifisch, präzise und amtshilfefest“ sein.
(Volkszählungsurteil, BVerfG, 1 BvR 209/83 vom 15.12.1983)
Dann
wird noch unterschieden zwischen anonymisierten Daten (keinen
Rückschluss auf den Betroffenen zulassen z.B. Statistik), und
zwischen personalisierten Daten. Für die anonymisierten Daten gilt
eine gelockerte Zweckbindung und für personalisierte Daten eine
strenge Zweckbindung.
Dies
hat für den Gesetzgeber höchste Priorität, um den Datenmissbrauch
zu verhindern.
Der
Gesetzgeber muss Vorkehrungen treffen, um Datenmissbrauch zu
verhindern (Verfahrensvorschriften, Datenschutzbeauftragte, …).
Grundsätze
des Datenschutzes
Verbot mit
Erlaubnisvorbehalt
Das
Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist
verboten. Das ist der Grundsatz des Bundesdatenschutzgesetzes.
Eine
Ausnahme besteht nur dann, wenn es eine ausdrückliche gesetzliche
Regelung dafür gibt oder Sie freiwillig in die Verarbeitung Ihrer
Daten eingewilligt haben.
Direkterhebung
Eine
Datenerhebung, also das Beschaffen von Daten, ist nur beim
Betroffenen unmittelbar selbst zulässig. Das bedeutet, dass das
Beschaffen von Daten nur unter Mitwirkung des Betroffenen erlaubt
sein soll.
Auch hiervon gibt es Ausnahmen, wie etwa dass eine
Rechtsvorschrift die Erhebung vorschreibt oder die Erhebung beim
Betroffenen selbst einen unverhältnismäßig großen Aufwand
bedeuten würde.
Datensparsamkeit
Daten
sollen nicht für unbegrenzte Zeit aufbewahrt werden, sondern es soll
mit ihnen sparsam umgegangen werden. Das bedeutet, dass sie zu
löschen sind, wenn sie nicht mehr gebraucht werden.
 Dabei gibt es
natürlich für unterschiedliche Datenkategorien unterschiedlich
lange Aufbewahrungsfristen.
Im Grundsatz heißt es daher: So kurz
wie möglich, so lange wie nötig.
Datenvermeidbarkeit
Die
Verarbeitung personenbezogener Daten ist stets an dem Ziel
auszurichten, so wenige Daten wie möglich zu verarbeiten. Es dürfen
also nicht erst einmal sämtliche Daten, die zu erlangen sind,
wahllos gesammelt werden, nur um sie erst einmal zu haben. Frei nach
dem Motto: Haben ist besser als kriegen.
Transparenz
Das
Prinzip „Transparenz“ beschreibt die Anforderung, dass jeder
Betroffene wissen soll, dass Daten über ihn erhoben werden. Er soll
wissen, welche Daten zu welchem Zweck bei welcher Stelle für wie
lange und aus welchem Grund gespeichert werden.
Eine
heimliche Datenerhebung ist grundsätzlich unzulässig und nur unter
sehr strengen Voraussetzungen möglich.
Zweckbindung
Jeder
Datenverarbeitung muss ein bestimmter Zweck zugrunde liegen. Dieser
muss auch schon vor der Verarbeitung festgelegt und am besten
dokumentiert worden sein. Nur zu diesem zuvor ursprünglich
festgelegten, nicht jedoch zu einem anderen Zweck darf eine
Verarbeitung und Nutzung erfolgen.
Eine Ausnahme bildet wieder die
vorher erteilte freiwillige Einwilligung des Betroffenen.
Erforderlichkeit
Die
Datenverarbeitung muss zudem erforderlich sein. Dabei wird der
Begriff „erforderlich“ im BDSG an mehreren Stellen verwendet und
kann dabei auch unterschiedliche Bedeutungen haben. Gerade im Rahmen
von § 32 BDSG ist er stark umstritten. Grundsätzlich ist etwas nur
dann erforderlich, wenn es zur Zweckerreichung das mildeste Mittel
ist. Das heißt dass kein anderes Mittel zur Verfügung stehen darf,
das zur Erreichung des Zwecks genauso gut geeignet wäre, ohne jedoch
zu sehr in die Rechte des Betroffenen einzugreifen.
§
148 SGB VI besagt, dass der Rentenversicherungsträger Sozialdaten
nur dann erheben, verarbeiten und nutzen, soweit dies zur Erfüllung
der gesetzlich zugewiesenen Arbeiten notwendig ist. Aufgaben sind
die Feststellung der Versicherungsverhältnisses, Nachweis von
rentenrechtlichen Zeiten sowie die Festsetzung und Durchführung von
Leistungen zur Teilhabe, aber auch die Zahlung, Anpassung
Ãœberwachung, Einstellung oder Abrechnung von Renten und anderen
Geldleistungen. Die Erteilung von Auskünften sowie die Führung und
Klärung der Versicherungskonten und der Nachweis von Beiträgen und
Erstattungen, dürfen die Rentenversicherungsträger ebenfalls
sammeln.
§
151 verfolgt den Zweck, das Verfahren der Auskunftserteilung durch
die Deutsche Post AG an die Sozialleistungsträger auf eine
gesetzliche Grundlage zu stellen. Der Rentendienst der Deutschen Post
AG erhält von den Sozialleistungsträgern und den diesen
Gleichgestellten eine Fülle von Sozialdaten, um die ihm obliegenden
Aufgaben der Zahlung, Anpassung, Ãœberwachung, Einstellung und
Abrechnung von Renten und anderen Geldleistungen wahrnehmen zu
können. Da diese Daten auch von anderen Sozialleistungsträgern
benötigt werden, ist das Rentenauskunftsverfahren geschaffen worden,
um eine Vereinfachung des Datenaustausches zu ermöglichen. Da die
Datenerhebung nicht beim Betroffenen, sondern einem Dritten erfolgt,
werden die in § 67a SGB X niedergelegten Grundsätze des
Datenschutzes durch die Regelungen in § 151 Abs. 1 bis 3
durchbrochen. Das Rentenauskunftsverfahren der Deutschen Post AG
liegt sowohl im Interesse der Rentenberechtigten als auch der
beteiligten Stellen. Denn für die Rentenbezieher entfällt etwa die
Verpflichtung, einen Rentenanpassungsbescheid vorzulegen, weil es
aufgrund des Rentenauskunftsverfahrens den zuständigen
Leistungsträgern möglich ist, sich die erforderlichen Kenntnisse zu
verschaffen, so dass der Leistungsberechtigte insoweit von seinen
Mitwirkungsverpflichtungen gemäß § 65 Abs. 1 Nr. 3 SGB I befreit
wird. Da die Deutsche Post AG selbst der Verpflichtung gemäß § 35
SGB I unterliegt, richtet sich die grundsätzliche Befugnis der
Datenübermittlung nach den §§ 67d ff. SGB X. Die dort genannten
Übermittlungsvoraussetzungen müssen stets erfüllt sein. § 151
regelt jedoch einschränkend die Art und den Umfang der
übermittlungsfähigen Daten und die auskunftsberechtigten
Leistungsträger bzw. Stellen. Die Aufzählungen haben abschließenden
Charakter. Auf untergesetzlicher Ebene wird § 151 ergänzt durch die
RentenServiceVerordnung v. 28.7.1994 (BGB I S. 1867) i. d. F. v.
21.12.2008 (BGB I S. 2933), die in ihren §§ 20ff. Näheres regelt.
Gesetzliche
Grundlagen
Aufbau
des BDSG
Das
Bundesdatenschutzgesetz (BDSG) ist in 6 Abschnitten gegliedert die
wie folgt aufgebaut sind:
Erster Abschnitt:
Allgemeine und gemeinsame Bestimmungen
Zweck
des BDSG ist, dass jeder einzelne davor geschützt wird, dass durch
den Umgang mit den personenbezogenen Daten seine
Persönlichkeitsrechte nicht beeinträchtigt werden. Dafür hat der
Gesetzgeber mit den sieben Grundsätzen gesorgt. Die
Personenbezogenen Daten werden geschützt und werden nur zur
sachlichen Anwendung gedienten Aufgaben genutzt.
Zweiter Abschnitt:
Datenverarbeitung der Öffentlichen Stellen
Dieser
Abschnitt ist in drei Unterabschnitten gegliedert und befasst sich
erstens mit Rechtsgrundlagen der Datenverarbeitung, zweitens mit den
Rechten der Betroffenen und drittens mit dem Bundesbeauftragten für
Datenschutz und die Informationsfreiheit
Dritter Abschnitt:
Datenverarbeitung nicht-öffentlicher und öffentlich-rechtlicher
Stellen
Wettbewerbsunternehmen
Der
dritte Abschnitt besteht auch aus drei Unterabschnitten und befasst
sich erstens mit der Rechtsgrundlage der Datenverarbeitung, zweitens
mit den Rechten der Betroffenen und drittens mit den
Aufsichtsbehörden
Vierter Abschnitt:
Sondervorschriften
Fünfter Abschnitt:
Schlussvorschriften
Sechster Abschnitt:
Ãœbergangsvorschriften
Welche
Daten sind vom BDSG geschützt?
Grundsätzlich
ist zu sagen, dass alle Daten geschützt sind, es sei denn die werden
vom Eigentümer (also den Betroffenen) nicht genehmigt.
Was
ist eine Datei?
Eine
Datei ist ein Objekt, welches sich aus einer Software
(Computer-Programm) entsteht.
Was
wird im BDSG unter Datenverarbeitung verstanden?
Datenverarbeitung
ist der organisierte Umgang mit Datenmengen um mit ihnen
Informationen zu gewinnen, oder diese Daten zu verändern.
Welche
Rechte hat der Betroffene nach dem BDSG?
Die
Betroffenen können auf Antrag verlangen, dass sie Auskunft darüber
erhalten, welche Daten gespeichert wurden, an wen diese Daten gesandt
wurden und mit welchem Zweck die Daten gespeichert wurden. Darüber
hinaus haben Betroffene das Widerspruchsrecht und können somit
darauf bestehen, dass die Daten gelöscht beziehungsweise gesperrt
werden. Weiterhin haben die Betroffenen das Recht, wenn sie der
Ansicht sind, dass bei der Erhebung, Verarbeitung oder Nutzung der
gesammelten Daten in seinem Recht verletzt wurden ist, sich an den
Bundesbeauftragten für Datenschutz zu wenden. Der Betroffene hat
auch das Recht Schadensersatzansprüche geltend zu machen.
Notwendigkeit
der Datensicherung
Die
Datensicherung ist ein sehr wichtiger und Grundlegender Begriff des
Datenschutzes. Sehr viele verschiedene Interessensgruppen könnten
Interesse daran haben, Daten zu bekommen. Ob es sich dabei um
Personenbezogene Daten handelt oder um Metadaten ist dabei
zweitrangig. Beispielsweise reicht es für sogenannte Abo fallen aus
wenn sie die Handynummern nur haben, um so fälschliche SMS zu
schicken. Auch Meinungsforschungsinstitute könnten daran Interesse
haben Telefonnummern zu bekommen.
Maßnahmen
zur betrieblichen Datensicherung
In
einem Unternehmen sollte niemand unbefugt Eintritt bekommen. Das
sorgt dafür, dass es Zugangskontrollen gibt. Das beinhaltet entweder
Schlüsselkarten, Schlüssel, Sicherheitsschlösser, Überwachungs-
und Alarmanlagen etc. Das ist auch eines der 10 Gebote des
Datenschutzes – die Zugangskontrolle.
Ein
weiteres Gebot ist die Sicherheit der Datenträger. D.h. die
Datenträger mit den sensiblen Daten sollten in extra Räumen
positioniert sein. Datensicherungen, ein kontrollierter Zugriff sowie
Zugriffprotokolle und eine kontrollierte Vernichtung der Daten sind
wichtige Bestandteile dieses Gebotes.
Nicht
jeder Mitarbeiter eines Unternehmens sollte dieselben Zugriffsrechte
haben, wie die Vorgesetzten, d.h. nicht jeder kann die Daten
überschreiben und auf jeden Datenträger zugreifen. Dieses sorgt für
einen kontrollierten Zugriff. Auch die Speichervorgänge und die
Kontrolle der Speichervorgänge sollten eine wichtige Rolle spielen.
Ein
Zugriff unbefugter Personen darf nicht vorkommen. Passwörter,
Bildschirmsperren, zertifizierte Programme, zeitliche Begrenzung von
Zugriffen, Kontrolle der Netzverbindungen und ein kontrollierter
Einsatz der Programme sind oberstes Gebot in einem Unternehmen.
Keine fremde Person soll an sensible Daten gelangen.
In
einem Unternehmen sollte ein Mitarbeiter den ständigen Zugriff der
Daten überwachen. Zugriffsberechtigungen helfen ihm dabei, dass
nicht jeder Mitarbeiter an jede Information der Daten gelangt.
Weiterhin helfen ihm Zugriffsprotokolle sowie eine Dokumentation der
Veränderungen der Daten, d.h. dass die Zugriffskontrolle eine große
Rolle spielt.
Ein
weiteres Gebot ist die Übermittlungskontrolle. Sie sorgt für eine
klare Abgrenzung des Senders und Empfängers. Jeder weiß, wer die
Daten verschickt und empfängt. Die Übermittlung wird dokumentiert
mit Datum und Ziel. Die Ãœbermittlung der Daten sollte jedoch
verschlüsselt passieren, damit die Sicherheit gewährleistet wird.
Eine
unbefugte Änderung der Daten muss verhindert werden. Die Protokolle,
die für die Dokumentation der ganzen Kontrollen zuständig ist,
sollte manipulationssicher sein, damit es zu richtiger Dokumentation
kommt.
Jeder
Mitarbeiter muss irgendwann mit Daten arbeiten. Die Aufträge des
Unternehmens mit diesen Daten zu arbeiten wird an den jeweiligen
Mitarbeiter übergeben. Man sollte jedoch einen Überblick darüber
haben, ob alles konform erledigt wurde. Also hat der Vorgesetzte
dafür zu sorgen, dass die Aufgaben protokolliert werden.
Der
Transport der Daten sollte ebenfalls überwacht werden. Man sollte
Quittungen und ein Vertrauen zu den Boten der Post haben. Gewisse
Transportkoffer sowie Verschlüsselungen und bestimmte Transportwege
sind hier sehr wichtig.
Das
letzte Gebot ist die Organisationskontrolle, die besagt, dass es
Verantwortlichkeiten in einem Unternehmen, Verpflichtungen,
Dienstanweisungen, bestimmte Verfahrens-, Dokumentations- und
Programmrichtlinien gibt. Weitere Funktionstrennungen sowie eine
ordnungsgemäße Planung sind hier von wichtiger Bedeutung.
Weitere
wichtige Punkte des Datenschutzes sind ständig aktualisierte
Virenprogramme, aktualisierte Techniken.
In
dem Haus des Unternehmens sollten weitere Maßnahmen für einen guten
Datenschutz bzw. für eine Datensicherung ein Brandschutz, ein
Notstrom, ständige Wartungen, Speicher- und Überschreibungsschutz
sein. Weiterhin sollte man überlegen, ob eine Zweitanlage sinnvoll
wäre.
Dieses
ganze kann jedoch ohne Datenschutzgesetze sowie Richtlinien zum
Datenschutz nicht laufen. Jedes Unternehmen sollte einen
Datenschutzbeauftragten haben, der sich sehr gut mit dem Datenschutz
auskennt und auch Schulungen im Haus zum Datenschutz geben kann.
Problematik
des Datenschutzes
Große
Probleme des Datenschutzes sind zum einen der Datenverlust und zum
anderen ein unkontrollierter Zugriff von fremden Personen. Eine
falsche Weiterverarbeitung der Daten führt zu Unvollständigkeit.
Alle Personen, die mit persönlichen Daten arbeiten, sind angehalten
die Daten nicht an Unbefugte weiterzugeben.
Welche
Konsequenzen aus dem BDSG kennen Sie aus Ihrer betrieblichen
Tätigkeit?
In
unserer betrieblichen Tätigkeit ist es sehr wichtig, dass der
Datenschutz gewährt wird, da die Sozialversicherungsträger mit sehr
persönlichen Daten arbeiten. Sollte jedoch ein Verstoß gegen das
Datenschutzgesetz vorkommen, kann das zu betrieblichen Konsequenzen
führen. Eine Konsequenz ist die Kündigung des Arbeitnehmers.
Weiterhin kann es zur Anzeige kommen. Ein Verstoß gegen das
Datenschutzgesetz kann mit Bußgeld, Schadensersatz sowie mit
Freiheitsstrafen bestraft werden.
Problematik
Internetbenutzung und BDSG
Betreiber
erhalten von Websites und Online-Shops vermehrt E-Mails, in denen sie
zur Zahlung eines Geld-Betrages aufgefordert werden. Besonders die
Speicherung von IP-Adressen ist sehr umstritten. Das IP-Adressen
personenbezogene Daten sind, teilt das Bundesjustizministerium und
stellt sich die Frage, ob die Speicherung der IP-Adressen rechtlich
zulässig ist. Gegebenenfalls ist die Speicherung von IP-Adressen in
Einzelfälle gestattet.
Fazit
Die
Speicherung von IP-Adressen ist derzeit zulässig. Die
Weiterverarbeitung mit speziellen Analyseprogrammen ist jedoch
gesetzeswidrig.
Quellen