<
>


























Bundesdatenschutzgesetz

Florian Elbing, , Maximilian Zernikow


Inhaltsverzeichnis





  1. Womit beschäftigt sich der Datenschutz?

Der Datenschutz ist in der zweiten Hälfte des 20. Jahrhunderts entstanden. Er ist nicht klar definierbar und wird nicht einheitlich interpretiert. Grundsätzlich dient der Datenschutz als Schutz vor missbräuchlicher Datenverarbeitung, Privatsphäre, informationelle Selbstbestimmung und vor Schutz des Persönlichkeitsrechts. Ziel des Datenschutzes ist es, dass alle Menschen selbst entscheiden können, welche Daten für andere zugänglich sein sollen.

Das Bundesdatenschutzgesetz (BDSG) regelt die Persönlichkeitsrechte beim Umgang mit personenbezogenen Daten. Es beschreibt die technischen und organisatorischen Maßnahmen, die zu treffen sind, damit dem Bundesdatenschutzgesetz genüge getan wird. Einbezogen in den Datenschutz sind im öffentlichen und nichtöffentlichen Bereich alle mit elektronischen Datenverarbeitungsanlagen bearbeitbare und speicherbare Daten ebenso wie die Datenverarbeitung in Akten, auf Bild- und Tonträgern.

  1. Wodurch grenzt sich der Datenschutz von der Datensicherung ab?

Datensicherung

Unter einer Datensicherung versteht man sowohl den Vorgang des Kopierens der in einem Computersystem vorhandenen Daten auf ein Speichermedium (das man transportieren kann), als auch die auf dem Speichermedium gesicherten Daten. Die Datensicherung wird auch als Backup oder Sicherungskopie bezeichnet. Deren Wiederherstellung wird auch als Restore bezeichnet.

Die Datensicherung dient dem Schutz vor Risiken wie Hardware-Schäden, Diebstahl, Feuer, Fluten, dem Datenverlust durch versehentliches oder absichtliches Löschen oder Überschreiben, sowie für die Archivierung. Die Datensicherungen werden entfernt von der EDV-Anlage in einer sicheren Umgebung gelagert. Für kleinere Unternehmen eignen sich z.B. Bankschließfächer.

Datenschutz

Der Datenschutz hebt sich in der Sicht von der Datensicherung ab, dass gespeicherte personenbezogene Daten vor dem Missbrauch von anderen Personen geschützt werden. Weiterhin soll die Privatsphäre von anderweitigen Personen geschützt werden. Somit soll kein Mensch in seiner Persönlichkeit eingeschränkt werden.


  1. Was ist unter informationeller Selbstbestimmung zu verstehen?

Informationelle Selbstbestimmung

Das Recht auf informationelle Selbstbestimmung ist im bundesdeutschen Recht das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Es handelt sich dabei nach der Rechtsprechung des Bundesverfassungsgerichts um ein Datenschutz-Grundrecht, das im Grundgesetz für die Bundesrepublik Deutschland nicht ausdrücklich erwähnt wird. Der Vorschlag, ein Datenschutz-Grundrecht in das Grundgesetz einzufügen, fand bisher nicht die erforderliche Mehrheit. Personenbezogene Daten sind jedoch nach Art. 8 der EU-Grundrechtecharta geschützt.


Volkszählungsurteil 1983:

"Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht wissen können, wer was wann und bei welcher Gelegenheit über sie weiß."

Quelle: Bundesverfassungsgericht, BVerfGE 65, 1

  1. Einschränkungen des Grundprinzips

Gewisse Einschränkungen im Grundrecht sind gegebenenfalls möglich, jedoch bedürfen sie einer gesetzlichen Grundlage. Dabei muss der Gesetzgeber unterscheiden zwischen dem Geheimhaltungsinteresse des Betroffenen und dem öffentlichen Informationsinteresse.

Ausnahmen bzw. Einschränkungen bedürfen einer gesetzlichen Grundlage und sie sind nur dann zulässig wenn sie im überwiegenden Allgemeininteresse dienen.

Jedoch müssen die Maßnahmen stark differenziert werden zwischen gegen oder mit den Willen des Betroffenen. Die gesetzliche Ermächtigung muss aber auch „bereichsspezifisch, präzise und amtshilfefest“ sein. (Volkszählungsurteil, BVerfG, 1 BvR 209/83 vom 15.12.1983)

Dann wird noch unterschieden zwischen anonymisierten Daten (keinen Rückschluss auf den Betroffenen zulassen z.B. Statistik), und zwischen personalisierten Daten. Für die anonymisierten Daten gilt eine gelockerte Zweckbindung und für personalisierte Daten eine strenge Zweckbindung.

Dies hat für den Gesetzgeber höchste Priorität, um den Datenmissbrauch zu verhindern.

Der Gesetzgeber muss Vorkehrungen treffen, um Datenmissbrauch zu verhindern (Verfahrensvorschriften, Datenschutzbeauftragte, …).

  1. Grundsätze des Datenschutzes

Verbot mit Erlaubnisvorbehalt

Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist verboten. Das ist der Grundsatz des Bundesdatenschutzgesetzes.
Eine Ausnahme besteht nur dann, wenn es eine ausdrückliche gesetzliche Regelung dafür gibt oder Sie freiwillig in die Verarbeitung Ihrer Daten eingewilligt haben.

Direkterhebung

Eine Datenerhebung, also das Beschaffen von Daten, ist nur beim Betroffenen unmittelbar selbst zulässig. Das bedeutet, dass das Beschaffen von Daten nur unter Mitwirkung des Betroffenen erlaubt sein soll.
Auch hiervon gibt es Ausnahmen, wie etwa dass eine Rechtsvorschrift die Erhebung vorschreibt oder die Erhebung beim Betroffenen selbst einen unverhältnismäßig großen Aufwand bedeuten würde.

Datensparsamkeit

Daten sollen nicht für unbegrenzte Zeit aufbewahrt werden, sondern es soll mit ihnen sparsam umgegangen werden. Das bedeutet, dass sie zu löschen sind, wenn sie nicht mehr gebraucht werden.
 Dabei gibt es natürlich für unterschiedliche Datenkategorien unterschiedlich lange Aufbewahrungsfristen.
Im Grundsatz heißt es daher: So kurz wie möglich, so lange wie nötig.

Datenvermeidbarkeit

Die Verarbeitung personenbezogener Daten ist stets an dem Ziel auszurichten, so wenige Daten wie möglich zu verarbeiten. Es dürfen also nicht erst einmal sämtliche Daten, die zu erlangen sind, wahllos gesammelt werden, nur um sie erst einmal zu haben. Frei nach dem Motto: Haben ist besser als kriegen.

Transparenz

Das Prinzip „Transparenz“ beschreibt die Anforderung, dass jeder Betroffene wissen soll, dass Daten über ihn erhoben werden. Er soll wissen, welche Daten zu welchem Zweck bei welcher Stelle für wie lange und aus welchem Grund gespeichert werden.

Eine heimliche Datenerhebung ist grundsätzlich unzulässig und nur unter sehr strengen Voraussetzungen möglich.

Zweckbindung

Jeder Datenverarbeitung muss ein bestimmter Zweck zugrunde liegen. Dieser muss auch schon vor der Verarbeitung festgelegt und am besten dokumentiert worden sein. Nur zu diesem zuvor ursprünglich festgelegten, nicht jedoch zu einem anderen Zweck darf eine Verarbeitung und Nutzung erfolgen.
Eine Ausnahme bildet wieder die vorher erteilte freiwillige Einwilligung des Betroffenen.

Erforderlichkeit

Die Datenverarbeitung muss zudem erforderlich sein. Dabei wird der Begriff „erforderlich“ im BDSG an mehreren Stellen verwendet und kann dabei auch unterschiedliche Bedeutungen haben. Gerade im Rahmen von § 32 BDSG ist er stark umstritten. Grundsätzlich ist etwas nur dann erforderlich, wenn es zur Zweckerreichung das mildeste Mittel ist. Das heißt dass kein anderes Mittel zur Verfügung stehen darf, das zur Erreichung des Zwecks genauso gut geeignet wäre, ohne jedoch zu sehr in die Rechte des Betroffenen einzugreifen.


§ 148 SGB VI besagt, dass der Rentenversicherungsträger Sozialdaten nur dann erheben, verarbeiten und nutzen, soweit dies zur Erfüllung der gesetzlich zugewiesenen Arbeiten notwendig ist. Aufgaben sind die Feststellung der Versicherungsverhältnisses, Nachweis von rentenrechtlichen Zeiten sowie die Festsetzung und Durchführung von Leistungen zur Teilhabe, aber auch die Zahlung, Anpassung Überwachung, Einstellung oder Abrechnung von Renten und anderen Geldleistungen. Die Erteilung von Auskünften sowie die Führung und Klärung der Versicherungskonten und der Nachweis von Beiträgen und Erstattungen, dürfen die Rentenversicherungsträger ebenfalls sammeln.


§ 151 verfolgt den Zweck, das Verfahren der Auskunftserteilung durch die Deutsche Post AG an die Sozialleistungsträger auf eine gesetzliche Grundlage zu stellen. Der Rentendienst der Deutschen Post AG erhält von den Sozialleistungsträgern und den diesen Gleichgestellten eine Fülle von Sozialdaten, um die ihm obliegenden Aufgaben der Zahlung, Anpassung, Überwachung, Einstellung und Abrechnung von Renten und anderen Geldleistungen wahrnehmen zu können. Da diese Daten auch von anderen Sozialleistungsträgern benötigt werden, ist das Rentenauskunftsverfahren geschaffen worden, um eine Vereinfachung des Datenaustausches zu ermöglichen. Da die Datenerhebung nicht beim Betroffenen, sondern einem Dritten erfolgt, werden die in § 67a SGB X niedergelegten Grundsätze des Datenschutzes durch die Regelungen in § 151 Abs. 1 bis 3 durchbrochen. Das Rentenauskunftsverfahren der Deutschen Post AG liegt sowohl im Interesse der Rentenberechtigten als auch der beteiligten Stellen. Denn für die Rentenbezieher entfällt etwa die Verpflichtung, einen Rentenanpassungsbescheid vorzulegen, weil es aufgrund des Rentenauskunftsverfahrens den zuständigen Leistungsträgern möglich ist, sich die erforderlichen Kenntnisse zu verschaffen, so dass der Leistungsberechtigte insoweit von seinen Mitwirkungsverpflichtungen gemäß § 65 Abs. 1 Nr. 3 SGB I befreit wird. Da die Deutsche Post AG selbst der Verpflichtung gemäß § 35 SGB I unterliegt, richtet sich die grundsätzliche Befugnis der Datenübermittlung nach den §§ 67d ff. SGB X. Die dort genannten Übermittlungsvoraussetzungen müssen stets erfüllt sein. § 151 regelt jedoch einschränkend die Art und den Umfang der übermittlungsfähigen Daten und die auskunftsberechtigten Leistungsträger bzw. Stellen. Die Aufzählungen haben abschließenden Charakter. Auf untergesetzlicher Ebene wird § 151 ergänzt durch die RentenServiceVerordnung v. 28.7.1994 (BGB I S. 1867) i. d. F. v. 21.12.2008 (BGB I S. 2933), die in ihren §§ 20ff. Näheres regelt.

  1. Gesetzliche Grundlagen

  1. Aufbau des BDSG

Das Bundesdatenschutzgesetz (BDSG) ist in 6 Abschnitten gegliedert die wie folgt aufgebaut sind:

Erster Abschnitt: Allgemeine und gemeinsame Bestimmungen

Zweck des BDSG ist, dass jeder einzelne davor geschützt wird, dass durch den Umgang mit den personenbezogenen Daten seine Persönlichkeitsrechte nicht beeinträchtigt werden. Dafür hat der Gesetzgeber mit den sieben Grundsätzen gesorgt. Die Personenbezogenen Daten werden geschützt und werden nur zur sachlichen Anwendung gedienten Aufgaben genutzt.

Zweiter Abschnitt: Datenverarbeitung der Öffentlichen Stellen

Dieser Abschnitt ist in drei Unterabschnitten gegliedert und befasst sich erstens mit Rechtsgrundlagen der Datenverarbeitung, zweitens mit den Rechten der Betroffenen und drittens mit dem Bundesbeauftragten für Datenschutz und die Informationsfreiheit

Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher und öffentlich-rechtlicher Stellen

Wettbewerbsunternehmen

Der dritte Abschnitt besteht auch aus drei Unterabschnitten und befasst sich erstens mit der Rechtsgrundlage der Datenverarbeitung, zweitens mit den Rechten der Betroffenen und drittens mit den Aufsichtsbehörden

Vierter Abschnitt: Sondervorschriften

Fünfter Abschnitt: Schlussvorschriften

Sechster Abschnitt: Ãœbergangsvorschriften

  1. Welche Daten sind vom BDSG geschützt?

Grundsätzlich ist zu sagen, dass alle Daten geschützt sind, es sei denn die werden vom Eigentümer (also den Betroffenen) nicht genehmigt.

  1. Was ist eine Datei?

Eine Datei ist ein Objekt, welches sich aus einer Software (Computer-Programm) entsteht.

  1. Was wird im BDSG unter Datenverarbeitung verstanden?

Datenverarbeitung ist der organisierte Umgang mit Datenmengen um mit ihnen Informationen zu gewinnen, oder diese Daten zu verändern.

  1. Welche Rechte hat der Betroffene nach dem BDSG?

Die Betroffenen können auf Antrag verlangen, dass sie Auskunft darüber erhalten, welche Daten gespeichert wurden, an wen diese Daten gesandt wurden und mit welchem Zweck die Daten gespeichert wurden. Darüber hinaus haben Betroffene das Widerspruchsrecht und können somit darauf bestehen, dass die Daten gelöscht beziehungsweise gesperrt werden. Weiterhin haben die Betroffenen das Recht, wenn sie der Ansicht sind, dass bei der Erhebung, Verarbeitung oder Nutzung der gesammelten Daten in seinem Recht verletzt wurden ist, sich an den Bundesbeauftragten für Datenschutz zu wenden. Der Betroffene hat auch das Recht Schadensersatzansprüche geltend zu machen.

  1. Notwendigkeit der Datensicherung

Die Datensicherung ist ein sehr wichtiger und Grundlegender Begriff des Datenschutzes. Sehr viele verschiedene Interessensgruppen könnten Interesse daran haben, Daten zu bekommen. Ob es sich dabei um Personenbezogene Daten handelt oder um Metadaten ist dabei zweitrangig. Beispielsweise reicht es für sogenannte Abo fallen aus wenn sie die Handynummern nur haben, um so fälschliche SMS zu schicken. Auch Meinungsforschungsinstitute könnten daran Interesse haben Telefonnummern zu bekommen.

  1. Maßnahmen zur betrieblichen Datensicherung

In einem Unternehmen sollte niemand unbefugt Eintritt bekommen. Das sorgt dafür, dass es Zugangskontrollen gibt. Das beinhaltet entweder Schlüsselkarten, Schlüssel, Sicherheitsschlösser, Überwachungs- und Alarmanlagen etc. Das ist auch eines der 10 Gebote des Datenschutzes – die Zugangskontrolle.

Ein weiteres Gebot ist die Sicherheit der Datenträger. D.h. die Datenträger mit den sensiblen Daten sollten in extra Räumen positioniert sein. Datensicherungen, ein kontrollierter Zugriff sowie Zugriffprotokolle und eine kontrollierte Vernichtung der Daten sind wichtige Bestandteile dieses Gebotes.

Nicht jeder Mitarbeiter eines Unternehmens sollte dieselben Zugriffsrechte haben, wie die Vorgesetzten, d.h. nicht jeder kann die Daten überschreiben und auf jeden Datenträger zugreifen. Dieses sorgt für einen kontrollierten Zugriff. Auch die Speichervorgänge und die Kontrolle der Speichervorgänge sollten eine wichtige Rolle spielen.

Ein Zugriff unbefugter Personen darf nicht vorkommen. Passwörter, Bildschirmsperren, zertifizierte Programme, zeitliche Begrenzung von Zugriffen, Kontrolle der Netzverbindungen und ein kontrollierter Einsatz der Programme sind oberstes Gebot in einem Unternehmen. Keine fremde Person soll an sensible Daten gelangen.

In einem Unternehmen sollte ein Mitarbeiter den ständigen Zugriff der Daten überwachen. Zugriffsberechtigungen helfen ihm dabei, dass nicht jeder Mitarbeiter an jede Information der Daten gelangt. Weiterhin helfen ihm Zugriffsprotokolle sowie eine Dokumentation der Veränderungen der Daten, d.h. dass die Zugriffskontrolle eine große Rolle spielt.

Ein weiteres Gebot ist die Übermittlungskontrolle. Sie sorgt für eine klare Abgrenzung des Senders und Empfängers. Jeder weiß, wer die Daten verschickt und empfängt. Die Übermittlung wird dokumentiert mit Datum und Ziel. Die Übermittlung der Daten sollte jedoch verschlüsselt passieren, damit die Sicherheit gewährleistet wird.

Eine unbefugte Änderung der Daten muss verhindert werden. Die Protokolle, die für die Dokumentation der ganzen Kontrollen zuständig ist, sollte manipulationssicher sein, damit es zu richtiger Dokumentation kommt.

Jeder Mitarbeiter muss irgendwann mit Daten arbeiten. Die Aufträge des Unternehmens mit diesen Daten zu arbeiten wird an den jeweiligen Mitarbeiter übergeben. Man sollte jedoch einen Überblick darüber haben, ob alles konform erledigt wurde. Also hat der Vorgesetzte dafür zu sorgen, dass die Aufgaben protokolliert werden.

Der Transport der Daten sollte ebenfalls überwacht werden. Man sollte Quittungen und ein Vertrauen zu den Boten der Post haben. Gewisse Transportkoffer sowie Verschlüsselungen und bestimmte Transportwege sind hier sehr wichtig.

Das letzte Gebot ist die Organisationskontrolle, die besagt, dass es Verantwortlichkeiten in einem Unternehmen, Verpflichtungen, Dienstanweisungen, bestimmte Verfahrens-, Dokumentations- und Programmrichtlinien gibt. Weitere Funktionstrennungen sowie eine ordnungsgemäße Planung sind hier von wichtiger Bedeutung.

Weitere wichtige Punkte des Datenschutzes sind ständig aktualisierte Virenprogramme, aktualisierte Techniken.

In dem Haus des Unternehmens sollten weitere Maßnahmen für einen guten Datenschutz bzw. für eine Datensicherung ein Brandschutz, ein Notstrom, ständige Wartungen, Speicher- und Überschreibungsschutz sein. Weiterhin sollte man überlegen, ob eine Zweitanlage sinnvoll wäre.

Dieses ganze kann jedoch ohne Datenschutzgesetze sowie Richtlinien zum Datenschutz nicht laufen. Jedes Unternehmen sollte einen Datenschutzbeauftragten haben, der sich sehr gut mit dem Datenschutz auskennt und auch Schulungen im Haus zum Datenschutz geben kann.

  1. Problematik des Datenschutzes

Große Probleme des Datenschutzes sind zum einen der Datenverlust und zum anderen ein unkontrollierter Zugriff von fremden Personen. Eine falsche Weiterverarbeitung der Daten führt zu Unvollständigkeit. Alle Personen, die mit persönlichen Daten arbeiten, sind angehalten die Daten nicht an Unbefugte weiterzugeben.

  1. Welche Konsequenzen aus dem BDSG kennen Sie aus Ihrer betrieblichen Tätigkeit?

In unserer betrieblichen Tätigkeit ist es sehr wichtig, dass der Datenschutz gewährt wird, da die Sozialversicherungsträger mit sehr persönlichen Daten arbeiten. Sollte jedoch ein Verstoß gegen das Datenschutzgesetz vorkommen, kann das zu betrieblichen Konsequenzen führen. Eine Konsequenz ist die Kündigung des Arbeitnehmers. Weiterhin kann es zur Anzeige kommen. Ein Verstoß gegen das Datenschutzgesetz kann mit Bußgeld, Schadensersatz sowie mit Freiheitsstrafen bestraft werden.

  1. Problematik Internetbenutzung und BDSG

Betreiber erhalten von Websites und Online-Shops vermehrt E-Mails, in denen sie zur Zahlung eines Geld-Betrages aufgefordert werden. Besonders die Speicherung von IP-Adressen ist sehr umstritten. Das IP-Adressen personenbezogene Daten sind, teilt das Bundesjustizministerium und stellt sich die Frage, ob die Speicherung der IP-Adressen rechtlich zulässig ist. Gegebenenfalls ist die Speicherung von IP-Adressen in Einzelfälle gestattet.


Fazit

Die Speicherung von IP-Adressen ist derzeit zulässig. Die Weiterverarbeitung mit speziellen Analyseprogrammen ist jedoch gesetzeswidrig.


  1. Quellen


  • | | | | |
    Tausche dein Hausarbeiten